Nimmt Ihr Unternehmen zu viele Risiken in Kauf?

Ransomware ist nach wie vor eine der größten Bedrohungen für Unternehmen. Dennoch unterschätzen viele Unternehmen nach wie vor, wie hoch das Risiko ist, das sie tatsächlich eingehen. 

Während Investitionen in Sicherheitstools und -kontrollen üblich sind, besteht die eigentliche Herausforderung darin, dass die betrieblichen Praktiken und das menschliche Verhalten oft weit über das hinausgehen, was die Vorstände zu akzeptieren pflegen.

In diesem Artikel wird untersucht, wie sich die Risikobereitschaft auf die Sicherheitslage auswirkt, welche Indikatoren darauf hindeuten, dass ein Unternehmen ein größeres Ransomware-Risiko eingeht als geplant, und warum das menschliche Verhalten heute die wichtigste Variable für die Widerstandsfähigkeit eines Unternehmens darstellt.

Was ist die Risikobereitschaft eines Unternehmens?

Die Risikobereitschaft eines Unternehmens ist das Maß an Unsicherheit, das eine Organisation bei der Verfolgung ihrer Ziele zu akzeptieren bereit ist. Sie bestimmen die Sicherheitsprioritäten, Finanzierungsentscheidungen und letztlich die Widerstandsfähigkeit des Unternehmens gegenüber modernen Ransomware-Bedrohungen.

Appetit vs. Toleranz

• Die Risikobereitschaft ist strategisch. Es ist die übergreifende Haltung, ob die Führung bereit ist, eine höhere Unsicherheit im Austausch für Geschwindigkeit und Wachstum zu akzeptieren, oder ob das Unternehmen einen konservativen Ansatz wählt, um das Risiko zu minimieren.
• Die Risikotoleranz ist operativ. Es übersetzt den Appetit in messbare Schwellenwerte: maximal zulässige Ausfallzeiten, akzeptabler Verlust von Kundendaten oder angestrebte Phishing-Raten.

Diese Unterscheidung ist wichtig, da die Toleranz die Maßstäbe schafft, die CISOs und Vorstände verwenden, um zu beurteilen, ob die aktuelle Sicherheitslage mit dem erklärten Ziel übereinstimmt. Gleichzeitig kann eine fehlende Risikobereitschaft für ein Unternehmen ebenso schädlich sein wie eine zu große. Ein Unternehmen, das zu sicher ist, um innovativ zu sein oder die Anforderungen seiner Kunden zu erfüllen, wird nicht erfolgreich sein.

Warum das menschliche Risiko einbezogen werden muss

Allzu oft konzentrieren sich diese Definitionen auf Technologie und Prozesse, lassen aber das menschliche Element außer Acht. Die Mitarbeiter spielen jedoch eine zentrale Rolle bei der Gestaltung der Risikoexposition durch Maßnahmen wie:

• Klick auf eine bösartige E-Mail.
• Fehlkonfiguration des Cloud-Speichers.
• Falscher Umgang mit sensiblen Daten auf verschiedenen Plattformen für die Zusammenarbeit.

Diese Handlungen haben direkte Auswirkungen auf das Vertrauen der Kunden, die Einhaltung von Vorschriften und den Ruf der Marke. Sie zu ignorieren, verzerrt das wahre Risikoprofil des Unternehmens und unterschätzt, wie viel Unsicherheit das Unternehmen tatsächlich trägt. Das bewusste Erkennen der menschlichen Risikobereitschaft ermöglicht es einem Unternehmen, zu verstehen, wie viele Sicherheitsschwierigkeiten in den Arbeitsablauf eines Mitarbeiters eingebaut werden sollten, was die Wahrscheinlichkeit von riskantem Verhalten verringert, aber die Produktivität verlangsamen kann.

Warum übermäßige Cyberrisiken das Unternehmen gefährden

Risiken sind unvermeidlich, aber ein übermäßiges Cyberrisiko untergräbt die Widerstandsfähigkeit und vervielfacht die Kosten. Die Gefahr liegt nicht nur in einem einzelnen Vorfall, sondern darin, wie sich kleine Schwächen im Laufe der Zeit summieren. Dies ist ein Konzept, das als Sicherheitsdrift bekannt ist. Wenn Sie wiederholte Risikoausnahmen akzeptieren, entfernen Sie sich weiter von Ihrer beabsichtigten Risikobereitschaft und erhöhen die Wahrscheinlichkeit eines Verstoßes. Diese kleinen Probleme, die nicht behoben werden, schaffen Lücken, die Angreifer ausnutzen:

• Ein Rückstau an ungepatchten Systemen schafft mehrere Einfallstore.
• Ein Phishing-Klick liefert Anmeldedaten, die Angreifer plattformübergreifend wiederverwenden können.
• Eine verzögerte Reaktion auf einen Vorfall vergrößert den Explosionsradius.

Einzeln betrachtet, mögen diese Probleme überschaubar erscheinen. Zusammen vervielfachen sie das Risiko und versetzen das Unternehmen in einen Zustand ständiger Verwundbarkeit und erhöhen die Wahrscheinlichkeit eines schwerwiegenderen Vorfalls oder Verstoßes.

Die Folgen eines unkontrollierten Risikos

​​Wenn diese Schwachstellen zusammentreffen, gehen die Auswirkungen auf das Geschäft über den IT-Betrieb hinaus:

• Finanziell: Der durchschnittliche von Insidern verursachte Datenverlust oder -diebstahl kostet laut Sicherheitsentscheidern 13,9 Millionen Dollar, was in krassem Gegensatz zu den vergleichsweise bescheidenen Investitionen steht, die für präventive Kontrollen erforderlich sind. Zu den Wiederherstellungskosten gehören Lösegeldzahlungen, Rechtsverteidigung, behördliche Geldstrafen und die Kosten für die Wiederherstellung des Betriebs.
• Reputation: Öffentliche Verstöße untergraben das Vertrauen von Kunden und Investoren. In vielen Fällen erleidet der langfristige Markenwert einen größeren Schaden als der unmittelbare finanzielle Verlust.
• Operativ: Ausfallzeiten stoppen die Umsatzgenerierung, unterbrechen die Lieferketten und hindern Teams daran, Kunden zu bedienen. Selbst kurze Unterbrechungen können sich auf kritische Geschäftsfunktionen auswirken.
• Rechtlich: Sammelklagen, Aktionärsklagen und behördliche Untersuchungen führen zu einer jahrelangen Haftung nach einem größeren Zwischenfall.

Diese Auswirkungen sind nicht hypothetisch. Eine Forrester Total Economic Impact™ (TEI)-Studie ergab, dass der Einsatz einer E-Mail-Sicherheitslösung wie Mimecast zur Minderung von E-Mail-Risiken für ein zusammengesetztes Unternehmen einen ROI von 255% und einen Nettogegenwartswert von 1,53 Millionen US-Dollar innerhalb von drei Jahren ergab.

Wichtige Indikatoren dafür, dass Ihr Unternehmen zu viele Risiken eingeht

Ein übermäßiges Risiko ist nicht immer offensichtlich. Viele Unternehmen glauben, dass ihre Haltung ausgewogen ist, bis messbare Indikatoren das Gegenteil nahelegen.

Operative Signale

• Steigende Erkennungs- und Reaktionszeiten (MTTD/MTTR): Sicherheitsteams haben Mühe, Vorfälle schnell einzudämmen.
• Ungepatchte Sicherheitslücken: Ein wachsender Rückstau von CVEs deutet auf Ressourcenlücken oder falsch gesetzte Prioritäten hin.
• Überlastung mit Warnmeldungen: Die Analysten werden überschwemmt, was zu verpassten oder verzögerten Antworten führt.
• Anzahl der gewährten Risikoausnahmen: Eine hohe Anzahl von genehmigten Ausnahmen - insbesondere solche, die wiederholt ohne Abhilfemaßnahmen verlängert werden - deutet darauf hin, dass Kontrollen systematisch umgangen und nicht durchgesetzt werden.

Kulturelle Signale

• Sicherheit wird für Geschwindigkeit umgangen: Geschäftseinheiten setzen Kontrollen außer Kraft, um kurzfristige Ziele zu erreichen.
• Risiko wird als IT-Problem behandelt: Führungskräfte sehen Cyber-Risiken nicht als Geschäftsproblem an.
• Silos in der Entscheidungsfindung: Die Abteilungen handeln unabhängig voneinander und hinterlassen blinde Flecken in der unternehmensweiten Sicherheit.

Tests und Bereitschaftssignale

• Seltene Tabletop-Übungen: Simulationen werden, wenn überhaupt, nur unregelmäßig durchgeführt.
• Veraltete Playbooks: Die Leitfäden für die Reaktion auf Vorfälle spiegeln nicht die aktuellen Bedrohungen wider.
• Fehlen von Übungen zum Einbruch: Die Teams werden nicht auf realistische Angriffsszenarien getestet.

Zusammengenommen deuten diese Anzeichen darauf hin, dass eine Organisation jenseits ihrer beabsichtigten Toleranz operiert, oft ohne dass dies offiziell anerkannt wird.

Wie viel Risiko ist zu viel? Festlegung von Toleranzschwellen.

Jedes Unternehmen hat eine Risikobereitschaft, aber ohne klare Grenzen ist es fast unmöglich zu wissen, wann ein normales Risiko in den Bereich des Übermäßigen vorgedrungen ist. Toleranzschwellen dienen als messbare Grenzen, die ein überschaubares Risiko von einem inakzeptablen Risiko trennen.

Ansätze zur Messung

Es gibt verschiedene Möglichkeiten, diese Schwellenwerte zu definieren und zu messen:

• Quantitative Modelle

  Frameworks wie FAIR (Factor Analysis of Information Risk) schätzen die finanziellen Verluste aus verschiedenen Bedrohungsszenarien, während die NIST CSF-Risikobewertung standardisierte Maßstäbe für die Bewertung des Reifegrads liefert. 

  Monte-Carlo-Simulationen fügen eine weitere Ebene hinzu, indem sie Tausende von möglichen Ausbrüchen modellieren, um die wahrscheinlichen Verlustbereiche zu ermitteln. Diese Methoden liefern den Führungskräften Daten, die sie direkt in finanzielle Begriffe und geschäftliche Auswirkungen umsetzen können.

• Qualitative Methoden

  Heatmaps und Schweregradbewertungen sind nach wie vor nützlich für Diskussionen auf höchster Ebene, insbesondere mit nicht-technischen Interessengruppen. Allerdings mangelt es ihnen oft an der nötigen Präzision, um die Budgetzuweisung zu steuern oder die Rechenschaftspflicht auf Vorstandsebene zu demonstrieren.

Warum kontinuierliche Überwachung wichtig ist

Die Festlegung von Schwellenwerten ist keine einmalige Angelegenheit. Die Risikotoleranz muss sich mit den internen und externen Faktoren weiterentwickeln:

• Entwicklung der Bedrohung: Neue Techniken, wie KI-gesteuerte Phishing- oder QR-Code-Angriffe, verändern die Risikolandschaft.
• Unternehmenswachstum: Die Expansion in neue Märkte, Branchen oder Regionen schafft zusätzliche Angriffsflächen.
• Regulatorische Änderungen: Aktualisierte Compliance-Verpflichtungen erfordern eine Neubewertung dessen, was eine akzeptable Exposition ist.

Durch die direkte Verknüpfung von Schwellenwerten mit Geschäftsergebnissen wie Umsatzeinbußen, Kundenabwanderung und Compliance-Strafen erhalten Führungskräfte ein klareres Bild davon, ob das Unternehmen heißer läuft als beabsichtigt.

Aufbau eines modernen Rahmens für die Risikobewertung

Traditionelle Risikobewertungen konzentrieren sich oft auf die technische Infrastruktur - Server, Endpunkte und Netzwerkschutz. Diese sind zwar nach wie vor unverzichtbar, aber die Widerstandsfähigkeit gegen Ransomware erfordert heute eine umfassendere, unternehmensweite Perspektive. Effektive Rahmenwerke müssen Menschen, Prozesse und Dritte integrieren, um einen realistischen Überblick über das Gesamtrisiko zu erhalten.

Bestandteile einer ganzheitlichen Überprüfung

Ein modernes Framework bezieht mehrere Ebenen des Unternehmens mit ein:

1. Identifizieren Sie kritische Vermögenswerte: Gehen Sie über die Hardware hinaus und berücksichtigen Sie geistiges Eigentum, Kundendaten, Finanzsysteme und SaaS-Anwendungen. Dies sind die Vermögenswerte, die am ehesten ins Visier genommen werden und deren Verlust am teuersten ist.
2. Definieren Sie Bedrohungsszenarien: Skizzieren Sie die Bandbreite möglicher Angriffsvektoren, von Phishing und Ransomware bis hin zu Insider-Missbrauch, Kompromittierung der Lieferkette und häufigen Fehlkonfigurationen. Dadurch wird sichergestellt, dass die Bewertungen sowohl externe Bedrohungen als auch interne Schwachstellen widerspiegeln.
3. Bewerten Sie die Wirksamkeit der Kontrollen: Prüfen Sie nicht nur die technischen Sicherheitsvorkehrungen, sondern auch die organisatorischen Abläufe und das Verhalten der Mitarbeiter. Eine technisch starke Kontrollumgebung kann dennoch ins Wanken geraten, wenn die Prozesse schlecht definiert sind oder die Mitarbeiter nicht in die Sicherheitspraktiken eingebunden sind.
4. Berücksichtigen Sie erweiterte Risiken: Anbieter, Auftragnehmer und Partner haben oft privilegierten Zugang zu Systemen und Daten. Wenn Sie diese in die Bewertung einbeziehen, können Sie die gegenseitigen Abhängigkeiten erfassen, die häufig als Einstiegspunkte für Ransomware dienen.

Die Betrachtung des Risikos durch diese Linse hilft den Führungskräften, besser zu verstehen, wie verschiedene Faktoren zusammenwirken und ein Risiko für das gesamte Unternehmen darstellen.

Tools und Datenanforderungen

Moderne Rahmenwerke hängen von Tools und Daten ab, die in Echtzeit Einblicke in die technischen und menschlichen Dimensionen des Risikos bieten:

• SIEM- und SOAR-Plattformen für die Korrelation von Protokollen und automatische Reaktionen.
• Angriffsflächenmanagement zur Identifizierung gefährdeter Objekte.
• Analyse menschlicher Risiken, um neben technischen auch verhaltensbedingte Schwachstellen zu messen.

Die automatisierte Sammlung von Beweisen stärkt die Audit-Bereitschaft und demonstriert die Einhaltung von Rahmenwerken wie GDPR, HIPAA und PCI DSS.

Führungsmaßnahmen zur Reduzierung übermäßiger Risiken

Die Verringerung von Risiken erfordert eine Abstimmung von Technologie, Governance und Kultur.

Verstärkung der technischen Kontrollen

• Führen Sie eine Zero Trust-Architektur ein, um das implizite Vertrauen zwischen Systemen und Benutzern zu begrenzen.
• Härten Sie die Identitätsverwaltung mit einer starken Multi-Faktor-Authentifizierung und der Durchsetzung des Prinzips der geringsten Privilegien.
• Setzen Sie fortschrittliche E-Mail- und Kollaborationssicherheit ein, um Ransomware an ihren häufigsten Eintrittspunkten abzufangen.
• Implementieren Sie einen Schutz vor Datenverlust und erstellen Sie zuverlässige, unveränderliche Backups.

Verbessern Sie Governance und Rechenschaftspflicht

• Weisen Sie Budgets auf der Grundlage einer Risikopriorisierung zu, nicht auf der Grundlage einer gleichmäßigen Verteilung.
• Verwenden Sie KPI- und KRI-Dashboards, um dem Vorstand einen klaren Überblick über die Cyberlage zu verschaffen.
• Verankern Sie die Risikoverantwortung in den Scorecards und Vergütungsplänen für Führungskräfte.

Fördern Sie eine widerstandsfähige Kultur

• Fördern Sie die gemeinsame Verantwortung für Cyberrisiken in allen Geschäftsbereichen.
• Führen Sie regelmäßig Tabletop-Übungen durch und aktualisieren Sie Playbooks, um neue Bedrohungen zu berücksichtigen.
• Erkennen Sie, dass das Verhalten der Mitarbeiter keine Nebensache, sondern ein zentraler Risikofaktor ist.

Einbindung des menschlichen Risikomanagements

Menschliches Versagen ist inzwischen für die meisten Sicherheitsverletzungen verantwortlich. 80% der Unternehmen nennen fahrlässiges oder unvorsichtiges Verhalten ihrer Mitarbeiter als kritischen Punkt. Um dieses Problem anzugehen, bedarf es mehr als nur Schulungen - es erfordert Sichtbarkeit und ein messbares Management.

Der integrierte Ansatz von Mimecast

Die Human Risk Management Plattform von Mimecast bietet:

• Verhaltensbasierte Bewertung: Identifiziert Mitarbeiter mit hohem Risiko auf der Grundlage von realen Handlungen, nicht nur von Testergebnissen.
• Adaptives Training: Bietet eine kontextspezifische Ausbildung, die auf individuelle Risikoprofile zugeschnitten ist.
• Integrierte Warnmeldungen: Liefert Daten über menschliche Risiken an SIEM- und SOAR-Systeme und beschleunigt so die Reaktionszeiten.

Durch die Kombination von Bedrohungsdaten mit Verhaltensanalysen können Unternehmen ihre risikoreichsten Angriffspunkte ausfindig machen und eingreifen, bevor Ransomware zum Einsatz kommt.

Das menschliche Risiko als entscheidender Faktor für cyber resilience

Jedes Unternehmen setzt sich Grenzen, wie viel Risiko es tolerieren kann, aber Ransomware hat gezeigt, dass die größte Gefahr oft von Menschen ausgeht und nicht von technologischen Lücken. Das Messen und Verwalten von menschlichem Verhalten ist jetzt genauso wichtig wie das Patchen von Systemen oder der Einsatz von Firewalls.

Unternehmen, die das menschliche Risiko als eine zentrale Geschäftskennzahl behandeln - und nicht als nachträgliche Überlegung - haben einen entscheidenden Vorteil. Mit Verhaltensbewertung in Echtzeit, adaptivem Training und integrierten Bedrohungsdaten hilft Mimecast den Sicherheitsverantwortlichen, die Lücke zwischen der angegebenen Risikobereitschaft und der tatsächlichen Gefährdung zu schließen.

Erfolgreich werden die Unternehmen sein, die das menschliche Risikomanagement direkt mit der Strategie, der Unternehmensführung und der Widerstandsfähigkeit verbinden. 

Fordern Sie eine Demo der Human Risk Management Plattform von Mimecast an, um zu sehen, wie Sie diese Ausrichtung in die Praxis umsetzen können.