Cyber-Risiken mit einem Geldwert versehen: Der Leitfaden eines CISO zur Risikoquantifizierung

Cyberrisiken sind eine Konstante, und Unternehmen in Australien und Neuseeland sind bedroht.

70 % der Unternehmen gehen davon aus, dass ein E-Mail-Angriff in diesem Jahr das Geschäft beeinträchtigen wird, während 64 % der Unternehmen davon ausgehen, dass ihr Betrieb im Jahr 2021 durch Ransomware gestört wird.

Obwohl diese Risiken sehr real sind, haben viele Unternehmen Schwierigkeiten, sie in Begriffe zu fassen, die Führungskräfte verstehen, priorisieren und umsetzen können. Die ideale Lösung wäre eine Quantifizierung der Cyberrisiken, damit die Entscheidungsträger die Bedrohungen im Kontext ihrer Budgets und Geschäftsziele bewerten können. Das Schlüsselwort ist hier "ideal". Es gibt zwar einige Rahmenwerke für Cyberrisiken, aber jedes hat bestimmte Stärken und Nachteile. Doch bevor wir uns mit diesen Rahmenwerken befassen, sollten wir uns genauer ansehen, was wir unter einem "quantifizierten Risiko" verstehen.

Was ist ein quantifiziertes Risiko im Bereich der Cybersicherheit?

Die Quantifizierung eines Risikos bedeutet, die finanziellen Auswirkungen und die Wahrscheinlichkeit des Eintretens eines Ereignisses zu messen. Die Quantifizierung von Cyber-Risiken bedeutet, dass Bedrohungen mithilfe mathematischer Modelle identifiziert, validiert und analysiert werden, die die Cybersicherheitsumgebung Ihres Unternehmens berücksichtigen. Diese Modelle bewerten die Wahrscheinlichkeit von Cyber-Vorfällen und setzen einen greifbaren Wert für deren Auswirkungen an. Anstelle einer einfachen "Ampel"-Analyse bietet die Risikoquantifizierung detaillierte Zahlen, die als Grundlage für die Strategie und die Entscheidungsfindung dienen können.

Die Idee der Risikoquantifizierung ist in vielen Branchen fest verankert, insbesondere bei Krediten und auf den Finanzmärkten. Im Bereich der Cybersicherheit hat sie sich aufgrund der Komplexität der Cyberrisiken und des historischen Mangels an Informationen über Datenschutzverletzungen und andere Cyberangriffe langsamer durchgesetzt. Aber die Zeiten ändern sich.

Warum Risikoquantifizierung immer mehr Sinn macht

In den letzten Jahren haben sich die Bedrohungen vervielfacht und die Verfahren zur Quantifizierung von Cyberrisiken sind immer ausgefeilter geworden, so dass ihre Einführung immer attraktiver wird. Durch den verstärkten Einsatz von Value-at-Risk-Methoden (VaR) und intelligentere Risikomanagementdienste ist es möglich, das Risiko zu messen und den Verlust aus Verstößen genauer als je zuvor abzuschätzen. Bessere Techniken machen es auch einfacher, die möglichen Auswirkungen von Maßnahmen wie neuen Sicherheitsprodukten zu berücksichtigen, während eine verstärkte Automatisierung bedeutet, dass die Analyse nicht mehr wochenlang Arbeit verschlingen muss.

All dies bedeutet, dass die Risikoquantifizierung immer genauer wird und oft mit der Art von relativ einfachen Daten durchgeführt werden kann, die früher in Heatmaps und Ampel-Scorecards einflossen. Angesichts des schnellen Wachstums und der Unvorhersehbarkeit von Cyberangriffen ist das eine gute Nachricht, und die Fähigkeit der Risikoquantifizierung, mit diesen sich verändernden Variablen Schritt zu halten, ist eine echte Stärke.

Wenn Ihr Unternehmen das Risiko nicht misst, treffen Sie Entscheidungen im Dunkeln.

In Ermangelung der soliden Zahlen, die ein quantifiziertes Risiko liefern kann, besteht die Gefahr, dass Führungskräfte die Sicherheit subjektiv betrachten. Einige machen sich vielleicht Sorgen über die negativen Schlagzeilen, die eine Sicherheitsverletzung mit sich bringt, während andere nur die Auswirkungen der Kosten für die Cybersicherheit auf das Endergebnis betrachten - oder sich fragen, wovon ihr CISO überhaupt spricht.

CISOs sind sehr daran interessiert, dass potenzielle Schwachstellen und Bedrohungen angegangen werden, aber es ist schwierig, ohne konkrete Zahlen zu argumentieren. Die Versuchung kann groß sein, sich in technischen Details zu verlieren oder Probleme in groben Zügen zu beschreiben. Beide Ansätze helfen anderen Führungskräften nicht, Risiken im Kontext von Budgets, Auswirkungen und allgemeinen Geschäftszielen zu sehen. Ohne eine gemeinsame Sprache und einen detaillierten Überblick über die Entwicklung der Risiken im Laufe der Zeit besteht die Gefahr, dass die Entscheidungsfindung in einem Sumpf aus unterschiedlichen Meinungen und falsch ausgerichteten Strategien stecken bleibt.

Die Vorteile der Quantifizierung von Cyberrisiken

Aber sobald Sie das Risiko beziffern können, geben Sie den Führungskräften ein Instrument an die Hand, das ihnen hilft, das Risiko und seine Auswirkungen zu verstehen - und zu zeigen, wie die Cybersicherheit einen Mehrwert für Ihr Unternehmen darstellt. Eine wirksame Quantifizierung der Cyberrisiken kann Ihrem Unternehmen helfen:

1. Diskutieren Sie Cyber-Risiken in Begriffen, die für den Vorstand verständlich sind und mit denen sich verschiedene Abteilungen identifizieren können.
2. Priorisierung von Bedrohungen auf der Grundlage ihrer wirtschaftlichen Auswirkungen und des Risikograds
3. Verstehen der Investitionsrentabilität von Cybersicherheitsmaßnahmen
4. Beurteilung des Bedarfs und des Umfangs einer Cyberversicherung
5. Schneller bessere Entscheidungen treffen

Die Messung von Cyber-Risiken verschafft Ihnen die nötige Transparenz, um fundierte Entscheidungen zu treffen. Sobald Sie die Wahrscheinlichkeit des Eintretens eines Ereignisses, seine Häufigkeit und seine potenziellen Kosten einschätzen können, sind Sie in der Lage, den Wert verschiedener Strategien zu vergleichen, die die Bedrohung verringern oder beseitigen können. Die Quantifizierung von Cyber-Risiken ermöglicht Ihnen eine bessere Zusammenarbeit und die Erstellung eines Business Case im Vorfeld, wodurch sichergestellt wird, dass die Budgets intelligent eingesetzt werden und die Entscheidungsfindung sich auf die wichtigsten Prioritäten Ihres Unternehmens konzentriert.

Die Wahl des richtigen Ansatzes

Die Umsetzung der Risikoquantifizierung ist nicht so einfach wie das Umlegen eines Schalters - sie muss gründlich geplant werden. Die richtigen Inputs müssen zusammengestellt und der richtige Rahmen gewählt werden.

Gegenwärtig ist die Landschaft der Risikobewertungsrahmen zur Quantifizierung von Risiken noch uneinheitlich. Einige Rahmenwerke, wie z. B. kontrollorientierte und Schwachstellenbewertungen, messen das Risiko nicht wirklich, während andere, wie z. B. Modelle zur Analyse von Bedrohungen, das Risiko menschlichen Versagens vernachlässigen können. Es ist von entscheidender Bedeutung, dass die von Ihnen gewählte Lösung in Dollarzahlen ausgedrückt werden kann, die sich an der Wahrscheinlichkeit und dem Umfang des Cyberrisikos orientieren.

Werfen wir einen kurzen Blick auf einige der gängigsten Risikoquantifizierungssysteme und ihre Stärken.

NIST-Risikomanagement-Rahmenwerk

Das NIST Risk Management Framework (RMF) wurde vom US-amerikanischen National Institute of Standards and Technology (NIST) entwickelt, um gemeinsame Verfahren zur Bewertung von Kontrollen für Bundesorganisationen festzulegen. Ursprünglich war es jedoch als Risikobewertungsverfahren konzipiert. Sie eignet sich zwar für die Risikoquantifizierung, bestimmt aber nicht die Wahrscheinlichkeit der Risikoexposition in wirtschaftlicher Hinsicht, zumindest nicht direkt.

Faktoranalyse des Informationsrisikos (FAIR)

Das FAIR-Modell wird als "einziges internationales quantitatives Standardmodell für Cybersicherheit und operationelle Risiken" bezeichnet. In der Welt der Cybersicherheit gab es viele Debatten über den Ansatz und die Fähigkeit, Cyberrisiken in finanzieller Hinsicht zu quantifizieren. Dennoch ist FAIR in der Geschäftswelt schnell auf dem Vormarsch und gehört zu den am häufigsten verwendeten Frameworks.

Weltwirtschaftsforum Cyber Risk Framework und Maturity Model

Das 2015 veröffentlichte WEF-Rahmenwerk ist in seiner Subjektivität dem NIST RMF ähnlich. Während das FAIR-Modell eher datengesteuert ist, stützt sich der WEF-Rahmen auf menschliche Erkenntnisse, um die Risikowahrscheinlichkeit zu bestimmen.

Es gibt auch andere Modelle wie ISO 27005, OCTAVE und COBIT® 5, die jeweils ihre eigenen Stärken haben. Bei der Auswahl eines Modells, auf dem Sie aufbauen wollen, ist es wichtig zu erkennen, welche Ergebnisse für Ihre Organisation am nützlichsten wären.

Die Quantifizierung von Cyber-Risiken sollte Teil Ihres umfassenden Risikomanagementprogramms sein. Auf diese Weise können Sie einen umfassenden Rahmen schaffen, so dass Kosten und ROI sektor- und abteilungsübergreifend gemessen werden können.

Bessere Geschäftsentscheidungen durch Quantifizierung der Risiken

Zu lange haben viele Unternehmen das Cyberrisiko nicht umfassend gemessen. Das macht es für CISOs schwieriger, einen geschäftlichen Nutzen für die Cybersicherheit zu erzielen, und kann dazu führen, dass Sicherheitsmaßnahmen von Führungskräften eher als unerwünschte Kosten betrachtet werden, anstatt sie zu fördern. Die Quantifizierung des Risikos ermöglicht es Ihnen, die Bedrohungen zu beziffern, und Ihrem Vorstand, den vollen Wert der Cybersicherheit zu erkennen.