Zurich Cyber-Risikobericht: IT-Fachkräfte für systemweite Risiken schulen
Die Zurich Insurance Group identifiziert im aktuellen Cyber-Risikobericht sieben Faktoren, die einen systemischen Schock zur Folge haben könnten. Die Untersuchung zeigt, dass auch Fachleute für Cyber-Sicherheit nicht wissen, wie sich der Ausfall einzelner Technologien zu einem systemweiten Risiko entwickeln könnte und stellt sieben solcher Risiken vor.
Die Nutzung und Abhängigkeit von Informationstechnologie hat ein komplexes Netz aus eng miteinander verbundenen Risiken geschaffen. IT-Fachkräfte in Unternehmen sollten sich gerade auch mit solchen Risiken beschäftigen, zeigt der Zurich-Bericht. Diese Risiken können sich in Bezug auf Mitbewerber, ausgelagerte Zulieferer, Lieferketten, umwälzende Technologien, vorgelagerte Infrastrukturen und externe Schocks ergeben.
Anzeige
Die Zurich meint gar, dass eine Anhäufig solcher Risiken zu einem Ausfall führen könnte, der ein Ausmaß der Finanzkrise von 2008 annehmen könnte. Gerade wenn Unternehmen Server, IT und Cyber-Sicherheit auslagern, ist das Risiko verschärft. „Nur wenige sind eingehend mit ihrem eigenen Computer oder dem Internet bzw. der Cloud vertraut, mit der sie sich verbinden, ebenso wie nur wenige das Finanzsystem insgesamt oder auch nur diejenigen Teile, denen sie selbst am unmittelbarsten ausgesetzt sind, wirklich verstehen“, meint Axel Lehmann, Group Chief Risk Officer und Regional Chairman Europe der Zurich Insurance Group.
Der Bericht ruft Unternehmen dazu auf, die besten Ideen aus der Financial Governance zu übernehmen, wie beispielsweise einen G20+20 Cyber-Stabilitätsausschuss zur Stärkung des Cyber-Risikomanagements sowie zur Identifizierung und Verbesserung der Steuerung von Internetunternehmen mit weltweit wesentlicher Bedeutung (Global Significantly Important Internet Organizations, G-SIIOs).
Risikolose Komplexität des Cyberspace wirkt wie ein Bumerang
„Das Internet ist das komplexeste System, das die Menschheit jemals entworfen hat. Über die letzten Jahrzehnte hat es sich zwar als unglaublich widerstandsfähig erwiesen, doch das Risiko liegt darin, dass die Komplexität, die den Cyberspace relativ risikolos gemacht hat, sich als Bumerang erweisen kann und sehr wahrscheinlich wird“, stellt der Experte fest, „Unternehmen sind unwissentlich externen Risiken ausgesetzt, da sie an ein immer komplexer werdendes und unverständlicheres Geflecht aus Netzwerken outgesourct haben, eng mit ihm verbunden sind oder ihm anderweitig ausgesetzt sind.“
Anzeige
Sieben miteinander verbundene Risiken
| Beschreibung | Beispiele | |
| Interner IT-Betrieb |
Risiken eines Unternehmens im Zusammenhang mit dem kumulierten Zusammenspiel der (hauptsächlich internen) IT |
Hardware, Software, Server und damit verbunde Personen und Prozesse |
| Kontrahenten und Partner |
Risiko durch die Abhängikeit von oder direkte enge (normalerweise nicht vertraglichen) Verbindungen mit einem externen Unternehmen |
Universitäre Forschungspartnerschaften; Beziehungen zwischen konkurrierenden/ kooperierenden Banken; Joint-Venture-Unternehmen, Branchenverbände |
| Outsourcing und Vertragsdienstleistungen |
Risiko, normalerweise aus einem Vertragsverhältnis mit externen Dienstleistern, z.B. aus den Bereichen Personalwesen, Recht oder IT sowie Cloud-Providern |
IT und Cloud-Provider; personalwesen, Recht, Buchhaltung und Beratung, Auftragsfertigung |
| Supply Chain |
Sowohl Supply Chain-Risiken für die IT-Branche als auch Cyber-Risiken für traditionelle Supply Chains und Logistik |
Engagement in einem einzigen Land; gefälstsche oder manipulierte Produkte, Risiko der Unterbrechung von Supply Chains |
| Umwälzende Technologien | Risiken aus unsichtbaren Auswirkungen von Störungen durch oder an neuen Technologien, die entweder bereits bestehen aber wenig verstanden werden oder bald erscheinen | Internet der Dinge; Smart Grid; eingebaute mechanische Geräte; selbstfahrende Autos; die weitgehend automatische digitale Wirtschaft |
| Vorgelagerte Infrastruktur | Risiken aus der Störung von Infrastruktur, auf die Wirtschaften und Gesellschaften angewiesen sind, insbesondere Elektrizität, Finanzsysteme und Telekommunikation | Internetinfrastruktur wie Internetknotenpunkte und Unterwasserkabel, bestimmte Schlüsselunternehmen und zum Betrieb des Internets verwendete Protokolle (BGP und Domain Name System); Internet Governance |
| Externe Schocks | Risiken aus Vorfällen ausserhalb des Systems, jenseits der Kontrolle der meisten Unternehmen und mit der Wahrscheinlichkeit einer Ausweitung | Ernste internationale Konflikte; Malware-Pandemie |
Der Bericht, der in Zusammenarbeit mit dem internationalen Think Tank Atlantic Council erstellt wurde, zeigt, an welcher Stelle Fachleute für Cyber-Risikomanagement sich über ihre internen IT-Schutzvorrichtungen hinaus mit eng verbundenen Risiken beschäftigen müssen.
Anzeige