Auf dem Weg zur geschäftlichen Cyber-Resilienz

Bericht zur Cyber-Resilienz 2023

Unternehmen aller Größenordnungen können diesen Bericht als Ressource und Hilfsmittel für die Entscheidungsfindung in Bezug auf Cyber-Risiken im Jahr 2023 und darüber hinaus nutzen. Cyber-Resilienz ist eine Reise, die am besten gemeinsam mit Partnern und durch Teamarbeit bewältigt wird.

Erfahren Sie mehr

Einleitung

Die Unternehmen haben vier herausfordernde Jahre hinter sich, die durch die steigende Anzahl und Schwere von Cyber-Bedrohungen und Ransomware-Angriffen gekennzeichnet waren, gefolgt von einem Versicherungsmarkt mit steigenden Prämien und Selbstbehalten sowie einer strengen Underwriting-Prüfung. Bei der Zusammenarbeit mit unseren Kunden haben wir festgestellt, dass die Führungskräfte erkannt haben, dass sich Cyber-Ereignisse auf alle Bereiche ihres Unternehmens auswirken können. Folglich ist das Erreichen von Cyber-Resilienz ein wiederkehrendes Thema in den Vorstandsetagen, und die Bedrohung wird endlich aus einer ganzheitlichen Risikoperspektive betrachtet.

Zwischen 2020 und 2022 reagierten die Versicherer auf das enorme Ausmaß des Cyber-Risikos und die Notwendigkeit, die Rentabilität zu sichern.

Auf dem Cyber- und E&O-Markt wurden strengere Underwriting-Richtlinien eingeführt, was zu einer genaueren Prüfung der Sicherheitskontrollen, strengeren Richtlinien und einer Neubewertung des Cyber-Risikos insgesamt geführt hat.1 Nach Angaben von Aon-Kunden haben die Unternehmen auf diese strengeren Richtlinien reagiert und damit begonnen, sich stärker auf die Verbesserung der Risikoreife von Kontrollen zu konzentrieren, die von den Versicherern als kritisch oder als „Red Flag“ eingestuft wurden.

Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken. Dieser Bericht basiert auf Daten, die weltweit von mehr als 2.000 Aon-Kunden aus verschiedenen Regionen, Branchen und Umsatzklassen mit Hilfe von Aons Cyber Quotient (CyQu), einer globalen eSubmission- und Risikobewertungsplattform, erhoben wurden. Ergänzt werden diese CyQu-Daten durch Daten aus dem Zusatzantrag von Aon in Bezug auf Ransomware und dem Operational Technology Supplemental, die einen erweiterten Einblick in die Sicherheitskontrollen geben, die von den Versicherungsträgern als vorrangig eingestuft werden.2 Dieser Kundeninput wurde dann durch Informationen über den Markt für Cyber-Schadensfälle ergänzt und mit Kommentaren der Cyber Advisory und Digital Forensic Incident Response Teams von Aon angereichert, so dass wir mit diesem Bericht nun eine umfassende Untersuchung der Cyber-Resilienz und des Cyber-Risikos anbieten können. Die CyQu-Daten verdeutlichen, dass man weithin verstanden hat, dass gerade der Versicherungsmarkt die bereits anerkannten Kontrollen auf dem Weg zur Cyber-Sicherheitsreife entscheidend weiter vorantreibt. Die Kunden berichteten, dass sich die Cyber-Reife und dementsprechend die Vorbereitung auf eventuelle Angriffe zwischen 2020 und 2022 verbessert hat, wobei im globalen Durchschnitt eine Verschiebung von „basic“ zu „managed“ Cyber-Reife zu verzeichnen ist. Die Unternehmen haben generell Maßnahmen ergriffen, um die von den Versicherern als kritisch eingestuften Sicherheitsbereiche und -kontrollen zu stärken. Dabei hat man sich verstärkt auf das Zugriffsmanagement und auf Strategien zur Multi-Faktor-Authentifizierung (MFA) konzentriert. In diesem Zusammenhang konnten wir einen Rückgang der Ransomware-Schäden um 32 Prozent sowie einen Rückgang der Schadenhäufigkeit in der Cyber-Versicherung um insgesamt 14 Prozent im Jahr 2022 beobachten.3

Im Gegensatz dazu hatten wohl die Unternehmen aus allen Sektoren Probleme mit dem Risikomanagement für Dritte, wobei aus keinem Sektor ein „managed“ Profil gemeldet wurde. Dieses Ergebnis ist zwar nicht überraschend, bestätigt allerdings, dass dieses Thema in der Cyber-Branche an Bedeutung gewinnt: Das Risiko, das in der Lieferkette eines Unternehmens entsteht, ist komplex, und die immer stärkere Vernetzung der Technologie-Systeme erhöht das Risiko für Dritte exponentiell. Infolge dieses erhöhten Risikos, das erst kürzlich durch eine Datenpanne bei einer Lieferplattform offenkundig wurde, erwarten wir, dass viele Versicherer ihr Augenmerk in diesem Jahr auf die Gefährdung durch systemische und damit zusammenhängende Risiken und deren Auswirkungen richten werden.

Diese vorläufigen Daten markieren nur die Spitze der in diesem Bericht vermittelten Erkenntnisse. Die einzelnen Artikel sind in diesem Bericht enthalten. Dieser enthält branchenbezogene Analysen für das Finanz- und Versicherungswesen, das Gesundheitswesen und die verarbeitende Industrie, und darüber hinaus werden Nordamerika, EMEA, das Vereinigte Königreich, Lateinamerika und der asiatisch-pazifische Raum noch regional betrachtet.

Für jedes Unternehmen ist es eine große Herausforderung, den Weg zur Cyber- und letztlich zur Unternehmensresilienz zu finden. Resilienz ist eine unverzichtbare Komponente zur Risikominimierung in finanzieller, betrieblicher und reputationsbezogener Hinsicht. Sie erfordert eine ganzheitliche Sichtweise, die proaktives Risikomanagement, Reaktionsvorbereitung und Risikotransfermechanismen miteinander verbindet. Der Risikotransfer ist ein grundlegender Bestandteil der Widerstandsfähigkeit und beschränkt sich nicht nur auf die traditionelle Vermittlung von Versicherungen. Eigenmittel und alternatives Kapital sind praktikable Optionen, die für den Schutz der Bilanz in Betracht gezogen werden sollten. Unabhängig davon, ob Sie Geschäftsführer eines Fortune-100-Unternehmen oder eine kleinen bis mittelgroßen Unternehmens, das mit ähnlichen Risiken konfrontiert ist, sich aber vom Markt unterversorgt fühlt, hoffe ich, dass der vorliegende Bericht eine Ressource und ein Hilfsmittel für Ihre Entscheidungsfindung im Jahr 2023 und darüber hinaus bietet. Cyber-Resilienz ist eine Reise, die man am besten in Partnerschaft und durch Teamarbeit bewältigt.

Christian E. Hoffman
Der Globale Cyber-Champion von Aon

 

References

1 Aon | E&O- und Cyber-Marktbericht | Jahresmitte 2022. Snapshot der E&O- | Cyber-Versicherung zur Jahresmitte 2021 (aon.com)

2 Siehe den Artikel „Methodik“ im Bericht zur Cyber-Resilienz 2023 von Aon

3 Quelle: Risikobasierte Sicherheit, Analyse von Aon. Stand der Daten: 1. März 2023

Cyber-
Management in sechs vorgestellten Risikobereichen

Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken.

Aufbau einer branchen-
übergreifenden Cyber-Resilienz

In den diversen Branchen sieht man sich häufig mit einer komplexen, weltweit vernetzten Risikolandschaft konfrontiert, und die Führungskräfte sollten Entscheidungen treffen, die eine schnelle Analyse und Umsetzung fordern.

Finanz- und Versicherungswesen

Die Sicherheit von Backups ist nach wie vor ein Schwachpunkt der Branche, und US-Unternehmen meldeten Mängel bei fast 40 Prozent der kritischen IT-Kontrollen. Dieser Bereich muss im Jahr 2023 unbedingt schwerpunktmäßig betrachtet werden.

Gesundheitswesen

In keinem anderen Sektor müssen Sicherheitsentscheidungen getroffen werden, die sich so stark auf die Sicherheit und das Wohlergehen von Patienten auswirken könnten, wie im Gesundheitswesen. Kunden aus mittelständischen Unternehmen, Großunternehmen und Weltkonzernen, die im Gesundheitswesen tätig sind, meldeten verbesserte Cyber-Risikoprofile, wobei die Mehrheit von ihnen infolgedessen von „basic“ auf „managed“ wechselte.

Fertigung

Zwischen 2020 und 2022 hat sich das allgemeine Cyber-Risikoprofil der Hersteller stetig verbessert. Die Resilienz ist jedoch noch nicht ausgereift. Vor allem fehlt es US-Herstellern noch an ausreichend aussagekräftigen IT-Kontrollen hinsichtlich ihrer geschäftlichen Resilienz.

Cyber-Reifegrad nach Region

Der allgemeine Cyber-Reifegrad von Unternehmen kann je nach Region unterschiedlich sein. Erfahren Sie mehr über Lücken, Herausforderungen und Chancen sowie über die Maßnahmen, die Führungskräfte ergreifen können, um die Cyber-Resilienz und Widerstandsfähigkeit ihres Unternehmens zu verbessern.

Two people collaborating over a single laptop by the bannister of the sixth floor.

Datenmethodik

Hinter den Daten: Forschungsmethodik

Der Bericht zur Cyber-Resilienz 2023 basiert auf kundeneigenen Daten, die aus der Aon Cyber Quotient Evaluation (CyQu) und dem Zusatzantrag von Aon in Bezug auf Ransomware sowie aus dem Operational Technology Supplemental gesammelt wurden.

Mehr Informationen