Versicherungswirtschaft-heute

          Mobilversion

 

Globale Cyber-Attacken sind so teuer wie ein Hurrikan

18.07.2017 – cyber-daten-diebCyberrisiken rücken bekanntlich immer mehr in den Fokus von Politik und Unternehmen. Jüngstes Beispiel: Medienberichten zufolge soll ein Cyberangriff die Krise um das arabische Emirat Katar ausgelöst haben. Die Folgen solcher Attacken können jedenfalls extrem teuer werden. So rechnet der Versicherungsmarkt Lloyd’s, dass eine größere globale Cyber-Attacke einen wirtschaftlichen Schaden von bis zu 53 Mrd. US-Dollar verursachen könnte.

Im Rahmen einer aktuellen Studie haben Lloyd’s und und Cyence, ein führendes Unternehmen im Bereich Cyber-Risikomodellierung, anhand zweier Szenarien die potenziellen wirtschaftlichen Auswirkungen eines Cyberangriffs berechnet. So gehen die Experten im Falles eines Hackerangriffs auf einen Cloud-Dienst-Anbieter von einem geschätzten Schaden von bis zu 53 Mrd. US-Dollar aus. In einem zweiten Szenario geht Lloyd’s bei einem Angriff auf weltweit genutzte Computerbetriebssysteme von Schäden in Höhe von 28,7 Mrd. US-Dollar aus.

Mit durchschnittlichen wirtschaftlichen Schäden zwischen 4,6 Mrd. US-Dollar durch ein großes Ereignis und 53 Mrd. US-Dollar für ein extremes Ereignis rechnet Lloyd’s. Aufgrund der Unsicherheit bei der Zusammenfassung von Schäden durch Cyber-Attacken schätzen die Experten sogar, dass eine Schadenssumme von – im günstigsten Fall 15 Mrd. US-Dollar – auf bis zu 121 Mrd. US-Dollar anwachsen könne.

“Dieser Bericht vermittelt einen echten Eindruck von dem Schadensumfang, zu dem ein Cyber-Angriff für die Weltwirtschaft führen könnte. Genau wie einige der schlimmsten Naturkatastrophen können Cyber-Ereignisse erhebliche Auswirkungen auf Unternehmen und Volkswirtschaften haben, Mehrfachforderungen nach sich ziehen und die Schadenskosten der Versicherer drastisch in die Höhe treiben. Versicherer müssen dadurch die Deckung für Cyber-Angriffe berücksichtigen und sicherstellen, dass die Prämienkalkulationen mit der realen Cyber-Bedrohung Schritt halten”, kommentiert Lloyd’s-Chefin Inga Beale.

“Die Ergebnisse des Reports legen nahe, dass die Verluste durch Cyberangriffe das Potenzial haben, genauso groß zu sein wie die durch große Hurrikane. Versicherer sollten das bedenken und explizit berücksichtigen, wenn sie cyber-relevante Katastrophen aggregieren. Dabei ist die kontinuierliche Erfassung und Verarbeitung hochwertiger Daten wichtig, da sich Cyberrisiken ständig ändern”, ergänzt Trevor Maynard, Head of Innovation, bei Lloyd’s.

Deutliche Unterschiede bei versicherten Schäden

Mit Blick auf das Kumulschadenpotential differenziert die Studie dabei zwischen wirtschaftlichen und versicherten Schäden. Die Differenz zwischen beiden Zahlen bezeichnet den gegenwärtigen Grad der weltweiten Unterversicherung. Die Gründe sehen die Experten dabei vor allem in der vorherrschenden Ungewissheit bei kleinen und mittleren Unternehmen und auch ihren Maklern sowie der geringe Standardisierungsgrad der gebotenen Deckungen.

Gleichzeitig variieren die durchschnittlichen Versicherungsschäden in den Berechnungen von Lloyd’s zwischen 620 Mio. US-Dollar für einen Großschaden und 8,1 Mrd. US-Dollar für einen extremen Schaden. In dem Szenario mit der Sicherheitslücke bei der Massen-Software liegen die durchschnittlichen Schäden zwischen 9,7 Mrd. US-Dollar für ein großes Ereignis und 28,7 Mrd. US-Dollar für ein extremes Ereignis. Die durchschnittlichen versicherten Schäden belaufen sich dabei laut Llodyd’s auf eine Summe zwischen 762 Mio. US-Dollar und 2,1 Mrd. US-Dollar.

Zudem sich die Studie auf diverse Quellen, wonach sich die weltweiten Kosten für Cyber-Kriminalität auf bis zu 450 Mrd. US-Dollar und die weltweite Cyber-Prämie auf 3,5 Mrd. US-Dollar belaufen könnten. Das jährliche Prämienwachstum liegt laut Lloyd’s bei geschätzt 35 Prozent. Einen zusätzlichen Schub könnte zudem EU General Data Protection Regulation bringen, die das Haftungs- und Bußgeldeexposure für Unternehmen bedeutend wachsen lassen wird.

Kaffesatzleserei statt Risikoanalyse

Da es bei Cyberschäden allerdings keine jährliche Schadensstatistik gibt, beruhen die Zahlen auf modellierten Schäden für typische betroffene Unternehmen und sonstige Anwender, die alsdann auf weltweiter Basis hochgerechnet wurden. Dabei werden typische Policen-Ausschlüsse berücksichtigt, insbesondere der von Ausfällen bei Netzanbietern, ein Unterfall der bislang etwas Unterbrüche in der Stromversorgung betreffenden “public infrastructure exclusions”. Man könnte aber wohl auch von Kaffeesatzleserei der gehobenen Art sprechen. Die Folge wäre, dass der Einkauf einer erforderlich erscheinenden Rückversicherung sowie Einschätzungen des danach verbleibenden Nettoexposures auf besonders tönernen Füßen stehen dürften.

Ein weiteres Risiko liegt neben technischen Neuerungen wie Smart Home auch in der nach wie vor hohen Fehlerfrequenz im Software-Code von 15 bis 50 Fehlern je 1.000 Kodierungszeilen. Software-Hersteller bauen häufig nur für Eingeweihte gedachte, aber dann auch generell bekanntwerdende Hintertüren (backdoors) in ihre Programme. Mancher Fehler bietet ein Einfallstor für Hacker und ihre Viren. Insbesondere bei Open Source Software wie Linux fehlen häufig die Qualitätsstandards. Eine wesentliche Rolle spielt dabei schließlich der menschliche Faktor.

Die Motive für Cyberkriminalität sind jedenfalls vielfältig – angefangen von Erpressung über böswillige Beschädigung bis hin zur Sabotage ganzer nationaler Netzwerke. Typischerweise verschleiern die Angreifer ihre Identität, insbesondere dann wenn staatliche Akteure am Werk sind.

Die Beteiligung von staatlichen Akteuren als Täter oder als Programmierer von entsprechenden Software-Modulen rückt die Cyberkriminalität vielfach auch in den Bereich der politischen Risiken. Im Extremfall – etwa dem gezielten Angriff auf die digitale Infrastruktur eines anderen Staats – könnte ein solches Treiben auch die Kriegsdefinition erfüllen und somit eine vertragliche Ausschlussklausel anwendbar machen.

Cyberangriff als Auslöser der Katar-Krise?

Welche Folgen eine solche Attacke haben kann, zeigt die aktuelle Krise um Katar: Laut einem Bericht der Washington Post sollen die Vereinigten Arabischen Emirate (VAE) für einen Hackerangriff auf das Emirat verantwortlich sein, der die jüngste diplomatische Krise ausgelöst haben soll.

Demnach soll der Emir von Katar, Scheich Tamim bin Hamad al-Thani, bereits im Mai dieses Jahred in sozialen Netzwerken und auf Nachrichtenseiten mit positiven Bemerkungen über die radikalislamische Hamas und den Iran zitiert worden sein. Kurz darauf teilte Katars Regierung mit, die Zitate seien falsch und durch Hacker in die Medien gelangt. Die entsprechenden Nachrichten und Artikel wurden wieder gelöscht.

Die Folge war ein Abbruch der diplomatischen Beziehungen mit dem Emirat durch Saudi-Arabien und die arabischen Nachbarstaaten. Ob die Vereinigten Arabischen Emirate allerdings selbst hinter dem Cyberangriff stecken oder diesen in Auftrag gegeben haben, ist nicht bekannt. (vwh/td/cpt)

Bildquelle: Fotolia

- Anzeige -
- Anzeige -
- Anzeige -

 

VVW | Kontakt | AGB | Datenschutzerklärung | Impressum | Mediadaten