Unsere Welt ist hochgradig globalisiert und vernetzt. Extreme Szenarien treffen längst nicht mehr nur Risikoländer, sondern sind global eine reale Bedrohung – auch für die Schweiz. Wovor fürchten sich Unternehmen am meisten? Die Allianz wertet dies anhand der gross angelegten Risk-Barometer-Studie jährlich aus und veröffentlicht die Ergebnisse als «Top-10-Geschäftsrisiken». Nach letztjähriger Verunsicherung wegen des Pandemie-Ausbruchs landeten 2021 Cyberrisiken abermals auf Platz 1. Dies zeigt deutlich, dass Cyber Security mehr ist als eines von vielen To-Dos auf der Agenda und Unternehmen weltweit damit zu kämpfen haben. Welche Cyberrisiken Unternehmen gemäss Studie derzeit besonders beschäftigen, haben wir für Sie zusammengefasst.
Für den Allianz Risk Barometer Report 2022 wurden 2650 Risikomanagement-Expert*innen aus 89 Ländern gefragt, welche Themen die Unternehmen besonders beschäftigen und welches die grössten Risiken sein werden. Darunter waren auch 75 CEOs, Risikomanager*innen und Makler*innen aus der Schweiz.
Vor Geschäfts- und Lieferunterbrüchen (42%) – die im Übrigen nicht selten durch Cybervorfälle verursacht werden –, Naturkatastrophen (25%) und den weiteren Auswirkungen der Covid-19-Pandemie (22%) liegt die Sorge vor Cyberangriffen (44%) auf Platz eins. Hierzu gehören insbesondere Ransomware, Datenschutzverletzungen und IT-Ausfälle.
Auch wenn die Erkenntnisse nicht erstaunen, verdeutlichen solche Studien einmal mehr, dass das Thema Cyberrisiken Jahr für Jahr besorgniserregender wird. Zu Recht, schaut man sich die Statistiken der letzten Jahre, Medienveröffentlichungen sowie Prognosen an.
Im Risk Barometer kristallisierten sich besonders vier Cyberrisiken als besorgniserregend heraus: Die rasante Zunahme von Ransomware, Datendiebstahl, IT-Schwachstellen aufgrund von zunehmenden Remote Working / Home Office sowie Unterbrechungen durch Ausfall digitaler Lieferketten, Cloud- oder sonstigen Technologie-Dienstplattformen.
Cyberrisiken sind allgegenwärtig
Die Gründe für das diesjährige Spitzen-Ranking sind vielfältig: Durch die fortschreitende Digitalisierung und Vernetzung werden Unternehmen anfälliger für Angriffe; die Umstellung auf Home Office stellte sicherheitstechnisch hohe Anforderungen; Hacker entwickeln laufend neue Methoden, nutzen Technologien wie Künstliche Intelligenz und agieren professioneller; und auch firmeninterne Risiken nehmen zu. Konkret können Mitarbeitende, die beispielsweise ungenügend zum Thema Cyberrisiken und -sicherheit geschult sind, zu einer gefährlichen Schwachstelle werden. Gerade deshalb sollte Security Awareness ein zentrales Element jeder Cyber Security-Strategie sein.
Ransomware ist unaufhaltsam – und sogar as-a-Service (RaaS) verfügbar
Was früher Banküberfälle waren, sind heute Ransomware-Angriffe – jedoch im etwas grösseren Stil, lukrativer und erst noch mit weniger Aufwand verbunden. War früher immerhin noch ein Muster erkennbar bezüglich Branchen oder Unternehmensgrösse, greifen Hacker inzwischen scheinbar wahllos an. Cyberkriminelle, oft hochprofessionell organisiert, haben ihre Angriffsmethoden und ihr Business-Modell soweit verfeinert, dass Angriffe mit sehr überschaubarem Aufwand durchgeführt werden können. Besonders perfid: Im Darkweb können Ransomware-Tools günstig gekauft oder als Ransomware-as-a-Service (RaaS) genutzt werden, sodass auch Nicht-Profis ins Geschäft einsteigen können.
In der Studie wurden auch die aktuellsten Trends von Ransomware-Angriffen genannt. Erstens werden zunehmend «doppelte Erpressungen» verzeichnet, sprich die Kombination aus initialem Datenklau und Verschlüsselung mit anschliessender Drohung, sensible Daten preiszugeben. Zweitens versuchen Hacker gleichzeitig Backups zu verschlüsseln oder zu löschen, was die Handlungsfähigkeit für Unternehmen nach einem Angriff verringert. Und drittens verwenden Angreifer zunehmend gezieltes Spear-Phishing und Whaling, um sich Zugang zu Systemen zu verschaffen.
Ein einziger Stein kann alles in Rollen bringen – Cyberangriffe auf digitale Lieferketten
Die Studie offenbarte einen besorgniserregenden Trend zu Cyberattacken auf digitale Lieferketten, bei denen Angreifer auf entsprechende Plattformen, physisch kritische Infrastrukturen oder einem digitalen Single Point of Failure abzielen. Beispielhaft war hierfür der Ransomware-Angriff Colonial Pipeline, der zum Unterbruch in der US-Energieinfrastruktur führte. Wie schnell so ein Angriff geschehen kann, zeigt auch der jüngste Vorfall, die Log4j-Schwachstelle. Weltweit führten Hacker über eine Million Angriffe in nur vier Tagen durch und schleusten so unter anderem Ransomware in Software-Updates ein, was verheerende Folgen haben kann – und teils auch hatte. In diesem Zusammenhang wird klar, dass die zunehmende Abhängigkeit digitaler Infrastrukturen ein grosses Risiko darstellt.
Umfassende Cyber Security – auch Nachsorge gehört zur Vorsorge
Unternehmen sind angesichts der zunehmenden Risiken zurecht verunsichert und irritert, wie effektiver Schutz aussehen muss. So schön es wäre: Eine Strategie, die auf alle Unternehmen anwendbar ist, gibt es nicht. Klar gehören die Errichtung einer möglichst sicheren und auf das Unternehmen individuell abgestimmten Sicherheitsarchitektur zu den Basics, ebenso moderne Netzwerk- und Sicherheitslösungen, gut ausgebildete Fachkräfte, regelmässige Security Awareness-Trainings für die Mitarbeitenden und eine mehrstufige Cyberabwehr. Wer dies nicht alleine bewerkstelligen kann, sollte unbedingt eine externe, erfahrene Partnerfirma beiziehen. Wir von der InfoGuard unterstützen Sie sehr gerne.
Zudem keine Kür, sondern oft vernachlässigte Pflicht: Business Continuity Management, also die gezielte Vorbereitung auf einen erfolgreichen Vorfall wie eben einen Cyberangriff. Denn die Frage, ob ein Unternehmen Ziel wird, stellt sich heutzutage nicht mehr – die Frage ist nur zu welchem Zeitpunkt. Zum Business Continuity Management gehören unter anderem auch vorbereitende Incident Response oder Table-Top-Exercises. Auch hier unterstützen Sie unsere erfahrenen Expert*innen gerne.
Kostenloser Check Ihrer Cyber Resilience
Schlussendlich geht es darum, eine gesunde und umfassende Cyberresilienz resp. Widerstandsfähigkeit gegen Cyberattacken zu erlangen. Die Verantwortung hierfür liegt bei der Geschäftsleitung. Der Verwaltungsrat trägt hingegen die Gesamtverantwortung für das Risikomanagement im Unternehmen. Doch wie misst man nun die Cyberresilienz eines Unternehmens? In unserer kostenfreien «Cyber Resilience Checkliste» stellen wir Ihnen das Basis-Know-how zu Cyberresilienz vor, deren Grundsätze und welche Punkte zur Einschätzung evaluiert werden sollten.
* Quelle Grafik: https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2022-press-de.html