Zurich Cyber Risk Report - Unternehmen müssen sich vor Ausfall einzelner Technologien oder externer Unternehmen schützen

Die Zurich Insurance Group hat in Zusammenarbeit mit dem internationalen Think Tank Atlantic Council den Zurich Cyber-Risikobericht vorgestellt. Dabei werden sieben Cyber-Risiken identifiziert, deren Missachtung von Seiten der Unternehmen zu einem systemischen globalen Schock führen könnte, der die Ausmaße der Finanzkrise aus dem Jahr 2008 erreichen kann. Die Untersuchungen haben ergeben, dass selbst Fachleute für Cyber-Sicherheit sich nicht darüber im Klaren sind, wie sich ein Ausfall einzelner Unternehmen oder Technologien zu einem systemweiten Risiko ausweiten könnte. Solche Risiken können sich in Bezug auf Mitbewerber, ausgelagerte Zulieferer, Lieferketten, umwälzende Technologien, vorgelagerte Infrastrukturen und externe Schocks ergeben. Die eng verbundenen Risiken werden zudem verschärft, wenn Unternehmen ihr Management der eigenen Server, IT und Cyber-Sicherheit auslagern, um sich nur noch auf die eigenen Kernaktivitäten zu konzentrieren. Oftmals sind die Informationssicherheit und Schutzmaßnahmen zur Aufrechterhaltung des Betriebs des externen Dienstleisters nicht hinreichend bekannt. Möglicherweise werden von den externen Dienstleistern zudem selbst bestimmte Aktivitäten ebenfalls ausgelagert, was die Situation noch weiter verschärft.

Der Bericht ruft Unternehmen dazu auf, die besten Ideen aus der Financial Governance zu übernehmen, wie beispielsweise einen G20+20 Cyber-Stabilitätsausschuss zur Stärkung des Cyber-Risikomanagements sowie zur Identifizierung und Verbesserung der Steuerung von Internetunternehmen mit weltweit wesentlicher Bedeutung (Global Significantly Important Internet Organizations, G-SIIOs).

Axel Lehmann, Group Chief Risk Officer und Regional Chairman Europe der Zurich Insurance Group, stellt fest: “Das Internet ist das komplexeste System, das die Menschheit jemals entworfen hat. Über die letzten Jahrzehnte hat es sich zwar als unglaublich widerstandsfähig erwiesen, doch das Risiko liegt darin, dass die Komplexität, die den Cyberspace relativ risikolos gemacht hat, sich als Bumerang erweisen kann und sehr wahrscheinlich wird.”

“Unternehmen sind unwissentlich externen Risiken ausgesetzt, da sie an ein immer komplexer werdendes und unverständlicheres Geflecht aus Netzwerken outgesourct haben, eng mit ihm verbunden sind oder ihm anderweitig ausgesetzt sind.”

“Nur wenige sind eingehend mit ihrem eigenen Computer oder dem Internet bzw. der Cloud vertraut, mit der sie sich verbinden, ebenso wie nur wenige das Finanzsystem insgesamt oder auch nur diejenigen Teile, denen sie selbst am unmittelbarsten ausgesetzt sind, wirklich verstehen.”

Der Bericht weist die folgenden sieben miteinander verbundenen Risiken aus:
 

Zurich Cyber Risk Report

1. Interner IT –Betrieb
Die Risiken des internen IT-Betriebs betreffen die Risiken eines Unternehmens im Zusammenhang mit dem kumulierten Zusammenspiel der (hauptsächlich) internen IT. Als Beispiele sind hier Hardware, Software, Server sowie damit verbundene Personen und Prozesse zu nennen.

 

Zurich Cyber Risk Report - Risiko 1: Interne IT

2. Kontrahenten und Partner
Hier kann ein Risiko durch die Abhängigkeit von oder direktere enge (normalerweise nicht vertraglichen) Verbindungen mit einem externen Unternehmen entstehen. Universitäre Forschungspartnerschaften; Beziehungen zwischen konkurrierenden/kooperierenden Banken; Joint-Venture-Unternehmen oder Branchenverbände zählen hier zu den Beispielen.

 

Zurich Cyber Risk Report - Risiko 2: Kontrahenten und Partner

3. Outsourcing und Vertragsdienstleistungen
Ein Vertragsverhältnis mit einem externen Dienstleister wie bspw. IT und Cloud-Provider; Personalwesen, Recht, Buchhaltung und Beratung oder Auftragsfertigung kann auch zu einem Risiko führen.

 

Zurich Cyber Risk Report - Risiko 3: Outsourcing und Vertragsdienstleistungen

4. Supply Chain
Im Supply Chain Umfeld können sowohl generelle Supply-Chain-Risiken für die IT-Branche wie auch Cyber-Risiken für traditionelle Supply-Chains und die Logistik entstehen. Beispiele hierfür wären das Engagement in einem einzigen Land; gefälschte oder manipulierte Produkte oder das generelle Risiko der Unterbrechung von Supply Chains.

 

Zurich Cyber Risk Report - Risiko 4: Supply Chain

5. Umwälzende Technologien
Hierunter werden Risiken aus unsichtbaren Auswirkungen von Störungen durch oder an neuen Technologien, die entweder bereits bestehen aber wenig verstanden werden oder bald erscheinen, verstanden. Hierzu können das Internet der Dinge, Smart Grid, eingebaute mechanische Geräte, selbstfahrende Autos und die weitgehend automatische digitale Wirtschaft als Beispiele aufgeführt werden.

 

Zurich Cyber Risk Report - Risiko 5: Umwälzende Technologien

6. Vorgelagerte Infrastruktur
Die Internetinfrastruktur wie Internetknotenpunkte und Unterwasserkabel, bestimmte Schlüsselunternehmen und zum Betrieb des Internets verwendete Protokolle (BGP und Domain Name System) oder auch Internet Governance können zu Risiken aus unsichtbaren Auswirkungen von Störungen durch oder an neuen Technologien, die entweder bereits bestehen aber wenig verstanden werden oder bald erscheinen, führen.

 

Zurich Cyber Risk Report - Risiko 6: Vorgelagerte Infrastruktur

7. Externe Schocks
Hierunter werden Risiken aus Vorfällen außerhalb des Systems, jenseits der Kontrolle der meisten Unternehmen und mit der Wahrscheinlichkeit einer Ausweitung verstanden. Als Beispiele wären ernste internationale Konflikte oder Malware-Pandemie anzuführen.

 

Zurich Cyber Risk Report - Risiko 7: Externe Schocks

Der vollständige Report in englischer Sprache kann hier heruntergeladen werden (oder siehe auch im Anhang zu diesem Beitrag).

Quelle: Zurich Insurance Group