Thought Leadership
Cybersecurity-Experten warnen vor systemischen Cyber-Risiken, die ganze Branchen lahmlegen können. Die neue Studie „Key Insights Into Systemic Cyber Risk” von CyberCube und Munich Re zeigt: Wir sind verwundbarer als gedacht – aber es gibt Hoffnung. Cybersecurity-Veteranen gestehen: “Wir haben die Cloud-Abhängigkeit unterschätzt”
Malware-Apokalypse? Nicht so unwahrscheinlich
CyberCube und Munich Re haben 93 Cybersecurity-Veteranen befragt und dabei erschreckende Erkenntnisse gewonnen. Ein weiterer WannaCry– oder NotPetya-Angriff würde die meisten Experten nicht mehr überraschen. Zum Vergleich: Diese berüchtigten Attacken infizierten jeweils maximal 0,5% aller globalen Systeme.
Die wichtigsten Ergebnisse
Weit verbreitetes Malware-Risiko
Ausmaß der Infektion: Ein weiteres Ereignis in der Größenordnung von WannaCry oder NotPetya würde für die meisten Experten nicht überraschend sein. Eine weltweite Infektionsrate von 10 % wäre überraschend, während eine Rate von 25 % wirklich schockierend wäre. Besonders brisant: Software-Schwachstellen, Supply-Chain-Updates und Betriebssystem-Lücken werden als wahrscheinlichste Angriffsvektoren identifiziert.
Wirksame Gegenmaßnahmen: Patch-Verwaltung, Netzwerksegmentierung und Datensicherung werden als die wirksamsten Schutzmaßnahmen angesehen, die Unternehmen gegen weit verbreitete Malware-Angriffe haben. Wenn sie effektiv eingesetzt werden, können sie die Wahrscheinlichkeit, von einem weit verbreiteten Malware-Angriff betroffen zu sein, um 50 bis 80 % verringern und die finanziellen Auswirkungen eines solchen Ereignisses um einen ähnlichen Betrag reduzieren.
Cloud Risiko
Wachsende und vielseitige Abhängigkeit: In den meisten Branchen ist die Abhängigkeit von Cloud-Diensten mittlerweile mindestens mittelgroß, wobei kritische Geschäftsabläufe zunehmend von ihnen abhängen. Die Abhängigkeit nimmt tendenziell mit der Unternehmensgröße ab, wobei Kleinstunternehmen größere Unterschiede aufweisen.
Dauer und Auswirkungen von Ausfällen: Cybersecurity-Experten gehen davon aus, dass Ausfälle von Cloud-Diensten Stunden bis Tage dauern können, wobei Ausfälle von mehr als 72 Stunden als selten, aber möglich gelten.
Schutzmaßnahmen: Die beste Schutzmaßnahme gegen Cloud-Ausfälle ist eine Multi-Region-Architektur bei den Cloud-Service-Providern (CSPs), die für geschäftskritische Anwendungen genutzt werden. Mehrere Cloud-Anbieter zu nutzen, hat sich als unwirksam erwiesen, da sie meist für verschiedene Zwecke eingesetzt werden und ein Wechsel im Ernstfall kaum umsetzbar ist.
Wahrgenommene Widerstandsfähigkeit: Die drei weltweit führenden Cloud-Anbieter werden als am besten darauf vorbereitet angesehen, sich gegen einen größeren Cloud-Ausfall zu wappnen und sich von einem solchen Ereignis zu erholen.
Neu auftretende Risiken
Geräte des Internets der Dinge (IoT) und große Sprachmodelle (LLM) gelten als die unmittelbarsten neuen Risikobereiche, die Anlass zur Sorge geben.
(Bildquelle: Key insights into systemic cyber risk von CyberCube und Munich Re, 2025, Seite 4)
Cloud-Abhängigkeit erreicht kritisches Level
Die Cloud-Abhängigkeit hat dramatische Ausmaße erreicht. IT-, Telekommunikations- und Finanzunternehmen zeigen „hohe” oder „sehr hohe” Abhängigkeiten von Cloud-Services. Selbst traditionelle Branchen wie Energie und Industrie weisen mittlerweile „mittlere” Abhängigkeiten auf.
Besonders spannend: Cloud-Praktiker schätzen die Abhängigkeit ihrer Unternehmen höher ein (40-90% geschäftskritischer Funktionen) als Risikomanager (35-75%). Diese Diskrepanz deutet auf unterschiedliche Wahrnehmungen der Cloud-Kritikalität hin.
Schutzmaßnahmen: Die Hygiene macht’s
Bei den Schutzmaßnahmen zeigt sich ein klares Bild: Patch-Management, Netzwerk-Segmentierung und aktuelle Backups gelten als effektivste Strategien. Experten schätzen, dass Unternehmen mit starker Cyber-Hygiene ihre Wahrscheinlichkeit, von Malware betroffen zu werden, um 50-80% reduzieren können.
Interessant dabei: Obwohl Social Engineering als Top-Angriffsvektor gilt, wird Security-Awareness-Training nur als „einigermaßen effektiv” bewertet. Hier klafft eine Lücke zwischen Bedrohungserkennung und Vertrauen in Schutzmaßnahmen.
Cloud-Ausfälle: Stunden bis Tage der Finsternis
Cloud-Ausfälle könnten Stunden bis Tage andauern, wobei Ausfälle über 72 Stunden als selten, aber möglich gelten. Ein eintägiger Ausfall des wichtigsten Cloud-Providers würde etwa 1% des Jahresumsatzes kosten. Bei fünftägigen Ausfällen steigen die Verluste um mindestens Faktor 7.
Die beste Schutzstrategie: Multi-Region-Architekturen beim gleichen Cloud-Provider. Mehrere verschiedene Provider zu nutzen bringt wenig, da Unternehmen sie meist für unterschiedliche Zwecke einsetzen.
Emerging Risks: IoT und KI im Fokus
Als größte aufkommende Bedrohungen sehen Experten IoT-Geräte und Large Language Models. Während LLMs bereits heute Auswirkungen zeigen – etwa bei der Skalierung von Spear-Phishing-Operationen – wird AGI als größere Sorge in fünf oder mehr Jahren betrachtet.
Die Studie basiert auf Befragungen zwischen April und September 2024 und reflektiert die Expertise von Fachleuten aus Unternehmen wie Google, CrowdStrike und Deloitte.
Zum Download der Studie Key Insights Into Systemic Cyber Risk
