Jason Healey von der Cyber Statecraft Initiative am Atlantic Council hat im Auftrag der Zurich Versicherungen Risiken zusammengetragen, die ein Unternehmen stilllegen können.
In diesem Artikel finden Sie die sieben schlimmsten IT-Risiken. Foto: MarkusBeck - Fotolia.com
Stichworte wie Industrie 4.0 und Internet der Dinge lassen Entscheider an neue Marktchancen denken. Jason Healey von der Cyber Statecraft Initiative am Atlantic Council sieht es anders - er denkt vor allem an neue Gefahren. Im Auftrag des Versicherungskonzerns Zurich hat Healey die sieben schlimmsten Risiken systematisch zusammengefasst. "Schlimm" heißt, dass diese Risiken ein Unternehmen zusammenbrechen lassen können. Healey dokumentiert seine Überlegungen in dem Papier "Risk Nexus - Beyond data breaches: global interconnections of cyber risk".
7 Cyber-Risiken, die einen systematischen Schock auslösen können (Zurich)
Cyber-Risiken mit massiven Konsequenzen Alamstufe Rot: Jason Healey von der Cyber Statescraft Initiative am Atlantic Council hat analysiert, welche sieben Cyber-Risiken einen systematischen Schock auslösen können. Er führt diese in dem Papier "Risk Nexus - Beyond data breaches: global interconnections of cyber risk" aus, das der Versicherungskonzern Zurich gesponsert hat.
Risiko 1: Interne IT Da sind zunächst einmal die Risiken eines Unternehmens im Zusammenhang mit dem kumulierten Zusammenspiel der (hauptsächlich internen) IT-Hardware. Konkret geht es um die Software sowie Server und die damit verbundenen Mitarbeiter und Prozesse.
Risiko 2: Kontrahenten und Partner Als nächstes nennt Healey das Risiko durch die Abhängigkeit von Verbindungen mit externen Unternehmen. Beispiele sind universitäre Forschungspartnerschaften oder Beziehungen zwischen konkurrierenden/kooperierenden Banken. Auch Joint-Venture-Unternehmen oder die Kooperation mit Branchenverbänden zählen dazu.
Risiko 3: Outsourcing und Verträge Als drittes führt Healey Risiken an, die aus Vertragsverhältnissen mit externen Dienstleistern hervorgehen können, zum Beispiel in den Bereichen Personalwesen, Recht oder IT sowie Cloud-Providern.
Risiko 4: Lieferkette Sowohl Supply Chain-Risiken für die IT-Branche als auch Cyber-Risiken für traditionelle Supply Chains und Logistik bergen hohes Gefahrenpotenzial. Healey nennt hier gefälschte oder manipulierte Produkte und das Risiko der Unterbrechung von Lieferketten.
Risiko 5: Technologische Umwälzungen Viel wird über die neuen Chancen durch technologische Umwälzungen (wie etwas das Internet der Dinge und Samrt Grids) gesprochen. Healey weist auf Risiken aus unsichtbaren Auswirkungen von Störungen durch oder an neuen Technologien hin.
Risiko 6: Vorgelagerte Infrastruktur Beim Punkt vorgelagerte Infrastruktur geht es um Risiken aus der Störung der Infrastruktur, auf die Wirtschaften und Gesellschaften angewiesen sind (insbesondere Elektrizität, Finanzsysteme und Telekommunikation). Die Schwachstellen liegen etwa bei Internetknotenpunkten und Unterwasserkabeln.
Risiko 7: Externe Gefahren Als siebten und letzten Aspekt führt Healey Risiken aus Vorfällen außerhalb des Systems an. Gefahren also, die jenseits der Kontrolle der meisten Unternehmen liegen, wie zum Beispiel Malware-Pandemien.
Es handelt sich um folgende sieben Punkte: 1. die firmeninterne IT (Hard- und Software sowie Mitarbeiter) 2. Kontrahenten und Partner (nicht nur Joint Ventures, sondern auch beispielsweise die Zusammenarbeit mit Verbänden) 3.Outsourcing 4. die Lieferkette (etwa die Gefahr der Unterbrechung) 5. technologische Neuerungen wie das Internet der Dinge und Smart Grids 6. vorgelagerte Infrastruktur (zum Beispiel, wenn Kabel unter Wasser laufen) und 7. externe Schocks wie Malware-Pandemien.
Healey spricht außerdem Empfehlungen an Unternehmen aus. Zunächst einmal rät er, das Internet als systematisches Ganzes zu begreifen. Das bezieht sich auf die zunehmende Vernetzung von Gegenständen untereinander wie etwa in der Medizin oder beim fahrerlosen Auto. Jedes Unternehmen muss verstehen, in welchen vielfältigen Weisen es ins Internet eingebunden ist und welchen allgemeinen Gefahren es damit ausgesetzt ist.
Zum zweiten muss jede Firmenleitung den Blick nach innen richten. Hier geht es um die individuellen Risiken des einzelnen Unternehmens und der jeweiligen Abteilungen bis zur Ebene der einzelnen Mitarbeiter.
Healey plädiert dafür, spätestens jetzt Verantwortlichkeiten in puncto Cyberrisk-Management zu benennen und dieses Thema unternehmensweit zu verankern.
Mutmaßlich 740 Millionen gestohlener Datensätze 2013
Im vergangenen Jahr sind weltweit mutmaßlich 740 Millionen Datensätze gestohlen worden, schreibt die Zurich. Risk Management-Experte Healey scheint sich darüber zu wundern, dass nicht noch mehr passiert ist. Er sagt das nicht nur mit Blick auf die kriminelle Energie von Betrügern und Hackern, sondern auch auf Katastrophen, die sich der menschlichen Kontrolle entziehen wie etwa Erdbeben in der San Francisco Bay Area nahe dem Silicon Valley.