Der Versicherungskonzern Zurich warnt vor einer «Cyber-Sub-Crime-Krise»: Die zunehmende Vernetzung von Menschen, Wirtschaft und Staat mit dem Internet birgt Systemrisiken, die ähnlich unterschätzt werden wie die Systemrisiken vor der Finanzkrise von 2007/2008.
Damals hatte die Krise im Markt für US-Ramschhypotheken (Subprime) zum Untergang der US-Investmentbank Lehman Brothers geführt. In der Folge geriet das internationale Finanz- und Wirtschaftsgefüge an den Rande des Abgrunds. Nur mit gewaltigen Rettungspaketen von tausenden Milliarden Dollar konnten Regierungen und Zentralbanken das Schlimmste verhindern.
Ähnliches drohe auch aus dem Internet, stellte der Versicherer Zurich in einer Studie zusammen mit der US-Denkfabrik Atlantic Council fest. Der Zusammenbruch eines grossen Cloud-Anbieters könnte einen ähnlichen Schock auslösen wie die Lehman-Pleite: Wenn plötzlich die Daten von wichtigen Unternehmen wie etwa Infrastrukturanbietern oder Logistikkonzernen verloren gingen, würde der Dominoeffekt die Realwirtschaft erfassen.
Stromausfall hätte katastrophale Folgen
Die zunehmende Vernetzung von Wirtschaft und Gesellschaft mit dem weltweiten Cybernetz könne dazu führen, dass weitflächige Internetausfälle Banken, Wasserversorger, medizinische Geräte, Autos, Kraftwerke, Trafos oder Staudämme bedrohten, hiess es.
Bisher gebe es vier traditionelle Risiken im Internet: durch Kriminelle, Hacker, Spione und Militärs. Dabei würden Daten gestohlen oder Internetseiten durch Überlastungsattacken lahmgelegt, sagte Zurich-Risikoverantwortlicher Axel Lehmann am Dienstag bei der Vorstellung der am vergangenen Donnerstag veröffentlichten Studie in Zürich.
Je stärker aber Unternehmen, Behörden, Institutionen und Private sich mit dem Internet vernetzten, desto grösser wird der Schaden. Denn Cyber-Risiken sammeln sich an und treten an unerwarteten Orten konzentriert auf. Bei einem grossflächigen Stromausfall in den USA wären bis zu 70 Prozent der US-Wirtschaft auf Eis gelegt.
Wie in der Finanzkrise
Das durchschnittliche Cyberrisiko-Management weise Ähnlichkeiten zum Risikomanagement der Finanzwelt im Jahre 2008 auf, sagte Zurich-Manager Lehmann. Bisher würden sich die IT-Sicherheitsverantwortlichen meist nur auf das eigene Unternehmen konzentrieren. Die Risiken ausserhalb der eigenen vier Wände hätten sie nicht im Blick. Abhängigkeiten würden meist ignoriert.
Was nützt es aber, wenn man aus Sicherheitsgründen Teile der Informatik an vier externe Anbieter ausgelagert hat, dann aber feststellen muss, dass die vier externen Anbieter alle beim gleichen Cloud-Anbieter die Daten gelagert und verloren haben?
Risiken lägen aber nicht nur bei Geschäftspartnern und Drittanbietern, sondern auch bei fehlerhaften oder neuen Technologien, bei der Infrastruktur (insbesondere Strom, Telekommunikation oder Finanzinfrastruktur) sowie externen Schocks durch grosse internationale Konflikte wie etwa zwischen den USA und China.
Nur gibt es im Falle einer Attacke auf das Internetsystem keine Institutionen wie Zentralbanken oder Finanzministerien, die die Macht hätten, helfend einzugreifen. Ein supranationales Gremium wie etwa ein Cyber-Stabilitätsausschuss der G20+20 wäre erwägenswert, hiess es.