Laut Untersuchungen der Zurich Insurance Group müssen Unternehmen besser auf Cyber-Risiken reagieren, um einen globalen Schock ähnlich der Finanzkrise von 2008 zu vermeiden. Die Untersuchungen zeigen, dass selbst Fachleute für Cyber-Sicherheit sich nicht darüber im Klaren sind, wie sich der Ausfall einzelner Unternehmen oder Technologien zu einem systemweiten Risiko ausweiten könnte. Die Abhängigkeit von der Informationstechnologie hat darüber hinaus ein komplexes Netz aus eng miteinander verbundenen Risiken geschaffen.
Der vor kurzem veröffentlichte Zurich Cyber-Risikobericht, der in Zusammenarbeit mit dem internationalen Think Tank Atlantic Council erstellt wurde, hat festgestellt, dass Fachleute für Cyber-Risikomanagement sich über ihre internen IT-Schutzvorrichtungen hinaus mit eng verbundenen Risiken beschäftigen müssen. Solche können sich in Bezug auf Mitbewerber, ausgelagerte Zulieferer, Lieferketten, umwälzende Technologien, vorgelagerte Infrastrukturen und externe Schocks ergeben.
Cyber-Risiken sind häufig nicht bekannt
Zurich warnt davor, dass eine Anhäufung solcher Risiken zu einem Ausfall führen könnte, der ein ähnliches Ausmaß annehmen könnte, wie die jüngste Finanzkrise. Solche eng verbundenen Risiken werden verschärft, wenn ein Unternehmen das Management seiner Server, IT und Cyber-Sicherheit auslagert, um sich auf seine Kernaktivitäten zu konzentrieren. Die Informationssicherheit oder Schutzmaßnahmen zur Aufrechterhaltung des Betriebs des externen Dienstleisters sind eventuell nicht hinreichend bekannt, und möglicherweise werden von diesem auch selbst Aktivitäten an andere Unternehmen ausgelagert.
Der Bericht ruft Unternehmen dazu auf, die besten Ideen aus der Financial Governance zu übernehmen, wie beispielsweise einen G20+20 Cyber-Stabilitätsausschuss zur Stärkung des Cyber-Risikomanagements sowie zur Identifizierung und Verbesserung der Steuerung von Internetunternehmen mit weltweit wesentlicher Bedeutung (Global Significantly Important Internet Organizations, G-SIIOs).
Das komplexeste System, das die Menschheit jemals entworfen hat
Axel Lehmann, Group Chief Risk Officer und Regional Chairman Europe der Zurich Insurance Group, stellt fest: "Das Internet ist das komplexeste System, das die Menschheit jemals entworfen hat. Über die letzten Jahrzehnte hat es sich zwar als unglaublich widerstandsfähig erwiesen, doch das Risiko liegt darin, dass die Komplexität, die den Cyberspace relativ risikolos gemacht hat, sich als Bumerang erweisen kann und sehr wahrscheinlich wird."
Unternehmen sind unwissentlich externen Risiken ausgesetzt, da sie an ein immer komplexer werdendes und unverständlicheres Geflecht aus Netzwerken outgesourct haben, eng mit ihm verbunden sind oder ihm anderweitig ausgesetzt sind. Nur wenige Experten sind eingehend mit ihrem eigenen Computer oder dem Internet bzw. der Cloud vertraut, mit der sie sich verbinden, ebenso wie nur wenige das Finanzsystem insgesamt oder auch nur diejenigen Teile, denen sie selbst am unmittelbarsten ausgesetzt sind, wirklich verstehen, so die Risikoexperten der Zurich.
In der nachfolgenden Tabelle sind sieben miteinander verbundene Risiken im Kontext Informationstechnologie in kompakter Form zusammengefasst:
Beschreibung der Risiken | Beispiele | |
Interner IT-Betrieb | Risiken eines Unternehmens im Zusammenhang mit dem kumulierten Zusammenspiel der (hauptsächlich internen) IT | Hardware, Software, Server und damit verbundene Personen und Prozesse |
Kontrahenten und Partner | Risiko durch die Abhängigkeit von oder direkte enge (normalerweise nicht vertraglichen) Verbindungen mit einem externen Unternehmen | Universitäre Forschungspartnerschaften; Beziehungen zwischen konkurrierenden/ kooperierenden Banken; Joint-Venture-Unternehmen, Branchenverbände |
Outsourcing und Dienstleistungen aus Verträgen | Risiko, normalerweise aus einem Vertragsverhältnis mit externen Dienstleistern, beispielsweise aus den Bereichen Personalwesen, Recht oder IT sowie Cloud-Providern | IT und Cloud-Provider; personalwesen, Recht, Buchhaltung und Beratung, Auftragsfertigung |
Supply Chain | Sowohl Supply Chain-Risiken für die IT-Branche als auch Cyber-Risiken für traditionelle Supply Chains und Logistik | Engagement in einem einzigen Land; gefälschte oder manipulierte Produkte, Risiko der Unterbrechung von Supply Chains |
Neue Technologien | Risiken aus unsichtbaren Auswirkungen von Störungen durch oder an neuen Technologien, die entweder bereits bestehen aber wenig verstanden werden oder bald erscheinen | Internet der Dinge; Smart Grid; eingebaute mechanische Geräte; selbstfahrende Autos; die weitgehend automatische digitale Wirtschaft |
Vorgelagerte Infrastruktur | Risiken aus der Störung von Infrastruktur, auf die Wirtschaften und Gesellschaften angewiesen sind, insbesondere Elektrizität, Finanzsysteme und Telekommunikation | Internetinfrastruktur wie Internetknotenpunkte und Unterwasserkabel, bestimmte Schlüsselunternehmen und zum Betrieb des Internets verwendete Protokolle (BGP und Domain Name System); Internet Governance |
Externe Schocks | Risiken aus Vorfällen außerhalb des Systems, jenseits der Kontrolle der meisten Unternehmen und mit der Wahrscheinlichkeit einer Ausweitung | Ernste internationale Konflikte; Malware-Pandemie |
[Bildquelle:© rolffimages - Fotolia.com]
