Laut Untersuchungen der Zurich Insurance Group müssen Unternehmen besser auf Cyber-Risiken reagieren, um einen globalen Schock ähnlich der Finanzkrise von 2008 zu vermeiden. Die Untersuchungen zeigen, dass selbst Fachleute für Cyber-Sicherheit sich nicht darüber im Klaren sind, wie sich der Ausfall einzelner Unternehmen oder Technologien zu einem systemweiten Risiko ausweiten könnte. Die Abhängigkeit von der Informationstechnologie hat darüber hinaus ein komplexes Netz aus eng miteinander verbundenen Risiken geschaffen.

Zürich, 22. April 2014 - Der vor kurzem veröffentlichte Zurich Cyber-Risikobericht, der in Zusammenarbeit mit dem internationalen Think Tank Atlantic Council erstellt wurde, hat festgestellt, dass Fachleute für Cyber-Risikomanagement sich über ihre internen IT-Schutzvorrichtungen hinaus mit eng verbundenen Risiken beschäftigen müssen. Solche können sich in Bezug auf Mitbewerber, ausgelagerte Zulieferer, Lieferketten, umwälzende Technologien, vorgelagerte Infrastrukturen und externe Schocks ergeben.

Zurich warnt davor, dass eine Anhäufung solcher Risiken zu einem Ausfall führen könnte, der ein ähnliches Ausmass annehmen könnte, wie die Finanzkrise 2008. Solche eng verbundenen Risiken werden verschärft, wenn ein Unternehmen das Management seiner Server, IT und Cyber-Sicherheit auslagert, um sich auf seine Kernaktivitäten zu konzentrieren. Die Informationssicherheit oder Schutzmassnahmen zur Aufrechterhaltung des Betriebs des externen Dienstleisters sind eventuell nicht hinreichend bekannt, und möglicherweise werden von diesem auch selbst Aktivitäten an andere Unternehmen ausgelagert.

Der Bericht ruft Unternehmen dazu auf, die besten Ideen aus der Financial Governance zu übernehmen, wie beispielsweise einen G20+20 Cyber-Stabilitätsausschuss zur Stärkung des Cyber-Risikomanagements sowie zur Identifizierung und Verbesserung der Steuerung von Internetunternehmen mit weltweit wesentlicher Bedeutung (Global Significantly Important Internet Organizations, G-SIIOs).

Axel Lehmann, Group Chief Risk Officer und Regional Chairman Europe der Zurich Insurance Group, stellt fest: »Das Internet ist das komplexeste System, das die Menschheit jemals entworfen hat. Über die letzten Jahrzehnte hat es sich zwar als unglaublich widerstandsfähig erwiesen, doch das Risiko liegt darin, dass die Komplexität, die den Cyberspace relativ risikolos gemacht hat, sich als Bumerang erweisen kann und sehr wahrscheinlich wird.«

»Unternehmen sind unwissentlich externen Risiken ausgesetzt, da sie an ein immer komplexer werdendes und unverständlicheres Geflecht aus Netzwerken outgesourct haben, eng mit ihm verbunden sind oder ihm anderweitig ausgesetzt sind.«

»Nur wenige sind eingehend mit ihrem eigenen Computer oder dem Internet bzw. der Cloud vertraut, mit der sie sich verbinden, ebenso wie nur wenige das Finanzsystem insgesamt oder auch nur diejenigen Teile, denen sie selbst am unmittelbarsten ausgesetzt sind, wirklich verstehen.«


Der Bericht weist die folgenden sieben miteinander verbundenen Risiken aus

Beschreibung
Interner IT-Betrieb Risiken eines Unternehmens im Zusammenhang mit dem kumulierten Zusammenspiel der (hauptsächlich internen) IT Hardware; Software; Server und damit verbundene Personen und Prozesse
Kontrahenten und Partner Risiko durch die Abhängigkeit von oder direkte enge (normalerweise nicht vertraglichen) Verbindungen mit einem externen Unternehmen Universitäre Forschungspartnerschaften; Beziehungen zwischen konkurrierenden/kooperierenden Banken; Joint-Venture-Unternehmen; Branchenverbände
Outsourcing und Vertragsdienstleistungen Risiko, normalerweise aus einem Vertragsverhältnis mit externen Dienstleistern, z.B. aus den Bereichen Personalwesen, Recht oder IT sowie Cloud-Providern IT und Cloud-Provider; Personalwesen, Recht, Buchhaltung und Beratung; Auftragsfertigung
Supply Chain Sowohl Supply Chain-Risiken für die IT-Branche als auch Cyber-Risiken für traditionelle Supply Chains und Logistik Engagement in einem einzigen Land; gefälschte oder manipulierte Produkte; Risiko der Unterbrechung von Supply Chains
Umwälzende Technologien Risiken aus unsichtbaren Auswirkungen von Störungen durch oder an neuen Technologien, die entweder bereits bestehen aber wenig verstanden werden oder bald erscheinen Internet der Dinge; Smart Grid; eingebaute mechanische Geräte; selbstfahrende Autos; die weitgehend automatische digitale Wirtschaft
Vorgelagerte Infrastruktur Risiken aus der Störung von Infrastruktur, auf die Wirtschaften und Gesellschaften angewiesen sind, insbesondere Elektrizität, Finanzsysteme und Telekommunikation Internetinfrastruktur wie Internetknotenpunkte und Unterwasserkabel, bestimmte Schlüsselunternehmen und zum Betrieb des Internets verwendete Protokolle (BGP und Domain Name System); Internet Governance
Externe Schocks Risiken aus Vorfällen ausserhalb des Systems, jenseits der Kontrolle der meisten Unternehmen und mit der Wahrscheinlichkeit einer Ausweitung Ernste internationale Konflikte; Malware-Pandemie
weitergeleitet durch