Skip to main content
Marsh logo

Article

Was versteht man unter einem Cyber-Sicherheitsrisiko?

Verstehen und managen Sie Cybersecurity-Risiken, um Ihr Unternehmen vor der Möglichkeit von finanziellen Verlusten, Reputationsschäden sowie Betriebsunterbrechungen zu schützen. Erfahren Sie mehr.

10/31/2025 · 4 Min. Lesedauer

Als Cyber-Sicherheitsrisiko bezeichnet man die Gefahr von Schäden oder Verlusten, die durch Cyber-Bedrohungen entstehen und die Informationssysteme, den Datenschutz und die operative Stabilität eines Unternehmens beeinträchtigen können. Dieses Risiko umfasst die Möglichkeit finanzieller Verluste, von Reputationsschäden sowie rechtlichen und regulatorischen Konsequenzen, die aus Betriebsunterbrechungen sowie Bedrohungen für IT-Systeme und Daten resultieren können. Unter diesen Begriff fällt die Wahrscheinlichkeit von Cyber-Bedrohungen wie Hacking, Malware, Ransomware, Phishing und anderen Cyber-Angriffen, die Schwachstellen in der digitalen Infrastruktur eines Unternehmens ausnutzen, genauso wie bewusste oder unbewusste menschliche Fehler oder Unfälle.

Das Risikomanagement von Cyber-Sicherheit ist in der technologieabhängigen Geschäftswelt von heute unerlässlich und erfordert einen vielschichtigen Ansatz, der sowohl Versicherungen als auch Schadenminderung und Risikomitigation umfasst. Die Identifikation von Schwachstellen, die Bewertung möglicher Auswirkungen von Cyber-Vorfällen und die Umsetzung geeigneter Strategien zur Risikominderung sollten in einem Risikomanagement-Prozess berücksichtigt sein. Ein ganzheitlicher Ansatz beinhaltet Versicherungslösungen, Risikoberatung und Resilienzplanung – zusammen können sie Unternehmen dabei unterstützen, digitale Vermögenswerte vor Cyber-Ereignissen und anderen Risiken zu schützen und so die Geschäftskontinuität sicherzustellen.

Cyber-Sicherheitsrisiken 2026

Im sich rasant entwickelnden digitalen Umfeld wird Cyber-Sicherheit 2026 zu einem zentralen Anliegen für Unternehmen aller Branchen. Die zunehmende Abhängigkeit von komplexen Technologien in Wirtschaft und Industrie, verbunden mit immer stärker vernetzten Geräten und Cloud-Diensten, hat die Angriffsfläche für Cyber-Kriminelle vergrößert. Während Unternehmen die Vorteile der digitalen Transformation nutzen, setzen sie sich gleichzeitig neuen, wachsenden und komplexeren Cyber-Sicherheitsrisiken aus. Im Folgenden finden Sie fünf wichtige Trends für das Jahr 2026:

  1. Die Verbreitung von Künstlicher Intelligenz (KI) und maschinellem Lernen, sowohl offensiv als auch defensiv, ist ein zentraler Trend, der die Cyber-Sicherheitsstrategien 2026 prägen wird. Cyber-Kriminelle nutzen KI inzwischen, um Angriffe zu automatisieren, die Raffinesse von Phishing-Kampagnen zu erhöhen und adaptive Malware zu entwickeln, die traditionelle Erkennungsmethoden umgeht. Während Unternehmen KI zügig in ihre Geschäftsstrategien integrieren, stehen sie vor der Herausforderung, ihre Vermögenswerte auch angesichts dieser neuen Angriffsfläche zu schützen und gleichzeitig immer intelligenteren und automatisierten Bedrohungen ausgesetzt zu sein.
  2. Deepfake-Technologie wird zunehmend für Identitätsdiebstahl, Betrug, ausgefeiltere Phishing-Angriffe und Desinformationskampagnen missbraucht. Die Fähigkeit, hochrealistische, gefälschte Multimedia-Inhalte zu erstellen, kann für mittel- sowie unmittelbare Angriffe genutzt werden, untergräbt das Vertrauen in digitale Kommunikation und stellt ein zusätzliches Cyber-Sicherheitsrisiko dar.
  3. Ransomware-Angriffe entwickeln sich – teilweise durch KI und Deepfake-Technologie angetrieben – weiter hin zu vielschichtigen Erpressungstaktiken, die das finanzielle und operative Schadenpotenzial verschärfen können.
  4. Cyber-Angriffe auf Lieferketten nehmen weiter zu. Dabei nutzen Angreifer Schwachstellen bei Drittanbietern aus, um unbefugten Zugang zu anderen, oft größeren und lukrativeren Zielen zu erlangen. Die Vernetzung moderner Geschäftsökosysteme erzeugt in Lieferketten kritische Schwachpunkte.
  5. Quantencomputing stellt trotz seines frühen Entwicklungsstadiums eine existenzielle Bedrohung für bestehende kryptografische Algorithmen dar. Unternehmen müssen schnell auf quantenresistente Verschlüsselungsmethoden umstellen, um sensible Daten auch zukünftig zu schützen.

Wesentliche Bestandteile des Cyber-Sicherheitsrisikos

Es ist wichtig, die wesentlichen Grundlagen des Cyber-Sicherheitsrisikos zu verstehen, von Schwachstellen und Bedrohungen bis hin zu Angriffen und Kontrollen. Die folgenden Punkte können Unternehmen helfen, Cyber-Sicherheitsrisiken effektiv zu identifizieren, zu bewerten und zu managen:

  • Schwachstellen (Vulnerabilities) sind Schwächen oder Lücken in Systemen, Prozessen oder Kontrollen eines Unternehmens, die von Angreifern ausgenutzt werden können, so z. B. ungepatchte Software, schwache Passwörter, falsch konfigurierte Sicherheitseinstellungen und veraltete Hardware. Schwachstellen erhöhen die Wahrscheinlichkeit erfolgreicher Angriffe und machen Systeme anfälliger.
  • Bedrohungen sind potenzielle Quellen oder Akteure, die Schwachstellen ausnutzen können, um Schäden zu verursachen. Dazu gehören Cyber-Kriminelle, staatliche Akteure, Insider und Hacktivisten. Bedrohungen können Angriffe initiieren, die Systeme, Daten, Abläufe oder andere Bereiche eines Unternehmens beeinträchtigen.
  • Angriffe beschreiben böswillige Handlungen von Akteuren, die Schwachstellen ausnutzen, etwa durch Phishing-Kampagnen, Ransomware-Infektionen, Distributed Denial of Service (DDoS)-Angriffe und Datenverstöße. Angriffe können zu Datenverlusten, Betriebsstörungen, finanziellen Verlusten, regulatorischen Maßnahmen und Reputationsverlust führen.
  • Ereignisse hingegen sind Vorfälle, die ohne die Absicht erfolgen, Schaden zu verursachen oder Schwachstellen auszunutzen. Beispiele sind Systemfehlkonfigurationen, Softwarefehler und versehentliche Datenoffenlegungen durch menschliches Versagen. Im Gegensatz zu Cyber-Angriffen sind diese Ereignisse nicht von Folge von Bedrohungen und beinhalten keine böswilligen Handlungen. Dennoch können die Auswirkungen solcher Ereignisse erheblich sein.
  • Auswirkungen von Cyber-Angriffen können finanzielle Verluste, gesetzliche Sanktionen, regulatorische Bußgelder oder Vertrauensverlust beim Kunden bedeuten. Durch die Bewertung der Auswirkungen eines Cyber-Angriffs können Unternehmen ihre Risiken besser verstehen, priorisieren und gezielt in ihre Cyber-Sicherheit investieren.
  • Wahrscheinlichkeit beziffert die Möglichkeit, dass eine Bedrohung eine Schwachstelle findet und diese zu einem Angriff nutzt. Einflussfaktoren sind neben der Attraktivität und Größe des Ziels auch seine Sicherheitskontrollen, die aktuelle Bedrohungslage und die Fähigkeiten der entsprechenden Akteure. Die Einschätzung der Wahrscheinlichkeit hilft dabei, Risiken zu priorisieren und Ressourcen effektiv zu verteilen.
  • Cyber-Sicherheitsrisiko ist das Potenzial für Verlust oder Schaden, wenn eine Bedrohung eine Schwachstelle ausnutzt, und wird oft als Risiko = Wahrscheinlichkeit x Auswirkung bezeichnet. Das Verständnis dieses Risikos ermöglicht es Unternehmen, Risiken zu messen und zu vergleichen und so fundierte Entscheidungen über Strategien zur Risikominimierung zu treffen.
  • Kontrollen und Schadenminderung sind Maßnahmen, die eine Organisation ergreift, um Schwachstellen zu reduzieren, Bedrohungen zu erkennen und Angriffe zu verhindern. Dies geschieht mit dem Ziel, das Cyber-Sicherheitsrisiko auf ein akzeptables Niveau zu senken. Beispiele für Kontrollen sind Firewalls, Intrusion-Detection-Systeme, Mitarbeiterschulungen, Verschlüsselung und Notfallpläne.
  • Restrisiko ist das Risiko, das nach der Umsetzung von Kontrollen und Maßnahmen verbleibt. Es ist wichtig, das eigene Restrisiko zu kennen, da es Unternehmen hilft, Risiken zu identifizieren, die weiterhin überwacht, weiter vermindert oder auch akzeptiert werden müssen.
  • Der Lebenszyklus des Risikomanagements umfasst die Phasen Identifikation, Bewertung, Minderung, Überwachung und Überprüfung. Es ist ein kontinuierlicher Prozess, der sich an Bedrohungen und Schwachstellen anpasst und so eine dauerhafte Cyber-Resilienz sicherstellt.

Das Verständnis obiger Grundlagen bildet die Basis für ein umfassendes Verständnis von Cyber-Sicherheitsrisiken. Ihr Management umfasst nicht nur das Erkennen von Schwachstellen und Bedrohungen, sondern auch die Bewertung der Wahrscheinlichkeit, die Umsetzung von Kontrollen und die kontinuierliche Überwachung der Risikolandschaft.

Management von Cyber-Sicherheitsrisiken

Beim Management von Cyber-Sicherheitsrisiken setzen Unternehmen häufig auf technische Lösungen, darunter Hardware- und Software-Lösungen oder Penetrationstests. Viele Unternehmen haben jedoch kein umfassendes Verständnis ihres organisatorischen Cyber-Risikos und der möglichen wirtschaftlichen und operativen Auswirkungen auf ihr Geschäft.

Marsh unterstützt Kunden dabei, Cyber-Risiken im Unternehmen besser zu managen und die eigene Cyber-Resilienz zu optimieren. So können Cyber-Risiken mit szenariobasierten Schadenmodellierungen quantifiziert, potenzielle Verluste und Kosten von Cyber-Ereignissen verglichen, die Wirksamkeit von Cyber-Sicherheitskontrollen aus finanzieller Sicht bewertet und die wirtschaftliche Effizienz verschiedener Cyber-Versicherungsprogramme analysiert werden.

Ein Teil der Cyber-Resilienz besteht darin, den Cyber-Risikoappetit des Unternehmens zu bewerten und zu messen. Wichtige Fragen, die sich Unternehmen stellen sollten:

  • Welche Vermögenswerte und Dienstleistungen sind essentiell und müssen unbedingt geschützt werden?
  • Was würde es kosten – Geld, Zeit und Reputation – wenn diese Vermögenswerte und Dienstleistungen preisgegeben oder gestört würden?

Anschließend können sie entscheiden, welche Schritte und Kosten erfahrungsgemäß angemessen sind, um ihr Unternehmen zu schützen und wie sie es im Falle einer Verletzung effizient und effektiv wiederherstellen können. Dabei sollten sie:

  • sich auf die Wiederherstellung der für das Unternehmen essenziellen Abläufe konzentrieren,
  • Übungen, Lieferantenbewertungen und Fallstudien nutzen, um ihre Verteidigungs- und Wiederherstellungsmaßnahmen zu bestimmen,
  • umfassende Prozesse und Richtlinien etablieren und kommunizieren, damit jeder seine Rolle im Krisenfall kennt, sowie
  • einen Krisennotfallplan erstellen und ihn regelmäßig testen.

FAQs

Jedes Unternehmen, das Technologie oder Daten nutzt, ist Cyber-Sicherheitsrisiken ausgesetzt. Die Liste der Cyber-Risiken ist endlos und die potenziellen Störungen für Ihr Geschäft sind enorm. Aber wie jedes Geschäftsrisiko kann man auch Cyber-Sicherheitsrisiken verstehen, messen und effektiv steuern.

Cyber-Versicherungen können Unternehmen dabei helfen, Verluste und Kosten durch Datenverletzungen, Betriebsunterbrechungen, Ransomware und andere Cyber-Angriffe zu decken. Der Versicherungsschutz bietet Erstattungen für Rechtskosten, Unterstützung bei der Vorbereitung und Reaktion auf Vorfälle, Mitarbeiterschulungen, forensische Dienstleistungen und Benachrichtigung bei Datenverlusten. Policen können auch Bilanzschutz für Eigen- und Drittschäden, wie z. B. entgangener Gewinn und zusätzliche Kosten, Bußgelder, Daten- und Hardwarewiederherstellung sowie Reputationsschäden, bieten.

Die Anzahl und Vielfalt der verfügbaren Produkte und Dienstleistungen im Bereich Cyber-Sicherheit scheint endlos. Unsere Erfahrung zeigt jedoch, dass es bei Kontrollen entscheidend ist, sich auf die Cyber-Sicherheits-Basics zu konzentrieren – von Multifaktor-Authentifizierung über Endpoint Detection und Response (EDR) bis hin zu Notfall-Planung und Tests

Gute Cyber-Sicherheitskontrollen bewirken erfahrungsgemäß eine deutliche Reduzierung der Wahrscheinlichkeit von Cyber-Vorfällen. Durch Priorisierung wesentlicher Kontrollen und Einhaltung bewährter Verfahren können Unternehmen ihr Risiko minimieren und ihre Cyber-Resilienz stärken.

Sprechen Sie mit Ihrem Marsh Kundenberater

Wenn Sie uns ein paar Informationen zukommen lassen, melden wir uns bei Ihnen.

Sprechen Sie uns an

Weiterführende Informationen

Cybersecurity signals: Connecting controls and incident outcome

Report

Cyber-Sicherheitsmaßnahmen: Wie sich die Implementierung von Kontrollen auf Cyber-Vorfälle auswirkt

08/27/2025
3d concept

Artikel

Cyber-Vorfälle verstehen: Ein Modell zur Verringerung der Häufigkeit und zur Erhöhung der Widerstandsfähigkeit

05/14/2025

Additional resources