Technologie ist ein wichtiger Aspekt des politischen und wirtschaftlichen Wandels, die beiden Hauptgründe für die steigende Unberechenbarkeit für Unternehmen, wie es der Unvorhersagbarkeitsindex (Unpredictability Index) von QBE zeigt. Soziale Medien verändern die politische Debatte während gleichzeitig erwartet wird, dass neue Technologien, wie z. B. selbstfahrende Autos, Roboter und künstliche Intelligenz das Leben der Menschen spürbar beeinflussen werden. McKinsey zufolge werden
ca. 60 % aller Berufe in irgendeiner Weise von der Automatisierung betroffen sein. Gleichzeitig könnten bis 2030 bis zu 800 Millionen der derzeitigen Arbeitsplätze verschwunden sein.
Technologie steht derzeit für die meisten Unternehmen im Mittelpunkt. Sie treibt den Betrieb, die Lieferketten und den Vertrieb voran. Das Tempo, mit dem neue Technologien angenommen werden, scheint jedoch die technischen Fähigkeiten und die im Bereich der
800 Millionen
der derzeitigen Arbeitsplätze verschwunden sein.
Cyber-Sicherheit der meisten Nutzer und Unternehmen zu übertreffen. Viele verstehen weder, was Cyber-Kriminalität für sie bedeutet, noch ahnen sie, welchen Einfluss diese auf ihr Unternehmen haben wird, sollte etwas schiefgehen. Rückblickend erscheinen viele Cyber-Vorfälle vorhersehbar und sogar vermeidbar. Und doch ist es im Vergleich zu Risiken, wie Naturkatastrophen oder Feuer, mit denen wir vertraut sind und für die auf der Grundlage historischer Daten Modelle erstellt werden können, besonders schwer, das Cyber-Risiko zu ermitteln. Es ist
sehr schwer vorherzusagen, wann, wo und wie ein Cyber-Vorfall auftreten wird. Selbst wo wahrscheinliche Szenarien identifiziert werden können, kann es schwierig sein, die wahrscheinlichen Folgen und möglichen finanziellen Verluste vorauszusehen und zu berechnen.
1 Weltwirtschaftsforum Globale Risiken, 2019 PwC-Umfrage. https://www.ferma.eu/2018-european-risk-manager-report
Technologie ist ein wichtiger Aspekt des politischen und wirtschaftlichen Wandels, die beiden Hauptgründe für die steigende Unberechenbarkeit für Unternehmen, wie es der Unvorhersagbarkeitsindex (Unpredictability Index) von QBE zeigt. Soziale Medien verändern die politische Debatte während gleichzeitig erwartet wird, dass neue Technologien, wie z. B. selbstfahrende Autos, Roboter und künstliche Intelligenz das Leben der Menschen spürbar beeinflussen werden. McKinsey zufolge werden ca. 60 % aller Berufe in irgendeiner Weise von der Automatisierung betroffen sein. Gleichzeitig könnten bis 2030 bis zu 800 Millionen der derzeitigen Arbeitsplätze verschwunden sein.
Technologie steht derzeit für die meisten Unternehmen im Mittelpunkt. Sie treibt den Betrieb, die Lieferketten und den Vertrieb voran. Das Tempo, mit dem neue Technologien angenommen werden, scheint jedoch die technischen Fähigkeiten und die im Bereich der
800 Millionen
der derzeitigen Arbeitsplätze verschwunden sein.
Cyber-Sicherheit der meisten Nutzer und Unternehmen zu übertreffen. Viele verstehen weder, was Cyber-Kriminalität für sie bedeutet, noch ahnen sie, welchen Einfluss diese auf ihr Unternehmen haben wird, sollte etwas schiefgehen. Rückblickend erscheinen viele Cyber-Vorfälle vorhersehbar und sogar vermeidbar. Und doch ist es im Vergleich zu Risiken, wie Naturkatastrophen oder Feuer, mit denen wir vertraut sind und für die auf der Grundlage historischer Daten Modelle erstellt werden können, besonders schwer, das Cyber-Risiko zu ermitteln. Es ist sehr schwer vorherzusagen, wann, wo und wie ein Cyber-Vorfall auftreten wird. Selbst wo wahrscheinliche Szenarien identifiziert werden können, kann es schwierig sein, die wahrscheinlichen Folgen und möglichen finanziellen Verluste vorauszusehen und zu berechnen.
1 Weltwirtschaftsforum Globale Risiken, 2019 PwC-Umfrage. https://www.ferma.eu/2018-european-risk-manager-report
Unternehmen können nicht wissen, wie stark sie betroffen sein werden oder welche Auswirkungen ein Cyber-Vorfall auf sie haben wird. Und da jedes Unternehmen seine eigene IT-Umgebung hat, ist es schwierig, von der Erfahrung anderer zu lernen.
Mit Cyber-Risiken mitzuhalten ist ebenfalls eine Herausforderung. Cyber-Kriminalität ist ein nie endendes Rennen, in dem Hacker immer einen Schritt voraus sind und neue Schwachstellen an unerwarteten Stellen auftreten können. Das Ausnutzen von
IdD-Geräten und Schwachstellen in der Hardware (wie z. B. die Bedrohung durch Meltdown und Spectre im Jahr 2018) gehört zu den zunehmenden Gefahren, während sich nun die Aufmerksamkeit auch auf Cyber-Angriffe durch
künstliche Intelligenz richtet. Wie gut die Schutzvorrichtungen eines Unternehmens auch sein mögen, es wird nie immun gegen Cyber-Angriffe sein.
Die Auswirkungen eines Cyber-Angriffs vorauszusagen ist besonders schwer, da selbst die Folgen für den gleichen Vorfall von Unternehmen zu Unternehmen stark variieren. Der NotPetya-Malware-Angriff im Jahr 2017 führte zum Beispiel bei einer Reihe von Unternehmen zu massiven Unterbrechungen, während andere Unternehmen in der gleichen Branche nicht betroffen waren.
Umfang und Interkonnektivität verstärken die Unvorhersehbarkeit – die Verletzung der Datensicherheit in den Marriott-Hotels betraf im
letzten Jahr 500 Millionen Menschen und der Angriff durch die WannaCry-Ransomware im Jahr 2017 betraf geschätzte 300.000 Computer in 150 Ländern. Nach einer kürzlich durchgeführten Untersuchung von Lloyd‘s of London könnte ein großer weltweiter Malware-Angriff mehr als 600.000 Unternehmen weltweit betreffen und über 193 Milliarden USD kosten, d. h. so viel wie eine schwere Naturkatastrophe.
Unternehmen können nicht wissen, wie stark sie betroffen sein werden oder welche Auswirkungen ein Cyber-Vorfall auf sie haben wird. Und da jedes Unternehmen seine eigene IT-Umgebung hat, ist es schwierig, von der Erfahrung anderer zu lernen.
Mit Cyber-Risiken mitzuhalten ist ebenfalls eine Herausforderung. Cyber-Kriminalität ist ein nie endendes Rennen, in dem Hacker immer einen Schritt voraus sind und neue Schwachstellen an unerwarteten Stellen auftreten können. Das Ausnutzen von
IdD-Geräten und Schwachstellen in der Hardware (wie z. B. die Bedrohung durch Meltdown und Spectre im Jahr 2018) gehört zu den zunehmenden Gefahren, während sich nun die Aufmerksamkeit auch auf Cyber-Angriffe durch künstliche Intelligenz richtet. Wie gut die Schutzvorrichtungen eines Unternehmens auch sein mögen, es wird nie immun gegen Cyber-Angriffe sein.
Die Auswirkungen eines Cyber-Angriffs vorauszusagen ist besonders schwer, da selbst die Folgen für den gleichen Vorfall von Unternehmen zu Unternehmen stark variieren. Der NotPetya-Malware-Angriff im Jahr 2017 führte zum Beispiel bei einer Reihe von Unternehmen zu massiven Unterbrechungen, während andere Unternehmen in der gleichen Branche nicht betroffen waren.
Umfang und Interkonnektivität verstärken die Unvorhersehbarkeit – die Verletzung der Datensicherheit in den Marriott-Hotels betraf im letzten Jahr 500 Millionen Menschen und der Angriff durch die WannaCry-Ransomware im Jahr 2017 betraf geschätzte 300.000 Computer in 150 Ländern. Nach einer kürzlich durchgeführten Untersuchung von Lloyd‘s of London könnte ein großer weltweiter Malware-Angriff mehr als 600.000 Unternehmen weltweit betreffen und über 193 Milliarden USD kosten, d. h. so viel wie eine schwere Naturkatastrophe.
Ein Hersteller könnte z. B. in der Lage sein, einen Produktionsausfall auszugleichen, ihm könnten aber zusätzliche Kosten für Ausweichlösungen entstehen oder Geschäftsmöglichkeiten entgehen. Im vergangenen Jahr war der Halbleiterhersteller TSMC von einer Malware betroffen, was zu einem geschätzten Umsatzverlust von 3 % und zusätzlichen Kosten führte. Der Reederei Maersk und dem Logistikunternehmen FedEx entstanden durch den NotPetya-Angriff durch die Unterbrechung des Geschäftsbetriebs und den damit verbundenen zusätzlichen Kosten Verluste von je 300 Millionen USD, der Lebensmittelhersteller Mondelez wies im Zusammenhang mit dem Angriff Verluste von über 100 Millionen USD aus.
Als Versicherungsgesellschaft für Cyber-Risiken sehen wir viele Vorfälle, bei denen Unternehmen die Konsequenzen eines Cyber-Vorfalls nicht vollständig verstanden haben. Auch wenn sich ein Unternehmen auf mögliche Angriffe vorbereitet, ist es in der Praxis schwer, die Leistung der Kontinuitätspläne von Unternehmen vorherzusagen. So ist z. B. der Neustart von Systemen in einer kontrollierten Umgebung völlig anders als der Neustart nach einem Ausfall oder einem Angriff einer Erpressersoftware.
Ein Hersteller könnte z. B. in der Lage sein, einen Produktionsausfall auszugleichen, ihm könnten aber zusätzliche Kosten für Ausweichlösungen entstehen oder Geschäftsmöglichkeiten entgehen. Im vergangenen Jahr war der Halbleiterhersteller TSMC von einer Malware betroffen, was zu einem geschätzten Umsatzverlust von 3 % und zusätzlichen Kosten führte. Der Reederei Maersk und dem Logistikunternehmen FedEx entstanden durch den NotPetya-Angriff durch die Unterbrechung des Geschäftsbetriebs und den damit verbundenen zusätzlichen Kosten Verluste von je 300 Millionen USD, der Lebensmittelhersteller Mondelez wies im Zusammenhang mit dem Angriff Verluste von über 100 Millionen USD aus.
Als Versicherungsgesellschaft für Cyber-Risiken sehen wir viele Vorfälle, bei denen Unternehmen die Konsequenzen eines Cyber-Vorfalls nicht vollständig verstanden haben. Auch wenn sich ein Unternehmen auf mögliche Angriffe vorbereitet, ist es in der Praxis schwer, die Leistung der Kontinuitätspläne von Unternehmen vorherzusagen. So ist z. B. der Neustart von Systemen in einer kontrollierten Umgebung völlig anders als der Neustart nach einem Ausfall oder einem Angriff einer Erpressersoftware.
Neue Vorschriften und ungeprüfte Gesetze schaffen für viele Unternehmen Ungewissheit, von der Größe der Strafen bis hin zur Entschädigung der betroffenen Personen. Das ist bereits in der Datenschutz-Grundverordnung der EU (DSGVO) erkennbar, die im Mai 2018 strenge Vorschriften für den Datenschutz und den Schutz der Privatsphäre eingeführt hat. Die DSGVO verleiht Aufsichtsbehörden größere Befugnisse und den Verbrauchern bessere Rechte. Es
wird jedoch mehrere Jahre dauern, bis die Auswirkungen der DSGVO vollständig verstanden werden.
Rechtsstreitigkeiten sind ebenfalls ein neuer Bereich für die Cyber-Kriminalität, in dem wir einen hohen Grad von Unsicherheit beobachten können. Die DSGVOsteckt zum Beispiel noch in den Kinderschuhen. Wie die Aufsichtsbehörden die neuen Gesetze zum Datenschutz und Schutz der Privatsphäre durchsetzen werden, wird jedoch für
die Unternehmen in und außerhalb der Europäischen Union eine bedeutende Rolle spielen. Die DSGVO gilt für Unternehmen, die überall in der Welt Daten aus der EU verarbeiten. Eine steigende Anzahl von Ländern versucht nunähnliche Anforderungen einzuführen.
Gerichtsverfahren sind ein sich ebenfalls entwickelndes Gebiet im Cyber-Bereich. Bisher haben wir noch kein großes Volumen an Rechtsstreitigkeiten gesehen, aber es besteht für die Zukunft eindeutig das Potenzial für eine weitaus größere Haftung gegenüber Dritten. Gesetze wie die DSGVO erleichtern es dem Einzelnen nach einem Cyber-Vorfall eine Entschädigung einzufordern. Dazu gehört auch Schadenersatz für nicht-finanzielle Schäden, wie seelisches Leid. Die Einstellung zur Privatsphäre
Zu den Ersten gehören, die gleich nach der Veröffentlichung eine Kopie des QBE Unpredictability Index erhalten.
und Betriebsunterbrechung ändert sich und eine wachsende Anzahl von Cyber-Vorfällen führt zu Sammelklagen, mit denen Investoren und Verbraucher Schadenersatz für die erlittenen Schäden fordern.
Neue Vorschriften und ungeprüfte Gesetze schaffen für viele Unternehmen Ungewissheit, von der Größe der Strafen bis hin zur Entschädigung der betroffenen Personen. Das ist bereits in der Datenschutz-Grundverordnung der EU (DSGVO) erkennbar, die im Mai 2018 strenge Vorschriften für den Datenschutz und den Schutz der Privatsphäre eingeführt hat. Die DSGVO verleiht Aufsichtsbehörden größere Befugnisse und den Verbrauchern bessere Rechte. Es wird jedoch mehrere Jahre dauern, bis die Auswirkungen der DSGVO vollständig verstanden werden.
Rechtsstreitigkeiten sind ebenfalls ein neuer Bereich für die Cyber-Kriminalität, in dem wir einen hohen Grad von Unsicherheit beobachten können. Die DSGVOsteckt zum Beispiel noch in den Kinderschuhen. Wie die Aufsichtsbehörden die neuen Gesetze zum Datenschutz und Schutz der Privatsphäre durchsetzen werden, wird jedoch für die Unternehmen in und außerhalb der Europäischen Union eine bedeutende Rolle spielen. Die DSGVO gilt für Unternehmen, die überall in der Welt Daten aus der EU verarbeiten. Eine steigende Anzahl von Ländern versucht nunähnliche Anforderungen einzuführen.
Gerichtsverfahren sind ein sich ebenfalls entwickelndes Gebiet im Cyber-Bereich. Bisher haben wir noch kein großes Volumen an Rechtsstreitigkeiten gesehen, aber es besteht für die Zukunft eindeutig das Potenzial für eine weitaus größere Haftung gegenüber Dritten. Gesetze wie die DSGVO erleichtern es dem Einzelnen nach einem Cyber-Vorfall eine Entschädigung einzufordern. Dazu gehört auch Schadenersatz für nicht-finanzielle Schäden, wie seelisches Leid. Die Einstellung zur Privatsphäre
und Betriebsunterbrechung ändert sich und eine wachsende Anzahl von Cyber-Vorfällen führt zu Sammelklagen, mit denen Investoren und Verbraucher Schadenersatz für die erlittenen Schäden fordern.
Zu den Ersten gehören, die gleich nach der Veröffentlichung eine Kopie des QBE Unpredictability Index erhalten.
93%
der Risikomanager eng mit ihren Kollegen in den Bereichen IT und Cyber-Sicherheit zusammenarbeiten
37%
bereits vor der Einführung neuer Technologien durch das Unternehmen Risiken identifizieren und einschätzen
Bewährte Methoden für das Risikomanagement können zum Beispiel Unternehmen und Ihren Vorständen helfen, wenn diese sich für den Einsatz neuer Technologien und die Digitalisierung entscheiden. Eine Umfrage der Federation of Risk Management Associations (FERMA - Verbund der Risikomanagementverbände) unter Risikomanagern ergab, dass nun 93 % der Risikomanager eng mit ihren Kollegen in den Bereichen IT und Cyber-Sicherheit zusammenarbeiten und 37 % bereits vor der Einführung neuer Technologien durch das
Unternehmen Risiken identifizieren und einschätzen.
Die Digitalisierung steht noch ganz am Anfang. Aber mit zunehmender Erfahrung werden Unternehmen Cyber-Risiken und Präventionen besser verstehen. In der Zwischenzeit gibt es Maßnahmen, die Unternehmen ergreifen können, um das Risiko zu reduzieren. Neben den grundlegenden Maßnahmen im Bereich der Cyber-Sicherheit, wie z. B. Penetrationstests, Patches und Schulungen, kann die Vorbereitung auf einen Cyber-Vorfall, wie einen
Ausfall oder eine Verletzung der Datensicherheit, die Auswirkungen erheblich mindern.
Auf der Führungsebene sollten Unternehmen die Was-wäre-wenn-Fragen einer Verletzung der Datensicherheit oder eines Ausfalls durchspielen und Daten, Dienste und Dritte ausmachen, die für ihr Unternehmen entscheidend sind. Es ist lohnenswert , sich rechtzeitig die Zeit zu nehmen und mögliche Szenarien durchzuspielen, Maßnahmen für den Ernstfall vorzubereiten und Kontinuitätspläne
93%
der Risikomanager eng mit ihren Kollegen in den Bereichen IT und Cyber-Sicherheit zusammenarbeiten
37%
bereits vor der Einführung neuer Technologien durch das Unternehmen Risiken identifizieren und einschätzen
Bewährte Methoden für das Risikomanagement können zum Beispiel Unternehmen und Ihren Vorständen helfen, wenn diese sich für den Einsatz neuer Technologien und die Digitalisierung entscheiden. Eine Umfrage der Federation of Risk Management Associations (FERMA - Verbund der Risikomanagementverbände) unter Risikomanagern ergab, dass nun 93 % der Risikomanager eng mit ihren Kollegen in den Bereichen IT und Cyber-Sicherheit zusammenarbeiten und 37 % bereits vor der Einführung neuer Technologien durch das
Unternehmen Risiken identifizieren und einschätzen.
Die Digitalisierung steht noch ganz am Anfang. Aber mit zunehmender Erfahrung werden Unternehmen Cyber-Risiken und Präventionen besser verstehen. In der Zwischenzeit gibt es Maßnahmen, die Unternehmen ergreifen können, um das Risiko zu reduzieren. Neben den grundlegenden Maßnahmen im Bereich der Cyber-Sicherheit, wie z. B. Penetrationstests, Patches und Schulungen, kann die Vorbereitung auf einen Cyber-Vorfall, wie einen
Ausfall oder eine Verletzung der Datensicherheit, die Auswirkungen erheblich mindern.
Auf der Führungsebene sollten Unternehmen die Was-wäre-wenn-Fragen einer Verletzung der Datensicherheit oder eines Ausfalls durchspielen und Daten, Dienste und Dritte ausmachen, die für ihr Unternehmen entscheidend sind. Es ist lohnenswert , sich rechtzeitig die Zeit zu nehmen und mögliche Szenarien durchzuspielen, Maßnahmen für den Ernstfall vorzubereiten und Kontinuitätspläne
auszuarbeiten. Erfahrungen haben gezeigt, dass eine gute Vorbereitung die Auswirkungen einer Verletzung der Datensicherheit wesentlich reduzieren kann. Durch die Verbesserung der allgemeinen Widerstandsfähigkeit sollte ein Unternehmen in der Lage sein, auf einen Cyber-Vorfall zu reagieren, egal wie unerwartet dieser auch eintreffen mag.
Technologie kann Unternehmen ebenfalls helfen, indem sie Mittel bereitstellt, mit denen Cyber-Risiken eingeschätzt und quantifiziert werden können. Plattformen für die Einschätzung von Cyber-Risiken können bereits jetzt das Risiko eines Cyber-Angriffs auf ein Unternehmen und die Sicherheitsstruktur des
Unternehmens einschätzen und dabei helfen, Verluste zu quantifizieren oder Lieferketten aufzuzeichnen. Solche Hilfsmittel befinden sich in der frühen Entwicklungsphase, werden jedoch in den kommen Jahren mit Sicherheit unverzichtbar werden.
Unternehmen können das Risiko auch auf die Versicherungsbranche übertragen, ihre Dienstleistungen nutzen und auf ihr Fachwissen zurückgreifen. Versicherungsprodukte für den Bereich Cyber-Sicherheit werden kontinuierlich verbessert und bringen zusätzliche Gewissheit, wenn Unternehmen in neue Technologien und digitale Geschäftsmodelle investieren.
auszuarbeiten. Erfahrungen haben gezeigt, dass eine gute Vorbereitung die Auswirkungen einer Verletzung der Datensicherheit wesentlich reduzieren kann. Durch die Verbesserung der allgemeinen Widerstandsfähigkeit sollte ein Unternehmen in der Lage sein, auf einen Cyber-Vorfall zu reagieren, egal wie unerwartet dieser auch eintreffen mag.
Technologie kann Unternehmen ebenfalls helfen, indem sie Mittel bereitstellt, mit denen Cyber-Risiken eingeschätzt und quantifiziert werden können. Plattformen für die Einschätzung von Cyber-Risiken können bereits jetzt das Risiko eines Cyber-Angriffs auf ein Unternehmen und die Sicherheitsstruktur des
Unternehmens einschätzen und dabei helfen, Verluste zu quantifizieren oder Lieferketten aufzuzeichnen. Solche Hilfsmittel befinden sich in der frühen Entwicklungsphase, werden jedoch in den kommen Jahren mit Sicherheit unverzichtbar werden.
Unternehmen können das Risiko auch auf die Versicherungsbranche übertragen, ihre Dienstleistungen nutzen und auf ihr Fachwissen zurückgreifen. Versicherungsprodukte für den Bereich Cyber-Sicherheit werden kontinuierlich verbessert und bringen zusätzliche Gewissheit, wenn Unternehmen in neue Technologien und digitale Geschäftsmodelle investieren.
Melden Sie sich an, wenn Sie zukünftige Artikel aus der Reihe zum Thema Unvorhersehbarkeit und weitere Gedanken, Berichte oder Erkenntnisse dazu von QBE erhalten möchten.