Epp begann seinen Vortrag mit einem eindrücklichen Beispiel: JoeBot, eine KI, die beim Online-Spiel Counter-Strike binnen kürzester Zeit das Spielverhalten von Profispielern imitieren konnte – präzise, adaptiv, gnadenlos effizient. Was in der Gaming-Welt beeindruckt, ist im Cyberraum brandgefährlich. Der Bogen spannte sich von der bekannten Carbanak-Bande, die über 100 Banken weltweit um Milliarden betrogen haben soll, bis hin zu modernen Angriffen wie der Scarleteel-Kampagne, bei der in nur 220 Sekunden sensible Daten erbeutet wurden – vom Erstzugriff bis zur Extraktion.

Die Bedrohungslage wird zusätzlich durch die geopolitische Entwicklung verschärft. Epp verwies auf den „China-Faktor“ – von Industriespionage über gezielte IP-Diebstähle bis hin zu digitaler Präpositionierung. Sektoren wie Wind- und Solarenergie seien bereits Ziel solcher Operationen. Der Cyberraum wird zum geopolitischen Schlachtfeld, auf dem nicht mehr nur Staaten agieren, sondern zunehmend auch autonome Systeme.

Zudem leidet die technische Grundlage vieler Unternehmen an strukturellen Schwächen: 92 % der erfolgreichen Ransomware-Angriffe erfolgen über unverwaltete Geräte, 97 % der Zugriffsrechte auf Workload-Identitäten bleiben ungenutzt, über 60 % aller Container leben weniger als eine Minute – perfekte Bedingungen für Angreifer, die kaum Spuren hinterlassen. Besonders beunruhigend: 77 % des Codes in heutigen Anwendungen stammt aus Open-Source-Quellen, und 74 % davon enthalten bekannte Schwachstellen. Die Risiken entlang der gesamten Software-Supply-Chain explodieren – etwa durch kompromittierte Tools wie „zx utils“.

Gleichzeitig verändert Künstliche Intelligenz die Angriffs- wie Verteidigungsseite radikal. Während Sicherheitsabteilungen früher noch mit Hackern und später mit Softwareentwicklern Schritt halten mussten, stehen sie ab 2025 zunehmend im Wettbewerb mit KI-Agenten. Autonome Hacking-Systeme sind keine Zukunftsvision mehr – sie werden bereits heute in simulierten Cyber-Ranges getestet, mit realistischen Szenarien und echten Zielumgebungen. OpenAI-Modelle wie o3 beweisen bereits ihre Effizienz in über 100 simulierten, multidisziplinären Cyberübungen.

Auch das Vertrauen in die digitale Identität erodiert. Prominente Beispiele wie der Deepfake-Angriff auf den Bayer-CEO zeigen: Die „menschliche Firewall“ wird durch täuschend echte Videos, Stimmen und Bots systematisch ausmanövriert. Die KI-Systeme werden so leistungsfähig und zugänglich, dass sie von jedermann eingesetzt werden können – für gute wie für zerstörerische Zwecke. Die Fähigkeit von KI, Aufgaben zu übernehmen, verdoppelt sich aktuell alle sieben Monate.

Was also tun in einem Umfeld, das sich schneller verändert als jede Abwehrmaßnahme greifen kann? Sergej Epp skizzierte eine neue Verteidigungsphilosophie: Zero Trust muss der Grundsatz jedes Unternehmens werden. Jeder Mitarbeitende wird als potenzieller Insider behandelt, jede Anwendung als kompromittiert, jeder Lieferant als Einfallstor. Digitale Identität – von Mensch und Maschine – muss neu gedacht, konsequent überwacht und permanent erneuert werden. Sicherheitsstrategien müssen nicht nur mithalten, sondern sich radikal neu erfinden. Wer sich nicht laufend anpasst, wird vom Sturm mitgerissen.

Epps Fazit: Die Zukunft gehört denjenigen, die den Wandel antizipieren, nicht denjenigen, die nur reagieren. Die neue Realität ist da – und sie ist schneller, intelligenter und gefährlicher als je zuvor.

Die wahrscheinlichsten Ziele sind nach Ansicht der internationalen Ratingagentur Moody’s Investors Service Banken, Kryptowährungsplattformen und geistiges Eigentum von Unternehmen. Diese Risiken verstärken die wachsende Besorgnis über eine weltweite Eskalation von Cyber-Bedrohungen.

Robuste Cybersicherheitspraktiken werden eine Schlüsselrolle dabei spielen, so die Einschätzung der Analysten, Schuldtitelemittenten widerstandsfähiger gegen Cyberangriffe zu machen, insbesondere in kritischen Infrastruktursektoren: „Unsere Emittentenumfragen zum Cyber-Risiko zeigen, dass grundlegendes Cybersicherheitsmanagement unter den kritischen Infrastruktursektoren eine relative Stärke für die Finanzdienstleistungs- und Verteidigungsindustrie ist.“

Im Gegensatz dazu hinkt das Cybersicherheitsmanagement bei regionalen und lokalen Regierungen und anderen Arten von öffentlichen Einrichtungen im Vergleich zu dem anderer kritischer Infrastruktursektoren hinterher, warnt die Ratingagentur.

Seit Beginn des militärischen Konflikts seien bisher keine Fälle von störenden, staatlich geförderten Cyberangriffen innerhalb oder außerhalb der Ukraine bekannt geworden. Für die Ukraine selbst haben die Cybersicherheitshilfe der NATO und die anhaltende Unterstützung von Technologieunternehmen wie Microsoft wahrscheinlich ihre Cyberabwehr gestärkt, glauben die Analysten.

Als Beispiel führen sie die Abstimmung der NATO-Staaten vom 4. März 2022 an, in der diese einstimmig dafür gestimmt haben, die Ukraine in ihr Cooperative Cyber ​​​​Defense Center of Excellence (CCDCOE) aufzunehmen. Das soll der Ukraine helfen, ihre Verteidigung gegen potenzielle Cyberangriffe aus Russland zu verbessern.

Moody’s Analysten halten Berichte für glaubhaft, dass es jedoch nichtstaatliche Cyber-Aktivitäten von pro-ukrainischen freiwilligen Hackern und Drohungen von pro-russischen Akteuren gibt, die sich an alle Länder richten, die versuchen könnten, Russlands kritische Infrastruktur anzugreifen.

Cyberangriffe auf Belästigungsebene sind in der Regel von kurzer Dauer, ohne dauerhafte Auswirkungen auf die angegriffenen Einheiten, und können im Allgemeinen durch starke Cybersicherheit verhindert werden. Moody’s sieht mit Sorge, dass solche unkoordinierten Angriffe die Feindseligkeiten eskalieren könnten, wenn sie Schäden an kritischer Infrastruktur verursachen, insbesondere weil diese Art von Angriffen schwer schnell und genau zuzuordnen sind.

Die Niederlassungen des Unternehmens in Hongkong, Malaysia, Thailand und auf den Philippinen wurden Berichten zufolge von einer Cybercrime-Bande namens Avaddon angegriffen, die in einem Dark Web-Post behauptete, drei Terabyte an Daten aus dem Unternehmen gestohlen zu haben. „Zu den Informationen gehörten personenbezogene Daten von Kunden, einschließlich Scans von Pässen und Ausweisdokumenten, und Krankenakten, Krankenhausrechnungen und Schadensmeldungen von Kunden. Bislang hat AXA noch keine Informationen über die Höhe des geforderten Lösegelds bekannt gegeben und auch nicht darüber, ob das Unternehmen die Absicht hat, das Lösegeld zu zahlen oder nicht.“

Cyberattacken liegen in der Natur der Cyberkriminalität. Vernachlässigte Cybersicherheitsratings treffen nun Organisationen, egal ob in der Regierung oder im privaten Sektor, die sich nun einer existenziellen Bedrohung durch Cyberkriminalität gegenübersehen. „Die Sicherung der Unternehmensinfrastruktur ist nicht mehr nur eine geschäftliche, sondern eine gesellschaftliche Frage, denn es trifft meistens die eigenen Kunden und Verbraucher, denen man vorgaukelt, dass ihre Daten sicher sind“, argumentiert Rahul Bhushan.

In diesem Jahr habe es bereits Angriffe auf Microsoft, Acer, Channel Nine und die Wasseraufbereitungsanlage in Florida gegeben, berichtet der Spezialist. Drei Viertel der Finanzunternehmen hätten einen Anstieg der Cyberangriffe gemeldet. Cyberkriminalität ist ein reales Risiko, unterstreicht Rahul Bhushan: „Mehr als das, es ist ein potenzielles systemisches Risiko. Es wird erwartet, dass die Angriffe im Laufe der Zeit immer komplexer und raffinierter werden. Das bedeutet, dass Cyberkriminalität eine allgegenwärtige Bedrohung ist; eine, die es immer geben wird.“

„Moody’s Investition in VisibleRisk entspricht unserer globalen Strategie zur integrierten Risikobewertung und konzentriert sich auf die Cybersicherheit als wichtiges Element für das Verständnis und Management von Unternehmensrisiken“, sagte David Platt, Chief Strategy Officer bei Moody’s. „Wir freuen uns, unsere Beziehung zu VisibleRisk zu vertiefen, wenn sie ihr innovatives Cyber-Rating einführen, um Kunden dabei zu helfen, ihre Cyber-Risiken besser zu verstehen und sicher zu managen.“ Für Moody’s wird die Investition mit Bargeld finanziert und es wird nicht erwartet, dass sie einen wesentlichen Einfluss auf das Finanzergebnis 2021 hat.

Die Cyber-Ratings von VisibleRisk basieren auf der Quantifizierung des Cyber-Risikos, mit der Unternehmen ihre Cyber-Risiken mit denen ihrer Wettbewerber vergleichen und die Auswirkungen von Cyber-Bedrohungen auf ihr Unternehmen besser verstehen und steuern können. Das Cyber ​​Rating kombiniert Wirtschafts-, Cybersicherheits- und Branchendaten und enthält eine ganzheitliche, validierte Reihe interner und externer Faktoren, die sich auf die Sicherheitslage eines Unternehmens auswirken, und quantifiziert diese Risiken in wirtschaftlicher Hinsicht.

„Die Übersetzung des Cyber-Risikos für Führungskräfte, die keine Domain-Experten sind, ist entscheidend für ein erfolgreiches Risikomanagement“, sagte Derek Vadala, Chief Executive Officer von VisibleRisk. „Durch die wirtschaftliche Quantifizierung des Risikos eines Unternehmens bietet VisibleRisk Entscheidungsträgern einen umsetzbaren Echtzeit-Benchmark, um das Cyber-Risiko bestmöglich zu steuern und die Widerstandsfähigkeit zu verbessern.“

Die Cyber-Ratings von VisibleRisk werden durch Echtzeitüberwachung, benutzerdefinierte Berichterstellung und Expertenanalyse verbessert und ermöglichen fundierte Entscheidungen. VisibleRisk will vollständige Transparenz über die Faktoren bieten, die ein Cyber-Rating bestimmen, einschließlich der Methodik und der Datenquellen.

„In einer Zeit intensiver digitaler Transformation, der Beschleunigung der Hyperkonnektivität und hybrider Arbeitsumgebungen ist das Vertrauen in die digitale Infrastruktur für Führungskräfte von größter Bedeutung“, sagte Nadav Zafrir, Managing Partner bei Team8. „Cyber- und Geschäftsrisiken sind untrennbar miteinander verbunden. Nur durch ein ausgewogenes Verhältnis zwischen Sicherheit, Produktivität, Datenschutz und verteiltem Arbeiten können Unternehmen diese Herausforderungen bewältigen und gleichzeitig Innovationen vorantreiben. Mit VisibleRisk können Führungskräfte das richtig machen, und wir freuen uns über das immense Potenzial des Unternehmens.“

Die Banken müssen jedoch auch ein hohes Maß an Bewusstsein für Cyber-Risiken aufrechterhalten und Maßnahmen zur Schadensbegrenzung ergreifen, um das zusätzliche Risiko zu verringern. Die groß angelegte Verlagerung auf digitales Banking und Remote-Arbeit hat den Technologiezyklus beschleunigt und die Anzahl der Banken erhöht, die auf Anfälligkeit für Cyberangriffe eingehender zu analysieren sind. Das Wachstum im Online-Banking und in der Fernarbeit seit Ausbruch der Pandemie hat in einem Maße zugenommen, dass Ratingagenturen hier vor besonderen Herausforderungen stehen.

Die Abhängigkeit der Banken von digitaler Technologie wächst, um Kunden noch bedienen und verändertem Verbraucherverhalten folgen zu können. Es hat auch die Verwendung von virtuellen privaten Netzwerken (VPNs) und ähnlicher Anwendungen und Dienste zur Unterstützung ihrer Remote-Mitarbeiter in ein neues Licht gerückt. Banken haben schnell auf diese Herausforderungen reagiert, aber ihre Bemühungen um beschleunigte Technologieentwicklungszyklen hat auch die potenzielle Anfälligkeit für Cyberangriffe erhöht.

Externe Akteure, die finanziellen Gewinn anstreben, sind die wahrscheinlichsten Cyber-Akteure, die sich an Banken wenden. Externe Akteure waren die wichtigste Tätergruppe von Cyberangriffen auf den Finanzsektor – sie verursachen 64% der Datenverletzungen, verglichen mit 35% der internen Akteure bzw. Mitarbeiter.

Cyber-Akteure versuchen am häufigsten, leicht monetisierbare Daten zu erhalten (77% der Datenschutzverletzungen), was auch durch die Tatsache veranschaulicht wird, dass Betrug bei Zahlungsvorgängen der häufigste Cyberangriffsvektor ist.

Banken haben ein gutes Bewusstsein für Cyber-Risiken und -Risikominderung entwickelt. Banken mindern das Cyber-Risiko primär durch drei Mechanismen. Der erste ist eine starke Unternehmensführung bzw. Governance, einschließlich unternehmensweiter Rahmenbedingungen für Cybersicherheit, Strategie und Durchsetzung von Richtlinien und verbesserte Berichterstattung. Der zweite ist die Risikoprävention sowie die Reaktions- und Erholungsbereitschaft. Der dritte ist der Informationsaustausch mit anderen Banken, Übernahme internationaler Standards und behördliche Aufsicht. Diese Maßnahmen in Kombination mit der Reaktionsbereitschaft der Banken haben ihr Cyber-Risikomanagement auf ein Niveau verbessert, berichtet Moody’s, das über dem der meisten anderen Sektoren liegt.

Dabei sind die Risiken auch im Cyberspace nicht zu unterschätzen. Risikoerfassung, Risikoaufbereitung, Rating und Risikoevaluierung sowie die Absicherung von sogenannten Cyberrisiken bedarf profunder Kenntnisse. Zu den Kennern der Materie gehört Thomas Pache, Diplom-Ingenieur und Diplom-Wirtschaftsingenieur, der mit rund 25 Jahren Erfahrung in der industriellen und gewerblichen Haftpflichtversicherung sich als Cyberunderwriter der ersten Stunde und Mitglied der Projektgruppen Cyber-Versicherung und die IT-Haftpflicht des Gesamtverbands der Deutschen Versicherungswirtschaft dem Thema in einer neuen Buchpublikation zugewandt hat.

Wer sich mit Cyberversicherungen beschäftigt, hat schnell 100 Fragen, für die sich oft vergeblich Antworten im Internet suchen lassen. Verlässliche Antworten will nun Thomas Pache in seinem Buch mit dem Titel “100 Fragen rund um Cyberversicherungen” geben. Sein Buch erscheint bei der VVW GmbH in Karlsruhe. Schon der Buchtitel lässt vermuten, dass es sich hier nicht um ein wissenschaftliches Werk mit vielen Fußnoten und Verweisen auf Paragraphen handelt, sondern um ein Handbuch, das Praktikern in der Beratung und Anwendung hilft.

Pache lässt es aber nicht an Genauigkeit erübrigen, sondern führt auch in die Fachterminologie ein. Ein Stichwortverzeichnis hilft, schnell Definitionen zu Fachbegriffen zu finden, die in manchen Antworten verwendet werden. So ist das Buch auch ein Nachschlagewerk mit Lexikoncharakter, das auf 142 Seiten den Leser befähigt, in der Branche mitzureden. Das Buch ist aber nicht nur für diejenigen interessant, die sich ein besseres Begriffsverständnis wünschen, sondern auch für jene, die sich unter Begriffen wie act Committed, Authentizitätsverletzung, Beteiligungskumul, Cryptomining, Integralfranchise, Kritis, Ransomware, Resilienz, Vorwärtsdeckung oder Zentralisierungsgrad bereits etwas vorstellen können und denen eine Fülle nötiger Abkürzungen wie BSI, DDoS, DRP, EnWG, ILF, ITIL, PCI-DDS oder VdS 3473 schon geläufig sind. 

Unter einer Cyberrisikenversicherung versteht Pache eine um Krisenreaktions-(Assistence-) Dienstleistungen gruppierte (überspartliche) Vermögensschadenversicherung mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund eintretender oder vermuteter Informationssicherheitsverletzungen (Datenschutz-, Datensicherheits- oder ITK-Systemsicherheitsverletzungen).

Die Cyberversicherung ist derzeit keine eigene Sparte im Sinne der Anlage 1 des Versicherungsaufsichtsgesetzes. Da Paragraph 8 des Versicherungsaufsichtsgesetzes hierauf verweist, ergibt sich zwangsläufig, dass Versicherer, die eine Cyberversicherung anbieten wollen, die Zulassung zum Geschäftsbetrieb für sämtliche von dieser Cyberversicherung umfassten Spartenrisiken gemäß Anlage 1 besitzen müssen. Das Silent Cyber Risk betrifft Versicherungsfälle in traditionellen Sparten, welche ihre Ursache in sich verwirklichenden Cyberrisiken haben. Eine Ursache kann gleich eine Reihe verschiedenster Versicherungen betreffen und somit zu bislang nicht berücksichtigten Kumulen für Versicherer und Rückversicherer führen. Das Buch von Thomas Pache betrifft somit praktisch jeden, der in der Versicherungsbranche tätig ist, gleich, ob es um Kfz-Versicherung, Feuer- und Sachversicherung, technische Versicherung oder Lebensversicherung geht.

Das Buch vermittelt nicht nur das erforderliche Fachwissen, um bei Fragen zu Cyberversicherungen mitreden zu können. Pache gibt an vielen Stellen auch konkrete Anleitungen für Versicherer und Makler, wie sie bestimmte Fragen im Kundengespräch angehen können. Eine der ersten Fragen im Gespräch mit potenziellen Cyberversicherungsneukunden, aber auch mit Maklern, die sich bis dato nicht näher mit dieser neuen Sparte befasst haben, laute in etwa wie folgt: “Wir haben doch schon die XY-Versicherung – ist das Risiko dort nicht schon versichert?” Aufgrund der Zielrichtung von Cyberversicherungen seien potentielle Doppelversicherungen mit traditionellen Spartenpolicen zwar bereits minimiert, sollte es dennoch zu einer Doppelversicherung kommen, so dürfte die Vorrangigkeit der Cyberversicherung in der Regel dazu führen, dass diese als erste leiste, so Pache.

Macht die Nutzung von Cybersicherheitsratingagenturen Sinn? Pache gibt darauf eine differenzierte Antwort, denn die meist technisch orientierten Risikoingenieure und IT-Sicherheitsfachleute stehen solchen entgeltlich angebotenen Diensten teils kritisch gegenüber. Manche Entscheider auf Versicherungsseite können sich hier doch nach Feststellung von Pache – “meist proportional zu ihrer Entfernung von der Thematik” – für diese Internet-Sicherheitsratingagenturen begeistern, bieten diese doch in der Regel eine auf Noten und Farben basierte Ampelbewertung, meist sogar in Form einer einfach zu lesenden Management-Summary. Pache positioniert sich daher zwischen glühenden Verfechtern und Gegnern der Ratingtools. Aus Sicht des Autors ist die Nutzung solcher Dienste grundsätzlich sinnvoll, da sie zum einen als Außensicht auf das zu versichernde Risiko eine nicht zu unterschätzende vertriebliche Wirkung entfalten und zum anderen Ansatzpunkte für eventuelle Nachfragen des Underwriters liefern können. Die sinnvolle Nutzung setze jedoch voraus, dass die Nutzer in Bedienung und Interpretation der Ergebnisse geschult seien, um die gelieferten Ergebnisse aus Underwriting-Sicht fachgerecht interpretieren zu können.

Obwohl sich die von Pache aufgeworfenen Fragen unabhängig voneinander stellen und sich das Buch somit insbesondere als Nachschlagewerk eignet, ist der Text auch eine kurzweilige Lektüre, wenn man das Buch von Anfang bis Ende liest, da Fragen und Antworten inhaltlich sich vielfach jeweils zu folgenden Fragen und Antworten verknüpfen. Außerdem lockern Grafiken, Tabellen und Diagramme den Text auf und machen das Lesen zur kurzweiligen Lektüre.