In einer zunehmend vernetzten Wirtschaft werden Unternehmen immer anfälliger für Störungen in ihren Betriebsabläufen. Zugleich sind sie unverändert gefährdet durch traditionelle Sorgenfaktoren wie Betriebs- und Lieferkettenunterbrechungen (46% der Antworten), Naturkatastrophen (30%) und Feuer & Explosion (27%), die in der Rangliste der größten Unternehmensrisiken weiterhin ganz oben stehen, so das Ergebnis des vierten Allianz Risk Barometer 2015. Cyberrisiken (17%) und politische Risiken (11%) sehen Unternehmen als immer stärkere Bedrohung an. Für die Studie wurden mehr als 500 Risikomanager und Experten aus der Unternehmensversicherung der Allianz Gruppe sowie aus globalen Unternehmen aus 47 Ländern befragt.
„Aufgrund der zunehmenden Verflechtung zwischen Industriesektoren und Prozessen sehen sich Unternehmen heute mit einer wachsenden Zahl von Störfaktoren konfrontiert, die zu Betriebsunterbrechungen führen können. Die negativen Effekte können sich schnell vervielfachen. Ein Risiko kann mehrere andere nach sich ziehen. Naturkatastrophen und Cyberangriffe zum Beispiel können den Betrieb nicht nur in einem einzigen Unternehmen unterbrechen, sondern eine ganze Branche oder kritische Infrastruktur betreffen”, sagt Chris Fischer Hirs, CEO von Allianz Global Corporate & Specialty SE (AGCS), dem Unternehmens- und Spezialversicherer der Allianz SE. „Das Risikomanagement muss diese neue Realität widerspiegeln. Unternehmen, die frühzeitig die Folgen von Wechselwirkungen erkennen, können Schäden minimieren oder bestenfalls sogar komplett vermeiden. Um moderne Risiken zu beherrschen, müssen Unternehmen auch die Zusammenarbeit zwischen verschiedenen Unternehmensfunktionen stärken.“
Cyberrisken in Deutschland erstmals unter den Top 3
Betriebsunterbrechungen (BU) zählen nicht nur global, sondern auch für Unternehmen in Deutschland (55%) weiterhin zu den Top-Risiken. Auf Platz 2 folgen als Aufsteiger des diesjährigen Rankings Cyberrisiken (32 %), die im Vorjahr noch auf Platz 6 und 2013 außerhalb der Top-10-Risiken rangierten. „Die deutsche Wirtschaft ist weltweit vernetzt und hoch digitalisiert und damit stark gefährdet durch Internetkriminalität”, erklärt Dr. Christopher Lohmann, CEO Germany und Zentraleuropa bei AGCS. „Die Gefahren aus dem Netz sind mittlerweile in den Vorstandsetagen angekommen. Dabei konstatieren CEOs wie CIOs die Grenzen der technischen Aufrüstung in der IT-Sicherheit.“ Einen 100-prozentigen Schutz gebe es nicht. Jedes Unternehmen müsse daher entscheiden, ob es die verbleidenden Sicherheitsrisiken selber tragen oder weitergeben möchte. Lohmann verweist auch auf den engen Zusammenhang zwischen BU und Cybergefahren. Laut einer Studie des VDMA verzeichneten bereits rund ein Drittel der deutschen Unternehmen im Maschinen- und Anlagenbau Produktionsausfälle in Folge von IT-Sicherheitsvorfällen.
Knappe Mittel und „Silo-Denke“ erschweren die Abwehr von Cyberrisiken
Auch weltweit sehen sich immer mehr Unternehmen durch die Gefahren aus dem Netz gefährdet. Im Allianz Risk Barometer 2015 finden sich Cyberkriminalität und IT-Ausfälle erstmals unter den fünf größten globalen Risiken (2014 lagen Cyberrisiken auf Platz 8, 2013 nur auf Platz 15). In Deutschland, Großbritannien und den USA zählen Cyberrisiken inzwischen zu den drei größten Geschäftsrisiken. Reputationsverluste (61%) und Betriebsunterbrechungen (49%) werden als Hauptursachen der wirtschaftlichen Schäden in Folge eines IT-Vorfalls genannt.
Obwohl das Bewusstsein für Cyberrisiken zunimmt, werden deren Folgen von vielen Unternehmen weiterhin unterschätzt, so 73% der Antworten. Knappe Mittel und eine unzureichende Risikoanalyse sind weitere Gründe, warum Unternehmen nicht besser auf die Abwehr von Cyberrisiken vorbereitet sind. „Cyberrisiken sind sehr komplex. Verschiedene Stakeholder wie IT-Sicherheitsarchitekten und Business Continuity Manager müssen ihr Wissen teilen, um Bedrohungsszenarien zu identifizieren und zu bewerten“, erläutert Jens Krickhahn, Practice Leader Cyber & Fidelity bei AGCS Financial Lines für Deutschland & Mitteleuropa. „Bislang in Silostrukturen gefangenes Wissen muss in einer ‚Denkfabrik‘ gebündelt werden, um Risiken ganzheitlich zu verstehen. Auch sollte der ‚Faktor Mensch‘ nicht unterschätzt werden, da auch Mitarbeiter fahrlässig oder absichtlich IT-Sicherheitsvorfälle verursachen können.“