Zürich – Das Beratungs- und Dienstleistungsunternehmen Aon hat seinen Bericht zur Cyber-Resilienz 2023 veröffentlicht und unterstreicht damit die Erkenntnis, dass Unternehmen aller Branchen und Umsatzklassen ihren Cyber-Reifegrad im Durchschnitt von „basic“ auf „managed“ verbessert haben. Der Bericht ist ein Leitfaden für Verantwortliche im Cybermanagement, mit denen Risiken vergleichend bewertet werden können, um bessere Entscheidungen zu treffen. Im Fokus stehen dabei unter anderem Lieferketten-, operative, systemische und Reputationsrisiken.
Der internationale Bericht basiert auf Daten von Aon Kunden aus dem Jahr 2022, die unter anderem über die globale Plattform Aon Cyber Quotient Evaluation (CyQu), die Ransomware Supplemental Application von Aon und Aon’s Operational Technology Application erfasst wurden.
Der Report zeigt, dass Cyber-Risiken in jedem Fall ein Thema für den Verwaltungsrat und die Geschäftsführung sind. Grössere Cyber-Vorfälle können unter anderem den Aktienwert börsennotierter Unternehmen deutlich beeinträchtigen.
„Cyber-Sicherheit muss als integraler Bestandteil des Risikomanagements betrachtet werden, denn Häufigkeit und Schwere von Cyber-Bedrohungen und Ransomware-Gefahren nehmen leider zu“, so Manuel Pachlatko, Leiter Cyber Broking und Consulting bei Aon Schweiz. „Entsprechend verändert sich auch der Versicherungsmarkt in diesem Bereich rasant. Er ist gekennzeichnet von steigenden Prämien, Selbstbehalten und einer umfangreichen Underwriting-Prüfung seitens der Versicherer.“
Weitere Themen des globalen Aon-Berichts im Überblick
Cyber-Risiken: In den Bereichen Zugangs- und Systemsicherheit, Homeoffice, Anwendungs- und Datensicherheit sowie Zugangskontrolle hat sich die Situation verbessert.
Operative Risiken: Ransomware-Ereignisse gingen in den letzten beiden Quartalen 2022 zwar um 16 Prozent zurück, die Daten aus dem Markt für Cyber- sowie Tech E&O-Versicherungen zeigen jedoch einen Anstieg im ersten Quartal 2023.
Insider-Risiken: Zwei von fünf Unternehmen nennen fehlende Kontrollen im Security Operations Center. Dies unterstreicht den Bedarf an verbesserten Cybersicherheitsmassnahmen, z.B. den Schutz vor Phishing, das eine der grössten Gefahren darstellt.
Systemisches Risiko: Hohe Priorität hat die Bewältigung systemischer Risiken, da sie sich aus dem Einsatz von Technologien in einer vernetzten Welt ergeben. Da sich Cyber-Bedrohungen kontinuierlich verändern, werden die Modelle zur Quantifizierung und Szenarienplanung von Risiken stetig verfeinert. Dies ist notwendig, um das Risikoprofil eines Unternehmens genau zu bestimmen und den erforderlichen Versicherungsschutz ermitteln zu können.
Die wichtigsten Erkenntnisse nach Branchen
Finanzen und Versicherungen: Schadensmeldungen nehmen zu. Ransomware-Schäden sind vom vierten Quartal 2022 bis zum ersten Quartal 2023 um 38 Prozent gestiegen.
Gesundheitswesen: Die Gesamtbewertung des Cyberrisikos für Kunden verbesserte sich auf einer Skala von 1 bis 4 auf 2,8 (vorher: 2,6). 2022 verbesserte sich das Risikoprofil von Kunden im Gesundheitswesen von „basic” auf „managed”. Mehr als 80 Prozent der Unternehmen erreichen einen Score von 2,5 oder höher.
Fertigung: Das Risikoprofil für mittelständische Kunden wird im Jahr 2022 auf der Skala mit 2,5 (vorher: 2,2) besser bewertet. Unternehmen dieser Kategorie erreichten mit 0,3 zwar den grössten Verbesserungssprung, 56 Prozent von ihnen jedoch nur Bewertungen von weniger als 2,5. International tätige Kunden sowie Unternehmen im Enterprise Commerce schneiden mit 2,8 (vorher 2,7) bzw. 2,7 (vorher 2,6) besser ab. Kleine und mittlere Unternehme (KMU) liegen dagegen mit 2,3 (vorher 2,1) am unteren Ende der Skala. Weltweit ist das Budget, welches für Sicherheit ausgegeben wird, auf 8,5 Prozent des verfügbaren IT-Budgets gestiegen.
„Cyber-Resilienz zu erreichen, ist für jedes Unternehmen – egal aus welcher Branche oder Industrie – eine Herausforderung“, fasst Pachlatko zusammen. „Risiken sollten unbedingt aus einer ganzheitlichen Perspektive heraus betrachtet und angegangen werden. Dies ist ein wesentlicher Faktor bei der Bewältigung globaler Herausforderungen. Die Beratung durch externe Fachleute kann Unternehmen dabei unterstützen, sowohl finanzielle, betriebliche als auch Reputationsrisiken nachhaltig zu minimieren.“
Zur Studie
Der Bericht beruht auf den Angaben von 2’946 Aon-Kunden weltweit. Die Aon-CyQu-Bewertung (Cyber Quotient Evaluation) ist eine zum Patent angemeldete Analysemethode. Sie basiert auf ISO-Normen und dem Rahmenwerk des National Institute of Standards and Technology, um einheitliche Verfahren zur Risikobewertung zu bieten.
Hier finden Sie den kompletten Bericht zur Cyber-Resilienz 2023. (Aon/mc)
