Allianz Risk Barometer Unternehmen fürchten Cyberangriffe mehr als Corona

Gestörte Lieferketten, Naturkatastrophen, Corona - Unternehmen hatten 2021 mit vielen Risiken zu kämpfen. Trotz Omikron hat die Pandemie den größten Schrecken aber offenbar verloren. Das größte Risiko für ihr Geschäft sehen Unternehmen inzwischen woanders.

Einbruch in die Herzkammer: Hacker gehen immer öfter und immer professioneller gegen Unternehmen vor, die verursachten Schäden durch Cyberangriffe steigen beträchtlich

Einbruch in die Herzkammer: Hacker gehen immer öfter und immer professioneller gegen Unternehmen vor, die verursachten Schäden durch Cyberangriffe steigen beträchtlich

Foto: Andrew Brookes / imago images / Westend61

Die Virus-Variante Omikron verbreitet sich rasant um den Globus, treibt die Infektionen in vielen Industriestaaten täglich auf neue Höhen, vielerorts stehen bereits Fabriken still. Dennoch sehen Unternehmen weltweit die Pandemie nicht mehr als das größte Risiko für ihr Geschäft. Das ist das überraschendste Ergebnis des "Allianz Risk Barometer 2022".

2650 Unternehmenschefs, Risikomanager und Versicherungsmakler aus 89 Ländern befragte der zum Allianz-Konzern gehörende Industrieversicherer AGCS. Im vergangenen Jahr hatten noch 40 Prozent die Pandemie als Risiko eingeschätzt, was Corona zum zweitgrößten Geschäftsrisiko machte – direkt hinter Betriebsunterbrechungen. Jetzt rutschte die Pandemie auf Platz vier ab (22 Prozent), in Deutschland sogar auf Platz 8 (13 Prozent).

Betriebsstörung und Cyberangriffe als größtes Risiko

Stattdessen fürchten die Unternehmen weltweit etwas anderes: Angriffe auf ihre IT-Systeme. 44 Prozent der für das Allianz Risk Barometer befragten Unternehmer und Experten  sahen Cyberangriffe als eines der drei größten Geschäftsrisiken. Auf Platz 2 und 3 der größten Risiken folgen Betriebsunterbrechungen (42 Prozent) und Naturkatastrophen (25 Prozent). Unter den befragten in Deutschland war die Reihenfolge leicht anders. Hier standen Betriebsunterbrechungen (55 Prozent) vor Cyberangriffen (50 Prozent) und Naturkatastrophen (30 Prozent).

Wie schnell die eigenen IT-Systeme gefährdet sein können, erlebten viele Unternehmen erst im Dezember. Damals wurde die Sicherheitslücke Log4j  entdeckt, das Bundesamt für Sicherheit in der Informationstechnik sprach vor einer "ernsten Bedrohungslage", in Amerika schalteten sich FBI und NSA ein. In vielen Unternehmen begannen IT-Experten fieberhaft zu suchen, ob die Software auch bei ihnen irgendwo im Einsatz war.

Einzelfälle und Namen von betroffenen Unternehmen werden bei Cyberattacken nur selten öffentlich, noch seltener, welcher Schaden genau entstand. Der kann allerdings beträchtlich sein.

"Mittlerer zweistelliger" Millionenschaden nach Cyberangriff

Wie gravierend ein Hackerangriff ein Unternehmen treffen kann, erläutert AGCS-Experte Jens Krickhahn an einem Beispiel: Ein Großkunde des Versicherers wurde 2021 mit Ransomware angegriffen und zugleich erpresst. Das Unternehmen habe das geforderte Lösegeld nicht gezahlt, dank seines "guten IT-Reifegrades" aber die Auswirkungen "in Grenzen halten" können, sagt Krickhahn. Der Schaden lag trotzdem in "mittlerer zweistelliger Millionenhöhe".

Schäden durch Cyberangriffe in dieser Höhe sind zwar nicht die Regel, die Angriffe selbst aber werden zusehends alltäglich: Laut den Beratern von Accenture  schnellte ihre Zahl weltweit im ersten Halbjahr 2021 im Vergleich zum Vorjahreszeitraum um 125 Prozent in die Höhe. Ransomware und Erpressungsversuche stellten dabei einen der Hauptgründe für diesen Anstieg dar. In den USA kletterten laut FBI  im gleichen Zeitraum die Ransomware-Vorfälle um 62 Prozent, nach einem Anstieg von 20 Prozent im Jahr 2020.

AGCS sieht diese Entwicklung bei Cyberrisiken angesichts der eigenen Schadenstatistik bestätigt. Im Jahr 2016 verbuchte der Versicherer 80 zu regulierende Cyberschäden. Im Jahr 2020 war er bereits in mehr als 1000 Cyberschäden involviert, Tendenz für 2021 steigend.

Die durchschnittliche Schadenshöhe je erfolgreichem Cyberangriff ist dabei zuletzt deutlich gestiegen. Laut dem Sicherheitssoftware-Spezialisten Sophos haben sich die durchschnittlichen Gesamtkosten für Wiederherstellung und Ausfallzeit  (im Schnitt 23 Tage) nach einem Ransomware-Angriff im Jahr 2021 mehr als verdoppelt: von rund 761.000 US-Dollar auf 1,85 Millionen US-Dollar im Schnitt. Das in der IT-Branche häufig zitierte US-Unternehmen Cybersecurity Ventures schätzt die weltweiten durch Cyberkriminalität verursachten Schäden des vergangenen Jahres auf sechs Billionen Dollar. Bis 2025 könnte diese Summe auf 10,5 Billionen Dollar steigen.

Teuer ist für viele Unternehmen vor allem der Stillstand der Produktion. Die Kosten für die Betriebsunterbrechung und für die Wiederherstellung des Betriebs in einem Unternehmen schlugen bei der AGCS im Schnitt mit mehr als Hälfte der Schadenssumme zu Buche.

Nur die Hälfte der Unternehmen bekommt eine Cyber-Police

"Die Hacker greifen mittlerweile extrem professionell an", sagt AGCS-Experte Krickhahn. Sie würden trotz zunehmender Aufmerksamkeit der Unternehmen für das Thema und steigender Investitionen in IT-Sicherheit immer öfter quasi in der Herzkammer der Firmen einbrechen und sie dann auch erpressen. „Ransomware ist zu einem großen Geschäft für Cyberkriminelle geworden, die ihre Taktiken verfeinern und die Einstiegshürden senken."

Nachholbedarf sieht AGCS vor allem bei mittleren und kleineren Unternehmen. Das Problem: Bei Weitem nicht alle Unternehmen, die Versicherungsschutz gegen Cyber-Risiken nachfragen, erhalten ihn auch. Etwa die Hälfte der Anträge der Unternehmen lehnt AGCS laut eigenen Angaben ab, weil ihre IT-Sicherheitsvorkehrungen nicht weit genug gediehen und damit die Risiken für den Versicherer selbst offenbar zu groß sind.

Auf die Pandemie sind die Unternehmen inzwischen vorbereitet

Während viele Unternehmen für eine mögliche digitale Pandemie noch nicht gerüstet sind, ist es bei der Corona-Pandemie anders. 80 Prozent der befragten Unternehmen sahen sich gut gewappnet  für erneute Ausbrüche, nur 11 Prozent sahen sich noch nicht ausreichend vorbereitet. Die Sorge der Unternehmen, vor allem mit Blick auf Gesundheit und Arbeitskräfte ab, nehme ab, sagt AGCS-Experte Jürgen Wiemann, Leiter Sachversicherung Zentral und Osteuropa.

Der Versicherer hatte die Unternehmen allerdings bereits im November und Anfang Dezember befragt, als die Omikron-Variante noch nicht so stark verbreitet war. Wiemann räumt er ein: Dies könnte die Einschätzung der Befragten mit beeinflusst haben.

Die deutschen Befragten sorgten sich damals übrigens um noch eine Reihe weiterer Probleme mehr als um Corona. Neben Betriebsunterbrechungen, Cyberangriffen und Naturkatastrophen wurden auch der Klimawandel, mögliche Gesetzes- oder Regelungsänderungen, Feuer und Explosionen sowie Marktentwicklungen besorgniserregender angesehen als ein erneute große Pandemie mit kranken Mitarbeitern und Lockdown.

rei