Es ist der Albtraum eines jeden Unternehmens: Server, Netzwerke und Business-IT sind wegen Cyberattacken nicht erreichbar. Cybercrime gehört zunehmend zum digitalen Alltag, und digitale Erpressung hat sich zum Boom-Geschäft entwickelt. Wie kostspielig die wirtschaftlichen Folgen sind, zeigt eine Untersuchung der Allianz-Tochter AGCS.
Die durch Cyberkriminalität verursachten Schäden werden für Unternehmen und ihre Versicherer immer teurer. Zu dem Schluss kommt eine Analyse der Allianz-Industrieversicherungstochter AGCS, die 1.736 Cyber-Schadensmeldungen aus den Jahren 2015 bis 2020 ausgewertet hat. Der Gesamtschaden lag laut AGCS bei 660 Millionen Euro - Tendenz steigend. Die Entwicklung bei der Anzahl der angemeldeten Cyberversicherungsansprüche folgt ebenfalls einem Trend nach oben: Ihre Zahl stieg von 77 im Jahr 2016, als Cyberversicherungen noch ein Nischenprodukt waren, auf 809 im Jahr 2019. In den ersten neun Monaten des Jahres 2020 wurden bei AGCS bereits 770 Ansprüche angemeldet.
Drei Gründe für die Zunahme der Schadensfälle
Die steigende Anzahl an gemeldeten Schäden lässt sich nur teilweise damit begründen, dass immer mehr Unternehmen eine Cyberversicherung abschließen. Es gibt weitere Faktoren, die zum einen bei den Angreifern selbst als auch bei den Unternehmen zu suchen sind:
Anstieg der Cybercrime-Aktivitäten in vergangenen Monaten und Jahren
Cybercrime as a Service, bei dem Laien Cyberattacken in Auftrag geben können
Veränderte Arbeitsbedingungen und mehr digitale Angriffsfläche in den Unternehmen wie sie mit der Covid-19-Pandemie einhergehen
Die Unternehmen sind sich dieser Gefahr zunehmend bewusst. Laut alljährlichem Risk Barometer der Allianz führen Cybervorfälle erstmals das Ranking der wichtigsten Geschäftsrisiken für Unternehmen weltweit an. In Deutschland rangieren Schäden durch Cybercrime auf Platz zwei hinter Betriebsunterbrechung.
Lesetipp: FAQ Cyber-Versicherung - IT-Risiken richtig versichern
DDoS-Attacken und Ransomware-Angriffe dominieren
Die größten Schäden im Umfeld von Cybercrime sind auf "externe Manipulationen von Systemen" zurückzuführen. Sie sind für 85 Prozent der Schadenssumme verantwortlich, gefolgt von internen Angriffen (9 Prozent) und IT-Ausfällen (6 Prozent). Bei den externen Angriffen durch Cyberkriminelle stechen zwei Arten von Angriffen besonders heraus:
Ransomware- und
DDoS-Attacken.
Beide Angriffsarten können langanhaltende Ausfälle verursachen und Betriebsunterbrechungen von mehreren Tagen oder Wochen nach sich ziehen. Das musste die Universitätsklinik Düsseldorf im September 2020 schmerzlich erfahren. Nach der erpresserischen Verschlüsselung ihrer Server brauchte die Klinik einen vollen Monat, um zum gewohnten Patientenbetrieb zurückzukehren.
Die Börse von Neuseeland musste Ende August/Anfang September 2020 wegen langanhaltender DDoS-Attacken für vier Tage den Handel aussetzen. Neben dem Handelsplatz Down Under wurden zahlreiche weitere Unternehmen aus dem Finanzbereich mit DDoS-Attacken erpresst. Die Lösegeldforderungen der Cyberkriminellen, Hackergruppen wie Armada Collective und Fancy Bear, richteten sich nicht nur gegen Firmen im asiatisch-pazifischen Raum. Sie betrafen auch Unternehmen in Nordamerika und Europa.
Schadensfälle vermeiden - Lösegeld ist keine Lösung
Angesichts dieser Schadensszenarien ist der Anreiz von erpressten Unternehmen oft groß, sich das Problem durch die schnelle Zahlung der geforderten Summe vom Hals zu schaffen - ohne Strafverfolgungsbehörden, IT-Experten oder Versicherer einbinden zu müssen. Dem haben die USA seit Oktober 2020 einen juristischen Riegel vorgeschoben. Die Strafverfolgungsbehörden dürfen ab sofort Unternehmen belangen, die mit der Zahlung von Lösegeld gegen Sanktionen verstoßen. Bei Missachtung der Sanktionen, die sich gegen bekannte Cybererpresser und bestimmte Staaten wie Iran und Nordkorea richten, drohen neben heftigen Strafgeldern auch hohe Freiheitsstrafen. Das Opfer kann unter diesen Umständen selbst zum Täter werden.
Lesetipp: Ransomware - Lösegeld ist keine Lösung
Wie man auf die immer komplexeren Cyberrisiken reagiert, muss jedes Unternehmen für sich individuell beantworten. Investitionen werden in jedem Fall nötig, damit die Schutzlösungen mit dem Knowhow der Täter Schritt halten. Darüber hinaus muss entweder in geschultes Fachpersonal oder externe Dienstleister investiert werden. Beide Lösungen sind mit weiteren Kosten verbunden. Der Preis, den Unternehmen ohne zeitgemäße IT-Absicherung im Falle eines Angriffs und Ausfalls zahlen, kann diesen allerdings bei Weitem übersteigen. Und auch der Versicherer wird eine Cyberpolice unabdingbar an eine gute IT-Sicherheit knüpfen. (bw)
- Roman Hugelshofer, Airlock
"Die Hacker werden immer einen Schritt voraus sein, deshalb braucht es neben technischer Security auch Investitionen in die Awareness der Mitarbeiter und eine proaktive Überwachung. Aber eine sogenannte Detection, die lediglich erkennt, dass das Unternehmen gehacked wurde, ist zu wenig gut – weil zu spät. Wir sehen, dass sich immer mehr Unternehmen Hilfe bei Managed-Security-Service-Anbietern suchen." - Kevin Switala, Auth0
"Anomalien erkennen ist ein guter Punkt. Das allein reicht aber nicht aus, um die Datensicherheit mit der Benutzerfreundlichkeit in Einklang zu bringen. Was heißt das genau? Wenn ich versuche, das Sicherheitslevel möglichst hoch zu halten, indem Mitarbeiter immer einen zweiten Faktor eingeben müssen, wird sich dieser langfristig einen alternativen Weg suchen, um auf einen Online-Service zuzugreifen. Und mit diesem „Umweg“ könnte er dann die Sicherheit des gesamten Unternehmens gefährden." Wer allerdings die Authentifizierung immer an das Nutzungsszenario koppelt, wird damit keine Probleme haben. Digitale Identitäten und User Experience müssen zusammengedacht werden und dürfen sich nicht ausschließen. Das müssen Unternehmen von Anfang an berücksichtigen." - Josef Meier, Fortinet
"Wir müssen uns auch Gedanken darüber machen, wie zukünftige Attacken ablaufen werden. Wir haben verschiedene Generationen im Unternehmen und bei der jüngeren ist E-Mail nicht mehr das Kommunikationsmedium Nr. 1. Natürlich werden Phishing-Attacken noch über Mail kommen. Aber wie werden Angriffe über Social Media-Kanäle verbreitet, wenn der jüngere Mitarbeiter im Homeoffice neben dem Mail-Programm noch einen Chat offen hat?" - Himanshu Chaudhary, Fujitsu
"Die Automatisierung der Security ist mit einer Restaurantküche vergleichbar: ein ideales Maß an Wirksamkeit bei der Analyse von Sicherheits-Events und der Behandlung der resultierenden Sicherheitsvorfall erreicht man durch einen geschickten Einsatz von Automatisierung, beispielsweise über SOAR-Technologie (Security Orchestration, Automation and Response). Das Geschick dabei ist der zielgerichtete Einsatz der Technik." - Christian Nern, KPMG
"Für ein Unternehmen ist es wichtig zu verstehen, welche Cyber-Bedrohungen zu jedem Zeitpunkt existieren. Gerade in der aktuellen COVID-19-Situation mit starker „remote“-Arbeit ändern sich viele Verhaltensmuster in IT-Netzwerken, sodass Erkennungsregeln und Netzwerkanalysen unzuverlässig reagieren können. Auch der Datenschutz und die Risikosteuerung der Unternehmen müssen regelmäßig angepasst werden, da sich sensible Daten nun oft in privaten Netzwerkumgebungen befinden." - Marc Wilczek, Link11
"Ein selbstlernendes, adaptierendes System ist essentiell. Wir nutzen eine Art Beweislastumkehrverfahren und nehmen den normalen Datenverkehr, mit dem ein Kunde typischerweise arbeitet, auf die Whitelist. Ändern sich die Parameter, indem etwa Angriffe hereinkommen, fällt das sofort als Abweichung auf. So rennt man nie der Bedrohung hinterher und fängt dann an zu patchen, sondern geht immer vorneweg." - Laurent Strauss, Micro Focus
"Es geht darum, zu sensibilisieren und zu automatisieren – eine gesunde Balance im Unternehmen zu haben. Und Lösungen im Einsatz zu haben, die präventiv greifen können. Grundsätzlich viel zu automatisieren ist auf jeden Fall sinnvoll, doch wo es um Managed Services geht, habe ich bei vielen Resistenz gesehen." - Ingo Schaefer, Proofpoint
"Der Angreifer ist den Unternehmen immer einen Schritt voraus. Man muss sich also immer mehr Gedanken darüber machen, wen man im Unternehmen wie schützen muss. Wer wird am meisten angegriffen? Und wenn diese Person angegriffen wird: welche Rolle und welche Rechte hat sie im Unternehmen? Auf welche Daten hat sie Zugriff? Damit befassen sich die Unternehmen immer viel zu wenig." - Michael Veit, Sophos
"Wenn Industrie 4.0 Bestandteil von allen Geschäftsprozessen ist, dann ist IT-Security nochmal extra wichtig. Die Zukunft mit 5G, wo man keine zentrale Netzwerkinfrastruktur mehr hat, die IoT-Systeme trennt und alle miteinander reden, wird die bisherige Security-Landschaft komplett umwerfen." - Andreas Müller, Vectra
"Wir sehen einen große Bewegung Richtung Microsoft 365 und damit eine sehr starke Auslagerung von Lösungen und Diensten in den Bereich Software as a Service sowie in die Cloud. Dadurch kommen neue Angriffsszenarien hoch, deren Absicherung man im klassischen Netzwerk häufig als Standard angesehen und quasi vergessen hat."