Schäden des Crowdstrike-Microsoft-Ausfalls gehen in die Milliarden
Neue Daten des Cloud-Versicherungsunternehmens Parametrix geben Aufschluss über die finanziellen Kosten des massiven Crowdstrike-Ausfalls in der vergangenen Woche, von dem Millionen von Microsoft-Geräten betroffen waren.
Der massive Ausfall von Crowdstrike, von dem 8,5 Millionen Microsoft-Geräten betroffen waren, wird die Fortune-500-Unternehmen allein in den USA voraussichtlich insgesamt 5,4 Mrd. Dollar an direkten finanziellen Verlusten kosten, mit einem durchschnittlichen Verlust von 44 Mio. Dollar pro Fortune-500-Unternehmen, so die neuen Daten des Cloud-Überwachungs- und Versicherungsunternehmens Parametrix.
Den größten direkten finanziellen Verlust könnten die Fortune-500-Gesundheitsdienstleister mit 1,94 Mrd. Dollar erleiden, gefolgt von großen Banken mit 1,15 Mrd. Dollar.
Das in New York ansässige Versicherungsunternehmen geht davon aus, dass sich die versicherten Verluste aufgrund des Ausfalls auf 540 Mio. bis knapp über 1 Mrd. Dollar für die Fortune-500-Unternehmen belaufen werden.
"Unsere Analyse des Crowdstrike-Ausfalls zeigt nicht nur das mögliche Ausmaß eines systemischen Cyber-Schadensereignisses, sondern auch dessen Grenzen", so Jonatan Hatzor, CEO von Parametrix, in einer Erklärung. "Sie gibt uns Aufschluss darüber, wie Versicherer und Rückversicherer ihre Cyber-Risikoportfolios diversifizieren können, um die potenziellen Auswirkungen eines systemischen Cyber-Risikos zu minimieren."
Parametrix' Analyse der Crowdstrike-Panne vom Freitag vergangener Woche basiert auf über 54 Mrd. Datenpunkten sowie der direkten Überwachung des Echtzeit-Service-Status von 6.000 Tech-Unternehmen, darunter ein Großteil der Fortune 500.
Ausfall kostet Fluggesellschaften 860 Mio. Dollar, IT-Dienstleister 560 Mio. Dollar
Eine der am stärksten betroffenen Branchen während des Crowdstrike-Microsoft-Ausfalls waren Fluggesellschaften. Nach Angaben von Parametrix wird das Problem sechs der Fortune-500-Fluggesellschaften rund 860 Mio. Dollar kosten.
Software- und IT-bezogene Dienstleistungsunternehmen werden einen direkten finanziellen Verlust von 560 Mio. Dollar hinnehmen müssen, während der Verlust für Einzel- und Großhandelsunternehmen der Fortune 500 auf 470 Mio. Dollar taxiert werden.
Auf der anderen Seite erlitt die verarbeitende Industrie mit insgesamt 36 Mio. Dollar bei 130 Unternehmen die geringsten finanziellen Verluste.
Parametrix zufolge dürfte der Anteil der finanziellen Verluste der Fortune-500-Unternehmen an den Cyber-Versicherungspolicen nicht mehr als 10 bis 20 Prozent betragen, da viele Unternehmen einen hohen Risikoselbstbehalt haben und die Versicherungssummen im Verhältnis zu den potenziellen Verlusten durch den Ausfall gering seien. Der Analysebericht schloss jegliche Verluste von Microsoft aus.
Die wichtigsten Ergebnisse der CrowdStrike-Microsoft-Analyse
Laut Parametrix war ein Viertel der Fortune-500-Unternehmen betroffen, was 125 Unternehmen entspricht.
Dazu gehören 100 Prozent der Fluggesellschaften unter den Fortune 500 und 43 Prozent der Einzel- und Großhandelsunternehmen. Etwa 67 Prozent der Unternehmen des Gesundheits- und Bankensektors waren von direkten Kosten betroffen.
Parametrix sagte, dass neben diesen primären finanziellen Verlusten die Auswirkungen von Crowdstrike auf kritische Dienste zu einer Kaskade von Betriebsverzögerungen geführt habe, die die Fortune-500-Unternehmen und ihre nachgelagerten Einheiten betreffen.
"Die Quantifizierung dieser Risiken ist wichtig. Dazu gehört die Messung der potenziellen finanziellen und betrieblichen Auswirkungen von Ausfallzeiten oder Fehlern innerhalb ihrer gebündelten Lösungen", so Hatzor.
Traditionelle Branchen, die auf physische Computer angewiesen sind, verzeichneten längere Wiederherstellungszeiten, was die Widerstandsfähigkeit und schnelle Wiederherstellung von Cloud-basierten Systemen unterstreiche, zeiten die Daten. Parametrix setzt eine eigene IT-Lösung ein, um die Leistung einer Vielzahl von IT-Diensten von Drittanbietern weltweit kontinuierlich zu überwachen und Daten über Serviceunterbrechungen zu sammeln.
"Prävention ist wichtig, aber Risikoträger haben nur begrenzte Kontrolle über das Auftreten von Ereignissen und die Praktiken von Dienstleistern", so der Chef des Versicherers Parametrix, Jonatan Hatzor. "Die Branche sollte sich auf kontrollierbare Bereiche konzentrieren, wie die Kartierung und das Management von Aggregationsrisiken. Wenn wir diese Punkte verstehen, können wir die wichtigsten Risiken bewerten und sowohl böswillige als auch nicht böswillige Bedrohungen entschärfen. Dieser proaktive Ansatz ermöglicht bessere Entscheidungen über die Prämienfestsetzung von Versicherungen und wirksame Risikotransferlösungen zur Bewältigung systemischer Risiken."