News

Herausforderungen, Strategien und Lösungen

Cyberrisiken vielfach unterschätzt

Redaktion RiskNET11.10.2013, 08:37

Deutsche Mittelständler unterschätzen die Risiken durch Cyber-Kriminalität. Das ergab eine aktuelle Umfrage der Zurich Versicherung unter Geschäftsführern und Vorstandsmitgliedern mittelständischer Betriebe. In Deutschland betrachten nur knapp sechs Prozent der Manager das Thema Cyber-Kriminalität, etwa durch Hacker-Angriffe, als mögliches Risiko für ihr Unternehmen. Ähnlich gering wird das Risiko durch Cyber-Kriminalität auch weltweit eingeschätzt: Die von Zurich in zwölf Ländern aufgesetzte Befragung zeigt, dass im internationalen Durchschnitt sogar nur vier Prozent Cyber-Kriminalität als mögliches Risiko für ihr Unternehmen sehen.

Das Internet ermöglicht es Straftätern heute, schnell und interaktiv mit ihren potentiellen Opfern zu kommunizieren und mit wenig Aufwand Webseiten scheinbar legitimer Firmen,  Lotteriegesellschaften oder Anwaltskanzleien aufzubauen. Ziel ist vielfach das sogenannte Social-Engineering – dabei versuchen Straftäter beispielsweise, private Zugangsdaten ihrer Opfer zu erlangen. Derartige Straftaten, und dazu gehören auch die "normalen" Betrugsstraftaten im Online- oder Auktionshaushandel, bei denen nach Vorauskasse keine, minderwertige oder gefälschte Ware versandt wird, werden aus Sicht der Strafverfolgungsbehörden als "Cybercrime im weiteren Sinne" verstanden – und werden in der Polizeilichen Kriminalstatistik (PKS) als "Straftaten mit dem Tatmittel Internet" ausgewiesen. In Abgrenzung dazu betrachten die Strafverfolgungsbehörden die Straftaten, die erst durch das Internet selbst ermöglicht wurden oder sich gegen das Internet selbst richten, als "Cybercrime im engeren Sinn". Dieser Begriff umfasst in Deutschland alle Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik oder gegen diese begangen werden.

Risikowahrnehmung hinkt dem faktischen Risiko hinterher

Laut polizeilicher Kriminalstatistik hat Cyber-Kriminalität mit 64.000 Fällen im Jahr 2012 einen neuen Höchststand erreicht. Damit ist die Zahl der Fälle im Vergleich zu 2011 um 7,5 Prozent gestiegen. Seit 2007 sogar ein drastischer Anstieg um insgesamt 87 Prozent. Unternehmer sollten Cyber-Kriminalität daher nicht unterschätzen. Interne Risikolücken im Bereich der Informationstechnologie müssen identifiziert und geschlossen werden, um Angriffe aus dem Netz bestmöglich abzuwehren.

Diverse Cyberattacken der jüngsten Zeit beweisen, dass Infrastruktur ein immer häufigeres Angriffsziel abgibt. Als besonders kritisch gelten dabei Systeme aus den Bereichen

  • Telekommunikation
  • Verkehrskontrollsysteme (Straßen-, Schiffs-, Luftverkehr)
  • Versorgungsinfrastruktur – insbesondere für Wasser- und Strom (zum Beispiel intelligente Netze)
  • Systeme der medizinischen Versorgung
  • Steuerungssysteme (zum Beispiel von Kernkraftwerken).


Erleichtert werden die Cyberattacken durch den zunehmenden Einsatz von remote access. Sie ermöglichen den Zugang zu Infrastruktursystemen über Internet- und Software-Schnittstellen, was das Risiko eines Systemausfalls durch missbräuchlichen Zugriff erhöht. Schwere Konsequenzen drohen, wenn etwa die Stromversorgung plötzlich zusammenbricht.

Denn im Alltag und in der Industrie läuft ohne elektronische Bauteile kaum noch etwas, die modernen Gesellschaften sind erheblich verwundbarer geworden. Ein Blackout für wenige Stunden dürfte noch überschaubare Schäden anrichten. Fällt aber die Stromversorgung großräumig für einen längeren Zeitraum (mehrere Tage) aus, steht im Extremfall die wirtschaftliche und soziale Stabilität einer Gesellschaft auf dem Spiel. Schließlich würden auch andere kritische Infrastruktur wie die Wasserversorgung, die Telekommunikation und das Transportwesen bestenfalls eingeschränkt funktionieren.

Cyberattacken sind vor allem deshalb ein attraktives Geschäft geworden, weil sie meist enorme Gewinne ohne großen finanziellen Aufwand versprechen. Denn viele Daten eines Unternehmens oder einer Privatperson lassen sich zu einem hohen Preis verkaufen. Kreditkarteninformationen werden heute bereits offen gehandelt, und andere wertvolle Informationen lassen sich über den Schwarzmarkt oder auf Auftrag beschaffen.

Materielle versus immaterielle Schäden durch Cyberattacken

Eine allgemeine Attacke durch Malware richtet sich gegen eine große Zahl von Computersystemen, um möglichst hohe Schäden hervorzurufen. Bei einem gezielten Angriff dagegen geraten ein bestimmtes Unternehmen, eine bestimmte Institution oder ein bestimmtes Land ins Visier. Ein Beispiel dafür ist der Computerwurm Stuxnet, der es speziell auf Steuerungssysteme von Siemens abgesehen hatte und dem es erstmalig gelang, materielle Schäden an Objekten anzurichten.

Für Versicherer ist die Unterscheidung zwischen "materiellem" und "immateriellem" Schaden relevant:

  • Der deckungsauslösende Sachverhalt, also die Schadenursache, ist in allen IT-Szenarien und IT-/Cyber-Eigenschadendeckungen immer ein immaterieller Schaden. Das Verschwinden von Daten, deren Nichtverfügbarkeit, Blockierung oder Manipulation reicht aus, um die Deckung auszulösen.
  • Dagegen muss bei einem materiellen Schaden das versicherte Objekt gewöhnlich chemischen oder physikalischen Einwirkungen, etwa in Folge eines Brandes, einer Überschwemmung oder eines Erdbebens, ausgesetzt gewesen sein.


Die meisten Sachdeckungen beruhen auf dem Konzept eines materiellen Schadens. Sollten in Zukunft häufiger Viren auftreten, die einen materiellen Schaden verursachen und damit Deckung unter der regulären Sachversicherung auslösen, könnte dies zu einem erheblichen Kumulrisiko für die Erst- und Rückversicherer führen.




[Eigener Text basierend auf Quellen der Zurich Versicherung und der Munich Re: Cyberrisiken, Herausforderungen, Strategien und Lösungen für Versicherer, München 2012, Bildquelle oben: © aetb - Fotolia.com]



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Studie

Qualitative Evaluationsstudie

Risikomodellierung, Predictive Analytics und Big Data

Frank Romeike | Stefan Trummer19.06.2018, 08:07

Das Banken- und Versicherungsumfeld ist seit vielen Jahren im Umbruch. Dazu haben in nicht unerheblichem Maße die Aufsichtsbehörden und Standardsetter beigetragen. Wurden bis Mitte der 2000er...

Interview

Mundus vult decipi

Was tun mit Fake News?

Redaktion RiskNET06.06.2018, 14:24

Wahrheit oder Lüge? Wer kann das in unseren digitalen Zeiten noch beantworten? Umso wichtiger sind klare Parameter und ein methodisch sauberes Vorgehen, um Fake News zu enttarnen. Dafür plädiert...

Kolumne

Machine Learning-basierte Klassifikation von Marktphasen

Krisen frühzeitig identifizieren

Dimitrios Geromichalos [RiskDataScience]23.05.2018, 12:30

Wie in der Vergangenheit immer wieder beobachtet werden konnte, verhalten sich Märkte oftmals irrational und zeichnen sich – neben dem "Normal-Zustand" – durch Phasen im Krisen- und...

Kolumne

Geopolitik und Ökonomie

Über den Einfluss politischer Krisen

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.16.05.2018, 11:45

Mehr als sonst ist in den Börsenkommentaren in diesem Jahr nicht nur von ökonomischen Faktoren die Rede. Immer mehr Raum wird den politischen Krisenherden in der Welt eingeräumt. Da geht es um Iran...

Kolumne

CFO Survey Frühjahr 2018

Fachkräftemangel und Protektionismus dominieren Risikolandkarte

Redaktion RiskNET11.05.2018, 14:32

Der Deloitte CFO Survey reflektiert die Einschätzungen und Erwartungen von CFOs deutscher Großunternehmen zu makroökonomischen, unternehmensstrategischen und finanzwirtschaftlichen Themen sowie...