Cyber-Risikomanagement

Oberflächlich betrachtet sehen Cyber- und operationelle Risiken ähnlich aus. Beide können das Versagen eines Prozesses oder einer Technologie beinhalten, mit der Folge eine Bank lahmzulegen oder noch schlimmere Auswirkungen zu haben. Bei genauerer Betrachtung haben Cyber-Risiken aber etwas Besonderes. Dies hat Auswirkungen auf das Risikomanagement einer Bank.

Im Rahmen des Baseler Kapitalstandards (Basel III) sind die Banken verpflichtet, ausreichend verlustabsorbierendes Eigenkapital vorzuhalten, um sich vor Verlustrisiken zu schützen. Die Verluste können unter anderem aus der Unangemessenheit oder dem Versagen interner Prozesse, Menschen und Systeme oder externer Ereignisse ergeben. Eine Schätzung lautet, dass Großbanken zwischen 2012 und 2017 fast 200 Mrd. US-Dollar durch operationelle Risikoereignisse verloren haben. Das Cyber-Risiko wird allgemein als eines der größten operationellen Risiken bezeichnet. Aber Cyber-Risiken unterscheiden sich von klassischen operationellen Risiken.

Ein wesentlicher Unterschied besteht in der Art und Weise, wie ein Schock auftritt. Hervorzuheben sind vier Merkmale:

Absicht: Störende Angriffe werden in böswilliger Absicht durchgeführt und sollen maximalen Schaden anrichten, z.B. durch Kombination von Angriffen auf mehrere Systeme oder durch Auswahl eines kritischen Datums.

Wahrscheinlichkeit: Die Erfolgswahrscheinlichkeit eines Angriffs ist augenblicklich viel höher, und ein hochwirksames Ereignis ist eine Frage des „Wann“ und nicht des „Wenn“.

Timing: Der Angriff kann eine versteckte Phase umfassen, in der Daten gefährdet und manipuliert werden, um Probleme zu verursachen. Sobald der Angriff bekannt wird, kann es schwierig sein, das Ausmaß des Schadens zu beurteilen und effektive Lösungen zu finden.

Anpassungsfähigkeit: Neue Tools und Techniken, die Cyber-Angreifern zur Verfügung stehen, reduzieren die Kosten von Angriffen und erhöhen deren Wirkung bei gleichzeitiger Erhöhung der Verteidigungskosten. Sie ermöglichen es Angreifern auch, bisher ungenutzte Schwachstellen auszunutzen.

Wenn alle vier Merkmale vorhanden sind, wird das Management des Cyber-Risikos – die Verhinderung und Wiederherstellung nach Cyberangriffen – zu einem unerschwinglichen Preis.

Ein Eckpfeiler der herkömmlichen Notfallplanung ist die Verpflichtung zur schnellen Wiederherstellung von Diensten über Backup-Systeme. Unsicherheiten über die Integrität der Sicherung können diesen Plan allerdings gefährden.

Die Herausforderung in diesem Bereich besteht darin, spezifische Strategien zu entwickeln, die auf die Besonderheit des Schocks reagieren. Außerdem sind Risikomanagementlösungen erforderlich, die die besonderen Auswirkungen des Schocks berücksichtigen.