Zurich identifiziert sieben Cyber-Risiken, die einen systemischen Schock zur Folge haben könnten
Der vor kurzem veröffentlichte Zurich Cyber-Risikobericht, der in Zusammenarbeit mit dem internationalen Think Tank Atlantic Council erstellt wurde, hat festgestellt, dass Fachleute für Cyber-Risikomanagement sich über ihre internen IT-Schutzvorrichtungen hinaus mit eng verbundenen Risiken beschäftigen müssen. Solche können sich in Bezug auf Mitbewerber, ausgelagerte Zulieferer, Lieferketten, umwälzende Technologien, vorgelagerte Infrastrukturen und externe Schocks ergeben.
Zurich warnt davor, dass eine Anhäufung solcher Risiken zu einem Ausfall führen könnte, der ein ähnliches Ausmass annehmen könnte, wie die Finanzkrise 2008. Solche eng verbundenen Risiken werden verschärft, wenn ein Unternehmen das Management seiner Server, IT und Cyber-Sicherheit auslagert, um sich auf seine Kernaktivitäten zu konzentrieren. Die Informationssicherheit oder Schutzmassnahmen zur Aufrechterhaltung des Betriebs des externen Dienstleisters sind eventuell nicht hinreichend bekannt, und möglicherweise werden von diesem auch selbst Aktivitäten an andere Unternehmen ausgelagert.
Der Bericht ruft Unternehmen dazu auf, die besten Ideen aus der Financial Governance zu übernehmen, wie beispielsweise einen G20+20 Cyber-Stabilitätsausschuss zur Stärkung des Cyber-Risikomanagements sowie zur Identifizierung und Verbesserung der Steuerung von Internetunternehmen mit weltweit wesentlicher Bedeutung (Global Significantly Important Internet Organizations, G-SIIOs).
Axel Lehmann, Group Chief Risk Officer und Regional Chairman Europe der Zurich Insurance Group, stellt fest: »Das Internet ist das komplexeste System, das die Menschheit jemals entworfen hat. Über die letzten Jahrzehnte hat es sich zwar als unglaublich widerstandsfähig erwiesen, doch das Risiko liegt darin, dass die Komplexität, die den Cyberspace relativ risikolos gemacht hat, sich als Bumerang erweisen kann und sehr wahrscheinlich wird.«
»Unternehmen sind unwissentlich externen Risiken ausgesetzt, da sie an ein immer komplexer werdendes und unverständlicheres Geflecht aus Netzwerken outgesourct haben, eng mit ihm verbunden sind oder ihm anderweitig ausgesetzt sind.«
»Nur wenige sind eingehend mit ihrem eigenen Computer oder dem Internet bzw. der Cloud vertraut, mit der sie sich verbinden, ebenso wie nur wenige das Finanzsystem insgesamt oder auch nur diejenigen Teile, denen sie selbst am unmittelbarsten ausgesetzt sind, wirklich verstehen.«
Der Bericht weist die folgenden sieben miteinander verbundenen Risiken aus
| Beschreibung | Beispiele | |
|---|---|---|
| Interner IT-Betrieb | Risiken eines Unternehmens im Zusammenhang mit dem kumulierten Zusammenspiel der (hauptsächlich internen) IT | Hardware; Software; Server und damit verbundene Personen und Prozesse |
| Kontrahenten und Partner | Risiko durch die Abhängigkeit von oder direkte enge (normalerweise nicht vertraglichen) Verbindungen mit einem externen Unternehmen | Universitäre Forschungspartnerschaften; Beziehungen zwischen konkurrierenden/kooperierenden Banken; Joint-Venture-Unternehmen; Branchenverbände |
| Outsourcing und Vertragsdienstleistungen | Risiko, normalerweise aus einem Vertragsverhältnis mit externen Dienstleistern, z.B. aus den Bereichen Personalwesen, Recht oder IT sowie Cloud-Providern | IT und Cloud-Provider; Personalwesen, Recht, Buchhaltung und Beratung; Auftragsfertigung |
| Supply Chain | Sowohl Supply Chain-Risiken für die IT-Branche als auch Cyber-Risiken für traditionelle Supply Chains und Logistik | Engagement in einem einzigen Land; gefälschte oder manipulierte Produkte; Risiko der Unterbrechung von Supply Chains |
| Umwälzende Technologien | Risiken aus unsichtbaren Auswirkungen von Störungen durch oder an neuen Technologien, die entweder bereits bestehen aber wenig verstanden werden oder bald erscheinen | Internet der Dinge; Smart Grid; eingebaute mechanische Geräte; selbstfahrende Autos; die weitgehend automatische digitale Wirtschaft |
| Vorgelagerte Infrastruktur | Risiken aus der Störung von Infrastruktur, auf die Wirtschaften und Gesellschaften angewiesen sind, insbesondere Elektrizität, Finanzsysteme und Telekommunikation | Internetinfrastruktur wie Internetknotenpunkte und Unterwasserkabel, bestimmte Schlüsselunternehmen und zum Betrieb des Internets verwendete Protokolle (BGP und Domain Name System); Internet Governance |
| Externe Schocks | Risiken aus Vorfällen ausserhalb des Systems, jenseits der Kontrolle der meisten Unternehmen und mit der Wahrscheinlichkeit einer Ausweitung | Ernste internationale Konflikte; Malware-Pandemie |
Weitere Informationen
Um sofortigen Zugriff auf Ihrem iPad, iPhone oder Android-Telefon auf Medienmitteilungen, Kalender und andere Publikationen von Zurich zu erhalten, laden Sie bitte unsere gratis Zurich Investors and Media App in Ihrem App Store herunter.
The information in this publication was compiled from sources believed to be reliable for informational purposes only. All sample policies and procedures herein should serve as a guideline, which you can use to create your own policies and procedures. We trust that you will customize these samples to reflect your own operations and believe that these samples may serve as a helpful platform for this endeavor. Any and all information contained herein is not intended to constitute legal advice and accordingly, you should consult with your own attorneys when developing programs and policies. We do not guarantee the accuracy of this information or any results and further assume no liability in connection with this publication and sample policies and procedures, including any information, methods or safety suggestions contained herein. Moreover, Zurich reminds you that this cannot be assumed to contain every acceptable safety and compliance procedure or that additional procedures might not be appropriate under the circumstances. The subject matter of this publication is not tied to any specific insurance product nor will adopting these policies and procedures ensure coverage under any insurance policy.