Bob

Chief Security Architect, RSA

Versicherer unterschätzen die Folgekosten von Cyber-Angriffen

Lloyds_ReportKürzlich veröffentlichte der internationale Versicherungsverbund Lloyds die Studie Business-Blackout: Die Folgen einer Cyber-Attacke auf das US-Stromnetz für Versicherungen. Lloyds untersuchte zusammen mit dem Center for Risk Studies der Universität Cambridge unter anderem, wie hoch die Schadenssummen sind, die Versicherungen bei einem großflächigen Ausfall des US-Stromnet
zes in Folge eines Cyber-Angriffs absichern müssten. Die Studienergebnisse sind wertvoll für alle, die sich mit Cyber-Attacken auf Stromnetze beschäftigen und die Auswirkungen von derartigen Bedrohungen generell besser verstehen wollen. Auch für Europa sind die Ergebnisse relevant – zum einen sichern europäische Versicherer auch Risiken in den USA ab, zum anderen dürften Cyber-Attacken auf Stromnetze in Europa ganz ähnliche Folgekosten nach sich ziehen.
TimelineDie Lloyds-Studie beschreibt das hypothetische Szenario eines Stromausfalls, der 15 US-Bundesstaaten, darunter New York City und Washington DC, in Dunkelheit stürzt und 93 Millionen Menschen ohne Elektrizität zurücklässt. Dieses sogenannte „Erebos Cyber Blackout-Szenario“ ist laut der Verfasser zwar unwahrscheinlich, doch technisch möglich. Ihren Berechnungen zufolge kommt ein solches Ereignis im statistischen Mittel alle 200 Jahre vor – eine Wahrscheinlichkeit, gegen die Versicherer gewappnet sein sollten. Doch das Ziel der Studie ist es nicht, die Wahrscheinlichkeit eines solchen Szenarios zu ermitteln. Die Autoren schreiben: „Der Bericht ist keine Vorhersage und gibt keine Hinweise auf besondere Schwachstellen in der kritischen nationalen Infrastruktur. Vielmehr sollen mit diesem Szenario die Annahmen der Fachleute in der Versicherungswirtschaft auf den Prüfstand gestellt und die Probleme verdeutlicht werden, um auf solche Ereignisse besser vorbereitet zu sein.“

Aus der Studie geht hervor, dass ein großer Cyber-Angriff Folgewirkungen hat, die viel größere wirtschaftliche Verluste mit sich bringen als nur den Stromausfall oder die Schäden in der Strominfrastruktur selbst. Zudem zeigt sie, dass es für Versicherer eine große Herausforderung ist, an die für das Verständnis einer solchen Cyber-Attacke nötigen Informationen heranzukommen und diese sinnvoll in Beziehung zu setzen. Und schließlich machen die Experten deutlich, dass Cyber-Angriffe und Naturkatastrophen von den Versicherern nicht in dieselbe Risikoklasse eingestuft werden sollten. Denn die für Naturkatastrophen genutzten Analyse- und Vorhersagemodelle basieren aus historischen Erkenntnissen, die auf dem Gebiet der Cyber-Gefahren noch nicht in ausreichendem Maße vorliegen.

Um Cyber-Angriffe verstehen unLandscaped effektiv bekämpfen zu können, benötigen Versicherer zukunftsgerichtete Werkzeuge, die es Ihnen ermöglichen, die Angriffsmodelle sowie die Motivationen, Ressourcen und Organisationen der Angreifer nachzuvollziehen. Zudem sollten die Versicherungsunternehmen untereinander kooperieren und Bedrohungsmuster austauschen, um die Folgen komplexer Cyber-Angriffe realistisch zu berechnen und ihre Kunden adäquat abzusichern.

Wir bei RSA erforschen im Rahmen des SPARKS Smart Grid Projects gemeinsam mit anderen Unternehmen die Anfälligkeit von Smart Grids bei Cyber-Attacken auf Grundlage der EPRI NESCOR Stromnetz Ausfallszenarien- und Impact-Analyse. Der Bericht von Lloyds ist eine sehr wertvolle Ergänzung dazu, und er wird uns helfen, die Cyber-Bedrohungen zu analysieren, denen wir alle ausgesetzt sind.

Mehr über dieses und weitere Security-Themen erfahren Sie am RSA-Stand in der Expo-Halle auf der IT-Security Messe and Kongress it-sa 2015 in Nürnberg. Vom 6. bis 8. Oktober 2015 können Sie sich dort über die aktuellen Produkte und -Technologien von RSA informieren. Unter anderem werden wir VIA Access vorstellen, unser neues Produkt für Identity Management und Governance, sowie die Möglichkeiten des Advanced Security Operations Center (ASOC) demonstrieren.

Ich hoffe darauf, Sie in Nürnberg zu sehen!