Cyberangriffe zählen mittlerweile zu den größten Geschäftsrisiken für Unternehmen. Unabhängig von Branche, Gerichtsstand oder Unternehmensgröße können alle Arten von Unternehmen Ziel von Cyberangriffen werden. Eine massive Häufung mit immer schwerwiegenderen Auswirkungen dieser Angriffe ist zu beobachten. Dabei divergieren die Angriffsvektoren und deren Auswirkungen entsprechend den Schwachstellen und der Exponierung eines Unternehmens.
Durch die Analyse und Bewertung von cyberspezifischen Risiken nach Branche und Cyber-Reifegrad lassen sich aussagekräftige Schlussfolgerungen gewinnen. Eine solche Analyse hat das Cyber-Team von Tokio Marine HCC innerhalb des Cyber Insurance Landscape Reports (verfasst von Isaac Guasch, Cyber Security Leader von Tokio Marine HCC) vorgenommen. Die Ergebnisse wurden 2022 veröffentlicht.
In dem Report werden drei exponierte Branchen in Bezug auf Cyber-Angriffe analysiert: das verarbeitende Gewerbe, Finanzdienstleister sowie die Transport- und Logistikbranche. Ende 2021 machten diese drei Branchen allein 72% des Cyber-Geschäftsvolumens von Tokio Marine HCC aus. Der Report bewertet die Exponierung und „Readiness“ der jeweiligen Branchen, zeigt unseren Underwriting-Ansatz auf und geht konkret auf relevante Schadenszenarien ein.
Da Cyberrisiko sehr dynamisch ist und sich im Laufe der Zeit schnell verändert, haben wir den TMHCC-Report ein Jahr später wiederaufgegriffen, um zu prüfen, wie er sich bewährt hat bzw. welche Veränderungen sich in der Zwischenzeit ergeben haben. Folgende Vergleiche konnten wir zwischen 2023 und 2022 feststellen:
Für Unternehmen des verarbeitenden Gewerbes wurde als größte Exponierung die Betriebsunterbrechung ausgemacht. Grund hierfür war, dass die zunehmende Digitalisierung und Vernetzung infolge von Industrie 4.0 die häufig veralteten Systeme im Produktionsbereich überforderten. Diese können mit den sich stetig verändernden Cyberangriffsflächen oft nicht Schritt halten und sind stets mit der Komplexität bei der Verwaltung von Updates und Patches konfrontiert.
Der Reifegrad der Branche wurde allgemein als niedrig bewertet. Als größter Schwachpunkt wurde die Steuerung der Informationssicherheit ausgemacht, hervorgerufen durch viele unterschiedliche Produktionsstätten und die begrenzten Früherkennungsfähigkeiten in den verschiedenen IT-, OT- und IoT-Umgebungen.
Betrachtet man den Reifegrad aus heutiger Sicht, kommen wir zu dem Schluss, dass der Sektor zwar immer noch weniger ausgereift ist als andere (z. B. Finanzdienstleister), dass aber eine bemerkenswerte Entwicklung stattgefunden hat, insbesondere in multinationalen Unternehmen oder Nischensektoren (z. B. Flugzeughersteller oder einige Lebensmittel- und Getränkeproduzenten). Wir konnten sogar feststellen, dass die Sicherheitsstandards und „Best Practices“ einiger Hersteller, mit denen der Finanzdienstleister gleichziehen konnten. Viele Hersteller haben jedoch noch einen langen Weg vor sich.
Spezifische Underwriting-Fragen in dieser Branche sollten sich auf das Vorhandensein einer globalen Governance-Struktur konzentrieren sowie sich mit deren Umsetzung auf lokaler Ebene beschäftigen. Ebenso muss analysiert werden, ob eine Segmentierung in IT-, OT- und IoT-Netzwerken besteht und welche Fähigkeiten vorhanden sind, um Anomalien in OT-Umgebungen zu erkennen (EDR, SIEM, SCADA, etc.). Untersucht werden muss auch, wie mit Schwachstellen- und Patch-Management umgegangen wird und inwiefern Business Continuity-Pläne bestehen und getestet werden.
Als nächstes haben wir uns mit der Branche der Finanzdienstleister auseinandergesetzt. Hier werden in der Regel große Mengen an sensiblen Daten verarbeitet und hohen M&A-Aktivitäten verzeichnet, welche umfangreiche Migrationen von komplexen Informationssystemen und Datenbanken mit sich bringen. Beides trägt zu einem hohen potenziellen Risiko bei. Sowohl Betriebsunterbrechungen als auch Datenschutzverletzungen sind im Bankensektor als gleichermaßen kritisch anzusehen. Bei anderen Unternehmen in der Finanzbranche liegt die größte Exponierung dagegen insbesondere bei Datenschutzverletzungen. Die immer weiter fortschreitende Digitalisierung von Lieferketten und Ökosystemen, neue Dienstleistungen und Technologien von FinTech-Unternehmen wie z.B. Open Banking, Blockchain und Kryptowährungen schaffen stets zusätzliche neue Cyberrisiken für diesen datenintensiven Sektor.
Die sehr regulierte Finanzbranche hat einen relativ hohen Reifegrad in Bezug auf Cybersicherheit. Die hohen Monitoring- und Response-Fähigkeiten insbesondere des Bankensektors, heben ihn von anderen Segmenten der Finanzbranche ab. Diese Fähigkeiten liegen zwar grundsätzlich auch bei Versicherungsunternehmen vor, jedoch oft mit weniger vorhandenem IT-Sicherheitspersonal. Bei Private-Equity-Firmen, FinTechs und anderen kleineren Unternehmen ist diese Diskrepanz noch höher.
Das Jahr 2023 hat dem Finanzsektor eine Welle neuer Vorschriften gebracht, wie z. B. DORA (Digital Operational Resilience Act der EU), NIS2 (Richtlinie zur Netz- und Informationssicherheit der EU) sowie die europäische KI-Verordnung. Die Finanzbranche könnte dadurch vor neuen Herausforderungen stehen, wenn sie ihre Sicherheitsmaßnahmen anpassen muss, um gewisse Anforderungen zu erfüllen.
Themen, die im Underwriting von Finanzdienstleister besonders beleuchtet werden sollten, sind Datensegmentierung, Third-Party-Management, M&A-Prozeduren, Monitoring- und Response-Fähigkeiten und PCI-Compliance.
Die dritte behandelte Branche aus dem Report ist die Transport- und Logistikbranche. Hier wird unterteilt in Luftfahrt, Schienen- und Transitverkehr, Schifffahrt und Straßenverkehr. Der Sektor ist stark reguliert, besonders in den Bereichen, in denen Personen involviert sind. Das größte Risiko ist hier die Betriebsunterbrechung. Da jedoch auch große Datenmengen verarbeitet werden, sind auch Datenschutzverletzungen ein Thema. Ähnlich wie im verarbeitenden Gewerbe, gibt es auch in diesem Sektor einen hohen Anteil veralteter Systeme und die damit verbundenen Schwierigkeiten, diese zu aktualisieren. Zudem kommt hier durch vielfältige halbmanuelle Prozesse eine Abhängigkeit vom „Faktor Mensch“ als weiteres Risiko hinzu.
In dem Report von 2022 wurde der Reifegrad dieses Sektors im Allgemeinen als mittel bis hoch eingestuft.
Betrachtet man heute die neuesten Trends, die im kürzlich veröffentlichten ENISA-Bericht über die Bedrohungslandschaft im Transportsektor (ENISA Threat Landscape: Transport Sector[1]) dargelegt werden, so sind staatlich gesponserte Akteure, Cyberkriminelle und Hacktivisten die wesentlichen Bedrohungsakteure. Aus dem Bericht geht hervor, dass Cyberkriminelle für die meisten Angriffe auf den Transportsektor verantwortlich sind (54%) und auch alle Teilsektoren angreifen. Ransomware – im Jahr 2022 eine besondere Bedrohung in diesem Sektor – sei im Jahr 2023 stetig gestiegen, wobei immer mehr Angriffe durchgeführt werden, die nicht nur monetär motiviert sind.
Im Underwriting sollte daher weiterhin auf Segmentierung zwischen IT/OT-Netzwerken, Datensegmentierung, Schwachstellen- und Patch-Management, Mitarbeiterschulungen und Business-Continuity-Szenarien geachtet werden.
Zusammenfassend lässt sich sagen, dass die meisten Erkenntnisse des Reports von 2022 nach wie vor gültig sind, es jedoch in jedem der drei Bereiche bedeutende Entwicklungen gegeben hat. Dennoch müssen Unternehmen, ihre Risikomanager und IT-Sicherheitsteams angesichts der sich ständig weiterentwickelnden Cyberlandschaft umsichtig bleiben und sich über die neuesten Trends auf dem Laufenden halten, um Angriffe zu vermeiden und ihre Cyberrisiken wirksam zu mindern.
Der Tokio Marine HCC Cyber Insurance Landscape Report aus 2022 (in Englisch) ist hier verfügbar: https://www.tmhcc.com/en/news-articles/thought-leadership/cyber-insurance-landscape-2022
[1] https://www.enisa.europa.eu/publications/enisa-transport-threat-landscape
Maximilian Löw
Senior Underwriter – Financial Lines
Tokio Marine HCC
