Traurige Wahrheit: 2017 wurde ein neuer Cyber-Schadenrekord aufgestellt. In nur einem Jahr wurden so viele Cyber-Schäden gemeldet wie in den vorherigen vier Jahren zusammen. Und im vergangenen Jahr ist die Zahl der Cyber-Attacke auf eine pro Tag geklettert. Zu diesem Ergebnis kommt die neue AIG-Cyber-Schadenstudie 2018.
Der aktuelle Schadenreport von AIG zeigt auch, dass über ein Viertel (26%) aller in 2017 gemeldeten europäischen Cyber-Schäden auf Ransomeware als Hauptursache zurückzuführen sind.
Was ist eigentlich Ransomware?
Das Wort „ransom“ kommt aus dem Englischen und bedeutet auf Deutsch „Lösegeld“. Genau darum geht es bei der Ransomware. Deshalb wird sie auch als Erpressersoftware bezeichnet. Manchmal sprechen Experten auch von Verschlüsselungstrojanern, da die Erpressung darauf basiert, dass die Daten für den Nutzer unauflöslich codiert werden. Ransomware sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Die Täter erpressen ihre Opfer, indem sie deutlich machen, dass der Bildschirm oder die Daten nur nach einer Lösegeldzahlung wieder freigegeben werden.
Das sind die häufigsten Ursachen für Datenschutzverletzungen
- Erpressung mit Ransomware: 26 %
- Datenschutzverletzungen durch Hacker: 12 %
- Sonstige Sicherheitsausfälle / unautorisierte Zugriffe: 11 %
- Identitätsbetrug: 9 %
Obwohl der Anteil der Schadenmeldungen, die auf fahrlässigem Verhalten von Mitarbeitern basieren, mit 7 % marginal zurückgegangen ist (8 % in den Jahren 2013 bis 2016), ist der Faktor des „menschlichen Versagens“ – auf den Großteil aller Cyber-Schäden bezogen – nach wie vor äußerst signifikant.
Systematisch ausgerichtete Cyber-Attacken
Nepomuk Loesti, Head of Liabilities, Financial Lines und Client Engagement für die DACH-Region bei AIG, konkretisiert: „ 2017 sahen wir uns mit einer Reihe von hochkomplexen, systematisch ausgerichteten Cyber-Attacken durch Schadsoftware und Ransomware konfrontiert. Viele europäische Unternehmen und Organisationen hatten durch die daraus entstandenen Betriebsunterbrechungen mit großen Problemen zu kämpfen – die finanziellen Auswirkungen spiegelten sich vor allem in einem zum Teil erheblichen Bilanzverlust wieder.“
Loesti ist außerdem davon überzeugt, dass mit der Einführung der Datenschutzgrund-Verordnung (DSGVO) nun ein weiteres, bei Erpressern gern gesehenes Instrument geschaffen wird. Es sei abzusehen, dass die aktive Bedrohung der Datensicherheit eines Unternehmens dazu führe, dass Erpressungsgelder gezahlt würden – schlicht aus der Angst heraus, dass die Konsequenzen, den Datenschutz verletzt zu haben, unter der neuen Verordnung wesentlich härter ausfallen werden. Loesti wörtlich: „Unternehmen werden nun Missbräuche weitaus schneller melden; mit der Folge, dass der Umfang der Cyber-Schadenmeldungen rasant steigen wird.“
Effekt bereits in den USA zu beobachten
Die USA würden dies beweisen: Nach der Einführung der Gesetze zur Meldepflicht bei Sicherheitsverletzungen in vielen Bundesstaaten der USA im Jahr 2002 hätte man einen eben solchen Effekt beobachten – fast jeder bekannte Cyber-Vorfall ging dort mit mindestens einer Sammelklage einher.
Eine weitere wichtige Erkenntnis der Studie ist, dass mittlerweile keine Branche mehr vor einer Cyber-Attacke gefeit ist. Bei der Auswertung der Schadenmeldungen wurde ersichtlich, dass im Jahr 2017 allein in acht Branchen, die in den Vorjahres-Statistiken bisher nicht aufgetaucht waren, Cyber-Vorfälle gemeldet wurden.
Überdurchschnittlicher Anstieg an Schäden bei Finanzdienstleistern
Als Nummer 1 auf der Liste der Cyber-Schäden zählen die Sektoren der Professionellen Dienstleistungen und Finanzdienstleistungen mit jeweils 18 %. Und besonders dort gab es einen überdurchschnittlichen Anstieg an Schäden proportional zur Gesamtzahl (6 % in den Jahren 2013 bis 2016).
Cyberschäden nach Branchen:
- Professionelle Dienstleistungen: 18 %
- Finanzdienstleistungen: 18 %
- Handel: 12 %
- Unternehmensdienstleistungen: 10 %
- Herstellung / Produktion: 10 %
Gute Cyber-Hygiene kann schützen
Die Konsequenz aus dieser dramatischen Situation lautet nach AIG: Die Unternehmen müssen sich künftig um eine gute Cyber-Hygiene bemühen und über eine adäquate Cyber-Versicherung verfügen, um schwerwiegende finanzielle Konsequenzen frühzeitig einzudämmen zu können.
Quellen: AIG Europe Limited, G Data
Autor(en): Versicherungsmagazin
