FAIR™️ risikomethode: quantifizierung und management von cyberrisiken

Die Herausforderungen im Zusammenhang mit der Cybersicherheit in Unternehmen nehmen zu. Cyberangriffe werden von Kriminellen mit immer größeren Mitteln ausgeführt, und die Angriffe werden immer häufiger. Das Cyberrisiko, das ursprünglich ein technologisches Risiko war, hat sich nun in ein Geschäftsrisiko verwandelt. Heute betrifft es alle Ebenen eines Unternehmens, bis hin zum CEO. Diese relativ neuen Cybersicherheitsherausforderungen drängen Unternehmen dazu, sich für Methoden zur Analyse und zum Management von Cyberrisiken zu interessieren.

ISO 27005, CIS RAM, COSO Risk Framework, NIST CSF oder EBIOS: Es ist schwierig, den für eine bestimmte Struktur am besten geeigneten Ansatz zu wählen. Diese Wahl ist umso komplexer, als diese oft auf einer qualitative Risikoanalyse. Dies lässt wenig Raum für die Erforschung zuverlässiger Wahrscheinlichkeitsdaten über das Auftreten einer Cyberrisiko. Die MESSE™ (Faktorenanalyse des Informationsrisikos™) wurde eine Methode entwickelt, um dieses Problem zu lösen. Hier sind einige Erklärungen.

Melissa Parsons

An article from

Melissa Parsons
Technischer Redakteurin
Published
May 14, 2023
Updated
May 14, 2023
Reading time
minutes
FAIR-Analysemethode - C-Risk

Die FAIR™ -Methode: So führen Sie eine probabilistische Cyberrisikoanalyse durch

Das Spektrum der Methoden zur Cyberrisikoanalyse ist ziemlich breit. Die FAIR™ -Analysemethode füllt zwei Lücken. Die NIST-Cybersicherheitsframework (CSF) ist beispielsweise weltweit ein sehr beliebter Ansatz. Dies gilt auch für die ISO 27005-Methode.

Diese richten sich jedoch in erster Linie an Cybersicherheitsexperten. Außerdem sind sie in der Regel nicht präskriptiv, sodass die Entscheidung, wie das Risiko gemessen werden soll, den Praktikern überlassen wird, die ihre Arbeit in der Regel auf einem von Natur aus subjektiven qualitativen Ansatz stützen. (siehe ISO27005, Abschnitt 8.3).

Die FAIR™ -Taxonomie ergänzt diese qualitativen Methoden, indem sie auf ihre Einschränkungen bei der Risikomessung eingeht.

Warum ist eine neue Methode zur Cyberrisikoanalyse erforderlich?

Alle Risikoanalysemethoden (unter anderem ISO 27005, NIST CSF, COSO, OCTAVE), die in den letzten dreißig Jahren auf dem Markt waren, sind qualitativ. Sie basieren auf „Expertenmeinungen und Erfahrungen“ im IT-Bereich, um Risiken anhand subjektiver Skalen einzustufen. Bei solchen Skalen wird das Risiko als „niedrig“ oder „hoch“ eingestuft, und die Ergebnisse der Analysen werden in den meisten Fällen farblich bestimmt Risikokarte (Heatmap), was von grün nach rot geht.

Natürlich bieten diese Methoden gute Praktiken und die notwendigen Cyber-Hygienegewohnheiten. Da sie jedoch auf einer subjektiven Risikoanalyse beruhen, bieten sie nicht allen Geschäftsfunktionen eine gemeinsame Arbeitsgrundlage.

Um die richtige Strategie für das Cyberrisikomanagement zu wählen, müssen alle Unternehmensbereiche dieselbe Terminologie und dasselbe Risikoverständnis verwenden. Risikoanalyse ist der Eckpfeiler der Cybersicherheitsstrategie eines Unternehmens: Wenn sie qualitativ bleibt, kann sie nicht vollständig nützlich sein.

Die FAIR™ -Methode bietet ein objektives und quantifizierbares Risikoanalysemodell, das zu einer mathematischen Risikoschätzung führt. Dies führt dann zur Entwicklung von Risikoszenarien, die miteinander verglichen werden können. Unter Berücksichtigung all dieser Faktoren verfügen Analysten und Experten für Informationssicherheit über alles, was sie benötigen, um wirksame Maßnahmen zur Vorbeugung von Cyberrisiken zu entwickeln.

Definition und Zielsetzung des FAIR™ -Standards

Der FAIR™ -Standard bietet eine Taxonomie und eine Methodik für die Cyberrisikoanalyse in allen Geschäftsfunktionen. Durch finanziell quantifizierte Risikoszenarien stellt das FAIR™ -Framework eine Verbindung zwischen Cybersicherheitsexperten, Geschäftsführern und der Geschäftsleitung her. Dieser Standard wurde entworfen, unterstützt und gefördert von FAIR™ Institut, eine professionelle gemeinnützige Organisation.

Dieser Ansatz zur Cyberrisikoanalyse sieht zunächst eine Taxonomie der verschiedenen Faktoren vor, die das Risiko ausmachen, eine Sammlung von Definitionen, die bestimmte Konzepte verdeutlichen: Risiko, Bedrohung, Gefahr, Vermögenswert, Kontrolle, Prüfung. Die FAIR™ -Methode erklärt die Zusammenhänge zwischen diesen Faktoren und gibt einem Unternehmen so Denkanstöße.

Das FAIR™ -Standard bietet auch eine Methode zur Aufschlüsselung von Risiken in verschiedene messbare Faktoren und zur Verwendung von Statistiken und Wahrscheinlichkeiten zur quantitativen Risikoabschätzung. Ziel ist es, komplexe Risiken zu analysieren, Schlüsseldaten für die Quantifizierung zu identifizieren und die Interdependenzen zwischen den Risikofaktoren zu verstehen.

Auf der Grundlage logischer, leicht zu erklärender, wiederholbarer und vertretbarer Szenarien können dann den Entscheidungsträgern Prognosen zukünftiger Verluste (in GBP, EUR, USD oder anderen Währungen) präsentiert werden.

Welche Fragen behandelt diese Methode?

Unternehmen auf der ganzen Welt vertrauen diesem Ansatz, weil er es dem Management ermöglicht, fundierte Entscheidungen über Cybersicherheit zu treffen. Der FAIR™ -Standard hilft somit bei der Beantwortung der folgenden Fragen:

  • Wie oft könnte sich eine Katastrophe in einem bestimmten Zeitintervall ereignen?
  • Wie viel wird diese Katastrophe kosten?
  • Was sind die wichtigsten Cyberrisiken?
  • Welche Vermögenswerte sind betroffen?
  • Wie und wie viel Geld sollte man investieren, um diese Risiken zu reduzieren?
  • Welche von zwei Kontrolllösungen würde das Risiko am effektivsten reduzieren?
  • Welche Risiken erfordern den Abschluss einer Versicherung und für welche Deckungssumme?
  • Welche Versicherungspolice passt am besten zu den Risiken des Unternehmens?

Darüber hinaus bietet Ihnen die FAIR™ -Analysemethode die Möglichkeit, einen effektiven Denkprozess über Ihr Cybersicherheitsbudget durchzuführen. Sie hilft Ihnen auch bei der Auswahl der Lösung zur Risikominderung, die die beste Kapitalrendite bietet. Dieser Ansatz erleichtert auch die Einhaltung gesetzlicher Vorschriften.

Benefits from quantifying cyber risk with the FAIR standard

Entdecken Sie unsere Lösungen in Aktion

Vereinbaren Sie ein Treffen mit einem unserer Experten, um zu erfahren, wie Quantifizierung Ihre Entscheidungen beeinflussen und Ihre Widerstandsfähigkeit verbessern kann.

Wie funktioniert die FAIR™ -Methode?

Die FAIR™ -Methode basiert auf der Taxonomie, die in der folgenden Abbildung dargestellt ist. Sie basiert auf einem „Frequenz x Magnitude“ -Modell, das auf alle Situationen anwendbar und für alle Unternehmen exportierbar ist.

Die Ergebnisse (in GBP, EUR, USD oder anderen Währungen) können von verschiedenen Abteilungen einer Organisation, vom Vorstand oder von der Geschäftsleitung verwendet werden.

Wenn ein Unternehmen beispielsweise schätzt, dass ein Verlustereignis einmal alle 10 Jahre eintreten könnte und dass es sich dabei um einen Verlust von 20.000.000 USD handelt, lautet die Formel:

Eine Verlustereignisfrequenz (LEF) von 1/10 Jahr x 20.000.000 USD Verlust = 2.000.000 USD/Jahr.

Dieses Risikomodell bietet den Entscheidungsträgern zwei Möglichkeiten, das Verlustrisiko zu reduzieren:

  • Reduzierung des LEF — die Häufigkeit, mit der Verlustereignisse auftreten;
  • Minderung der Höhe der finanziellen Verluste, die sich aus solchen Ereignissen ergeben würden.

Die Risikotaxonomie, anhand derer der FAIR™ -Standard schematisiert werden kann:

Risk taxonomy according to FAIR™ Analysis framework

Risiko gemäß der FAIR™ -Methode

Bei der FAIR™ -Philosophie geht es darum, Risiko als ein ungewisses Ereignis zu betrachten, dessen Wahrscheinlichkeit und Konsequenzen gemessen werden müssen. Der FAIR™ -Standard ist eher probabilistisch als prädiktiv. Risiko ist daher definiert als die Wahrscheinlichkeit eines Verlustereignisses im Verhältnis zu einem Vermögenswert. Es ist „die wahrscheinliche Häufigkeit und das wahrscheinliche Ausmaß eines zukünftigen Verlusts“.

Das Risiko wird dann in Faktoren unterteilt, die die wahrscheinliche Häufigkeit und den wahrscheinlichen Verlust ausmachen:

  • Häufigkeit von Bedrohungsereignissen;
  • Kontakthäufigkeit der Bedrohung;
  • Wahrscheinlichkeit, dass Bedrohungsagenten Maßnahmen ergreifen;
  • Verwundbarkeit;
  • Bedrohungskapazität;
  • Häufigkeit von Verlustereignissen (LEF);
  • primäre Verlustgröße;
  • Häufigkeit von sekundären Verlustereignissen;
  • sekundäre Verlustgröße;

Faktoren, die den Verlust beeinflussen

Bei diesen Faktoren handelt es sich um die Merkmale oder Eigenschaften eines Vermögenswerts, einer Bedrohung, einer Organisation oder sogar der externen Umgebung, die das Ausmaß des Schadens für die von einer Katastrophe betroffene Partei beeinflussen. Diese können sich auf den primären oder sekundären Verlust in einer der vier folgenden Kategorien auswirken: den Vermögenswert und die Bedrohung (primärer Verlust) und die organisatorischen und externen Faktoren (sekundärer Verlust).

Verlustfaktoren eines Vermögenswerts im FAIR™ -Standard

Die Variablen für den Verlust eines Vermögenswerts umfassen seinen Wert und/oder seine Verbindlichkeiten (personenbezogene Daten, die beispielsweise gemäß der Allgemeinen Datenschutzverordnung des Vereinigten Königreichs geschützt werden müssen).

Der Wert und/oder die Verbindlichkeiten eines Vermögenswerts spielen eine sehr wichtige Rolle bei der Art und dem Ausmaß des Verlusts. Der Wert eines Vermögenswerts kann anhand der folgenden Kriterien bewertet werden:

  • Kritikalität: ein Index, der den Produktivitätsverlust einer Organisation misst, wenn sie ihre Waren nicht mehr produzieren oder ihre Dienstleistungen nicht mehr erbringen kann;
  • Kosten: der innere Wert des Vermögenswerts (Ersatz- oder Reparaturkosten);
  • Empfindlichkeit: Schäden, die durch eine unbeabsichtigte Veröffentlichung entstehen würden.

Die Verlustfaktoren der Bedrohung im FAIR™ -Standard

Bei diesen Faktoren handelt es sich um die Handlung einer Bedrohung, ihre Kompetenz, unabhängig davon, ob sie intern oder extern ist, und darum, wie der Bedrohungsagent die Sicherheitsverletzung ausnutzt.

Bedrohungsagenten können ein Asset für folgende Zwecke verwenden:

Auswirkungen auf die Vertraulichkeit

  • Zugriff: unberechtigter Zugriff auf Daten ohne weitere Maßnahmen;
  • Missbrauch: unbefugte Nutzung des Vermögenswerts wie Identitätsdiebstahl, Missbrauch von Servern und anderen IT-Ressourcen;
  • Offenlegung: Unrechtmäßiger Austausch sensibler Daten.

Auswirkungen auf die Integrität

  • Änderung von Informationen oder Informationsverarbeitungsprozessen, die zu deren Ungenauigkeit, Unzuverlässigkeit oder Unzuverlässigkeit führen.

Auswirkung auf die Verfügbarkeit

  • der Bedrohungsagent verhindert oder verweigert den legitimen und autorisierten Zugriff auf ein Asset (z. B. Löschen von Informationen, Systemtrennung, Ransomware, unter anderem).

Die Wirkung dieser Bedrohungen hängt von den spezifischen Eigenschaften des Vermögenswerts ab. Wenn beispielsweise das Asset „sensible Daten“ offengelegt wird, wirkt sich dies nicht unbedingt auf die Produktivität aus. Die Verantwortung des Unternehmens in Bezug auf die Einhaltung gesetzlicher Vorschriften wird jedoch beeinträchtigt. Aus diesem Grund bestimmen sowohl die Eigenschaften des Vermögenswerts als auch die Art der Bedrohung die Art und das Ausmaß des finanziellen Verlusts, sei es primärer oder sekundärer Natur.

the FAIR™ methodology scenario definition diagram

Vorteile und Einschränkungen

C-Risk verwendet einen Ansatz wie den FAIR™ -Standard, da die Quantifizierung von Cyberrisiken in finanzieller Hinsicht die Steuerung der Sicherheit eines Informationssystems wirklich optimiert. Berufsorganisationen oder Verbände wie NIST, das SANS Institute, die OCTAVE-Methode von Carnegie Mellon SEI, ISACA oder sogar COSO beziehen sich heute auf diesen Ansatz, um ihre Datenbanken zu ergänzen, um quantifizieren Sie die Risiken.

Das Frequenz-/Magnitudenpaar führt zu einem logischen Ergebnis, während die zur Risikokategorisierung verwendeten nominalen Skalen keinen Risikovergleich oder eine Schätzung zukünftiger Verluste ermöglichen.

Wie bereits erwähnt, handelt es sich bei der FAIR™ -Methode um einen probabilistischen Ansatz, der keinen Raum für Vorhersagen lässt und keine Methode dies tut. Sie ist auch nicht vollständig, sondern konzentriert sich auf die Ressourcen, die für das Funktionieren einer Organisation am wichtigsten sind. Es berücksichtigt die wahrscheinlichsten Szenarien, anstatt Sie dazu zu drängen, sich alles vorzustellen, was passieren könnte, wie es bei einigen anderen Methoden der Fall wäre.

Häufig gestellte Fragen: FAIR-Analyse

Wie lautet die Risikodefinition der FAIR™ -Methode?

Im FAIR™ -Standard wird Risiko als „wahrscheinliche Häufigkeit und wahrscheinliches Ausmaß zukünftiger Verluste“ definiert.

Was sind die Schritte der FAIR™ -Methode?

Die FAIR™ -Methode besteht aus 4 Schritten: - Identifizierung der Komponenten der Szenarien; - Bewertung der Häufigkeit von Schadenereignissen; - Schätzung des Ausmaßes des zukünftigen Schadens; - Berechnung des Risikos.

Ist es eine narrensichere Methode?

Mit der FAIR™ -Methode können Sie keine Prognose treffen, aber anhand der verfügbaren Daten erhalten Sie anhand der verfügbaren Daten die bestmögliche Schätzung des potenziellen Verlusts, der durch Cyberrisiken verursacht wird.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.