Ransomware

Erpressungstrojaner wurden 2019 deutlich zielgerichteter eingesetzt, um möglichst große Schäden herbeizuführen und entsprechend hohe Summen zu erbeuten. Angreifer befinden sich oft bereits im System des Opfers und nutzen dann ein Schadprogramm, das Daten oder Computersysteme verschlüsselt und so den Zugriff verhindert. Für die Entschlüsselung erpressen sie Lösegeld meist in Form von Kryptowährungen. Ziel der Attacken waren – neben Unternehmen – im vergangenen Jahr vermehrt kritische Bereiche des öffentlichen Lebens, wie Behörden und Einrichtungen des Gesundheitswesens. Lösegeldforderungen reichten von 5.000 USD bis hin zu 5 Mio. USD – oft individuell angepasst an die Finanzkraft des Opfers. Die größten bekannten wirtschaftlichen Schäden erlitten 2019 zwei skandinavische Unternehmen. Mit rund 70 Mio. USD war ein norwegischer Aluminiumhersteller – vorrangig durch Betriebsunterbrechung – betroffen. Rund 95 Mio. USD kostete ein Ransomeware Angriff einen dänischen Hersteller von Hörhilfen. Neben der Betriebsunterbrechung war vor allem auch die Widerherstellung von IT-Systemen kostentreibend.

Data Breach

Die Zahl der identifizierten Datendiebstähle und unberechtigten Zugriffe unautorisierter Personen auf Daten hat sich im vergangenen Jahr um rund ein Drittel gesteigert: weltweit waren ca. 8,5 Mrd. Datensätze betroffen. Der durchschnittliche wirtschaftliche Schaden pro Data-Breach lag global betrachtet bei knapp 4 Mio. USD, einschließlich der Kosten für die Benachrichtigung der Behörden und der betroffenen Personen, für die Untersuchung der Vorfälle, die Maßnahmen zur Schadenbegrenzung, die Wiederherstellung der Daten sowie für Geldbußen und Gerichtskosten. Dabei waren die mittleren Kosten im Gesundheitsbereich mit etwa 6,5 Mio. USD am höchsten, da hier regelmäßig kritische Daten erhoben und gespeichert werden. Weiterhin werden Datendiebstähle auch für Erpressungen eingesetzt: Bei Nichtzahlung droht die Veröffentlichung sensitiver Unternehmens- oder Kundendaten Hierbei werden ähnliche Erpressungssummen gefordert wie bei Ransomware-Angriffen.

BEC-Scams

Der Betrug mit gefälschten geschäftlichen E-Mails – Business Email Compromise – nahm im vergangenen Jahr stark zu. Der Angreifer verschafft sich dabei Zugang zu einem E-Mail-Konto eines Unternehmens oder erstellt ein E-Mail-Konto, welches einer regulären Firmenadresse sehr ähnelt. In der Absicht Unternehmen, Kunden oder Mitarbeiter zu betrügen, agiert er mit der gestohlenen oder gefälschten Identität. Zwischen Mai 2018 und Juli 2019 verdoppelte sich die Zahl der weltweit entdeckten Vorfälle. Der wirtschaftliche Schaden betrug laut Zahlen des FBI durchschnittlich 270.000 USD. Vor allem kleinere und mittlere Unternehmen trifft diese Form betrügerischer Email-Attacken in besonderem Maße. Den höchsten im Jahr 2019 bekannt gewordenen Einzelschaden erlitt ein Unternehmen der Automobilbranche, er betrug 37 Mio. USD. Dieser Trend manifestierte sich auch in den Statistiken der versicherten Cyber-Schäden: In einzelnen Märkten verursachten BEC-Scams bereits die höchsten versicherten Schäden.

Technologie erhöht die Effizienz - auch von Cyberkriminalität

Ransomware bleibt eine wesentliche Bedrohung – insbesondere im Hinblick auf eine mögliche Betriebsunterbrechung. Ebenso ist zu erwarten, dass Schäden aus BEC-Betrug und Datendiebstahl weiter auf hohem Niveau bleiben. Die cyberkriminelle Welt agiert zunehmend zielgerichtet, vernetzt und kollaborativ. Neueste Technologien werden in allen Phasen der Angriffe genutzt. Beispielsweise wird künstliche Intelligenz verstärkt eingesetzt, um Ziele zu identifizieren, Schwachstellen zu erkennen und auszunutzen sowie Spuren zu verwischen. Angreifer erhöhen dadurch den Grad an Automatisierung und Effizienz, was in höheren Schäden resultiert. Sogenannte Deep Fakes, bei denen Stimmen oder Personen nahezu perfekt imitiert werden, kommen auch bei Phishing-Attacken, Identitätsdiebstahl oder bei der Erpressung von Unternehmen und Personen in der Zukunft vermehrt zum Einsatz.

Vernetzung lässt Risiken entlang der gesamten Lieferkette steigen

Digitale Abhängigkeiten sowie der Einsatz immer neuer vernetzter Geräte und Anwendungen nehmen nicht nur in Unternehmen stark zu. Cloud-basierte Services oder die Einführung von 5G als Mobilfunkstandard werden diese Entwicklung stützen. Die leistungsfähigen Technologien erlauben eine intensivere Vernetzung und Automatisierung von – leider nicht immer adäquat geschützten – Maschinen und Geräten in der Industrie sowie in Privathaushalten. Dies erhöht jedoch nicht nur den kontinuierlichen Datenstrom exponentiell, sondern erweitert auch Möglichkeiten für massive und automatisierte Angriffe auf Infrastruktur, Geräte oder Daten. Eine moderne Lieferkette mit den Abhängigkeiten vieler Unternehmen wird dadurch immer komplexer. Dies erhöht auch mit Blick auf zu erwartende verstärkte Angriffe die Anforderung an das Risikomanagement deutlich.

Weltweit verstärkte Regulierung

Nicht zuletzt in Reaktion auf die wachsende Bedrohung durch Cyber-Risiken steigen weltweit die gesetzlichen Anforderungen an den Datenschutz. In über hundert Staaten schützen Gesetze Verbraucher bei Datenverlust oder -missbrauch. Die Einführung der Datenschutz-Grundverordnung (DSVGO) im Mai 2018 hat nicht nur in Europa das Bewusstsein für Datensicherheit befördert. Sie dient zum Teil als Blaupause für andere Länder. Als Folge der verstärkten Regulierung, die oft detaillierte Vorschriften zur Veröffentlichung von Angriffen und Datenpannen beinhaltet, werden Ausmaß und Kosten von Cyberangriffen häufiger publik. Unternehmen müssen im Schadensfall zusätzlich möglichen Reputationsverlust sowie Geldbußen verkraften, zum Teil im dreistelligen Millionenbereich. Die höchste Geldbuße wurde im Jahr 2019 in Großbritannien gegen eine Fluglinie verhängt und lag bei 234 Mio. USD. Stand Januar 2020 ist das Verfahren noch nicht abgeschlossen. Die Anforderungen an die Governance im Bereich Datensicherheit sind komplex und verbindlich. Sie führen in den Unternehmen zu einer Sensibilisierung und zu einer steigenden Nachfrage nach Schadenverhütungsmaßnahmen und Versicherungsschutz.

Insgesamt steigen die globalen IT-Investitionen in Cybersicherheit signifikant. Experten schätzen sie auf circa 400 Mrd. USD im Jahr 2025, dies entspricht einer Vervierfachung innerhalb einer Dekade. Ein Teil daraus wird sich als Nachfrage nach Versicherungslösungen und Services realisieren. Munich Re geht davon aus, dass der globale Cyberversicherungsmarkt bis 2025 auf ein Volumen von über 20 Mrd. USD wachsen wird und sich damit verglichen mit 2018 vervierfachen wird. Für 2020 schätzt Munich Re den globalen Cyber-Versicherungsmarkt auf ein Volumen von über 7 Mrd. USD, wobei Nord-Amerika mit 5,3 Mrd. USD weiterhin der stärkste Markt bleiben wird. In Asien und Europa erwartet Munich Re starkes Wachstum. Für Europa wird das Cyber-Markt-Volumen 2020 auf über eine Milliarde USD geschätzt.

Aus den von Angriffen besonders betroffenen Branchen kommt auch die größte Nachfrage für Cyber-Versicherung: aus dem Gesundheitswesen, der produzierenden Industrie sowie von IT-, Finanz- und Dienstleistungsunternehmen. Nicht nur Medienberichte über Cyber-Schäden steigern das Risikobewusstsein. Darüber hinaus tragen erhöhte Anforderungen durch stärkere Regulierung und die Verpflichtung durch Geschäftspartner dazu bei, dass Risikodeckungen und entsprechende Vorsorgemaßnahmen immer stärker nachgefragt werden. Mit dem kontinuierlichen Wachstum des Cyber-Versicherungsmarkts in den vergangenen Jahren hat sich auch das Angebot an Lösungen qualitativ verbessert. Deckungen im kommerziellen Bereich werden zunehmend standardisiert; für große Industrieunternehmen herrschen individuelle Lösungen vor. Wesentliche Deckungselemente sind unverändert der Schutz bei Betriebsunterbrechung und Datendiebstahl. Bei kleineren und mittleren Unternehmen steigt das Bewusstsein für die eigene oft substantielle Exponierung. Sie kaufen vermehrt Versicherungsschutz. Die private Nachfrage nach Cyberprodukten beginnt sich ebenfalls stärker zu entwickeln.

Cyber ist ein strategisches Wachstumsfeld von Munich Re. Das Cyberportfolio wuchs im vergangenen Jahr gemäß den Erwartungen weiter profitabel an. Am stark wachsenden Cybermarkt will Munich Re den eigenen Marktanteil von ca. 10 Prozent halten.

Munich Re unterstützt seine Kunden im Cyber-Risiko-Management mit einem gesamtheitlichen Ansatz. Dieser beruht darauf, Risiken zu verstehen, versteckte Cyberrisiken in bestehenden Policen (Silent Cyber) transparent zu machen und die Risiken nicht nur singulär sondern im Zusammenwirken des gesamten Portfolios adäquat einzuschätzen und so versicherbar zu machen. Die von Versicherern eingesetzten Akkumulationsmodelle verbessern sich rasch. Die Komplexität der Risiken und die  risikoadäquate Bepreisung erfordern darüber hinaus hochkarätige Cyber-Teams, die branchen- und länderübergreifend zusammenarbeiten. Munich Re investiert kontinuierlich in eigenes Know-how und entwickelt neue Lösungen in enger Zusammenarbeit mit Fachleuten der Versicherungsindustrie und Technologiepartnern. Neben Risikotransfer qua Versicherung schließt dieses Angebot auch Risikomanagement-Services und Sicherheitsmaßnahmen ein.