Die finanzielle Quantifizierung des Cyberrisikos ist entscheidend, um das Risiko eines Ransomware-Verlusts zu reduzieren

Im Kampf gegen Cyberbedrohungen ist die finanzielle Quantifizierung von Cyberrisiko (CRQ) wird oft übersehen, obwohl es sich um eine leistungsstarke Methode zur effektiveren Verwaltung Ihrer Cybersicherheit handelt. In diesem Artikel konzentrieren wir uns auf einen Ransomware-Fall.

Die wahren finanziellen Kosten eines Ransomware Der Vorfall ist oft weitaus höher als die Erpressungszahlung allein. So können Sie die tatsächlichen finanziellen Auswirkungen effektiver einschätzen, damit Sie Ihre Investitionen in Sicherheitskontrollen zur Steuerung Ihres Cyberrisikos gezielt einsetzen können.

Grégoire Paillas

An article from

Grégoire Paillas
Ausbildungsleiter
Published
February 14, 2024
Updated
December 17, 2024
Reading time
minutes
financial quantification - C-Risk

10 pro Tag. Dies, laut der Bericht des FBI über Internetkriminalität, ist die Anzahl der weltweit gemeldeten Ransomware-Angriffe — und viele Experten glauben, dass diese Zahl das Ausmaß des Problems unterschätzt. Diese Statistik gewinnt ihre volle Bedeutung neben den siebenstelligen Beträgen, die oft für die Entschlüsselung der Daten der Opfer verlangt und manchmal auch bezahlt werden, wie in den Fällen von Koloniale Pipeline oder Brenntag.

Aber Folgendes erwarten Sie vielleicht nicht: Das Lösegeld macht nur einen Bruchteil der tatsächlichen Kosten aus. Analyse von Check Point Research und Kovrr stellte fest, dass die Erpressung — wenn sie bezahlt wurde — nur 15% der Gesamtkosten für die Opfer ausmachte.

Hier können sich Herausforderungen ergeben, denn wir haben es mit Näherungswerten zu tun: Aus finanzieller Sicht ist die Berechnung der Kosten von Cyberereignissen im Allgemeinen, einschließlich Ransomware, oft sehr vage. Selbst für die unglücklichen Opfer ist es schwierig, ihre Verluste wahrheitsgetreu zu beziffern.

Aber es gibt drei sehr gute Gründe um zu versuchen, diese Kosten im Vorfeld eines möglichen Vorfalls zu prognostizieren, da es Organisationen ermöglicht:

  • Verstehe, was auf dem Spiel steht
  • Bewerten Sie den am besten geeigneten Schutz
  • Priorisieren Sie zwischen verfügbaren Kontrollen und Abhilfemaßnahmen.

Im Jahr 2001 wurde ein CISO und ein Risikomanagement-Experte hat eine Methode entwickelt, um genau diese Fragen zu beantworten: Wie messe ich das Risiko, dem ich ausgesetzt bin, und die Rendite, die ich mit dem Geld habe, das ich für dessen Minderung ausgebe, erzielen werde? Diese Methode ist bekannt als Faktorenanalyse des Informationsrisikos oder FAIR™, und es verwendet die Cyberrisikoquantifizierung (CRQ), um finanzielle Verluste aufgrund von Risiken im Bereich der Informationstechnologie zu berechnen. In diesem Artikel stellen wir Ihnen vier wichtige Schritte vor, die auf diesem Modell basieren und dazu beitragen, Ihr Risiko finanzieller Verluste durch Ransomware zu verringern.

Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.

Unsere FAIR-zertifizierten Experten helfen Ihnen mit unseren risikobasierten CRQ-Lösungen dabei, Ihre IT-Sicherheitsinvestitionen zu priorisieren, die Unternehmensführung zu verbessern und die Cyber-Resilienz Ihres Unternehmens zu erhöhen.

Learn more

Wissen Sie, was Sie schützen

Schritt 1: Ein besseres Verständnis Ihres Unternehmens

Bevor wir versuchen, Kosten oder Verluste vorherzusagen, sollten wir pragmatisch sein und uns auf das konzentrieren, was genau definierbar und messbar ist: Business as usual. Warum? Denn wenn Zeit und Budget begrenzt sind, müssen wir unsere Analyse anhand einer begrenzten Anzahl von Szenarien erstellen. Wenn es ein Limit gibt, gibt es auch eine Priorisierung, die wir anhand der folgenden Frage festlegen: Wo geht das meiste Geld verloren? Oder anders ausgedrückt, wo können wir den Return on Investment (ROI) maximieren?

Der erste Unterschritt besteht darin, zwischen einem und fünf wichtigen Geschäftsressourcen zu erwerben (diese Zahl variiert je nach Größe Ihres Unternehmens). Möglicherweise sind sich nicht alle wichtigen Interessengruppen über die Antwort auf diese wichtige Frage einig. Die Rahmengestaltung ist jedoch die eigentliche Grundlage der gesamten Analyse, weshalb wir die endgültige Auswahl der Vermögenswerte auf der Grundlage einer gemeinsamen Sichtweise treffen müssen.

Zweitens müssen Sie ein tiefes Verständnis dafür entwickeln, wie diese Ressourcen funktionieren und welche Mechanismen zum Verlust der Daten oder Dienste führen können, die das Asset wertvoll machen. Die Durchführung dieser Analyse für jedes ausgewählte Asset sollte dazu führen, dass die Triplets aus Assets/Auswirkung/Bedrohung in der Liste aufgeführt werden (siehe unten). Im Grunde haben wir unsere kritischsten Risiken aufgelistet.

Ransomware wird das Hauptthema unseres Beispiels sein.
Unser Risikoszenario ist wie folgt definiert:

  1. Asset: Endbenutzergeräte
  2. Auswirkung: Nichtverfügbarkeit von Endbenutzergeräten
  3. Bedrohung: Cyberkriminelle

Jetzt, da wir besser verstehen, was wir schützen müssen, besteht der nächste Schritt darin, abzuwägen, was auf dem Spiel steht. Für jedes kritische Risiko auf Ihrer Liste müssen Sie eine genaue Schätzung des finanziellen Verlusts erstellen.

Berechnen Sie die potenziellen Verluste

Schritt 2: Finanzielle Quantifizierung des Cyberrisikos

Es gibt viele Möglichkeiten, Risiken zu definieren; die geeignetste Definition für diese Art der Analyse ist die wahrscheinliche Häufigkeit und das wahrscheinliche Ausmaß zukünftiger Verluste. (Hinweis: Für diesen Ansatz verwenden wir ein Risikomodell, das als Factor Analysis of Information Risk oder FAIR™ bekannt ist. Dieser Blog konzentriert sich auf die Methodik, die wichtigsten Konzepte und die erwarteten Ergebnisse. Für eine detailliertere Beschreibung der FAIR-Methode empfehle ich Ihnen besuchen Sie die FAIR-Website.)

Für unsere Definition von Risiko heben wir zwei Schlüsselkonzepte hervor:

  • Häufigkeit: wie oft besteht ein Risiko (eher ein Verlustereignis?) Wird es wahrscheinlich in einem bestimmten Zeitraum eintreten?
  • Ausmaß: Wenn das Risiko (eher das Schadenereignis) eintritt, wie groß wird der Verlust sein?

Dann müssen wir beschreiben Sie die Arten von Verlusten ebenso. Wir müssen unterscheiden zwischen Primärverlust — den die Hauptbeteiligten durch das Ereignis selbst erleiden — und Sekundärschäden, bei denen es sich um Verluste handelt, die aufgrund der Reaktionen externer Parteien entstanden sind.

Anstatt zu versuchen, ein Risiko als Ganzes anzugeben, hilft diese Methode, jede Komponente des Verlusts anzugeben, wobei die Verlustgröße eines Risikos die Summe aller Komponenten ist.

Wenden wir unser Risikoszenario auf ein fiktives Geschäft an. Um es einfach zu halten, werden wir

Konzentrieren Sie sich auf die Produktivitätskosten, die wie folgt quantifiziert werden könnten:

Der Produktivitätsverlust der Mitarbeiter wird anhand der folgenden Annahmen berechnet:

  1. 5 bis 50% der 100.000 Endpunkte wären betroffen
  2. Der Ausfall würde zwischen 2 und 14 Tagen dauern
  3. Ein Ausfall würde die Produktivität um 20 bis 50% beeinträchtigen

Der entgangene Umsatz aus Verkäufen wird anhand der folgenden Annahme berechnet:

  1. Ein Ausfall würde zu einem vierteljährlichen Umsatzverlust von 0 bis 5% führen
  2. Produktivitätsverluste = Produktivitätsverlust der Mitarbeiter + Umsatzeinbußen durch Verkäufe

Wir können die Daten sammeln, indem wir wichtige Interessengruppen interviewen. Sie müssen diese Aufschlüsselung des Problems auf alle Schadensarten anwenden, die mit einem bestimmten Risikoszenario verbunden sind.

Offensichtlich basiert das Modell auf Annahmen und daher bleibt die Unsicherheit bestehen. Aus diesem Grund müssen Sie alle Annahmen dokumentieren und Daten in Bereichen und nicht in diskreten Werten anzeigen. Auf diese Weise kann der Analyst — ob intern oder extern innerhalb des Unternehmens — mitteilen, wie viel Unsicherheit noch besteht, und seine Zuversicht erhöhen, dass das Modell korrekt ist.

Dieser Schritt hat es uns ermöglicht, die finanziellen Auswirkungen eines Risikoszenarios abzuschätzen. Als Nächstes müssen wir herausfinden, wie wir diese Auswirkungen so gering wie möglich halten können, indem wir die besten Kontrollen für ein bestimmtes IT-Sicherheitsbudget auswählen.

Wählen Sie die am besten geeignete Sicherheit

Schritt 3: Bewerten Sie die Effizienz, um Kontrollen zu priorisieren

Die Kontrollen, die wir zur Risikominderung einsetzen, funktionieren auf zwei Arten:

  • Häufigkeit reduzieren: um die Wahrscheinlichkeit des Auftretens von Verlusten zu verringern. (Dazu können Erkennung und Reaktion oder Schutzmaßnahmen wie Firewalls und Multifaktor-Authentifizierung [MFA] oder Schulungen zur Sensibilisierung gehören.)
  • Ausmaß reduzieren: So wenig wie möglich verlieren (z. B. Eindämmungs- und Minderungsmaßnahmen, Reputationsreparatur).

Wir empfehlen, sich bei Entscheidungen darüber, welche Kontrollen implementiert werden sollen, jeweils nur auf ein Risiko zu konzentrieren. In der Tat ist es nicht immer möglich, die zur Priorisierung eingereichten Kontrollen zu vergleichen, da sie möglicherweise nicht zutreffen (z. B. ist die Verwaltung durch Dritte eine Kontrolle, wäre aber für einen vollständig intern verwalteten Perimeter nicht relevant).

Das Analysemodell von FAIR Controls verwendet die Begriffe „beabsichtigte Leistung“ und „Betriebsleistung“, die für sich sprechen. Die Risikoszenarien, von denen Sie glauben, dass sie dank Ihrer Kontrollen gemindert werden, können mehr Schaden anrichten, als Sie erwartet hatten. Ein Modell ohne betriebliche Rückkopplungsschleife ist nur bedingt sinnvoll.

Sobald Sie die entsprechenden Kontrollen aufgelistet haben, entwirft der interne oder externe Analyst Szenarien für diese Kontrollpakete. Im Idealfall sollten Sie sich am Ende zwischen zwei oder drei Paketen entscheiden müssen.

Führen Sie dann eine Quantifizierung des Cyberrisikos für alle Paketszenarien durch, um zu ermitteln, welches Szenario den besten ROI und/oder die beste Risikominderung bietet.

Nehmen wir an, wir hätten den Verlust für unser Ransomware-Risikoszenario auf eine Spanne zwischen 7 Millionen und 13 Millionen US-Dollar geschätzt. Dann haben wir zwei mögliche Kontrollpakete definiert und stehen vor einer Entscheidung.

Paket 1: Vorbeugen und Erkennen

Phishing Sensibilisierungstraining + Einsatz von Tools zur Erkennung und Reaktion auf Endgeräte

Paket 2: Reagieren

Versicherungspolice abschließen + Prozesse und Tools zur Reaktion auf Zwischenfälle und Datenwiederherstellung definieren und testen

Paket 1 würde zwar die Häufigkeit von Schadenereignissen verringern, wäre aber im Falle eines Verstoßes nur begrenzt effizient, wohingegen Paket 2 das Ausmaß des Schadens nur beeinflussen würde, indem es auf Vorfälle reagiert, wenn sie eintreten.

Führen Sie für jede Möglichkeit eine Quantifizierung durch und berechnen Sie, um wie viel jedes Paket den wahrscheinlichsten Verlust reduzieren kann. Stellen Sie dann die Verlustreduktion mit den Implementierungskosten in Frage. Dies wird zu einem soliden Argument für die Wahl des einen oder anderen Pakets führen.

Wenn wir einen Schritt zurücktreten, haben wir uns einfach für ein Kontrollpaket entschieden, das auf genauen, tragfähigen und dokumentierten Finanzdaten basiert, und wir haben die Mittel, um den ROI für den Einsatz dieser Kontrollen zu rechtfertigen.

Jetzt sogar mit effektivem Risikomanagement an Ort und Stelle, du könntest trotzdem getroffen werden. Der nächste Schritt zielt also darauf ab, einen potenziell tödlichen Schlag für das Unternehmen zu vermeiden.

Minimieren Sie die Auswirkungen auf Ihr Unternehmen

Schritt 4: Vermeide einen K.O., wenn du getroffen wirst

20% der Geschäftsinhaber sprechen von einem Cyberangriff könnte sie aus dem Geschäft drängen, und diese Zahl ist laut Angaben des letzten Jahres seit letztem Jahr gestiegen eine Umfrage unter mehr als 5.000 Unternehmen in Frankreich, Deutschland, Spanien, Belgien, den Niederlanden, Irland, den USA und dem Vereinigten Königreich von der Versicherungsgesellschaft Hiscox.

Wenn die Zeit kommt, dass Ihr Unternehmen wird getroffen, es ist besser, auf die Arten und das Ausmaß des Verlustes, mit dem Sie konfrontiert sind, vorbereitet und informiert zu sein. Es ist am besten, wenn Sie mit diesen Kosten gerechnet haben, um zu versuchen, sie so weit wie möglich zu reduzieren und gleichzeitig sicherzustellen, dass Ihr Unternehmen einen solchen Verlust verkraften kann.

In diesem Abschnitt geht es nicht um die Priorisierung von Kontrollen, sondern darum, die Kosten der Szenarien mit den größten Auswirkungen in den Griff zu bekommen. Der pragmatische Ansatz ist hier der beste:

  • Wählen Sie Risikoszenarien mit Verlusten, die die Fähigkeit Ihres Unternehmens übersteigen, diese zu absorbieren, und/oder Risikoszenarien, deren Verlustgröße zu hoch erscheint
  • Identifizieren Sie das Worst-Case-Szenario in Bezug auf den Verlust für jedes von Ihnen gewählte Risikoszenario
  • Identifizieren Sie die Kostenquellen, bei denen 20% des Aufwands zu 80% Ergebnissen umgesetzt werden können.

Kehren wir zu unserem Beispiel zurück. In den meisten Fällen sind in dem Szenario, in dem Endbenutzergeräte mit Ransomware verschlüsselt wurden, die höchsten Kosten auf Produktivitätsverluste der Mitarbeiter und entgangene Umsätze aus Verkäufen zurückzuführen. Zur Erinnerung: Diese Kosten ergeben sich aus den folgenden Annahmen:

  1. 5%-50% der 100.000 Endpunkte wären betroffen
  2. Ausfall, der zwischen 2 und 14 Tagen andauert
  3. Produktivität um 20%-50% beeinträchtigt
  4. 0%-5% vierteljährlicher Umsatzverlust

Wir wollen uns also auf eines der folgenden Themen konzentrieren:

  • Segmentieren Sie das Netzwerk, um den Prozentsatz der betroffenen Endpunkte zu begrenzen
  • Schulung und Erprobung von Wiederherstellungsplänen zur Begrenzung der Ausfalldauer
  • Verbesserung der Widerstandsfähigkeit, um die Auswirkungen auf Produktivität und Umsatz zu begrenzen.

Als Ergebnis dieser Analyse verlieren Sie so wenig wie möglich, selbst wenn die Kontrollen, die Sie im Rahmen Ihrer Risikobewertung ausgewählt haben, verletzt werden.

Fazit

Aus dieser Übung lassen sich drei wichtige Erkenntnisse ziehen:

  • Es ist komplex, den Schaden zu verstehen und zu reduzieren, den eine Bedrohung für Ihr Unternehmen verursachen könnte. Eine effiziente Möglichkeit, das Problem zu lösen, besteht darin, es in kleinere Probleme aufzuteilen, je nachdem, wie groß Ihr Unternehmen ist und wie viele Vermögenswerte betroffen sind. Es läuft darauf hinaus, eine effiziente Risikominderung für Ihre wertvollsten Vermögenswerte zu erreichen.
  • Sie werden trotzdem Kontrollen implementieren, entweder bevor oder nachdem Sie verletzt wurden. Wenn Sie dies im Voraus tun, können Sie Bußgelder, Kosten für das Störfallmanagement und Projektkosten sparen, wie es bei der systemischen Absicherung der Fall ist ist schätzungsweise zehnmal günstiger als eine nachträglich gesicherte.
  • Die Messung der Leistung Ihrer Steuerungen ist unerlässlich, um einen Überblick darüber zu erhalten, wie geschützt Sie sind.

Wissen Sie, wie viel ein Ransomware-Vorfall Ihr Unternehmen kosten würde? Messen Sie die Effektivität Ihrer Investitionen in Cybersicherheit? Kontaktiere uns um mehr über unsere einzigartigen Dienstleistungen zur Quantifizierung von Cyberrisiken zu erfahren.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Erfahre mehr

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.

See all articles
Il n'y a pas d'article pour le moment.

C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.

Unsere Lösungen
CRQ as a ServiceCRQ Enablement ServiceCRQ Beratungs- und Cosultingdienste
Unsere Lösungen
SAFE One CRQ-PlattformSAFE One Cyberrisikomanagement durch Drittanbieter
C-Risk Education
CRQ-SchulungE-learning
Anwendungsfälle
Kommunikation mit Vorstand und GeschäftsleitungCyberrisikomanagement von DrittanbieternMergers & AcquisitonsOptimieren Sie den Cyber-VersicherungsschutzDimensionen, Zuteilung und Begründung eines Infosec-BudgetsErleichterung der Einhaltung gesetzlicher VorschriftenCISO — Priorisierung der wichtigsten Risiken und Kontrollen
Ressourcen
BlogNeuigkeitenVideos
Firma
Über C-RiskKarrierePartnerC-Risk in den Nachrichten
Ihre Rolle
Executive ManagementCISORisiko-Experten
Kontakt
Kontaktieren Sie uns
Sprache
Erstellt von Sales Odyssey
Rechtlicher HinweisDatenschutz