Das sinkende Vertrauen der Bevölkerung in die Cybersicherheit von Behörden und juristischen Personen ist für Unternehmungen mit einem grossen Reputationsrisiko verbunden. Während Apple die «Zero-Click-Attack» im Chatdienst iMessage offenbar problemlos wegstecken kann, ergeht es den meisten Unternehmungen anders. Nur zu gut ist die Ransomware Attacke der Hackergruppe «Grief» auf Comparis in Erinnerung. Unternehmen können sich nicht der Tatsache verschliessen, dass ihnen noch ein Angriff bevorsteht, oder dieser schon längst passiert ist – viele haben es einfach noch nicht bemerk.
Berichte und Studien zur Cybersicherheit unterstreichen die wachsende Anfälligkeit von Unternehmen für Cyberrisiken. Damit steigt die Notwendigkeit und die Forderungen nach der Verantwortung und dem Einsatz von neuen und klaren Cybersicherheitsstandards. In der Schweiz fungiert das Nationale Zentrum für Cybersicherheit auf Bundesebene als Kompetenzzentrum für die Cybersicherheit (NCSC). Die Wichtigkeit geht aus dem Auftrag «Erhaltung der Wohlfahrt» wie er in der Bundesverfassung formuliert ist, hervor. Die Cybersicherheit hat sich zu einem systemrelevanten Bedrohung in der helvetischen Risikolandschaft entwickelt, welches mit dem Risiko des Finanzplatzes auf Augenhöhe steht. Der Unterschied zu Letzerem besteht einzig darin, dass das systemrelevante Risiko sich nicht auf einzelne Grossbetriebe beschränkt, sondern jeden einzeln Betrieb betrifft. Der Öffentlichkeit werden einzig Angriffe auf Unternehmungen bekannt gemacht, welche einer Publikationspflicht unterstellt sind. Die Dunkelziffer aller bis anhin angegriffenen Unternehmen ist frappant.
Offensichtlicher Handlungsbedarf
Der Cyber Security Risk Report 2021 von Aon zeigt deutlich: Nur zwei von fünf Unternehmen geben an, dass sie auf die neuen Risiken, die sich aus der rasanten digitalen Entwicklung ergeben, vorbereitet sind. Sogar nur jede sechste Firma verfügt über angemessene Massnahmen zur Anwendungssicherheit.
Aus Sicht der Unternehmensführung ist es wichtig zu verstehen, wie sich Cyberrisiken auf ein Unternehmen auswirken können und welche Abhilfemassnahmen - insbesondere im Hinblick auf die richtigen Kontrollen - sowohl aus versicherungstechnischer als auch aus nicht versicherungstechnischer Sicht getroffen werden sollten.
So haben in den letzten 12 Monaten Häufigkeit und Schweregrad von Cybervorfällen deutlich zugenommen. Laut dem Bericht von Aon stiegen die Ransomware-Angriffe vom ersten Quartal 2018 bis zum vierten Quartal 2020 um das Vierfache. Prominente Angriffe auf SolarWinds, Microsoft Exchange und Accellion zeigen schonungslos auf, wie gefährdet Unternehmen durch Angriffe auf Drittanbieter sind.
Fehlendes Bewusstsein in den Führungsetagen?
Die meisten Cyber-Vorfälle entstehen durch bekannte Schwachstellen, wobei viele Unternehmen sich nicht auf die Kontrollen konzentrieren, die helfen, Ransomware-Angriffe effektiv zu verhindern, zu erkennen und darauf zu reagieren. So verfügt beispielsweise weniger als die Hälfte der in der Aon-Studie befragten Unternehmen über angemessene Massnahmen zur Zugangsverwaltung. Angesichts dieses niedrigen Niveaus der Cybersicherheit und der Tatsache, dass auf dem Cyber-Versicherungsmarkt eine Zunahme der Häufigkeit und Schwere von Schäden zu verzeichnen ist, stellen die Versicherer ihren Kunden nun sehr spezifische und technische Fragen zu den bestehenden Kontrollen im Umgang mit dem Zugang zu ihren IT-Systemen. Es überrascht nicht, dass 62 % der Versicherer die Zugangskontrolle als entscheidendes Kriterium für das Underwriting nennen.
Es ist gut möglich, dass der Versicherungsmarkt eine wichtige Rolle bei der Verbesserung der Cybersicherheit spielen wird. Eine aktuelle Studie des britischen Ministeriums für Digitales, Kultur, Medien und Sport (DCMS) hat ergeben, dass mehr als ein Fünftel der Grossunternehmen nach eigenen Angaben eine spezielle Versicherung für Cyberrisiken abgeschlossen hat.
Cyber gehört in die Gesamtrisikobetrachtung!
Derselbe DCMS-Bericht warnt jedoch davor, dass nur ein Drittel der Unternehmen eine Risikobewertung für Cybersicherheitsrisiken durchgeführt haben. Der Bericht von Aon unterstreicht dieses Ergebnis noch weiter. Er zeigt auf, dass nur 40 % der Unternehmen darauf vorbereitet sind, die neuen Risiken aus der digitalen Entwicklung zu bewältigen. Nur etwas mehr als ein Fünftel verfügt über grundlegende Massnahmen zur Überwachung kritischer Lieferanten und Anbieter.
Die tägliche Springflut von publizierten Cybererpressungen stützen alle Umfragen: Unternehmen müssen ihre grundlegenden Sicherheitsvorkehrungen verbessern, insbesondere angesichts der sich wandelnden Risiken und der Wahrscheinlichkeit neuer Bedrohungen. Auch gehört Cyber unbedingt in jede Risikoevaluierungsmatrix. Unsere Erfahrung aus vielen Projekten lässt folgern, dass eine sorgfältige externe Lagebeurteilung unabdingbar ist. Basierend darauf können Sofortmassnahmen recht einfach umgesetzt werden. Für die Umsetzung von langfristig nachhaltigen Sicherheitsmassnahmen ist eine Mischung aus betriebsinternen und -externen Spezialisten ratsam.
Gemäss einer aktuellen Umfrage zeigen sich über 90 Prozent der Schweizer Führungskräfte besorgt. Beinahe die Hälfte der Befragten meint, dass ihr Unternehmen dringend Nachholbedarf in Sachen Datenschutz und IT-Sicherheit hat. Es gibt immer mehr Cyberkriminelle mit einem erstaunlich hohen Professionalisierungsgrad. Dies hat zur Folge, dass die Risikofaktoren und die damit verbundenen Herausforderungen immer komplexer werden. Cybersicherheit sollte Eingang in die Traktandenlisten von Geschäftsleitungs- und Verwaltungsratssitzungen finden und zu einem regelmässigen Punkt in der Agenda werden. Cyber gehört in jede Risikoevaluierungsmatrix. Zusätzlich drängt sich eine externe, unabhängige strategische Lagebeurteilung bei den meisten Unternehmungen auf.
Dominik Ebneter, MD Risk Consulting and Captive Management, Commercial Risk Solutions, Aon Schweiz AG
Pascal Gallati, Cyber Risk Consultant, Commercial Risk Solutions, Aon Schweiz AG