Zürich Versicherung warnt vor Cyber-Krise

Angesichts der zunehmenden Vernetzung von Menschen, Wirtschaft und Staat mit dem Internet warnt der Versicherungskonzern Zurich vor einer möglichen Krise. Die Risiken im Bereich des Internets würden ähnlich unterschätzt, wie die Systemrisiken vor der Finanzkrise 2007/2008.

Der Versicherungskonzern Zurich warnt vor einer «Cyber-Sub-Crime-Krise»: Die zunehmende Vernetzung von Menschen, Wirtschaft und Staat mit dem Internet birgt Systemrisiken, die ähnlich unterschätzt werden wie die Systemrisiken vor der Finanzkrise von 2007/2008.

Ähnliches drohe auch aus dem Internet, stellte der Versicherer Zurich in einer Studie zusammen mit der US-Denkfabrik Atlantic Council fest. Der Zusammenbruch eines grossen Cloud-Anbieters könnte einen ähnlichen Schock auslösen wie die Lehman-Pleite: Wenn plötzlich die Daten von wichtigen Unternehmen wie etwa Infrastrukturanbietern oder Logistikkonzernen verloren gingen, würde der Dominoeffekt die Realwirtschaft erfassen.

Neue Gefahr nebst traditionellen Risiken

Die zunehmende Vernetzung von Wirtschaft und Gesellschaft mit dem weltweiten Cybernetz könne dazu führen, dass weitflächige Internetausfälle Banken, Wasserversorger, medizinische Geräte, Autos, Kraftwerke, Trafos oder Staudämme bedrohten, hiess es.

Bisher gebe es vier traditionelle Risiken im Internet: durch Kriminelle, Hacker, Spione und Militärs, sagte Zurich-Risikoverantwortlicher Axel Lehmann. Dabei würden Daten gestohlen oder Internetseiten durch Überlastungsattacken lahmgelegt.

Je stärker aber Unternehmen, Behörden, Institutionen und Private sich mit dem Internet vernetzten, desto grösser wird der Schaden. Denn Cyber-Risiken sammeln sich an und treten an unerwarteten Orten konzentriert auf. Bei einem grossflächigen Stromausfall in den USA wären bis zu 70 Prozent der amerikanischen Wirtschaft auf Eis gelegt.

Wie in der Finanzkrise

Das durchschnittliche Cyberrisiko-Management weise Ähnlichkeiten zum Risikomanagement der Finanzwelt im Jahre 2008 auf, sagte Zurich-Manager Lehmann. Bisher würden sich die IT-Sicherheitsverantwortlichen meist nur auf das eigene Unternehmen konzentrieren. Die Risiken ausserhalb der eigenen vier Wände hätten sie nicht im Blick. Abhängigkeiten würden meist ignoriert.

Was nützt es aber, wenn man aus Sicherheitsgründen Teile der Informatik an vier externe Anbieter ausgelagert hat, dann aber feststellen muss, dass die vier externen Anbieter alle beim gleichen Cloud-Anbieter die Daten gelagert und verloren haben?

Risiken lägen aber nicht nur bei Geschäftspartnern und Drittanbietern, sondern auch bei fehlerhaften oder neuen Technologien, bei der Infrastruktur (insbesondere Strom, Telekommunikation oder Finanzinfrastruktur) sowie externen Schocks durch grosse internationale Konflikte wie etwa zwischen den USA und China.

Nur gibt es im Falle einer Attacke auf das Internetsystem keine Institutionen wie Zentralbanken oder Finanzministerien, die die Macht hätten, helfend einzugreifen. Ein supranationales Gremium wie etwa ein Cyber-Stabilitätsausschuss wäre erwägenswert, hiess es.