Allianz: Cybercrime erstmals Firmenbedrohung Nr. 1
Angriffe auf die Sicherheit der Firmendaten sind erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit, ergab eine Allianz-Umfrage unter mehr als 2.700 Risikoexperten aus über 100 Ländern.
Von Hermann Schmidtendorf, Chefredakteur bahn manager
Zum neunten Mal führte die Spezialversicherung Allianz Global Corporate & Specialty (AGCS) ihre jährliche Umfrage zu den wichtigsten Unternehmensrisiken durch. Im Allianz Risk Barometer 2020 verdrängen IT-Gefahren (39 Prozent der Antworten) das Risiko einer Betriebsunterbrechung (37 Prozent der Antworten) auf den zweiten Platz. Seit 2013 belegten Betriebsunterbrechungen den Spitzenplatz im Ranking gegenüber Cybervorfällen mit 6 Prozent der Antworten auf Platz 15. Größte Aufsteiger in der Rangliste der größten Geschäftsrisiken weltweit sind die Sorge vor rechtlichen Veränderungen im Wirtschaftsumfeld (Platz 3 mit 27 Prozent), etwa durch Handelskriege, Zölle oder Wirtschaftssanktionen, und die Folgen des Klimawandels (Platz 7 mit 17 Prozent). Risiken aus dem Klimawandel sind der größte Aufsteiger im Ranking: Unternehmen fürchten Sachschäden durch extreme Wetterereignisse. In Deutschland überwiegt die Sorge vor den potenziellen Auswirkungen auf Absatzmärkte und Geschäftsmodelle.
Die Umfrage wurde zum Jahresende 2019 durchgeführt. Es beteiligten sich diesmal mit 2.718 Teilnehmern aus über 100 Ländern so viele Experten wie noch nie – darunter CEOs und Führungskräfte, Risikomanager, Makler und Versicherungsexperten. In Deutschland stehen Cybervorfälle noch an Platz 2 des Rankings, in Belgien, Frankreich, Indien, Südafrika, Südkorea, Österreich, Schweden, der Schweiz, Spanien, Großbritannien und in den USA nehmen sie dieses Mal sogar den Spitzenplatz ein. Unternehmen weltweit sehen sich mit immer größeren und teureren Datenskandalen, einer Zunahme von Cybererpressung- und Spoofing-Vorfällen, aber auch mit höheren Bußgeldern aufgrund strengerer Datenschutzbestimmungen und Schadenersatzklagen konfrontiert. Ein schwerer Datendiebstahl – mit mehr als einer Million Datensätzen – kostet heute durchschnittlich 42 Millionen Dollar, was einem Anstieg von 8 Prozent im Vergleich zum Vorjahr entspricht, zitiert die Allianz das Ponemon Institute. Joachim Müller, CEO der AGCS, ist sich deshalb sicher:
„Die Vorbereitung auf Cyber- und Klimarisiken ist eine Frage des Wettbewerbsvorteils und der wirtschaftlichen Widerstandsfähigkeit in Zeiten der Digitalisierung und globalen Erwärmung. Wenn sich Vorstände und Risikomanager nicht mit diesen Risiken beschäftigen, könnte das die operative Leistung, die Finanzergebnisse und die Reputation ihrer Unternehmen maßgeblich beeinträchtigen.“
Jens Krickhahn, Practice Leader Cyber, AGCS Zentral- und Osteuropa, warnt:
„Cybervorfälle verursachen immer größere Schäden. Ransomware-Angriffe richten sich zunehmend gegen große Unternehmen und die Forderungen bei Erpressungen steigen. Vor fünf Jahren ging es um einige zehntausend Euro, heute fordern Hacker immer öfter Millionenbeträge.“
Das Zentrum für Strategische und Internationale Studien schätzt, dass Cyber-Angriffe im Jahr 2018 weltweit Schäden in Höhe von über 500 Milliarden Euro angerichtet haben. Für die deutsche Industrie melden der Technologieverband Bitkom und der Bundesnachrichtendienst Schäden in Höhe von 43 Milliarden Euro innerhalb von zwei Jahren. Mit 68 Prozent ist die Mehrheit der Unternehmen betroffen. Dennoch hatten 2018 nur neun der 80 Dax- und MDax-Mitglieder ein Vorstandsmitglied für Sicherheitsfragen. Kleine und mittlere Unternehmen scheuen oft die Kosten eines effektiven digitalen Schutzes. Erschreckend: Es scheint immer noch vorzukommen, dass ganze Passwortlisten auf Schreibtischen und Firmencomputern hängen bleiben! Der Cybersicherheitsexperte von Deutsche Bahn Network, Christian Schlehuber, berichtete dies auf der letzten Münchner IoT- und BigData-Konferenz von Ben Holliday. Der Einfachheit halber würden dieselben Kennwörter auf mehreren Systemen ausgeführt, oder Kennwörter würden in leicht zugänglichen Protokolldateien gespeichert.
Neueste Bedrohung: Es sind wieder vermehrt E-Mails mit gefährlichem Dateianhang in Umlauf. Der Online-Dienst heise.de berichtet, der Schädling namens Ursnif habe es unter anderem auf Account-Daten abgesehen. Gegenwärtig landen in Deutschland gehäuft auf den ersten Blick legitim aussehende Geschäftsmails im Posteingang. Im Anhang befindet sich ein gepacktes Zip-Archiv, in dem sich ein gefährliches Word-Dokument befindet. Das Ziel der Spam-Welle ist es, den Banking-Trojaner Ursnif auf Windows-Computer zu bringen. Dieser kopiert unter anderem Log-in-Daten. Da das Archiv passwortgeschützt ist, können Antiviren-Programme nicht hinein gucken und somit keinen Alarm schlagen. Damit Opfer es öffnen können, steht das simple Passwort im Text der Mail. Perfide: in einigen Fällen stammen die Mails von bekannten Absendern, knüpfen an bestehende Projekte in Firmen an und wirken somit glaubhaft. Wer darauf hereinfällt und das Archiv öffnet, holt sich ein für den Trojaner-Download präpariertes Word-Dokument auf den Computer. Der Analyse-Plattform Virustotal zufolge schlägt zum Zeitpunkt der Meldung nur ein Bruchteil der Anti-Viren-Wächter Alarm. Wer dann auch noch die oft als Rechnung getarnte Word- Datei öffnet und wie im Dokument beschrieben die Makro-Funktion aktiviert, holt sich den Schädling auf den Computer.
Daher die generelle Warnung von heise.de: Bei E-Mails mit Dateianhang und/oder Links sollte man aufhorchen – immer! Man sollte keinesfalls ohne Nachzudenken Anhänge öffnen oder auf Links klicken. Wer ungefragt eine Mail von einem bekannten Kontakt bekommt, sollte aus Sicherheitsgründen zum Telefon greifen und nachfragen, ob der Kontakt wirklich gerade eine Mail mit Anhang verschickt hat.
