Globale Trends Bei Cyberrisiken

Globale Trends Bei Cyberrisiken

Digitale Technologien - von künstlicher Intelligenz und dem Internet der Dinge (IoT) bis hin zu Datenverfügbarkeit und Blockchain - entwickeln sich weiterhin in rasantem Tempo.  Um nicht überholt zu werden, entwickeln sich die Cyberrisiken noch schneller.  Die weltweiten Kosten der Cyberkriminalität beliefen sich im Jahr 2020 auf 945 Milliarden US-Dollar, fast doppelt so viel wie im Jahr 2016.[1] Laut der Forschungsorganisation Cybersecurity Ventures werden die weltweiten Kosten voraussichtlich jährlich um 15 % steigen und bis 2025 10,5 Billionen US-Dollar erreichen.[2]

Unternehmen müssen sich auf die neuen Herausforderungen vorbereiten, die durch die sich entwickelnden Ziele, Techniken und Auswirkungen der Cyberkriminalität entstehen. Dieser Artikel befasst sich mit den wachsenden Risiken im Zusammenhang mit: der Zunahme von Ransomware-Vorfällen, der Aussicht auf störendere und teurere Geschäftsunterbrechungen, den Folgen strengerer Vorschriften und Prozessrisiken, dem allgegenwärtigen Diebstahl geistigen Eigentums sowie neuen Hindernissen für erfolgreiche Fusionen und Übernahmen.

LESEN SIE DEN VOLLSTÄNDIGEN BERICHT

RANSOMWARE AUF DEM VORMARSCH

  

Das Ausmaß und der Umfang von Ransomware-Angriffen nehmen in einem noch nie dagewesenen Tempo zu.  Dies ist auf eine Kombination von Faktoren zurückzuführen, die Ransomware noch profitabler gemacht haben, darunter die rasante Zunahme der Digitalisierung, die zunehmende Verwendung von Kryptowährungen, verstärkte geopolitische Spannungen, das durch die Pandemie geschaffene außergewöhnliche Umfeld und verbesserte Systeme.

Ransomware ist eine Malware, die Computergeräte infiziert und den Zugang zu ganzen Computernetzwerken sperren kann, wodurch ein Unternehmen effektiv als Geisel gehalten wird, bis ein Lösegeld (ransom) gezahlt wird.

Die Malware infiltriert die Server eines Systems häufig über eine harmlose E-Mail ("Phishing"), die an einen Mitarbeiter des Zielunternehmens geschickt wird. Die menschliche Ebene ist oft das schwächste Glied in der Cyberabwehr und daher ein ideales Ziel für Cyberkriminelle.  Es wird geschätzt, dass zwischen 50 und 90 % der Datenschutzverletzungen von Mitarbeitern verursacht oder unterstützt werden[3].

Mit der zunehmenden Verbreitung von Ransomware steigt auch der Preis für das Lösegeld.  Das durchschnittliche Lösegeld, das von Unternehmen in Europa, den USA und Kanada gezahlt wird, hat sich innerhalb eines Jahres von 115.123 US-Dollar auf 312.493 US-Dollar fast verdreifacht.[4] Dieser Anstieg ist zum Teil auf neue Taktiken der Cyber-Hacker zurückzuführen, die die Entführung von Daten mit der Drohung kombinieren, die Daten auf öffentlichen Websites zu veröffentlichen - eine doppelte Bedrohung, die den Unternehmen wenig bis gar keine andere Wahl lässt, als das Lösegeld zu zahlen.[5]

Dies ist zum Teil auch darauf zurückzuführen, dass sich die Ziele verlagern. Cyberkriminelle haben es nicht mehr nur auf einzelne Computer abgesehen, sondern zielen auf öffentliche und private Organisationen unterschiedlicher Größe ab, wodurch sowohl die Höhe des geforderten Lösegelds als auch die Wahrscheinlichkeit einer erfolgreichen Zahlung steigt[6].

Es wird prognostiziert, dass die Bedrohung durch einen Ransomware-Angriff mit der zunehmenden Nutzung des "Franchise"-Modells durch Cyberkriminelle nur noch schlimmer wird, bei dem Malware im Darknet an so genannte Partner in einem Ransomware-as-a-Service-Schema vermietet wird, wobei die Vermieter eine Lizenzgebühr erhalten, wodurch ausgefeilte Ransomware immer weiter verbreitet und profitabel wird.[7]

GESCHÄFTSUNTERBRECHUNG

Unabhängig davon, ob ein Cybervorfall zu einer Lösegeldzahlung führt oder nicht, übersteigen die mit einer daraus resultierenden Betriebsunterbrechung verbundenen Kosten den geforderten Betrag bei weitem.  Tatsächlich können diese Kosten fünf- bis 100-mal höher sein als die Kosten des Lösegelds selbst, was Unternehmen oft dazu veranlasst, das Lösegeld zu zahlen, nur um die Kosten der Unterbrechung zu vermeiden.[8]

Eine Betriebsunterbrechung ist der Einkommensverlust, der entsteht, wenn eine Ressource nicht genutzt oder eine Dienstleistung nicht erbracht werden kann, was zu Umsatzeinbußen, verminderter Effizienz, erhöhten Ausgaben im Zusammenhang mit dem Cybervorfall (Wiederherstellung von IT-Systemen, Schadensersatzzahlungen an Kunden usw.) und Reputationsschäden führt.

Während größere Unternehmen in der Regel besser in der Lage sind, die durch eine Betriebsunterbrechung verursachten Verluste zu verkraften, sind es die kleinen und mittleren Unternehmen (KMU), die unverhältnismäßig stark betroffen sind, wenn sie Opfer eines Cyberangriffs werden.

Schätzungen zufolge zielen 45 % der Online-Angriffe auf KMUs ab.[9] Im Gegensatz zu größeren Unternehmen verfügen KMUs nur über begrenzte oder sogar gar keine Cyberabwehr oder -hygiene.  Für Unternehmen aller Größenordnungen belaufen sich die durchschnittlichen Kosten einer Unterbrechung auf etwa 200.000 US-Dollar; für KMUs können diese Kosten unüberwindbar sein, denn 60 % der KMUs müssen nach einem Angriff ihre Geschäftstätigkeit aufgeben [10].

 

Was die Zahlung eines Lösegelds zur Vermeidung von Betriebsunterbrechungen betrifft, so garantiert die Zahlung keine vollständige Wiederherstellung und beseitigt sicherlich nicht alle Kosten für Betriebsunterbrechungen, die damit zusammenhängen sicherzustellen, dass jeder Rechner frei von Infektionen ist. Außerdem garantiert die Zahlung des Lösegelds nicht, dass die Daten eines Unternehmens vollständig wiederhergestellt werden.  Das Cybersicherheitsunternehmen Sophos fand heraus, dass Lösegeldzahler im Durchschnitt nur 65 % der verschlüsselten Daten zurückerhielten, wobei mehr als ein Drittel der Daten unzugänglich blieb.[11] Und selbst wenn die Daten zurückgegeben werden, gibt es keine Garantie, dass sie nicht für die künftige Verwendung, den Verkauf und/oder Erpressung kopiert wurden.

Während sich viele Unternehmen auf Betriebsunterbrechungs- und Sachversicherungen verlassen, um die Kosten von Cybervorfällen auszugleichen, verlassen sich die Versicherungsunternehmen zunehmend auf die Klauseln zur "Kriegshandlung", um sich vor Auszahlungen zu schützen.  Der viel beachtete NotPetya-Ransomware-Angriff und die daraus resultierende Klage gegen die Zurich American Insurance wegen der Verweigerung der Deckung unter ihrer Ausschlussklausel für "Kriegshandlungen" zeigt, dass eine Cyberversicherung nicht als Ersatz für Cybersicherheit angesehen werden kann.[12]

UNSERE DUE-DILIGENCE-LÖSUNGEN

ERHÖHTE HAFTUNG

Neben den Risiken im Zusammenhang mit Betriebsunterbrechungen und Lösegeldzahlungen sehen sich Unternehmen auch mit einer zunehmenden potenziellen Haftung konfrontiert, wenn festgestellt wird, dass sie die in den Ländern, in denen sie tätig sind, geltenden Gesetze und Vorschriften nicht eingehalten haben, oder wenn sie fahrlässig gehandelt haben, indem sie nicht die gebotene Sorgfalt walten ließen, um Cyberrisiken zu begrenzen.

In Europa sieht die Allgemeine Datenschutzverordnung (DSGVO) Geldstrafen für Unternehmen vor, wenn sie die Datenschutzrichtlinien oder die Meldevorschriften für Datenschutzverletzungen nicht einhalten.  Bei Verstößen gegen die Verordnung drohen Unternehmen Geldstrafen in Höhe von bis zu 4 % ihres weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist[13].

Die Umsetzung der Datenschutz-Grundverordnung hat bereits zu einem Anstieg der Schadensmeldungen geführt. Nach Angaben der Anwaltskanzlei Pinsent Manson wurden zwischen März 2019 und Mai 2020 von den europäischen Datenschutzbehörden insgesamt 190 DSGVO-Bußgelder im Wert von fast 500 Millionen US-Dollar verhängt.[14] Zu den bemerkenswert hohen Bußgeldern für Verstöße gehören 57 Millionen US-Dollar für Google in Frankreich und 41 Millionen US-Dollar für H&M in Deutschland.[15]

Von Europa über die USA bis hin zur ganzen Welt gibt es große Unterschiede bei den Datenschutzbestimmungen und den Gesetzen zur Offenlegung von Datenschutzverletzungen, so dass eine rechtliche Due-Diligence-Prüfung für Unternehmen, insbesondere für multinationale Konzerne, in allen Märkten unerlässlich ist.  Die Hotelgruppe Marriott und die Kreditauskunftei Equifax erlitten 2018 bzw. 2017 öffentlichkeitswirksame Datenschutzverletzungen und waren Gegenstand zahlreicher Gerichtsverfahren und behördlicher Maßnahmen in verschiedenen Rechtsordnungen, wobei Marriott allein im Vereinigten Königreich eine Geldstrafe in Höhe von 130 Millionen US-Dollar für die Datenschutzverletzung zahlen muss.[16] 

DIEBSTAHL VON GEISTIGEM EIGENTUM

  

In Anbetracht der Häufigkeit von Datenschutzverletzungen werden diese von den Unternehmen mehr und mehr als weitere Kosten der Geschäftstätigkeit betrachtet.  Dies gilt jedoch ganz und gar nicht für den Datendiebstahl im Zusammenhang mit geistigem Eigentum (IP), der als eine der größten Bedrohungen für Unternehmen angesehen wird.

Den Diebstahl von geistigem Eigentum gibt es zwar schon so lange wie das geistige Eigentum selbst, aber die jüngsten Entwicklungen im Bereich der Cyberspionage und des Diebstahls sollten die Unternehmen beunruhigen.

Cyber-Hacker setzen zunehmend auf Advanced Persistent Threats (APTs), bei denen der Zugriff auf ein System über einen längeren Zeitraum unentdeckt bleiben kann, und die zum Ziel haben, Daten zu stehlen oder in ein Netzwerk einzudringen.  APT-Angriffe zielen häufig darauf ab, sensibles geistiges Eigentum oder Daten zu stehlen, um daraus politische oder wirtschaftliche Vorteile zu ziehen[17].

In den ersten Monaten der Pandemie griffen Hacker die Weltgesundheitsorganisation an, indem sie mit der als "Dark Hotel" bekannten APT in ihre Netzwerke eindrangen, um sensible Informationen bezüglich Covid-19 zu stehlen.[18] Die Gesundheitsbranche und in jüngerer Zeit auch die Impfstoffforschung sind besonders gefährdet, da ihr geistiges Eigentum einen hohen Wert hat.

In einigen Fällen soll der Diebstahl von geistigem Eigentum jedoch dazu dienen, einen Wettbewerbsvorteil zu erlangen, neue Technologien und Geschäftsgeheimnisse zu entwenden und den Verlust von Hunderte Millionen Dollar an FuE-Investitionen zu verursachen.  Dies war der Fall beim Chiphersteller AMD, wo Angreifer den Quellcode der Xbox Series X-Grafikkarten gestohlen und weitergegeben haben.

In allen Fällen können die Auswirkungen des Diebstahls von geistigem Eigentum durch Cyberangriffe auf die Einnahmeströme zu einer Verringerung der FuE-Anstrengungen und einem Anstieg der Kapitalkosten führen, wenn das geistige Eigentum von den Investoren als nicht ausreichend geschützt angesehen wird[19].

RISIKEN BEI FUSIONEN UND ÜBERNAHMEN

   

Fusionen und Übernahmen (M&A) sind ein fruchtbarer Boden für Cyber-Kriminelle und bieten ihnen sowohl kurz- als auch langfristige Möglichkeiten.

Kurzfristig sind die Daten durch die Umstellung der Geschäftsabläufe anfälliger und das Risiko, dass sie angegriffen werden, ist größer.  Langfristig bieten Fusionen und Übernahmen eine hervorragende Gelegenheit, in die Netzwerke des fusionierten oder übernommenen Unternehmens einzudringen, oft unter Einsatz von APTs, um sich über einen längeren Zeitraum Zugang zur Umgebung und zu den Informationen des Zielunternehmens zu verschaffen.

Die Bedrohungen, mit denen Fusionen und Übernahmen konfrontiert sind, machen deutlich, wie wichtig es ist, bereits in der Phase vor der Akquisition eine Cyber-Due-Diligence-Prüfung durchzuführen.  In der Tat warten mehr als 50 Prozent der von IBM befragten Unternehmen, bis die Due-Diligence-Prüfung abgeschlossen ist, bevor sie eine Bewertung der Cybersicherheit von M&A-Transaktionen durchführen.[20]

Auch wenn ein Unternehmen über modernste Cybersicherheit verfügt, kann es, wenn es ein Unternehmen mit schwachen Sicherheitsvorkehrungen oder bestehenden Schwachstellen erwirbt, für Schäden aus Vorfällen haftbar gemacht werden, die vor dem Zusammenschluss aufgetreten sind, wie die Datenpanne bei der Hotelgruppe Marriott gezeigt hat. 2018 wurde die Datenpanne entdeckt, aber auf einen Cyberangriff zurückgeführt, der 2014 bei der 2016 übernommenen Hotelgruppe Starwood stattfand. Hätte Marriot vor der Übernahme eine Cyber-Due-Diligence-Prüfung durchgeführt, hätte diese Schwachstelle entdeckt werden können und/oder es hätten Maßnahmen ergriffen werden können, die mit einer geänderten Bewertung einhergegangen wären.Darüber hinaus kann die Übernahme eines Unternehmens, das möglicherweise Schwachstellen aufweist, der Integration eines trojanischen Pferdes gleichkommen

AUFBAU VON CYBER-RESILIENZ: KNOW YOUR SOFTWARE (Kennen Sie Ihre Software)

Trotz dieser Herausforderungen und der Tatsache, dass es eher eine Frage des Wann als des Ob ist, Opfer von Internetkriminalität zu werden, verfügen die meisten Unternehmen nicht über einen Plan zur Verhinderun von und Reaktion auf Sicherheitsverletzungen im Internet[22].

 Anteil der Unternehmen, die einen Plan zur Prävention und Reaktion auf IT-Sicherheitsvorfälle haben.

Proportion of organizations that have a plan to prevent and respond to IT security incidents

Abbildung 1. Anteil der Unternehmen, die über einen Plan zur Vorbeugung und Reaktion auf IT-Sicherheitsvorfälle verfügen. Quelle:  McAfee, "Die versteckten Kosten der Internetkriminalität"

Die Bedeutung eines soliden Programms für Cybe-Risiko-Management darf nicht unterschätzt werden. Jeden Tag werden neue technische und sicherheitsrelevante Verstöße entdeckt. Jede geschäftliche Veränderung kann unbeabsichtigte Schwachstellen schaffen.  Jeder neue Mitarbeiter, Berater oder Auftragnehmer stellt ein neues Risiko dar, das es zu bewältigen gilt. Ein Hacker muss nur einmal erfolgreich sein, während die Sicherheitsmaßnahmen eines Unternehmens zu  jeder Zeit100 % erfolgreich sein müssen - in einer sich ständig verändernden Bedrohungslandschaft.  Die regelmäßige Durchführung von Cybersicherheits-Audits, die Auswertung der Audit-Ergebnisse und die Erforschung und Umsetzung von Verbesserungen stellen daher einen wesentlichen und nie endenden Prozess dar, der von allen Organisationen übernommen werden sollte, die Cyberrisiken ernst nehmen.

Vaultinum, ein in der Schweiz ansässiges Unternehmen für digitale Lösungen, hat ein intelligentes Audit-Tool entwickelt, welches Unternehmen in die Lage versetzt, ihre eigene Due Diligence im Bereich der Cybersicherheit zu erfüllen, indem es das Sicherheitsrisikomanagementprogramm eines Unternehmens, die Datenschutzverfahren, die Sicherheitszertifizierungen sowie die Schutzmaßnahmen für Büros, Geräte und Infrastrukturen überprüft.  Bei der Know-Your-Software-Lösung handelt es sich um einen Fragebogen zur Selbstbewertung, der von führenden Experten für Cybersicherheit mit dem Ziel entwickelt wurde, Unternehmen dabei zu helfen, ihr Bewusstsein für Cybersicherheit zu verbessern, Risiken zu mindern und empfohlene Richtlinien und Verfahren auf der Grundlage von Industriestandards einzuführen, um das Auftreten von Cybervorfällen zu verhindern und die Widerstandsfähigkeit im Falle eines Vorfalls zu erhöhen.

LOSLEGEN

Références :

[1] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. McAfee.

[2] Morgan, Steve. “Cybercrime To Cost The World $10.5 Trillion Annually By 2025”. Cybercrime Magazine, 13 Nov. 2020

[3] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[4] Sroxton, Alex. “Average ransomware cost triples, says report”. Computer Weekly.com, 17 Mar. 2021

[5] Singleton, C. (2021). X Force Threat Intelligence Index 2021. IBM Corporation.

[6] (2020). Internet Organized Crime Threat Assessment 2020. Europol.

[7] Morgan, Steve. “Cybercrime To Cost The World $10.5 Trillion Annually By 2025”. Cybercrime Magazine, 13 Nov. 2020

[8] Riley, Tonya. “The Cybersecurity 202: Global losses from cybercrime skyrocketed to nearly $1 trillion in 2020, new report finds”. Washington Post, 7 Dec. 2020

[9] Steinberg, Scott. “Cyberattacks now cost companies $200,000 on average, putting many out of business”. CNBC, 13 Oct. 2019

[10] Steinberg, Scott. “Cyberattacks now cost companies $200,000 on average, putting many out of business”. CNBC, 13 Oct. 2019

[11] Bajak, Frank. “Ransomware gets paid off as officials struggle for fix”. Associated Press, 22 June 2021

[12] Garrie, Daniel; Rosen, Peter. “'Act Of War' Questions In Cyberattack Insurance Case”. Law 360, 23 April 2019

[13] EU General Data Protection Regulation (GDPR): Article 83, Section 6.

[14] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[15] Idem

[16] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[17] Adam, M. “Cyber Risk in a new era: insurers can be part of the solution”. S&P Global Ratings, 2 Sep 2020

[18] Seals, T. “Hackers amp up Covid-19 IP Theft Attacks”. Threat Post, 28 Dec 2020

[19] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. Center for Strategic and International Studies.

[20] Idem.

[21] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018

[22] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. McAfee.