Das Risiko von Cybervorfällen setzt seinen raschen Anstieg im Ranking auch in diesem Jahr fort. Mehr als 1.200 Risikoexperten aus über 50 Ländern identifizieren für das sechste jährliche Allianz Risk Barometer die wichtigsten Unternehmensrisiken im Jahr 2017. Vor vier Jahren lagen Cybervorfälle international noch auf Rang 15 der Top-Risiken. 2014 sprang diese Gefahr für Unternehmen auf Platz 8 und tauchte letztes Jahr tauchte zum ersten Mal in den Top 3 auf. Sehen Sie die Top Risiken aus diesem Jahr in der folgenden Grafik.

Raffinesse von Cyberattacken

„Die zunehmende Vernetzung in einer Industrie 4.0-Umgebung sowie die Raffinesse von Cyberattacken stellen ein großes Risiko für deutsche Unternehmen dar“, sagt Andreas Berger, CEO der Allianz AGCS Zentral- und Osteuropa.

Die Digitalisierung hat für die Befragten deutliche Auswirkungen auf die Unternehmen. Auf die Frage, welche Risiken sie für die zunehmende Digitalisierung am meisten fürchteten, nannten 45% der Befragten die zunehmende Raffinesse von Cyber-Attacken, Datenbetrug und Datendiebstahl.

Hackerangriffe als Hauptursache

Als Hauptursachen für Cybervorfälle werden Hackerangriffe (72%) und Daten- oder Sicherheitsverletzungen (63%) genannt. Ein derartiger Vorfall kann zu gravierenden Betriebsunterbrechungen (68%) oder Reputationsschäden (63%) führen.

Cybervorfälle sind potenzieller Verursacher oder Auslöser für 50% der anderen Top 10 Risiken im Allianz Risk Barometer.  Regulatorische Anforderungen wie die Verschärfung von Datenschutzregelungen bringen Cyber-Attacken zusätzlich in den Fokus des organisationsweiten Risiko Managements. Auch langfristig werden Cyberrisiken als die größte Gefahr (42%) bewertet. Cybervorfälle, Hackerangriffe und Sicherheitsverletzungen bestimmen das Ranking in mehreren Ebenen und sind damit das Thema Nr. 1 für deutsche Unternehmen.

Management, Mitarbeiter, Technik

Der CycleSEC CEO und Autor des Buchs „Information Security Risk Management“ Sebastian Klipper empfiehlt, der Bedrohung auf den drei Ebenen Security Management, Mitarbeitersensibilisierung und technische Sicherheitsanalysen zu begegnen.

„Die Studie unterstreicht erneut die Notwendigkeit eines risikobasierten Security Managements, von Maßnahmen zur Steigerung des Sicherheitsbewusstseins der Mitarbeiter und gezielter technischer Sicherheitsmaßnahmen.“
— Sebastian Klipper, CycleSEC CEO

Keiner der drei Aspekte kommt ohne die anderen aus. Security Management, das die Mitarbeiter nicht mitnimmt und technisch keine Wirkung entfaltet, ist ebenso nutzlos, wie die beste Technik, wenn die Mitarbeiter nicht motiviert und die Security Prozesse unwirksam sind. Und selbst die motiviertesten Mitarbeiter stehen im Regen, wenn sie sich weder auf effiziente Prozesse noch auf moderne Technik stützen können.

Auch Emy Donavan, Head of Cyber North America der Allianz AGCS schlägt drei Maßnahmen vor, mit denen sich Unternehmen schützen sollten:

1. Berechtigungsmanagement
2. Mitarbeiterschulungen
3. Dezentrale Datensicherung

„Diese drei Dinge würden die Hälfte der Schäden, die ich in meiner Arbeit sehe, verhindern.“
— Emy Donavan, Head of Cyber North America AGCS

Unterschätzte Gefahr

Die Hauptursachen für den wirtschaftlichen Schaden nach einem Cybervorfall sahen 68% der Befragten in den resultierenden Betriebsunterbrechungen. Gerade bei den von Unterbrechungen besonders betroffenen Branchen Logistik, Energie und Transport rangiert das Thema Cybervorfälle im Risk Barometer allerdings unterschätzt im Mittelfeld um den 5. Platz. Bei Unternehmen mit weniger als 250 Mio. € Umsatz nehmen Cybervorfälle sogar nur Rang 6 ein. Laut den Autoren der Studie unterschätzten viele Unternehmen die Gefährdung und seien weder vorbereitet, noch können sie wegen fehlender Ressourcen ausreichend auf einen Vorfall reagieren.

KMU müssen regionale Zusammenarbeit stärken

„Kleinere und kleine mittlere Unternehmen fühlen sich angesichts der aktuellen Herausforderungen der Cyber Security zunehmend machtlos. Wo man als kleiner Marktteilnehmer an die Grenzen der eigenen Ressourcen stößt, gilt es, regional an einem Strang zu ziehen“, sagt Klipper.

Das ohnmächtige Gefühl der kleineren Unternehmen sei laut Klipper nur dann berechtigt, wenn man den Methodenkoffer globaler Konzerne auf die eigene Situation anwenden wolle. Stattdessen gelte es, sich auf die eigenen Stärken zu besinnen. Jeder müsse das Security-Rad drehen, das zu seiner Unternehmensgröße passt, sagt er in Anspielung auf das CycleSEC-Logo. Kleineren Unternehmen rät er in Zusammenarbeit mit IHKen und der lokalen Wirtschaftsförderung regionale Zweckverbünde zu bilden.

„Warum nicht mit befreundeten Unternehmen gemeinsam in eine Security Offensive starten,  gemeinsam kostengünstigere In-house Schulungen beauftragen oder gemeinsam Security Know-how in die Unternehmen der Region holen“, fragt der CycleSEC Gründer.

CISOs müssen Professionalisierung weiter voran treiben

Laut Nigel Pearson, Global Head of Fidelity der Allianz AGCS sollten Unternehmen einen Chief Information Security Officer (CISO) oder einen gleichwertigen Mitarbeiter haben, der ein umfassendes Managementsystem für Informationssicherheit (ISMS) implementiert. Die nicht abstreitbaren Kosten und Zeitaufwände dienten nicht zuletzt der „langfristigen Gesundheit des Unternehmens“.

„Im Konzernumfeld wird es Zeit, dem C in CISO mehr Bedeutung zu verleihen und die Funktion als echte Management-Rolle zu definieren. Das ist für Organisationen wie CISOs eine große Herausforderung, aber letztlich unumgänglich“, sagte Klipper.

Auch für Klipper sind die Sicherheitsverantwortlichen und eine weitere Professionalisierung in den Security-Abteilungen der Dreh- und Angelpunkt für eine nachhaltige Risikobehandlung. Ohne sich täglich und arbeitsteilig mit Cyber Security auseinanderzusetzen, sei es heute nicht mehr möglich, mit den Angreifern und der steigenden Komplexität Schritt zu halten. Die Zeit der teils nebenamtlichen IT-SiBe am Tropf der IT-Abteilung sei in mittleren und großen Organisationen endgültig vorbei.

Ob KMU oder Konzern:
die Zeichen stehen auf Showdown

Kleinen Unternehmen, Mittelstand und Konzerne stehen gleichermaßen an einem Scheidepunkt und für viele kam es bereits zum Showdown. Ob Cyber-Spionage zwischen deutschen Konkurrenten, dreistellige Milliardenverluste an der US-Börse oder Unternehmensübernahmen, die von Cyberattacken flankiert sind: Die nächsten fünf bis zehn Jahre werden zeigen, wer den enormen Komplexitätszuwachs in Sachen Digitalisierung und Cyber Security bewältigen kann, wer schlicht Glück hat und verschont bleibt und wer durch Versäumnisse vom Markt verschwinden wird. Sich wegzuducken wird heute und in Zukunft nicht mehr ausreichen.