Ein Leitfaden für den Umgang mit den Risiken der Cyber-Sicherheit in der Zukunft

Digitaler Wandel und Risikomanagement

Im Zeitalter der digitalen Wandels setzen Unternehmen und Organisationen auf der ganzen Welt und in allen Branchen neue Technologien ein, um die Effizienz zu verbessern, Mehrwert zu schaffen und Innovationen voranzutreiben. Während der COVID-19-Pandemie fanden Unternehmen auf der ganzen Welt kreative Möglichkeiten, ihre digitalen Dienste für Kunden, Bürger und Mitarbeiter zu erweitern.

Doch dieser rasante Wandel hat die Wahrscheinlichkeit von Cyber-Vorfällen erhöht und das digitale Risiko für Unternehmen und Einzelpersonen vergrößert. Es hat auch zu regulatorische Änderungen geführt. Aufgrund der Geschwindigkeit, mit der sich die digitale Technologie durchsetzte, waren viele Unternehmen nicht darauf vorbereitet, ihre wichtigsten Vermögenswerte zu schützen.

Mit einer so großen Menge an sensiblen Daten bringt die digitale Transformation neue Arten von Bedrohungen mit sich, mit denen sich Unternehmen - unabhängig von ihrer Größe und Komplexität - auseinandersetzen müssen. Diese sind:

• Datenschutzverletzung
• Nicht verfügbare Systeme
• Integrität der Informationen gefährdet

In Fällen, in denen es um Betrug oder Diebstahl geht, kann ein Cybersicherheitsvorfall zu schweren finanziellen Verlusten, langere Störungen, oder noch schlimmer führen. Berichten zufolge gehen 60% der kleinen Unternehmen innerhalb von sechs Monaten nach einem Cyberangriff oder einer Datenschutzverletzung in Konkurs.

Schlüsselfragen im Zusammenhang mit Cyber Security Management

Da sich Unternehmen in ihren Geschäftsabläufen zunehmend auf Informationstechnologien verlassen, ist der Schutz digitaler Vermögenswerte und der darin enthaltenen Informationen wichtiger denn je. Doch trotz zahlreicher internationaler Standards und Rahmenwerke fällt es den meisten Unternehmen schwer, ihre Cyber-Risiken effektiv zu managen. Warum ist das so?

• Die Definition von Cyberrisiko ist inkonsistent, wird missverstanden und verwendet vage qualitative Maßenahmen
• Das Management von Cyber-Risiken ist isoliert und für die Stakeholder, die in diesen Governance-Prozess einbezogen werden sollten, nicht zugänglich
• Unternehmen verlieren aus den Augen, warum sie überhaupt Cyber-Risiken managen

Um ihre wichtigsten digitalen Vermögenswerte zu schützen, müssen Unternehmen, Organisationen und Behörden zunächst diese Vermögenswerte identifizieren, verstehen, wie sie die Geschäftstätigkeit unterstützen, und festlegen, wie sie geschützt werden können, indem sie die Bedrohungen und Auswirkungen eines Cyber-Vorfalls ermitteln. Das mag einfach klingen, aber in der Umsetzung stellt sich für Unternehmen das genau formulieren davon, was genau und warum sie es schützen wollen, schwierig dar.

Zusätzlich hat die digitale Wandlung die Risikolandschaft verändert. In einer global vernetzten Wirtschaft umfasst die Lieferkette nun auch Drittanbieter von Software und Dienstleistungen. Wir sind davon überzeugt, dass ein erfolgreiches Cyber-Risikomanagementprogramm, das sich mit diesen Themen befasst, Folgendes leisten sollte:

• IT-Risiken wissenschaftlich und in für Entscheidungsträger leicht verständlichen Begriffen erfassen.
• Priorisierung von Schutzmaßnahmen oder Kontrollen zur Verbesserung der Widerstandsfähigkeit, der Wiederherstellung und der Minderung finanzieller Verluste durch Cybervorfälle, anstatt sich nur auf technische Kontrollen zur Vermeidung von Vorfällen zu konzentrieren.
• Kontinuierliche Managementtätigkeit, die die Führung aller Funktionen, einschließlich des Vorstands, einschließt.

Die Führungsrolle im Bereich Cybersicherheit

Obwohl die digitale Transformation fast über Nacht stattgefunden hat, haben die Governance-Modelle nur langsam darauf reagiert. Wir sind der Ansicht, dass das Versäumnis, eine angemessene Cyberrisiko-Governance einzuführen, eine Fahrlässigkeit des Vorstands und der Geschäftsleitung darstellt. Weltweit kommen viele Aufsichtsbehörden allmählich zu derselben Schlussfolgerung. Schon bald werden die meisten Unternehmen zu einer effektiven und nachweisbaren Steuerung des Cyberrisikomanagements verpflichtet sein.

Die Lösung eines Unternehmensproblems dieser Größenordnung erfordert die Unterstützung der Geschäftsführung. Hierzu müssen zunächst der Vorstand und andere Führungspersönlichkeiten an der Spitze den Ton angeben. Das Management von Cyber-Risiken kann nicht Aufgabe von CISOs und CIOs allein sein. Es handelt sich um ein unternehmensweites Problem, bei dem sich jede Abteilung der mit ihren Aktivitäten verbundenen Cyber- und Technologierisiken und der verfügbaren Optionen zum Schutz ihrer digitalen Vermögenswerte bewusst sein muss.

Um dieses Ziel zu erreichen, wird für das Cyberrisikomanagement eine universelle Sprache benötigt, damit jeder leicht versteht, worum es geht. Diese universelle Sprache ist Finanzkennzahlen. Die Quantifizierung von Risiken in finanzieller Hinsicht wird einen massiven Wandel in der Verwaltung der Informationssicherheit ermöglichen. Die Interessenvertreter müssen Vertrauen in die vorgelegten Finanzdaten haben, Damit dies geschehen kann, muss die Quantifizierung des Cyberrisikos in finanzieller Hinsicht auf einer transparenten und auf Standards beruhenden Methode erfolgen. In einem späteren Abschnitt werden wir uns mit offenen Standards und der Risikoquantifizierung befassen.

Die Wahl Ihres Stils für Ihr Cybersicherheits-Risikomanagement

In der Wirtschaft sind Organisationen mit externen und internen Faktoren konfrontiert, die die Erreichung ihrer Geschäftsziele beeinflussen können. Mit dem Übergang zu einer überwiegend digitalen Umgebung ist es für die meisten Unternehmen zu einem primären Sicherheitsproblem geworden, ihre digitalen Vermögenswerte vor Risiken zu schützen.

Jedes Problem in Bezug auf Informationssicherheit basiert auf drei Prinzipien: Vertraulichkeit, Integrität und Verfügbarkeit (bekannt als die CIA-Triade). Vertraulichkeit beschränkt den Zugriff auf Informationen nur durch autorisierte Benutzer und umfasst nun auch neue Datenschutzverpflichtungen. Integrität ist die Gewissheit, dass die Informationen vertrauenswürdig und korrekt sind. Verfügbarkeit bezieht sich auf Systeme und Anwendungen, die genau dann funktionieren, wenn sie sollten. Das Hauptziel der Teams für Informationssicherheit und Cybersicherheit besteht darin, die CIA-Triade aufrechtzuerhalten und gleichzeitig sicherzustellen, dass das Unternehmen produktiv bleibt.

Cybersecurity-Vorfälle, ob absichtlich oder nicht, stellen für Unternehmen jeder Größe und Branche ein Problem dar. Selbst bei den am besten geschützten und finanzierten Unternehmenssystemen kommt es regelmäßig zu erheblichen Cybervorfällen.

Dies kann erhebliche Investitionen erfordern. Die Aufrechterhaltung eines stabilen Geschäftsbetriebs ist diesen hohen Preis jedoch wert. Kunden und potenzielle Geschäftspartner erwarten heute von Unternehmen, dass sie unabhängig von externen Effekten liefern. Resiliente Unternehmen müssen im Bereich der Informationssicherheit proaktiv sein.

Da die Ressourcen jedoch begrenzt sind, müssen Entscheidungsträger abwägen, ob eine Verteidigungsstrategie besser ist als eine andere und ob Initiativen die Investition wert sind. Dazu benötigen sie genaue Informationen über die wichtigsten Risiken für ihr Unternehmen. Das ist leichter gesagt als getan. Die Herausforderung besteht darin, die relevanten Metriken zu erhalten, um diese Abwehrentscheidungen im Kontext des jeweiligen Geschäftsmodells, der Kontrollreife und der Bedrohungen, denen es ausgesetzt ist, zu treffen.

Das Paradoxon der Wahl in der Cybersicherheit

Angesichts der großen Auswahl an Cybersicherheitslösungen, -kontrollen, -Frameworks und -Standards sehen sich viele Unternehmen mit den folgenden Herausforderungen konfrontiert: Das Paradoxon der Wahl. Sie können sich aufgrund der scheinbar endlosen Möglichkeiten nicht entscheiden. Unternehmen und ihre Vorstände sind besorgt über Cybersicherheit. Das bedeutet, dass sie diesem Bereich mehr Ressourcen zuweisen. Ein effektives Cybersicherheitsrisikomanagement liefert Entscheidungsträgern die Daten, um Initiativen mit der besten Kapitalrendite und Wirkung auszuwählen.

Um gute Entscheidungen in Bezug auf Risiken zu treffen, sollten Unternehmen unserer Meinung nach:

• Genaue und transparente Informationen über ihre Risiken sammeln.
• Eine konsistente Methode verwenden, um diese Risiken zu messen und zu vergleichen.
• Die Risiken priorisieren, die am wichtigsten sind.
• Informationen so präsentieren, dass die Entscheidungsträger sie klar verstehen, und daraus Maßnahmen ergreifen (sprich: finanzielle Bedingungen).

Unternehmen müssen darauf vertrauen können, dass ihre Risikomanagement-Methode effektiv und korrekt ist. Dies kann externen Interessengruppen vorgelegt werden. Der beste Weg, dies zu erreichen, ist die Einführung offener, transparenter Standards.

Identifizierung von Cyberrisiken: Vermögenswerte, Bedrohungen und Angriffspunkte

Für Unternehmen wird es immer schwieriger, ihr Cyber-Risiko und die damit verbundenen finanziellen Folgen eines größeren Cyber-Vorfalls zu verstehen. Zwischen anhaltenden geopolitischen Spannungen, zunehmenden kriminellen Aktivitäten im Internet und dem wachsenden digitalen Fußabdruck von Organisationen, wird die Liste der Risikoszenarien immer länger: Ransomware, Zero-Day-Sicherheitslücken, Datenschutzgesetze und Schutz der Privatsphäre, Datenschutzverletzungen, Datenverlust, Identitätsdiebstahl, Betrug, Phishing, Social Engineering, Cyberkriegsführung, Exploits, Cyberspionage, Ausfall eines Drittanbieters, nationalstaatliche Angriffe und Gefährdung von IoT-Systemen.

Darüber hinaus sorgt der zunehmende Medien- und Anbieterhype um Cyberrisiken für ein überwältigendes Gefühl von Unsicherheit. Somit stellen sich viele Unternehmen die Frage, welche Maßnahmen sie ergreifen können und sollten, um das Risiko zu reduzieren.

Eines der wertvollsten Instrumente und Techniken, um dieses Problem zu überwinden, ist die effektive Festlegung von Risikoszenarien.

Verwendung der FAIR-Taxonomie zur Erstellung eines Risikoszenarios

Um anhand der unendlichen Liste von Cyberrisiken, Bedrohungen und Sicherheitslücken zu dekonstruieren, benötigen wir ein Modell, das Cyberrisikoszenarien klar definiert und misst und gleichzeitig die Störgeräusche beseitigt — sodass wir Ressourcen den Bereichen zuweisen können, in denen sie am dringendsten benötigt werden.

Mangelnde Klarheit in Bezug auf wichtige Begriffe der Cybersicherheit behindert den Prozess der Risikoidentifizierung. Sogar Cybersicherheitsexperten verwenden Begriffe wie „Bedrohung“, „Sicherheitslücke“ und „Risiko“ als Synonyme, um ein Risikoszenario zu beschreiben. Und obwohl Standards und Frameworks dazu gedacht sind, diese Missverständnisse aus dem Weg zu schaffen, variieren die Definitionen oft zwischen Richtlinien und Glossaren. Sie sind zudem sehr technisch — sie werden nur von Experten für Cyberrisiken verstanden. Die Lösung für dieses Problem ist ein offener Methodenstandard und eine offene Taxonomie. Eine Taxonomie ist ein Klassifikationssystem. Im Fall des Risikomanagements erstellt eine Risikotaxonomie eine Hierarchie von Begriffen mit einem kontrollierten Vokabular, das speziell auf das Risikomanagement zugeschnitten ist.

Das FAIR-Modell ist der einzige öffentliche Standard, der eine gemeinsame Sprache für die Kommunikation über Risiken (wie Bedrohung, Anfälligkeit usw.) bietet und quantitative Methoden verwendet. Die FAIR-Taxonomie bildet ab, wie jede Variable oder jeder Begriff zueinander in Beziehung steht. FAIR bietet auch ein einfaches Verfahren zur Definition objektiver und quantifizierbarer Risikoszenarien. Dieses Modell zur Festlegung des Umfangs von Szenarien ist von großem Vorteil, wenn es darum geht, das Risiko, dem eine Organisation ausgesetzt ist, klar zu definieren.

Die Durchführung von Szenarioanalysen mit FAIR ist einfach. Es handelt sich um eine Methode, mit der verschiedenen Interessengruppen mithilfe eines kontrollierten Vokabulars quantifizierte Risiken dargestellt werden, was für Klarheit sorgt und eine gute Kommunikation erleichtert.

Lassen Sie uns nun einen genaueren Blick auf die Messmodelle werfen und darauf, wie wir ein Szenario messen können, damit der Risikomanagementprozess zu begründeten Entscheidungen führt.

Messung des Cybersecurity-Risikos

Entscheidungsfindung und kognitive Verzerrung

Da Menschen nur schwer statistisch denken können, brauchen wir formale Methoden zur Berechnung des Risikoniveaus.

Umfangreiche wissenschaftliche Untersuchungen auf diesem Gebiet von Persönlichkeiten wie Daniel Kahneman, Philip Tetlock und George Box haben die bedeutende Rolle aufgezeigt, die kognitive Verzerrungen bei der Entscheidungsfindung spielen. “How to Measure Anything: Finding the Value of "Intangibles" in Business„ von Douglas Hubbard, ist eines der besten Bücher über akademische Forschung im Bereich der Entscheidungsanalyse. Eine wichtige Erkenntnis aus dem Buch ist, dass ohne eine solide Methodik, die den Prozess der Risikomessung und der Schätzung unsicherer Datenpunkte leitet, die Wahrscheinlichkeit ungenauer Analysen und schlechter Entscheidungen sehr hoch ist.

Qualitative und quantitative Methoden

Um Risiken zu managen, verwenden Unternehmen und Organisationen verschiedene Methoden (mehr dazu im folgenden Abschnitt). Obwohl jeder Ansatz anders ist, sind die Grundlagen dieselben. Die Messung des Risikos bringt jedoch Komplikationen mit sich.

Die meisten Standards und Frameworks entscheiden sich für einen qualitativen Ansatz zur Risikobewertung, bei dem jede Variable mit einem qualitativen Wort oder einer Formulierung verknüpft wird, die beschreibt, wie schlecht sie ist, oder ihre Risikolage (z. B. hoch/mittel/niedrig, sehr wahrscheinlich/wahrscheinlich/nicht wahrscheinlich). Einige Standards und Rahmenbedingungen, wie ISO 31000 oder NIST CSF, schlagen Ihnen die folgende Gleichung vor, um das Risiko zu messen:

Risiko = Wahrscheinlichkeit versus Auswirkung

Theoretisch ist diese Gleichung einfach und unkompliziert und kann verwendet werden, um Cyberrisiken qualitativ auszudrücken. Aber wenn es darum geht, diesen Ansatz zu nutzen, um nützliche Informationen über Cyberrisiken zu generieren, gerät die Logik ins Wanken. Wir werden hier nicht näher auf Fehler eingehen, die mit einem rein qualitativen Modell verbunden sind (wir werden das in einem anderen Artikel untersuchen), aber auf einer höheren Ebene hängen die Gründe mit der Verwendung von Nominal- und Ordinalskalen zusammen — der Zuweisung von Wörtern oder Bezeichnungen als Maßeinheit. Die Definitionen bedeuten für verschiedene Menschen (sogar für dieselben Personen) zu unterschiedlichen Zeiten unterschiedliche Dinge. Um es noch schlimmer zu machen: Wenn wir die Mathematik auf nominale oder ordinale Skalen anwenden, werden die Ergebnisse bedeutungslos.

Dank umfangreicher Forschungsarbeiten in Kombination mit langjähriger Erfahrung auf diesem Gebiet gibt es Lösungen, um Probleme mit einem rein qualitativen Ansatz das Risikomanagement anzugehen. Diese Techniken werden zusammenfassend unter dem Begriff Cyberrisikoquantifizierung oder CRQ oder in einigen Fällen auch Cyber Risk Economics bezeichnet.

CRQ drückt Cyberrisiko letztlich in finanzieller Hinsicht aus. Dies ist jedoch nicht der einzige wichtige Aspekt des Ansatzes. CRQ bietet auch Techniken für den Überblick über Szenarien, den Umgang mit der Voreingenommenheit von Experten, die Verwendung von Bandbreiten zur Modellierung von Unsicherheiten, die Messung von Variablen mit Hilfe von Zahlen und statistische Techniken zur Berechnung des Risikos als Verteilung von Wahrscheinlichkeiten für finanzielle Verluste.

Cyberrisiko in finanzieller Hinsicht

Möglicherweise aufgrund des abstrakten Charakters der Cybersicherheit kann es schwierig sein, sich vorzustellen, wie standardisierte Maßeinheiten auf das Cyberrisikomanagement angewendet werden können. Aus diesem Grund entscheiden sich viele Unternehmen für die vorherrschenden qualitativen Ansätze zur Messung von Cyberrisiken. Dies hat sich jedoch allmählich geändert, und es wird nun erkannt, dass ein besserer Ansatz erforderlich ist.

Der CRQ-Ansatz für das Risikomanagement löst viele der Probleme, die wir zuvor behandelt haben. Dies geschieht durch die Bereitstellung einer konsistenten Methodik für die Festlegung (d. h. Definition und Identifizierung) und Messung von Risiken auf der Grundlage quantifizierbarer Daten, die aus mathematischen Modellen abgeleitet wurden.

Die FAIR Methode zur Definition und Messung von Risiken

Faktorenanalyse des Informationsrisikos (FAIR) ist das erste CRQ-Modell, mit internationaler Standards. Aufgrund seiner Taxonomie, Definitionen und Analysemethoden kann FAIR verwendet werden, um genaue Wahrscheinlichkeiten für die Häufigkeit und das Ausmaß von Schadenereignissen zu ermitteln. Mit FAIR können Unternehmen:

• Effektive und genaue Risikoszenarien definieren
• Szenarien objektiv im Kontext des Geschäftsmodells der Organisation quantifizieren
• Begrenzte Ressourcen priorisieren, um die Risiken mit den größten Auswirkungen mit den wirksamsten Kontrollen zu behandeln

Innerhalb der FAIR-Taxonomie konzentriert sich die Bedeutung von Risiko auf Verluste und nicht auf etwas Spekulatives, das zu einem positiven oder negativen Ergebnis führen könnte.. Die FAIR-Methode unterteilt die Risikoszenarien weiter nach den verschiedenen Faktoren, die die wahrscheinliche Häufigkeit (Loss Event Frequency) und den wahrscheinlichen Verlust (Loss Magnitude) umfassen und quantifizierbar gemessen werden können. Mit FAIR kann ein Risikoanalyst eine Reihe wahrscheinlicher Werte für jede Variable eingeben und die Risikoexposition als Verteilung der wahrscheinlichen Ergebnisse darstellen. Einer der häufigsten Einwände gegen die Verwendung von CRQ und FAIR ist, dass es einfach zu schwierig ist und die für jede Variable erforderlichen Daten nicht verfügbar sind. FAIR ist jedoch nicht schwieriger anzuwenden als qualitative Methoden. Alles, was benötigt wird, ist etwas Training und vielleicht etwas externe Hilfe am Anfang.

Wie alle Ansätze des Risikomanagements zielt FAIR darauf ab, Organisationen Werkzeuge und Techniken für ein effektiveres Management zur Verfügung zu stellen. FAIR ist insofern einzigartig, als es ein genaues quantitatives Risikomodell vorschlägt, das offen und transparent ist.

Unabhängig davon, welche Methode Ihr Unternehmen zum Risikomanagement verwendet, sollten Sie diese Methode immer mindestens anhand dieser Kriterien bewerten: nach ihrer Praktikabilität, ihrer Genauigkeit, ihrer Transparenz und dem Grad, in dem sie dazu beiträgt, umsetzbare Entscheidungen zu treffen. FAIR versucht, Unsicherheiten auf vertretbare Weise zu reduzieren, sodass der Entscheidungsträger Optionen mit den besten verfügbaren Daten vergleichen kann.

Kontrollrahmen und Standards

Kontrollrahmen und -standards enthalten in der Regel eine Reihe grundlegender Kontrollempfehlungen, um Finanz- oder Informationsverluste zu verhindern. Sie stammen von maßgeblichen Gremien, die Strukturen und bewährte Verfahren festlegen, die Organisationen bei der Umsetzung ihrer Prozesse und Abläufe anwenden können, unabhängig von Größe oder Branche.

Diese Empfehlungen können für die Implementierung, das Testen und die Aufrechterhaltung interner Kontrollen nützlich sein. Jedes Unternehmen hat jedoch seine eigenen Taxonomien, Listen oder Beschreibungen von Kontrollen und Kontrollzielen, sodass es für Unternehmen schwierig sein kann, die für ihr Unternehmen am besten geeignete Lösung zu ermitteln. Vier der gängigsten Kontrollrahmen und -standards sind:

• Die ISO 27001 Verordnung bezüglich der Informationssicherheit hilft Organisationen dabei, „die Sicherheitsressourcen wie Finanzinformationen, geistiges Eigentum, Mitarbeiterdaten oder Informationen, die Ihnen von Dritten anvertraut wurden, zu verwalten“. ISO/IEC 27001 gilt als einer der weltweit führenden Cybersicherheitsstandards.
• SP 800-53 des National Institute of Standards and Technology (NIST) ist einer der robustesten Kontrollrahmen. Die über 450 Seiten umfassenden Sicherheitsregeln decken 18 Bereiche ab. 20 Kontrollgruppen umfassen über 1.000 separate Steuerelemente.
• Das Internal Control — Integrated Framework von COSO hilft Unternehmen dabei, sicherzustellen, dass ihre Jahresabschlüsse korrekt sind, ihre Vermögenswerte und Interessengruppen vor Betrug geschützt sind und ihre Abläufe effizient und effektiv ablaufen. Die Einhaltung der Vorschriften ist freiwillig, kann aber dazu beitragen, die Einhaltung anderer Gesetze und Vorschriften wie SOX und FCPA zu beschleunigen.
• Die Kontrollen des Center for Internet Security (CIS) sind empfohlene Maßnahmen zur Cyberabwehr, die spezifische und umsetzbare Maßnahmen bieten um, die heute am weitesten verbreiteten Gefahren zu stoppen. Die Empfehlungen beziehen sich auf Daten, Software und Hardware — und vor allem auf Menschen und Prozesse.

Unternehmen verwenden sie, weil sie funktionieren. Zu ihren Vorteilen gehören:

• Bessere Abstimmung der IT-Bemühungen mit den Unternehmensrichtlinien
• Höhere Transparenz und Effizienz
• Ein tieferes Verständnis der wesentlichen Risiken und der Möglichkeiten zur Minderung.

Bei so vielen Kontroll-Frameworks, aus denen man wählen kann, und so vielen Steuerelementen, die man implementieren muss, kann man schnell den Überblick verlieren.

Ebenso konzentrieren sich die meisten Kontrollrahmen auf technische Kontrollen. Obwohl sie nützlich sind, können sie das weit verbreitete Missverständnis untermauern, dass Cybersicherheit auf Technologie beschränkt ist. Obwohl technische Kontrollen einen großen Teil der Cybersicherheit ausmachen, reichen sie allein nicht aus, um ein Unternehmen vor Cyberrisiken zu schützen. Selbst wenn ein Unternehmen über technische Kontrollen verfügt, sind diese unweigerlich einem Risiko ausgesetzt, wenn das Unternehmen nicht über die richtigen Prozesse oder die richtigen Personen verfügt, um diese Kontrollmechanismen zu unterstützen.

Um festzustellen, welche Kontrollen sich auf welche Weise auf das Cyberrisiko auswirken, müssen Unternehmen die Beziehung zwischen den Kontrollen verstehen und wissen, wie ihre Wirksamkeit gemessen oder geschätzt werden kann. Selbst wenn eine Kontrolle wie vorgesehen funktioniert, wie zuverlässig ist sie? Und ist der Wert der Reduzierung eines bestimmten Risikos ausreichend, um die damit verbundenen Kosten zu rechtfertigen? Gleichzeitig müssen Unternehmen diese Bemühungen an ihren Geschäftszielen ausrichten und sich auf die Bereiche konzentrieren, die die spürbarsten Auswirkungen haben werden.

Schutz der Systeme durch richtige Kommunikation

Voraussetzung für das Treffen wirksamer Entscheidungen ist das Verständnis der Beziehung zwischen den Kontrollen und den Risiken, denen sie im Kontext Ihrer Organisation ausgesetzt sind. Unternehmen sind häufig auf die Unterstützung von Interessengruppen angewiesen, um Änderungen an den verwendeten Kontrollen vorzunehmen. Häufig sind Unternehmen nicht ausreichend über interne Kontrollen informiert. In diesem Fall können sie die Risikoszenarien nicht verstehen oder nicht verstehen, welche Kontrollen ihre Häufigkeit oder Auswirkungen beeinflussen können.

Unternehmen müssen Entscheidungsträgern leicht verständliche Kennzahlen zur Verfügung stellen, die mit ihrem internen Kontrollsystem verknüpft sind. Noch wichtiger ist es, Informationen in finanzieller Hinsicht zu kommunizieren, wenn man die Stakeholder an Bord holen will. Die gute Nachricht ist, dass sich Standards und Rahmenbedingungen in diesem Bereich weiterentwickeln. Bis heute ist FAIR das vollständigste internationale Standardmodell für eine genaue quantitative Risikoanalyse.

Da FAIR als legitime Methode zur Risikomessung immer mehr an Bedeutung gewinnt, haben neue Anwendungsfälle die Aufsichtsbehörden dazu veranlasst, die Einführung von CRQ in der Unternehmensführung zu fördern. Mehrere Normungsorganisationen, darunter NIST, PCI DSS und NACD, befürworten und empfehlen bereits für CRQ, die Open FAIR-Methode anzuwenden.

Für Unternehmen, die bereits einige oder alle dieser Standards einhalten, ist die Aufnahme von CRQ in ihre Risikomanagementpraktiken ein wichtiger Bestandteil des modernen Cyberrisikomanagements. Laut Gartner ist CRQ eine Säule des integrierten Risikomanagements (IRM): die nächste Generation von Governance, Risiko und Compliance (GRC).

CRQ- und Compliance-Vorschriften

In seiner relativ kurzen Zeit in der Cybersicherheitsszene hat sich CRQ bereits weiterentwickelt. Einstmals eine Empfehlung, wird es bald durch Verordnungen oder Gesetzgebung zu einer Anforderung werden. Im Folgenden sind einige Organisationen aufgeführt, die sich in diese Richtung bewegen:

Nationaler Verband der Unternehmensleiter (NACD)

Das Director's Handbook on Cyber-Risk Oversight von 2023 bietet Unternehmensvorständen wichtige Prinzipien und praktische Anleitungen — und nennt FAIR als eines der zu verwendenden Modelle. Diese und ähnliche Ressourcen zeigen, wie wichtig das Thema Quantifizierung von Cyberrisiken für Vorstände wird. CRQ, das FAIR nutzt, macht für Interessengruppen, Vorstände, Führungskräfte und Sicherheitsteams in größerem Umfang zunehmend Sinn.

US-Börsenaufsichtsbehörde (SEC)

Im März 2022 schlug die SEC neue Vorschriften vor, die börsennotierte Unternehmen dazu verpflichten würden, „wesentliche Cybersicherheitsvorfälle“ zu melden und die Einzelheiten ihrer Programme zur Bewertung und Verwaltung von Cyberrisiken, Geschäftskontinuitäts- und Kontrollpläne und vieles mehr offenzulegen.

Der Vorschlag zielt darauf ab, den Aktionären einen besseren Einblick in die potenziellen Auswirkungen von Cybersicherheitsereignissen auf ihre Investitionen zu geben. Wenn der Vorschlag verabschiedet wird, müssen Unternehmen einen optimierten und zuverlässigen Weg finden, um ihre Sicherheitslage in finanzielle Zahlen umzusetzen. In dem Vorschlag wird zwar nicht ausdrücklich auf CRQ Bezug genommen, aber ohne CRQ werden Unternehmen die neuen Anforderungen nicht erfolgreich erfüllen.

Institut der Wirtschaftsprüfer (IDW)

Der PS 340 des IDW hat sich bei einzelnen deutschen Wirtschaftsprüfern und Wirtschaftsprüfungsgesellschaften zu einem notwendigen Standard für die verbindlichen Prozesse der Risikoidentifikation und Risikoüberwachung entwickelt. Im Jahr 2021 wurde es aktualisiert und enthält nun Anforderungen an Unternehmen, ihre Risiken quantitativ zu beschreiben und zu messen und in der Lage zu sein, diese Ergebnisse in finanzieller Hinsicht mit Entscheidungsträgern, Interessenvertretern und dem Vorstand zu kommunizieren.

⦁

Da immer mehr Aufsichtsbehörden CRQ in ihre Liste der Compliance-Anforderungen aufnehmen, müssen sich Unternehmen auf die daraus folgenden Beeinträchtigung und Herrausforderungen vorbereiten. Auch wenn es nicht für jede Branche vorgeschrieben ist, kann das CRQ den Aufsichtsbehörden anderer Branchen zeigen, dass ein Unternehmen das Risikomanagement ernst nimmt.

Verwaltung der Cybersicherheit

Die Art und Weise, wie Unternehmen mit Risiken umgehen, verändert sich. Wie bei jeder Transformation braucht es Zeit und Anpassungen, bis die Ergebnisse klar werden. Und es kann auch mehrere Iterationen dauern, bis Sie den Prozess zu einer Wissenschaft gemacht haben. Was ist Klar ist jedoch, dass sich ein effektives Risikomanagementprogramm nicht von selbst ablaufen kann.

Um Risiken im Bezug auf ein bestimmtes Unternehmen zu verstehen, sie im Rahmen von Kontrollen zu quantifizieren und den Prozess in eine wiederholbare und standardisierte Aktivität umzuwandeln, benötigen Unternehmen die richtige Unternehmensführung oder organisatorische Aufsicht. Cyberrisikomanagement und Governance sind Disziplinen der Entscheidungsfindung.

ISO 73:2009 definiert Risikomanagement als: „einen zentralen Bestandteil des strategischen Managements einer Organisation. Es ist der Prozess, bei dem Organisationen das mit ihren Aktivitäten verbundene Risiko methodisch angehen.“ Es konzentriert sich auf die Bewertung erheblicher Risiken und die Umsetzung geeigneter Maßnahmen. Bevor wir mit Messaktivitäten beginnen, müssen wir die richtigen Fragen stellen:

• Warum machen wir das überhaupt?
• Welche Aktivitäten wird dies beeinflussen?
• Welche Entscheidung(en) wird sie informieren und unterstützen?

Dies führt dann zu Fragen wie:

• Wer macht eigentlich was?
• Wem gehört die Aktivität?
• Sollte die Organisation diese Aktivität auslagern, um nicht von wichtigeren Dingen abgelenkt zu werden?

Deshalb ist CRQ ein Muss: einer der wichtigsten Grundsätze des FAIR Standards ist der Risikomanagement-Stack. Bei einem optimalen Risikomanagement geht es darum, zukünftige Verluste für ein Unternehmen zu begrenzen und dessen Risikobereitschaft und Risikotoleranz zu überprüfen. Dies erfordert fundierte Entscheidungen, die effektive Vergleiche erfordern, welche nur mit aussagekräftigen Maßnahmen auf der Grundlage genauer Modelle erreicht werden können.

Um Douglas Hubbard noch einmal zu zitieren: „Was eine Messung von hohem Wert macht, ist eine Menge Unsicherheit in Kombination mit den hohen Kosten, die entstehen, wenn man falsch liegt.“

Wenn es um Cyberrisiken geht, wollen wir das Risiko so genau wie möglich messen, da es wichtige Entscheidungen über den Umgang mit diesem Risiko beeinflusst. Ein formelles Messmodell ist entscheidend, um das Gesamtziel eines Unternehmens zu unterstützen, zukünftige Verluste so kostengünstig wie möglich so zu begrenzen, dass es seiner Risikobereitschaft und -toleranz entspricht.

‍