Wie Cyber-Risiken die finanzielle Stabilität von Unternehmen bedrohen

Lange Zeit stützten sich Investoren, Versicherer und Rating-Agenturen bei der Bewertung von Wert und Risiko weitgehend auf physische Vermögenswerte. Inzwischen sind Menschen und Unternehmen immer stärker von digitalen Netzen und Vermögenswerten abhängig. In nur zwanzig Jahren haben sich die Dinge dramatisch verändert: Um die Jahrtausendwende waren die größten Unternehmen der Welt General Motors, Ford, Boeing, General Electric, Phillip Morris und andere, die physische Produkte verkauften.

Heute machen digitale Vermögenswerte 90 Prozent des Wertes der S&P 500-Unternehmen aus. Denn nun sind die größten Unternehmen nach Marktkapitalisierung – Apple, Microsoft, Alphabet (Google), Amazon und Meta – weitgehend oder vollständig digital. Mit diesem massiven Anstieg der Bedeutung und des Wertes digitaler Güter ist auch eine entsprechende Zunahme von Cyberangriffen und -risiken einhergegangen.

Mehr zum Thema

Zu viele und zu teure Schäden

Cyberversicherungen rutschen in die roten Zahlen

Wenn der Strom wegbleibt

Blackout in Deutschland – auch ein Fall für die Versicherungswirtschaft?

„Stetig neue Angriffsmechanismen“

Aktuare warnen vor Kumulrisiken für Cyberversicherer

Zu viele und zu teure Schäden

Cyberversicherungen rutschen in die roten Zahlen

Wenn der Strom wegbleibt

Blackout in Deutschland – auch ein Fall für die Versicherungswirtschaft?

„Stetig neue Angriffsmechanismen“

Aktuare warnen vor Kumulrisiken für Cyberversicherer

In Deutschland bilden Gesetze wie das IT-Sicherheitsgesetz und die Datenschutz-Grundverordnung mit ihrer Meldepflicht für Cyberangriffe die Grundlage für die digitale Sicherheit. Auch auf EU-Ebene entwickelt sich die Gesetzgebung weiter. Ende letzten Jahres hat das EU-Parlament die neue NIS-2-Richtlinie beschlossen, die strengere Auflagen für das Risikomanagement und die Meldepflicht bedeutet. Darüber hinaus werden neue Rechtsvorschriften, wie das Lieferkettensorgfaltspflichtengesetz die Supply Chain stärker in den Mittelpunkt rücken, was folgerichtig auch die heute alltäglichen digitalen Lieferketten einschließen könnte.

Eine schnelle Reaktion auf Cyber-Attacken ist inzwischen unumgänglich. Die globale Pandemie hat durch hybride Arbeitsmodelle und Homeoffice die potenzielle Angriffsfläche für Cyberkriminelle unerwartet vergrößert, was zu einem größeren Sicherheitsrisiko für Unternehmen führt. Ransomware-Attacken werden inzwischen als das größte Risiko für die künftige IT-Sicherheit von Unternehmen angesehen. Die Häufigkeit von Ransomware-Angriffen und die verursachten Kosten  nehmen weltweit zu. Laut Hiscox Cyber Readiness Report 2022 wurden in Deutschland die höchsten Lösegeldzahlungen im internationalen Vergleich getätigt.

Steigendes Cyber-Risiko beeinflusst Risiko-Bewertung von Unternehmen

Das erhöhte Cyber-Risiko hat die Art und Weise verändert, wie Versicherer, Finanzinstitute und Kreditrating-Firmen das gesamte geschäftliche und finanzielle Risiko bewerten. Und die Auswirkungen von Cybervorfällen auf die finanzielle Stabilität und die Kreditwürdigkeit von Unternehmen werden weiter zunehmen. Um sicherzustellen, dass Unternehmen für diesen verstärkten Fokus auf Cybersicherheit gut aufgestellt sind, sollten Führungskräfte den Versicherungsschutz in Bezug auf Cyberrisiken und Ransomware verstehen und bewerten können. Dabei sollte evaluiert werden, ob das eigene Unternehmen eindeutig und angemessen abgedeckt ist.

Große Herausforderung für Versicherer

Die Bewertung und Zeichnung von Cyber-Risiken stellt für Versicherer angesichts der Volatilität eine große Herausforderung dar. Laut Gesamtverband der Versicherer (GDV) sind die Cyberversicherer angesichts zunehmender Hackerangriffe 2021 erstmals in die Verlustzone gerutscht; die Schaden-Kostenquote betrug fast 124 Prozent. Einige Versicherer haben sich daher bereits aus dem Versicherungsmarkt für Cyberrisiken zurückgezogen. Mario Greco, CEO von Zurich Insurance, sieht Regierungen hier in der Pflicht, privat-öffentliche Systeme zu schaffen, um systemische Cyber-Risiken zu handhaben.

Insbesondere in Sektoren mit höherem Cyber-Risiko wie Technologie, Finanzdienstleistungen, Einzelhandel und Energieversorgung berücksichtigen Finanzinstitute und Ratingagenturen bei der Bewertung eines Unternehmens auch deren Versicherung. Cyber-Risiken werden definitiv in Zukunft einen höheren Stellenwert bei Risikoanalysen einnehmen. Unternehmensverantwortliche müssen sich darüber im Klaren sein, dass diese Firmen sich zunehmend mit Cyber-Risiken auskennen und sich für Cybersicherheitsrichtlinien und die Erfolgsbilanz eines Unternehmens bei Cyber-Risiken interessieren werden.

Cyberangriffe sind in der Regel erfolgreich, weil das angegriffene Unternehmen in einem grundlegenden, aber spezifischen Bereich der Cybersicherheit versagt hat, und Kreditgeber und Kreditagenturen wissen das. In den meisten Fällen sind Betriebsunterbrechungen und Wiederherstellungskosten für den Großteil der finanziellen Verluste verantwortlich, so dass Kreditagenturen bei der Bewertung des Finanz- oder Kreditrisikos besonders darauf achten, ob die Daten eines Unternehmens vollständig gesichert sind. Unternehmen, die der Cybersicherheitsplanung Priorität einräumen, insbesondere solche mit soliden Reaktions- und Wiederherstellungsplänen, können sich einen erheblichen Kreditvorteil verschaffen.

IT-Abteilung und Finanzabteilung müssen eng zusammenarbeiten

Die Bewertung und Quantifizierung von Cyber-Risiken ist komplex und entwickelt sich ständig weiter. Die besten Versicherungs-, Finanz- und Kreditunternehmen setzen deshalb auf fortschrittliche Analysemodelle, die eine große Menge an Daten verarbeiten – nicht nur historische und statische Daten, sondern auch Verhaltensdaten. Dies erlaubt eine optimierte Risikobewertung. Das Wissen über vergangene Angriffe lässt keine ausreichenden Rückschlüsse auf zukünftige Angriffe und deren Folgen zu. Daher entwickeln und implementieren Versicherer und Finanzinstitute zunehmend Software-Lösungen, um Vorhersagefunktionen für Cyberrisiken in ihre Bewertungen zu integrieren.

Wir befinden uns an der Schwelle zu einer neuen Ära der Finanz- und Kreditbewertung, die sich stärker auf das vorhandene Cyber-Risiko stützen wird. Unternehmen sollten verstehen, welche Elemente in Zukunft in die Risikobewertung einfließen werden. Es ist wichtig, dass die IT-Abteilung und die Finanzabteilung eng zusammenarbeiten, um die Auswirkungen der Cyber-Strategie auf das Finanz- und Kapitalmanagement zu evaluieren.