Experten erwarten Anstieg an Cyberschäden in Folge der Datenschutzgrundverordnung

AIG Cyber Schadenstudie 2018

Das vergangene Jahr 2017 stellte einen neuen Schadenrekord im Bereich Cyber auf: In nur einem Jahr wurden so viele Cyberschäden gemeldet wie in den vorherigen vier Jahren zusammen. Zu diesem Ergebnis kommt die neu veröffentlichte AIG Cyber Schadenstudie 2018.

Eine Cyber­Attacke pro Tag; dies ist nur eines der Ergebnisse der aktuellsten Untersuchung zu Cyber­Vorfällen, welches aufhorchen lässt. Besonders die am 25. Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) steht im Mittelpunkt der Analyse, wird doch aufgrund der damit einhergehenden, noch strengeren Regeln nicht nur ein sprunghafter Anstieg im Hinblick auf Datenschutzverletzungen erwartet, sondern auch eine Zunahme an Versicherungsfällen aufgrund anderweitiger Angriffe auf die Sicherheit.

Der aktuelle Schadenreport von AIG zeigt auf, dass über ein Viertel (26%) aller in 2017 gemeldeten europäischen Cyberschäden auf Ransomeware als Hauptursache zurück zu führen sind.

Übersicht der häufigsten Ursachen für Datenschutzverletzungen

• Erpressung mit Ransomware: 26%
• Datenschutzverletzungen durch Hacker: 12%
• Sonstige Sicherheitsausfälle / unautorisierte Zugriffe: 11% • Identitätsbetrug: 9%

Obwohl der Anteil der Schadenmeldungen, die auf fahrlässigem Verhalten von Mitarbeitern basieren, mit 7% marginal zurückgegangen ist (8% in den Jahren 2013­2016), ist der Faktor des „menschlichen Versagens“ – auf den Großteil aller Cyberschäden bezogen – nach wie vor als äußerst signifikant einzuschätzen.

Nepomuk Loesti, Head of Liabilities, Financial Lines und Client Engagement für die DACH­Region bei AIG, konkretisiert: „In 2017 sahen wir uns mit einer Reihe von hochkomplexen, systematisch ausgerichteten Cyber­Attacken durch Schadsoftware und Ransomware konfrontiert – WannaCry und NotPetya waren hier ganz vorne mit dabei. Viele europäische Unternehmen und Organisationen hatten durch die daraus entstandenen Betriebsunterbrechungen mit großen Herausforderungen zu kämpfen – die finanziellen Auswirkungen spiegelten sich vor allem in einem zum Teil erheblichen Bilanzverlust wieder.“

Zwar machen reine Lösegeldzahlungen bei dieser Erhebung nur rund 150.000 USD aus; die gesamtwirtschaftlichen Verluste jedoch, die durch WannaCry verursacht wurden, werden auf rund 8 Mrd. USD geschätzt. Eine halbe Milliarde wurde dabei allein durch unmittelbare Kosten und die sogenannten indirekten Betriebsunterbrechungen verursacht. Erschreckende Erkenntnis hierbei: Die Mehrheit aller Verluste war nicht ausreichend versichert.

„In diesem Kontext ist die Befürchtung legitim, dass mit der Einführung der DSGVO nun ein weiteres, bei Erpressern gern gesehenes Instrument geschaffen wird. Es ist abzusehen, dass die proaktive Bedrohung der Datensicherheit eines Unternehmens dazu führt, dass Erpressungsgelder gezahlt werden – schlicht aus dem Bewusstsein heraus, dass die Konsequenzen einer Verletzung des Datenschutzes unter der neuen Verordnung wesentlich härter ausfallen werden“, so Loesti. „Gleichermaßen werden Unternehmen Missbräuche weitaus schneller melden; mit der Folge, dass der Umfang der Cyberschadenmeldungen rasant steigen wird.“

Diese Erwartungen kommen nicht von ungefähr: Nach der Einführung der Gesetze zur Meldepflicht bei Sicherheitsverletzungen in vielen Bundesstaaten der USA im Jahr 2002 konnte man einen eben solchen Effekt beobachten – fast jeder bekannte Cyber­Vorfall ging dort mit mindestens einer Sammelklage einher.

Cybervorfälle: Unabhängig von Bereich und Branche

Eine weitere wichtige Erkenntnis der Studie ist, dass mittlerweile keine Branche mehr vor einer Cyber­Attacke gefeit ist bzw. unterschiedlichen Branchen bestimmte Risikopotenziale zugesprochen werden können. Bei der Auswertung der Schadenmeldungen wurde ersichtlich, dass im Jahr 2017 allein in acht Branchen, die in den Vorjahres­Statistiken bisher nicht aufgetaucht waren, Cybervorfälle gemeldet wurden.

Als Nummer Eins auf der Liste der Cyberschäden zählen die Bereiche der Professionellen Dienstleistungen und Finanzdienstleistungen mit jeweils 18%. Hierbei ist herauszustellen, dass besonders ersterer einen überdurchschnittlichen Anstieg an Schäden proportional zur Gesamtzahl verzeichnet (6% in den Jahren 2013­2016).

Cyberschäden nach Branchen (nicht abschließend):

• Professionelle Dienstleistungen: 18% • Finanzdienstleistungen: 18%
• Handel: 12%
• Unternehmensdienstleistungen: 10% • Herstellung / Produktion: 10%

“Im Bereich Cyber beobachten wir eine kontinuierliche Entwicklung hin zu einer branchenübergreifenden Herausforderung“, sagt Loesti. „Es sind nicht mehr nur die Unternehmen betroffen, die bisher als „klassische“ Cyber­ Risikoträger angesehen worden sind. Vielmehr wird vor allem durch die jüngsten Ransomware­Angriffe ersichtlich, dass solche Attacken größtenteils völlig willkürlich ausgerichtet sind – heißt: unabhängig von der jeweiligen Branche, die sie schlussendlich treffen.“

Zusammenfassend kann man sagen, dass – unabhängig von Größe oder Branche – Unternehmen, die sich in der heutigen eng vernetzten und digitalisierten Welt bewegen und operieren, immer stärker auf die damit einhergehenden Cyber­Risiken einstellen müssen. Sie müssen sich zudem der Relevanz einer guten Cyber­Hygiene in Kombination mit einer entsprechenden Cyber­Versicherung bewusst sein, um potenzielle einschneidende finanzielle Konsequenzen frühzeitig einzudämmen.