Kaskadierendes Risiko: „Business Blackout“-Bericht von Lloyds

Welche Auswirkungen hat ein Cyber-Angriff auf die Strominfrastruktur eines Landes? Damit beschäftigt sich eine Studie von Lloyds. 

Anfangs Juli veröffentlichte Lloyds den Bericht “Business-Blackout: Die Versicherungsfolgen einer Cyber-Attacke auf das US-Stromnetz“, eine Studie über die finanziellen Auswirkungen eines hypothetischen Stromnetz-Versagens in den USA. Das mit dem University of Cambridge Center for Risk Studies gemeinsam entwickelte Gutachten ist sehr wichtig in zweierlei Hinsicht: nicht nur für alle, die sich mit Cyber-Attacken auf Stromnetze beschäftigen. Sondern auch für jene, die die Auswirkungen von Cyber-Bedrohungen generell besser verstehen wollen.

cover business blackout

Die Studie beschreibt “das hypothetischen Szenario eines Stromausfall, der 15 US-Bundesstaaten, darunter New York City und Washington DC in Dunkelheit stürzt und 93 Millionen Menschen ohne Elektrizität zurücklässt.” Der Bericht führt aus, dass dieses Szenario, das so genannte „Erebos Cyber Blackout-Szenario “, „zwar unwahrscheinlich, doch technisch möglich ist, und auch innerhalb der Benchmark-Wiederkehrzeit von 1:200 liegt. Eine Wahrscheinlichkeit, gegen die die Versicherer gewappnet sein müssen“.

Das Risiko eines solchen Angriffs, vor allem aufgrund seiner massiven Auswirkungen, bedeutet laut Lloyds, dass die Versicherer ein solches Szenario verstehen und quantifizieren können sollten. In der folgenden Abbildung aus dem Bericht wird es dargestellt.

Diese Studie hinterfragt die Versicherungswirtschaft!

scenario business blackout

Die Studie versucht nicht, die Wahrscheinlichkeit von diesem oder anderen Szenarien zu berechnen. Vielmehr zeigt sie, wie die finanziellen Folgen eines solchen Szenarios über ein breites Spektrum von Bereichen kaskadieren: “Der Bericht ist keine Vorhersage und gibt keine Hinweise auf besondere Schwachstellen in der entscheidenden nationalen Infrastruktur. Vielmehr beabsichtigt das Szenario die Annahmen der Fachleute in der Versicherungswirtschaft zu hinterfragen und die Probleme zu verdeutlichen, die angegangen werden sollten, um für diese Art von Ereignissen besser vorbereitet zu sein.”

Und Annahmen hinterfragt der Bericht. Insbesondere beleuchtet er das Selbstverständnis der Versicherer betreffend möglicher Auswirkungen von Cyber-Angriffen, der Tauglichkeit der vorhandenen Informationen und Modelle für das Verständnis dieser Auswirkungen. Ebenso hinterfragt er die Ähnlichkeit der Cyber-Attacken mit Naturkatastrophen (aus der Perspektive des Versicherers).

Cyber-Attacken haben Kaskadenwirkung

Zum Beispiel zeigt das Szenario klar, dass ein großer Cyber-Angriff eine Kaskadenwirkung hat, die viel größere wirtschaftliche Verluste mit sich bringen kann als nur den Stromausfall oder die Strominfrastrukturschäden. Das Szenario zeigt auch, dass sowohl das Ausmaß, wie auch die Verfügbarkeit von Informationen, die nötig sind, um Cyber-Angriffsszenarien zu verstehen, eine große Herausforderung darstellen. Und schließlich demonstriert das Szenario die Hauptunterschiede zwischen einem Cyber-Angriff und einer Naturkatastrophe.

Während Naturkatastrophen vor allem auf der Grundlage historischer Daten (inklusive Vorhersagemodelle aufgrund dieser historischen Informationen) besser verstanden werden können, braucht es zum Verständnis und zur Bekämpfung von Cyber-Angriffen zukunftsgerichtete Werkzeuge wie Angriff-Modelle, den Austausch von Bedrohungsmustern unter den Unternehmen und das Verständnis der Motivationen, Ressourcen und Organisationen der Angreifer.

map business blackout

Im SPARKS Smart Grid project arbeiten wir an einem tieferen Verständnis der Cyberangriffsszenarien und ihrer Auswirkungen auf die Stromnetze. Wir nutzen dabei die EPRI NESCOR Stromnetz Ausfallszenarien- und Impact-Analyse als eine wichtige Ressource. Der Bericht von Lloyds ist eine sehr wertvolle Ergänzung zu diesen und anderen Ressourcen, die uns helfen, die Cyber-Bedrohungen zu verstehen und zu bekämpfen, denen wir alle ausgesetzt sind.

Leave a Reply

Your email address will not be published. Required fields are marked *