28.05.2018

Das vergangene Jahr 2017 stellte einen neuen Schadenrekord im Bereich Cyber auf: In nur einem Jahr wurden so viele Cyberschäden gemeldet wie in den vorherigen vier Jahren zusammen. Zu diesem Ergebnis kommt die neu veröffentlichte AIG Cyber Schadenstudie 2018.

Eine Cyber-Attacke pro Tag; dies ist nur eines der Ergebnisse der aktuellsten Untersuchung zu Cyber-Vorfällen, welches aufhorchen lässt. Besonders die am 25. Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) steht im Mittelpunkt der Analyse, wird doch aufgrund der damit einhergehenden, noch strengeren Regeln nicht nur ein sprunghafter Anstieg im Hinblick auf Datenschutzverletzungen erwartet, sondern auch eine Zunahme an Versicherungsfällen aufgrund anderweitiger Angriffe auf die Sicherheit.

Der aktuelle Schadenreport von AIG zeigt auf, dass über ein Viertel (26%) aller in 2017 gemeldeten europäischen Cyberschäden auf Ransomeware als Hauptursache zurück zu führen sind.

Übersicht der häufigsten Ursachen für Datenschutzverletzungen
•              Erpressung mit Ransomware: 26%
•              Datenschutzverletzungen durch Hacker: 12%
•              Sonstige Sicherheitsausfälle / unautorisierte Zugriffe: 11%
•              Identitätsbetrug: 9%

Obwohl der Anteil der Schadenmeldungen, die auf fahrlässigem Verhalten von Mitarbeitern basieren, mit 7% marginal zurückgegangen ist (8% in den Jahren 2013-2016), ist der Faktor des „menschlichen Versagens“ – auf den Großteil aller Cyberschäden bezogen – nach wie vor als äußerst signifikant einzuschätzen.

Nepomuk Loesti, Head of Liabilities, Financial Lines und Client Engagement für die DACH-Region bei AIG, konkretisiert: „In 2017 sahen wir uns mit einer Reihe von hochkomplexen, systematisch ausgerichteten Cyber-Attacken durch Schadsoftware und Ransomware konfrontiert – WannaCry und NotPetya waren hier ganz vorne mit dabei. Viele europäische Unternehmen und Organisationen hatten durch die daraus entstandenen Betriebsunterbrechungen mit großen Herausforderungen zu kämpfen – die finanziellen Auswirkungen spiegelten sich vor allem in einem zum Teil erheblichen Bilanzverlust wieder.“

Zwar machen reine Lösegeldzahlungen bei dieser Erhebung nur rund 150.000 USD aus; die gesamtwirtschaftlichen Verluste jedoch, die durch WannaCry verursacht wurden, werden auf rund 8 Mrd. USD geschätzt. Eine halbe Milliarde wurde dabei allein durch unmittelbare Kosten und die sogenannten indirekten Betriebsunterbrechungen verursacht. Erschreckende Erkenntnis hierbei: Die Mehrheit aller Verluste war nicht ausreichend versichert.

„In diesem Kontext ist die Befürchtung legitim, dass mit der Einführung der DSGVO nun ein weiteres, bei Erpressern gern gesehenes Instrument geschaffen wird. Es ist abzusehen, dass die proaktive Bedrohung der Datensicherheit eines Unternehmens dazu führt, dass Erpressungsgelder gezahlt werden – schlicht aus dem Bewusstsein heraus, dass die Konsequenzen einer Verletzung des Datenschutzes unter der neuen Verordnung wesentlich härter ausfallen werden“, so Loesti. „Gleichermaßen werden Unternehmen Missbräuche weitaus schneller melden; mit der Folge, dass der Umfang der Cyberschadenmeldungen rasant steigen wird.“

Diese Erwartungen kommen nicht von ungefähr: Nach der Einführung der Gesetze zur Meldepflicht bei Sicherheitsverletzungen in vielen Bundesstaaten der USA im Jahr 2002 konnte man einen eben solchen Effekt beobachten – fast jeder bekannte Cyber-Vorfall ging dort mit mindestens einer Sammelklage einher.