Cyber-Risiken wie Datenskandale, großflächige IT-Ausfälle und die Einführung strengerer Datenschutzbestimmungen rücken zunehmend in den Blickpunkt der Unternehmen. Laut dem Allianz Risk Barometer 2019 gehören Cyber-Vorfälle gemeinsam mit Betriebsunterbrechungen (je 37 Prozent der Antworten) zu den größten Geschäftsrisiken weltweit. Erstmals rangieren beide Negativszenarien im weltweiten Ranking auf den Spitzenplätzen – damit setzen Cyber-Risiken ihren kontinuierlichen Aufstieg im Risk-Ranking fort. Auf dem dritten Platz folgt die Sorge vor Naturkatastrophen.
Neu unter die Top Ten der globalen Geschäftsrisiken bewegte sich in diesem Jahr der Fachkräftemangel – von Platz 15 auf Rang zehn. Neun Prozent der Befragten (2018: sechs Prozent) bezeichneten Probleme, die richtigen Skills im Arbeitsmarkt zu finden, als Gefahr für ihren Geschäftsbetrieb. Auch die Risiken rund um neue Technologien wie künstliche Intelligenz, autonome Fahrzeuge und Blockchain – Platz sieben im Ranking – werden nach wie vor als hoch eingeschätzt. Der Anteil der Befragten, die diese Aspekte als gefährlich einstuften, stieg im Jahresvergleich von 15 auf 19 Prozent.
Das Allianz Risk Barometer des Industrieversicherers Allianz Global Corporate & Specialty (AGCS) untersuchte zum achten Mal die wichtigsten Risiken für Unternehmen weltweit. An der aktuellen Umfrage, die zum Jahresende 2018 veranstaltet wurde, beteiligten sich 2415 Experten aus 86 Ländern.
Neue Technologien – Chance und Risiko
Deutsche Betriebe fürchten am meisten das Risiko einer Betriebsunterbrechung (48 Prozent) knapp vor den Gefahren eines Cyber-Vorfalls (44 Prozent). Die Sorge vor rechtlichen Veränderungen im Wirtschaftsumfeld, wie sie zum Beispiel durch Handelskriege, Zölle, Wirtschaftssanktionen oder den nach wie vor unsicheren Ausgang der Brexit-Verhandlungen hervorgerufen werden, nimmt erstmals Platz drei im deutschen Ranking ein (35 Prozent) und rangiert damit noch vor den Naturkatastrophen (28 Prozent). Risiken, die von neuen Technologien wie künstlicher Intelligenz oder autonomem Fahren ausgehen, sind ein weiterer Aufsteiger im deutschen Ranking und liegen erstmals auf Platz fünf (20 Prozent) gegenüber Platz sieben im Vorjahr.
Interessanterweise findet sich hierzulande der Fachkräftemangel nicht unter den zehn wichtigsten Risikofaktoren. Dabei weisen Verbände wie der Bitkom immer wieder darauf hin, dass gerade im IT-Umfeld Zehntausende Stellen nicht besetzt werden könnten, weil die benötigten Spezialisten auf dem Arbeitsmarkt nicht verfügbar seien. Als gravierender wird das Problem in unseren Nachbarländern eingeschätzt: Niederlande (Platz zehn, zwölf Prozent), Österreich (Platz neun, 13 Prozent), Belgien (Platz acht, 13 Prozent) Schweiz (Platz neun, 15 Prozent) und Polen (Platz sechs, 23 Prozent).
"Wir sind jetzt an einem Punkt angelangt, an dem Cyber-Risiken für Unternehmen genauso wichtig sind wie traditionelle Geschäftsrisiken", sagt Jens Krickhahn, Practice Leader Cyber bei AGCS Zentral- und Osteuropa. Cyber-Kriminalität koste die Unternehmen heute global schätzungsweise 600 Milliarden Dollar pro Jahr, kalkuliert der deutsche Versicherungskonzern unter Berufung auf Zahlen des Center for Strategic and International Studies.
Im Jahre 2014 habe sich der weltweite Schaden durch Cyber-Vorfälle noch auf 445 Milliarden Dollar belaufen. Zum Vergleich: Der durchschnittliche wirtschaftliche Schaden durch Naturkatastrophen betrug in den vergangenen zehn Jahren 208 Milliarden Dollar per annum – das entspricht gerade einmal einem Drittel der Schäden durch Cyber-Risiken.
Risiken werden komplexer
Das Gefahrenpotenzial im Cyber-Raum dürfte sich auch in Zukunft kaum verringern. Der Versicherer verweist darauf, dass Kriminelle immer ausgefeiltere Methoden für Datenklau, Online-Betrug oder Cyber-Erpressung einsetzten. Darüber hinaus wachse die Bedrohung durch Hacker-Gruppen, die teilweise eng mit Nationalstaaten verbunden seien. Diese zielten oft darauf ab, Betreiber kritischer Infrastruktur zu attackieren oder wertvolle Daten oder Geschäftsgeheimnisse von ausländischen Unternehmen zu rauben.
Dazu komme, dass Cyber- und Betriebsunterbrechungs-Risiken zunehmend miteinander verknüpft seien, da Ransomware-Angriffe oder IT-Ausfälle oft zu Betriebs- und Serviceunterbrechungen führten, heißt es in der Analyse der Umfrageergebnisse. Demnach seien Cyber-Vorfälle der am meisten gefürchtete Auslöser von Betriebsunterbrechungen (50 Prozent der Antworten), gefolgt von Feuer/Explosion (40 Prozent) und Naturkatastrophen (38 Prozent). Bestes Beispiel dafür seien die Malware-Attacken durch "WannaCry" und "NotPetya" aus dem Jahr 2017, die weltweit Hunderte Betriebe lahmlegten. "Die Szenarien und Auslöser werden immer vielfältiger und komplexer", konstatierte der Sachversicherungs-Experte Volker Münch von AGCS.
Die Risiko-Gemengelage könnte mit neuen Technologien noch undurchsichtiger werden. Diese bieten der Allianz zufolge zwar neue Geschäftsmöglichkeiten, schaffen aber auch neue Gefahren. Beispielsweise werde künstliche Intelligenz sowohl als höchst nützlich (69 Prozent der weltweiten Antworten) wie auch als besonders risikoreich (67 Prozent) bewertet.
Auch autonomes Fahren wird als risikobehaftet eingeschätzt (43 Prozent). Die Vernetzung von Maschinen, Geräten und Lieferketten im Internet der Dinge bringe neue Möglichkeiten für das Risiko-Management durch vorausschauende Datenanalysen und den Einsatz von Sensoren. Gleichzeitig werfen vernetzte Geräte viele Fragen rund um Cyber-Sicherheit, Datenschutz, Business Continuity und Haftung von Drittanbietern sowie den Ausfall kritischer Infrastrukturen auf.
Cyber-Versicherungen helfen nicht immer
Angesichts der steigenden Schäden durch Cyber-Angriffe dürften entsprechende Versicherungen interessanter werden. Allerdings würden die Policen noch nicht so stark nachgefragt wie erhofft, räumen die Verantwortlichen der Allianz ein. Die Zurückhaltung lässt sich wohl auch damit erklären, dass noch viel Unsicherheit herrscht.
Studie Managed Security 2018 - so lösen Anwender ihre Sicherheitsherausforderungen
Erst vor Kurzem sorgte ein Fall für Schlagzeilen. Beim Lebensmittelkonzern Mondelez brach infolge einer Attacke durch NotPetya 2017 die Logistikkette zusammen. Der Schaden belief sich auf rund 180 Millionen Dollar. Der US-Konzern glaubte sich dagegen durch eine Police bei der US-Tochter der Zürich Versicherung abgesichert. Zunächst schien der Fall klar. Doch dann verweigerte der Versicherer die Regulierung des Schadens und verwies auf eine Klausel, wonach Schäden aus "kriegsähnlichen Handlungen in Kriegs- oder Friedenszeiten" durch Truppen eines Staates oder Akteure im Auftrag eines Staates nicht versichert seien.
Lesen Sie mehr zum Thema Cyberversicherungen:
Die Schweizer Versicherungsgruppe argumentierte, dass NotPetya nicht das Werk einer kriminellen Hacker-Gruppe war, sondern als Angriffswerkzeug eines Staates gegen einen anderen vorgesehen gewesen sei, dann aber außer Kontrolle geriet. Die Schäden bei Mondelez und den anderen betroffenen Konzernen wären damit als Kollateralschäden eines Angriffs mit einer Kriegswaffe zu bewerten und deswegen nicht versichert. Bei Mondelez sieht man den Fall erwartungsgemäß anders.
Nun soll ein US-Gericht darüber entscheiden, wie der Cyber-Vorfall einzuordnen ist. Knackpunkt: "Die Beweislast dafür, dass tatsächlich ein staatlicher Akteur verantwortlich für den Cyber-Angriff ist, liegt beim Versicherer", sagte der Cyber-Experte Jens Krickhahn von AGCS der Zeitung "Die Welt".