JUNI 2013 CYBER RISK SURVEY 2013

Transkript

1 JUNI 213 CYBER RISK SURVEY 213 INHALT: 2 WEITERHIN HANDLUNGSBEDARF BEI UNTERNEHMEN 3 UNTERNEHMEN UNTER BESCHUSS 5 WAS RAUBT RISIKOMANAGERN DEN SCHLAF? 6 WISSENSLÜCKEN IM ZUSAMMENHANG MIT CYBER-RISIKEN 8 FAZIT

2 WEITERHIN HANDLUNGSBEDARF BEI UNTERNEHMEN 85 RISIKOMANAGER EURO- PÄISCHER UNTERNEHMEN NAHMEN AN DER MARSH CYBER RISK CONFERENCE TEIL, DIE VOM MAI 213 IN BRIGHTON STATTFAND. Cyber-Angriffe nehmen zu, und diese Gefahr rückt immer mehr in das Bewusstsein von Risikomanagern aller Branchen. Im Rahmen der Veranstaltung wurde eine informelle Befragung des Publikums mit Hilfe eines elektronischen Abstimmungssystems durchgeführt, um sich ein Bild von den Einschätzungen der anwesenden Risikomanager zu verschiedenen wichtigen Fra gen rund um Cyber-Risiken zu machen. Diese Ergebnisse wurden, soweit möglich, mit den Ergebnissen einer ähnlichen Umfrage aus dem Jahr 212 verglichen. Daraus ergab sich ein interessantes Bild von der innerhalb eines Jahres gewandelten Risikoeinschätzung der Risikomanager. Cyber-Angriffe nehmen zu und diese Gefahr rückt zunehmend in das Bewusstsein von Risikomanagern aller Branchen. Obwohl die IT-Abteilung weiterhin an vorderster Front Cyber-Angriffe abwehrt, nehmen sich auch andere Unternehmensbereiche wie die Geschäftsleitung mehr und mehr dem Thema Cyber-Risiko an. Allerdings hat sich das neu geschaffene Bewusstsein bislang meist noch nicht in konkreten Handlungen ausgedrückt. Dies gilt insbesondere im Bezug auf die Quantifizierung von Risiken und Planungsunsicherheiten hinsichtlich möglicher Änderungen bei der Verarbeitung und Weitergabe personenbezogener Daten infolge der geplanten Reform des EU-Datenschutzrechts. Obwohl Cyber-Risiken immer häufiger thematisiert werden, weisen die befragten Risikomanager bei dem Thema noch große Wissenslücken auf. Besonders in Bezug auf diese Unternehmen zu erwähnen ist die Tatsache, dass 22 % der Befragten bislang noch keine Schätzungen zu den finanziellen Folgen eines Cyber-Angriffs vorgenommen haben. Der Umfrage zufolge wissen Risikomanager zwar, dass es Versicherungsprodukte zur Absicherung gegen Cyber-Attacken gibt, 61% sind jedoch unsicher, ob die angebotenen Produkte ihre Anforderungen erfüllen. Bedenklich ist dies insbesondere im Kontext der EU-Datenschutzreform, die im nächsten Jahr ansteht: 63% der Befragten planen diesbezüglich keine Anpassungen oder müssen sich erst näher über diese wichtige Gesetzgebung informieren Cyber Risk Survey

3 UNTERNEHMEN UNTER BESCHUSS Ein wesentliches Ergebnis der auf der Cyber Risk Conference durchgeführten Umfrage besteht darin, dass 54 % der Unternehmen, deren Risikomanager an der Veranstaltung teilnahmen, in den letzten drei Jahren Opfer eines Cyber-Angriffs waren (siehe Abbildung 1). Dies ist ein beträchtlicher Anstieg gegenüber dem Vorjahr. Damals hatten 25 % der Unternehmen angegeben, in den vergangenen drei Jahren von einem Cyber-Angriff betroffen gewesen zu sein. Angesichts der Anzahl an Angriffen, von denen Risikomanager direkt betroffen waren, ist es nicht weiter verwunderlich, dass lediglich der Befragten Cyber-Angriffe als geringes Risiko bewerten (siehe Abbildung 2). Der Anteil der Befragten, die das Risiko von Cyber-Angriffen als hoch oder sehr hoch einstufen (53 %), deckt sich nahezu genau mit der Anzahl an Umfrageteilnehmern, die bereits Zielscheibe eines Angriffs wurden. Bedenkt man, dass weitere Punkte auf der Risikoagenda stehen, lässt sich durchaus davon ausgehen, dass die 34 % der Risikomanager, die das Risiko als mittelmäßig eingestuft haben, der Bedrohung der Datensicherheit einen hohen Stellenwert einräumen. Viele der Umfrageteilnehmer machen sich Sorgen wegen Cyber- Risiken, wobei 34 % die Bedenken als sehr viel größer und 37 % als etwas größer gegenüber dem Vorjahr wahrnehmen (siehe Abbildung 3). Diese neuerlichen Bedenken liegen wahrscheinlich sowohl in den jüngsten, regelmäßig auftretenden Rechtsverstößen als auch in der zunehmenden Beratung durch Versicherer und Makler begründet. 213 waren 29 % der Risikomanager der Ansicht, dass ihre Mobiltelefone gut bzw. sehr gut vor Hacker-Angriffen geschützt sind (siehe Abbildung 4). Die Zahl derer, die ihr Mobiltelefon für unsicher halten, ist seit der Umfrage des Vorjahres von 57 % auf 71 % gestiegen. Das zunehmend stärkere Bewusstsein für die Schwachstellen von mobilen Geräten gewinnt besonders im Kontext des sich ausbreitenden Phänomens der Bring your own devices (BOYD) und der wachsenden Anzahl an speziell für mobile Geräte programmierten schädlichen Viren an Relevanz. In den Unternehmen bildet die IT-Abteilung weiterhin die zentrale Schnittstelle für das Management von Cyber-Risiken (siehe Abbildung 5), obwohl die Entwicklung dahin geht, dass die Unternehmensführung sich zunehmend um dieses Thema kümmert (Anstieg von 11 % auf gegenüber dem Vorjahr). Dies zeigt deutlich, dass die Bedrohung durch Cyber-Angriffe in den befragten Unternehmen immer stärker in den Mittel - punkt rückt. ABBILDUNG 1: WAR IHR UNTERNEHMEN IN DEN VERGANGENEN DREI JAHREN ZIELSCHEIBE EINES CYBER-ANGRIFFS? Ja 5 Nein Ich weiß es nicht Marsh 3

4 ABBILDUNG 2: WIE WERDEN CYBER-RISIKEN IN IHREM UNTERNEHMEN WAHRGENOMMEN (213)? ABBILDUNG 3: SIND DIE BEDENKEN HINSICHTLICH CYBER-RISIKEN IN IHREM UNTERNEHMEN IN DEN LETZTEN 12 MONATEN GRÖSSER GEWORDEN? 29 % 24 % 2 % 34 % Kaum Mittelmäßig Stark Sehr stark Nicht ausreichend informiert 4 35 % 3 25 % 15 % 5 % Ja, viel größer Ja, etwas größer 2 29 Nein, gleichbleibend Keine Antwort ABBILDUNG 4: WIE SICHER IST IHR MOBILTELEFON VOR HACKER-ANGRIFFEN? ABBILDUNG 5: WER IST IN IHREM UNTERNEHMEN FÜR DAS RISIKOMANAGEMENT ZUSTÄNDIG? Sehr sicher Sicher Nicht sicher 14 35% 3% 25% 2% 2 15% % 11 5% % Risikomanager Geschäftsführung IT-Abt Allge- Finanzabt. ausreichend Antwort Sonstige Nicht Keine meiner- Berater informiert Cyber Risk Survey

5 WAS RAUBT RISIKOMANAGERN DEN SCHLAF? Cyber-Angriffe von außen wurden von den befragten Risikomanagern als größte Gefahr empfunden (44 %), gefolgt von einem Verlust mobiler Geräte (24 %) und internen Angriffen () (siehe Abbildung 6). Es wäre zu erwarten, dass die Risikomanager einer internen Bedrohung mehr Bedeutung beimessen, da das Risiko eines Missbrauchs durch Mitarbeiter, insbesondere aus der IT-Abteilung, in der Regel von den Unternehmen als hoch eingeschätzt wird. Die Versicherungsbranche scheint auf dem richtigen Weg zu sein. Bislang hat sich diese vorwiegend auf Missbrauch von Kundendaten und Rufschädigung konzentriert. Heutzutage sind Versicherungen gegen diese zwei Hauptbedrohungen am Markt weit verbreitet (siehe Abbildung 7). Es überrascht jedoch, dass die Furcht vor einer Geschäftsunterbrechung bei 7 % konstant bleibt, insbesondere wenn man bedenkt, wie abhängig die Unternehmen von einer reibungslos funktionierenden IT sind egal ob diese intern oder extern überwacht wird. Nach größeren Unterbrechungen infolge von Cloud- Ausfällen und angesichts der Tatsache, dass IT- und Telekommunikationsprobleme in der jüngsten jährlichen Umfrage des Business Continuity Institute an erster Stelle standen, hat die Versicherungsbranche erhebliche Anstrengungen unternommen, um Versicherungslösungen für Geschäftsunterbrechungen zu entwickeln. Mit der Zeit dürften auch die Unternehmen diesem Thema mehr Beachtung schenken. Externe Cyber- Angriffe werden mit 44 % als größte Bedrohung betrachtet. ABBILDUNG 6: WELCHE QUELLE DES DATENVERLUSTS STELLT IN IHREM UNTERNEHMEN DIE GRÖSSTE BEDROHUNG DAR? Verlust des mobilen Geräts 24 2 Externer Cyber-Angriff Interner Angriff, z. B. Missbrauch durch Mitarbeiter Ich weiß es nicht 9 Marsh 5

6 ABBILDUNG 7: WELCHE FOLGE EINES CYBER-ANGRIFFS BEREITET IHREM UNTERNEHMEN DIE MEISTEN SORGEN? 35 % % 15 % 5 % 27 Missbrauch von Kundeninformationen 4 22 Verlust Ihrer Intellectual Property 7 7 Rufschädigung Geschäftsunterbrechung Aufsichtsrechtl. Konsequenzen 9 Nicht ausreichend informiert WISSENSLÜCKEN IM ZUSAMMEN- HANG MIT CYBER-RISIKEN Von den Unternehmen, die die finanziellen Folgen eines Cyber-Angriffs berechnet bzw. eine entsprechende Abschätzung vorgenommen haben, nennen 22 % einen Betrag von mindestens 2 Mio. US-Dollar (siehe Abbildung 8). Derselbe Anteil an Risikomanagern hat keine Schätzungen zu den finanziellen Auswirkungen abgegeben und die Unternehmen könnten damit beträchtlichen Risiken ausgesetzt sein, deren finanzielles Ausmaß erst noch ermittelt werden muss. Unternehmen, die dies nicht bereits getan haben, müssen Cyber-Risiken aufdecken und diese quantifizieren, damit diese Risiken in die Auflistung der Unternehmensrisiken aufgenommen werden. So kann sichergestellt werden, dass ihnen gebührend Beachtung geschenkt wird und ausreichende Mittel für das Management dieser Risiken zur Verfügung stehen. Obwohl den meisten Unternehmen inzwischen bekannt ist, dass es Möglichkeiten der Absicherung gegen Cyber-Risiken gibt bei dieser Frage war ein Anstieg von 61 % im letzten Jahr auf 76 % in diesem Jahr zu verzeichnen (siehe Abbildung 9) tappen die meisten Risikomanager bei der Frage, ob die angebotenen Leistungen ihren Anforderungen entsprechen, noch im Dunkeln. Da sich viele Unternehmen noch nicht die Mühe gemacht haben, sich im Einzelnen über den möglichen Versicherungsschutz zu informieren, wissen 61 % nicht genau, über welche Beträge eine Absicherung möglich ist (Abbildung 1). 22 % der Unternehmen, die noch keine Abschätzung der finanziellen Folgen vorgenommen haben, könnten erheblichen Risiken ausgesetzt sein Cyber Risk Survey

7 Die wesentlichen Wissenslücken der Risikomanager beziehen sich laut dieser Umfrage auf das Verständnis der und die Vorbereitung auf die Reform des Datenschutzrechts in der EU. In deren Rahmen werden voraussichtlich neue Bestimmungen eingeführt, die Unternehmen sowohl auf operativer als auch auf technischer Ebene betreffen und die zu erheblichen zusätzlichen Kosten und Mehraufwand bei der Verwaltung personenbezogener Daten führen könnten. Während europäische Unternehmen voraussichtlich verpflichtet sein werden, einen Datenschutzbearuftragten (Chief Privacy Officer) wie er in Deutschland bereits jetzt gesetzlich vorgeschrieben ist ( 4f BDSG) zu benennen, werden sich alle Unternehmen bestimmten Heraus forderungen auf operativer Ebene, wie ggf. dem Erfordernis der Löschung von Kundendaten bei Aufforderung, stellen müssen. Die mögliche, kostspielige Verpflichtung, Personen, über die personenbezogene Daten gespeichert wurden, zu informieren, wenn ein Missbrauch ihrer persönlichen Daten vorliegt, ist nur ein Grund, weshalb es als bedenklich einzustufen ist, dass lediglich 37 % der Befragten Kenntnis von den geplanten Änderungen bezüglich ihrer Versicherungs- und Risikomanagementprozesse haben (siehe Abbildung 11). ABBILDUNG 8: HAT IHR UNTERNEHMEN EINE BERECHNUNG ODER ABSCHÄTZUNG DER FINANZIELLEN FOLGEN EINES CYBER-ANGRIFFS VORGENOMMEM? IN WELCHER GRÖSSENORDNUNG BEWEGEN SICH DIE FINANZIELLEN FOLGEN? ABBILDUNG 9: KENNEN SIE DIE AM MARKT VERFÜGBAREN VERSICHERUNGSPRODUKTE ZUR ABSICHERUNG GEGEN CYBER-RISIKEN? $5. $5. bis oder niedriger $2 Mio. 2 5 $2 Mio. bis $5 Mio $5 Mio. Keine Schätzung oder höher vorgenommen 5 Keine Antwort Ja Nein Ich weiß es nicht ABBILDUNG 1: WIRD DAS VERFÜGBARE VERSICHERUNGSANGEBOT NACH IHREN INFORMATIONEN DEN ANFORDERUNGEN IHRES UNTERNEHMENS GERECHT? ABBILDUNG 11: SIND IN IHREM UNTERNEHMEN ÄNDERUNGEN DER VERSICHERUNGS- UND RISIKOMANAGEMENTPROZESSE INFOLGE DER GEPLANTEN EU-REFORM DES DATENSCHUTZES (213) GEPLANT? Ja Nein 5 61 Nicht ausreichend informiert % 15 % 37 % Ja Nein Muss ich erst nachfragen Marsh 7

8 FAZIT Die Versicherungsbranche hat die Aspekte der Cyber-Risiken im Blick, die den Unternehmen die meisten Sorgen bereiten. Dennoch zeigt u. a. der niedrige Anteil von der Befragten, die bereits die erforderlichen Schritte unternommen haben, sehr deutlich, dass Unternehmen erst noch ein ausgeprägtes Verständnis ihres eigenen Cyber-Risikoprofils entwickeln müssen, um auf fundierter Basis die richtige Entscheidung bei der Wahl einer entsprechenden Versicherungspolice zu treffen. Es ist erfreulich, dass sich verschiedene Bereiche eines Unternehmens mehr und mehr mit dem Thema auseinandersetzen, insbesondere auf Ebene der Geschäftsführung, und Cyber-Risiken nicht mehr als alleinige Aufgabe der IT-Abteilung gesehen werden. Da Cyber- Sicherheit in zunehmendem Maße weniger als simples Technologieproblem und vielmehr als Geschäftsrisiko betrachtet wird, rechnen wir damit, dass die veränderten Zuständigkeiten zu einer besseren Abschätzung der tatsächlichen finanziellen Risiken eines Unternehmens führen werden. ABBILDUNG 12: IST IHR UNTERNEHMEN ZUM AKTUELLEN ZEITPUNKT GEGEN CYBER-RISIKEN VERSICHERT (213)? Ja Nein Weiß nicht Cyber Risk Survey

9 Wenn Sie Interesse an einem Gespräch haben oder weitere Informationen wünschen, stehen wir Ihnen gerne zur Verfügung. So erreichen Sie uns: Marc Heitmann Leiter Branchenteam Communications, Media & Technology Telefon: +49 () Thomas Philipp Fachexperte Financial & Professional Services (FINPRO) Telefon: +49 () thomas.philipp@marsh.com Diese Informationen sollten nicht als Beratung für eine individuelle Situation betrachtet werden. Versicherungsnehmer sollten bei spezifischen Versicherungsfragen ihren Marsh-Kundenbetreuer konsultieren. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der Grenzen des Urheberrechts ist ohne Zustimmung der Marsh GmbH unzulässig. Dies gilt insbesondere für Vervielfältigungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Vorstehendes gilt nicht für den internen Gebrauch durch Kunden der Marsh GmbH. Copyright 213 Marsh GmbH.