Der Leitfaden konzentriert sich auch auf die Risikoanalyse und ihre Besonderheiten: Was ist der Unterschied zwischen Risikoanalyse und Gefahrenbeurteilung? Warum müssen Sie digitale Risiken unbedingt analysieren? Wie solltest du das machen? Für welche Methode sollten Sie sich entscheiden?
Was ist Cyberrisiko?
Das Konzept des Risikos wird täglich von allen erwähnt und manchmal sogar mit den Begriffen Gefahr oder Bedrohung verwechselt. Diese Konzepte unterscheiden sich jedoch in mehrfacher Hinsicht. Obwohl es verständlich ist, dass der allgemeine Sprachgebrauch Variationen zulässt und unterschiedliche Interpretationen toleriert, überrascht es doch, dass die Normen und Standards, die zu erklären versuchen, wie Risiken zu handhaben sind, unterschiedliche Definitionen haben:
- ISO 31000/27005 - „Auswirkung der Unsicherheit auf die Ziele.“
- NIST: „Die Wahrscheinlichkeit, dass eine bestimmte Sicherheitsbedrohung eine Systemschwachstelle ausnutzt.“
- ISACA: „Ein Teil des gesamten Geschäftsrisikos, das mit der Nutzung, dem Besitz, dem Betrieb, der Beteiligung, dem Einfluss und der Einführung von Informationen und Technologie (I&T) innerhalb eines Unternehmens verbunden ist.“
- EBIOS: Risikodefinition: „Möglichkeit des Eintretens eines befürchteten Ereignisses und der Tatsache, dass seine Auswirkungen die Missionen des untersuchten Objekts beeinflussen. Im Cyberkontext [...] wird ein Risiko in Form eines Risikoszenarios beschrieben.“
- Collins-Wörterbuch: „Die Wahrscheinlichkeit von Verletzungen, Schäden oder Verlusten“.
Man kann leicht das Problem erkennen, dass es so viele verschiedene Definitionen gibt: Wie kann man etwas analysieren, das nicht klar definiert wurde?
Was sind die Unterschiede zwischen Risiko und Gefahr?
„Gefahr“ bezieht sich auf die inhärente Fähigkeit eines Geräts oder einer Handlung, Schäden zu verursachen. In der Cybersicherheit stellt beispielsweise ein Virus eine Gefahr, eine Bedrohung dar.von Natur aus„zu den Informationssystemen eines Unternehmens.
Das Risiko ist seinerseits das Ergebnis der Gefahrenexposition des Unternehmens. Das Risiko wird immer unter Berücksichtigung der Berücksichtigung definiert die Wahrscheinlichkeit des Auftretens und der Schweregrad der möglichen Folgen für wertvolles Eigentum. Kein Risiko ohne Schaden. Ohne etwas Wertvolles, das die negativen Auswirkungen eines schädigenden Ereignisses tragen könnte, entsteht kein Schaden, also auch kein Risiko. Wenn Sie beispielsweise in einer E-Mail auf einen unbekannten Link klicken, ist das Informationssystem der Gefahr von Phishing-E-Mails ausgesetzt. Wenn Sie auf diesen Link klicken und infolgedessen Malware über das Büronetzwerk verbreiten, die Mitarbeiter daran hindert, zu arbeiten — Das ist ein Risiko.
Digitales Risiko, ein spezifischer Begriff
Es gibt viele Definitionen von Risiko.
Das ISO/IEC-Leitfaden 73 ist beispielsweise der Ansicht, dass Risiko definiert ist als“Kombination aus der Wahrscheinlichkeit eines Ereignisses und seinen Folgen“. Diese Folgen können daher sowohl positiv als auch negativ sein und sich sowohl auf Schaden als auch auf Nutzen beziehen.
Ein positives Risikoverständnis ist bei der digitalen Risikoanalyse jedoch nicht sehr hilfreich. Letztere spielt in der Tat eine Rolle der Prävention und des Schutzes vor IT-Gefahren. Bei der digitalen Risikoanalyse werden keine „vorteilhaften“ Cyberrisiken vorhergesagt, da keine digitale Gefahr mit potenziell wünschenswerten Auswirkungen besteht.
Bei C-Risk folgen wir der Definition von Risiko, wie sie in der Taxonomie des FAIR™ -Standard (Faktorenanalyse des Informationsrisikos):“die wahrscheinliche Häufigkeit und das Ausmaß zukünftiger Verluste“. Obwohl diese Definition ursprünglich im Zusammenhang mit Informationsrisiken entwickelt wurde, gilt sie natürlich auch für operationelle Risiken. Im Bereich der Cybersicherheit betreffen diese Risiken Informationen in einem digitalen Format oder Elemente eines Informationssystems.
Bei einigen Analysemethoden wird zwischen vorsätzlichen Risiken und Unfallrisiken unterschieden, da vorsätzliche Risiken im Vorfeld durch Einhaltung von Compliance-Verfahren bewältigt werden können. Wir halten diese Unterscheidung für sehr theoretisch und einige Unternehmensleiter, mit denen wir zusammenarbeiten, erkennen sie einfach nicht an. Zum Glück ist sie aufgrund der FAIR™ -Taxonomie und ihrer Definition von Risiko irrelevant und wir können uns dann mit wahrscheinlichen zukünftigen Verlusten auseinandersetzen, seien sie nun versehentlich oder böswillig.
In der Tat können Cyberrisiken erklärt werden durch Fehler im IT-Management, durch menschliche Fehler oder durch Hacking-Versuches. Wie in unserer Erinnerung Artikel über Cyberangriffe, werden diese als böswillige Computerangriffe definiert, die in vier Kategorien unterteilt werden können: Cyberkriminalität, Imageschaden, Spionage und Sabotage.
Cyberrisikoanalyse: Alle Unternehmen sind betroffen
Leiter kleiner und mittlerer Unternehmen sind manchmal der Ansicht, dass digitale Risiken in erster Linie große Unternehmen mit groß angelegten digitalen Abläufen betreffen.
Diese Annahme ist teilweise auf die Tatsache zurückzuführen, dass die Medien häufig über Fälle groß angelegter Cyberangriffe berichten, wie sie beispielsweise gegen Yahoo, Renault, Sony oder sogar gegen öffentliche Krankenhäuser verübt wurden. Es stimmt auch, dass 2021 61% der Unternehmen mit mehr als 1.000 Mitarbeitern von Cyberangriffen betroffen waren, gegenüber 51% im Jahr 2020 (Hiscox Cyber Readiness Report 2021).
Tatsächlich zielen Hacker zunehmend auch auf kleine und mittlere Unternehmen ab, weil sie wissen, dass diese Unternehmen weniger vorbereitet sind. KMU und VSE sind auch stärker dem Konkursrisiko ausgesetzt, das mit Cyberangriffen einhergeht. Im Jahr 2021 war das Überleben eines von sechs Unternehmen durch einen Cyberangriff bedroht.
Cyber-Risikofaktoren
Das mit Cybersicherheit verbundene Risiko liegt manchmal heimlich in täglichen Gewohnheiten, die wir uns nicht als gefährlich vorstellen:
- Verwendung von Computern für Finanzüberweisungen oder Bankkontooperationen von Unternehmen, insbesondere von Laptops aus, die in einem öffentlichen Netzwerk verwendet werden;
- Fernnutzung eines Computersystems, z. B. für Fernarbeit;
- schwache Sicherheitsrichtlinie in Bezug auf Passwörter;
- in einem Gebäude ohne gesicherten Zugang leben;
- Anwendung einer BYOD-Richtlinie (Bring Your Own Device);
- eine schlecht aktualisierte IT-Sicherheitsrichtlinie.
Cyberrisiken sind nicht mehr nur eine Frage der Sicherung von Informationssystemen. Die Digitalisierung von Arbeitsprozessen bringt heute die globale, abteilungsübergreifende Verantwortung für das IT-Risikomanagement mit sich. Unternehmen müssen heute eine ganzheitliche IT-Risikokultur fördern, da sich diese auf alle Aktivitäten eines Unternehmens auswirkt.
An der Analyse der Risiken und der Bestimmung der Risikobereitschaft der Struktur sind daher inzwischen viele Interessengruppen beteiligt:
- Geschäftsführung und Verwaltungsrat;
- BU-Manager;
- Interessengruppen in der Wertschöpfungskette.
Aus diesem Grund kann man sagen, dass digitale Risiken strategische, rechtliche und wirtschaftliche Dimensionen zur gleichen Zeit.
Risikoanalyse: Was bedeutet das?
Die Risikoanalyse ist Teil eines Risikomanagementprozesses. Das Risikomanagement kann in der Tat in mehrere Schritte unterteilt werden, wobei die Risikoanalyse einer der ersten ist. Ihr Ziel ist es, Risiken zu identifizieren, zu beschreiben und abzuschätzen. Laut ISO ist es die Grundlage für die Risikobewertung (Kategorisierung) und die Entscheidungsfindung im Rahmen eines Risikobehandlungsansatzes.
Wie oben erwähnt, umfasst die Risikoanalyse sowohl gemäß ISO 27005 als auch gemäß NIST auch die folgenden Aktivitäten:
- Durchsetzung des politischen Rahmens, der für die digitalen Aktivitäten eines Unternehmens gilt. Die Sektoren Medizin, Nukleartechnik, Finanzen und Verkehr müssen in diesem Bereich spezifische Verpflichtungen einhalten;
- Identifizierung der Unternehmensbereiche, Unterstützungsfunktionen, Missionen und Angebote, die Wertschöpfungsketten generieren;
- Zusammenarbeit mit den IT-Abteilungen, die für diese Wertschöpfung verantwortlich sind;
- kartierend das Ökosystem des „erweiterten Unternehmens“, d. h. das Unternehmen und seine gesamte Produktionskette;
- Überprüfung, inwieweit bestehende Maßnahmen das Eintreten der Szenarien verhindern können.
Die Quantifizierung von Cyberrisiken wird die Art und Weise, wie Sie Risiken messen, verändern
CRQ, das die FAIR-Methode verwendet, ist ein risikobasiertes, datengesteuertes Framework zur Umsetzung von Cyberbedrohungen in umsetzbare Geschäftseinblicke.
Warum ist es wichtig, Risiken zu analysieren?
Eine digitale Risikoanalyse ist unerlässlich, um Risiken zu verstehen, die Sicherheit zu messen und Maßnahmen zur Risikominderung zu ermitteln, die zur weiteren Absicherung Ihres Unternehmens ergriffen werden können. Sie ist Teil eines Entscheidungsunterstützungsprozesses in vielen Anwendungsfällen, wie z. B.:
- Effizientere Bemessung und Zuweisung Ihres Budgets für Informationssicherheit.
- Auswahl der Lösung zur Risikominderung mit der besten Kapitalrendite.
- Mitteilung der finanziellen Aspekte eines Risikos an die Geschäftsleitung und den Verwaltungsrat.
- Verständnis der geschäftlichen Auswirkungen von Cyberrisiken durch Dritte.
- Aushandlung der optimalen Cyber-Versicherungspolice.
- Erleichterung der Einhaltung gesetzlicher Vorschriften durch Organisationen.
Die Risikoanalyse beinhaltet jedoch auch eine Reihe von Fallstricken, die Sie lokalisieren müssen, um sie so weit wie möglich zu vermeiden.
1/ Zeitaufwändig
Da die digitale Risikoanalyse zwangsläufig das gesamte Unternehmen betrifft und alle Beteiligten einbezieht, kann sich die digitale Risikoanalyse als zeitaufwändig erweisen. Daher ist es von größter Bedeutung, dass die Ziele und die Gründe der Analyse gut verstanden und definiert sind. Aus diesem Grund müssen alle Beteiligten die eine Entscheidung oder alle Entscheidungen, die sie zu erklären versuchen, im Auge behalten.
2/ Potenziell voreingenommen
Wie bereits gezeigt, gibt es zahlreiche Methoden zur Risikoanalyse. Eines haben sie jedoch gemeinsam: Sie geben keine Empfehlungen, wie Sie Risiken messen sollten. Praktiker verwenden meistens nominale und ordinale Risikoskalen. Die Arbeitsgruppe wird beispielsweise die Wahrscheinlichkeit der Bedrohung als „stark“ oder „schwach“ einschätzen. Außerdem weist sie ihr einen Schweregrad von „1 von 3“ oder „3 von 3“ zu, ohne dass diese Bewertung auf objektiven oder mathematischen Kriterien beruht. Zahlreiche wissenschaftliche Studien haben gezeigt, dass die Ansätze, auf denen die meisten Risikomatrizen basieren, immer noch“die Kommunikation eher verdunkeln als aufklären„über die Risiken.
Die Methode der quantitativen Risikoanalyse FAIR ™️ (Faktorenanalyse des Informationsrisikos), versucht, jene kognitiven Verzerrungen zu umgehen, die sich tendenziell auf Arbeitsgruppen auswirken. Bei C-Risk bemühen wir uns, quantitative Werte zu vergleichen, um eine probabilistische und objektive Risikoanalyse anbieten zu können.
Wie analysiert man Cybersicherheitsrisiken?
Es gibt viele Methoden der Risikoanalyse. Jedes Unternehmen verwendet den Ansatz, der seinen Gewohnheiten, strategischen Zielen und Cybersicherheitsanforderungen am besten entspricht.
Die entscheidende Notwendigkeit, Risiken im Zusammenhang mit Dritten zu managen
Beim Risikomanagement im Zusammenhang mit Dritten ging es in der Vergangenheit nur um Lieferungen. Angesichts der Digitalisierung von Verfahren erfordert die Gewährleistung der Cybersicherheit die Zusammenarbeit mit allen Partnern, sowohl vor- als auch nachgelagerten. Im Juli 2021 sah sich beispielsweise die schwedische Supermarktkette Coop nicht in der Lage, ihre Kunden zu bedienen. Das Problem war, dass der Subunternehmer, der die Kassen verwaltete, gehackt worden war.
Das Management von Risiken im Zusammenhang mit Dritten ist für das „erweiterte digitale Unternehmen“ von entscheidender Bedeutung geworden, dessen IT-Partner mit vorgelagerten Liefer- und nachgelagerten Vertriebsaktivitäten für die meisten Wertschöpfungsketten unverzichtbar geworden sind. Das Management dieser Risiken durch Dritte erfordert die Identifizierung von Softwareplattformen und -netzwerken sowie die Behandlung und den Austausch von Daten, die zwischen Ihrem Unternehmen und seinen Partnern, Lieferanten, Subunternehmern, Dienstleistern, Vermittlern und Zuschussempfängern bestehen.
Die Risikoanalyse durch Dritte wird normalerweise in 4 Schritten durchgeführt:
1/Identifizierung Dritter und deren Einstufung nach der Art der potenziellen Risiken;
2/Festlegung der Kriterien für die digitale Risikobewertung;
3/Festlegung, wer Kontrollen durch Dritte durchführen sollte und wie oft;
4/Bewertung der IT-Praktiken Dritter im Hinblick auf internationale und lokale Vorschriften.
Die übliche FMEA-Methodik
In unserem Artikel über FMEA, oder Failure Mode and Effect Analysis, erörtern wir die Vor- und Nachteile einer solchen Methodik. Dieses in den USA entwickelte Verfahren dient der Analyse von Risikoprognosen.
Es dreht sich um die Identifizierung von „Fehlermodi“, die sich auf das Funktionieren Ihres Unternehmens auswirken können. Diese Ausfälle sind auf Risiken zurückzuführen, denen „Kritikalitätsindizes“ zugeordnet werden sollten. Diese gesamte Risikoanalyse führt dann zur Entwicklung von Präventiv- und Korrekturmaßnahmen.
Wie HAZOP, FMEA hat zwei Besonderheiten, die Sie berücksichtigen sollten:
- Es ist beabsichtigt, erschöpfend zu sein, und Ihre Arbeitsgruppe wird daher viel Zeit in Anspruch nehmen. Es geht eigentlich nicht darum, potenzielle kritische Situationen zu ermitteln, sondern vielmehr darum, alle möglichen Fehlerursachen aufzulisten.
- Die ausgewählten Kritikalitätsindizes werden nur von der Subjektivität der Mitglieder der Arbeitsgruppe beeinflusst. Es handelt sich nicht um eine quantitative Methode zur Risikoprognose.
Die Taxonomie und die Methode des FAIR™ -Standards für die quantitative Risikoanalyse
Um das zu vermeiden kognitive Vorurteile den meisten Normen und Standards innewohnt, die keine Methode zur Risikomessung vorschreiben, C-Risk folgt dem FAIR™ -Standard für Risikoanalysen. Es ist eine Methode der quantitativen Analyse sowie eine Taxonomie der Variablen, aus denen ein Risiko besteht.
- Die MESSE™ Taxonomie schlüsselt die Frage auf: „Wie viel Risiko stellt dieses Szenario dar?“
- Ein Szenario = ein Vermögenswert + eine Bedrohung + eine Auswirkung
- Das FAIR™ -Paradigma definiert die Variablen, ihre Verbindungen und ihr Typ (Wert, Prozentsatz, Betrag). Sie sind dann in der Lage berechnen die Höhe des Risikos für jedes Szenario über einen bestimmten Zeitraum.
Als Nächstes können Sie den potenziellen Verlust abschätzen, den Ihr Unternehmen in Zukunft erleiden würde, sollte es zu einem Daten- oder IT-Vorfall kommen. Wenn Sie eine Vorstellung von diesem quantifizierten Verlust haben, können Sie Entscheidungen zur Risikobehandlung treffen.
Diese Risikoanalysemethode ist von Natur aus pragmatisch: Sie können sich tatsächlich mehr oder weniger mit der Taxonomie befassen, um die Risiken Ihres Unternehmens zu quantifizieren und zu priorisieren. Sie beweist weniger zeitaufwändig als andere Methoden, weil es darauf abzielt, die wahrscheinlichsten Risiken zu identifizieren, anstatt eine erschöpfende Bestandsaufnahme aller möglichen Ereignisse zu erstellen. Und schließlich ist es eine praktikablere Methode, wenn Sie auf Schätzungen von Datenbereichen und probabilistische Berechnungen zurückgreifen, sodass Sie die Unsicherheit zukünftiger Ereignisse berücksichtigen können.
Der ISO 27005-Ansatz
Das ist ohne Zweifel der am weitesten verbreitete Ansatz in Europa. Es ist sehr eng inspiriert von der ISO31000-Methode des Risikomanagements aller Art, und es befasst sich speziell mit IT-Risikoanalysen.
Laut ISO (übrigens sowohl 31000 als auch 27005) ist die Analyse der zweite der drei Schritte der Risikobewertung.
Bei der ersten geht es darum, Risiken zu identifizieren: zu ermitteln, welche Szenarien zu einem Verlust führen könnten, und zu verstehen, wie, wo und warum. ISO gibt an, dass dieses Inventar die Risiken enthalten muss, auch wenn die Quelle unter der Kontrolle Ihres Unternehmens liegt.
Während der Analysephase können Sie das Risikoniveau messen, indem Sie die Wahrscheinlichkeit oder Wahrscheinlichkeit des Eintretens eines Ereignisses und das Ausmaß seiner Folgen abschätzen. ISO gibt an, dass Sie entweder quantitative oder qualitative Risikomessungen durchführen können.
Im dritten Schritt ziehen Sie Schlüsse aus Ihrer Risikoanalyse, um Entscheidungen zur Risikobehandlung zu treffen.
Die Methodik des Nationalen Instituts für Standards und Technologie
Das NIST konzipierte einen Leitfaden zur Risikoanalyse mit dem Titel Leitfaden für die Durchführung von Risikobewertungen. Dieser Leitfaden basiert auf dem NIST-Cybersicherheitsframework, das weitgehend von nominalen und ordinalen Risikoanalysemethoden wie den üblichen farbigen Risikokarten inspiriert ist. Diese Methoden können jedoch, wie bereits erläutert, darunter leiden kognitive Vorurteile.
Eine Komplettlösung in 5 Schritten für eine korrekte Cybersicherheitsrisikoanalyse
Was auch immer Ihre bevorzugte Risikomanagementmethode sein mag, die Risikoanalyse sollte immer ungefähr dem gleichen Prozess folgen.
Die ersten 3 Schritte der Risikoanalyse
1/Um Risiken zu erkennen, müssen Sie Ihr Geschäftsumfeld als Ganzes verstehen. Ihr erstes Ziel sollte es sein, die kritischen Vermögenswerte und Aktivitäten Ihres Unternehmens zu definieren. Was diese Geschäftsressourcen und Prozesse als „kritisch“ einstuft, ist, dass sie die strategischen Ziele des Unternehmens oder den Tagesbetrieb, seine Finanzen, die Einhaltung gesetzlicher Vorschriften oder den Datenschutz beeinflussen. Innerhalb der FAIR™ -Rahmen, müssen Sie die Aktivitäten priorisieren, die den größten Wert schaffen.
2/Im zweiten Schritt legen Sie die Hauptrisikoszenarien fest: In diesen Szenarien können Sie ein Ereignis beschreiben, das sich auf einen kritischen Vermögenswert auswirken kann, und in denen die Folgen messbar sind.
Dabei wird die Methode, die Sie verwenden werden — sei es ein qualitativer oder ein quantitativer Ansatz — einen sehr hohen Einfluss auf die Relevanz und Objektivität der Schätzungen des nächsten Schritts und letztlich auf die Relevanz und Objektivität der Analyseergebnisse haben.
3/Die Risikoabschätzung wird gemäß Ihrer Risikomanagementmethode durchgeführt. Wenn sie auf nominalen Skalen basiert, unterliegt sie häufig den in ISO27005, Abschnitt 8.3, dokumentierten Einschränkungen. Möglicherweise möchten Sie sich auch für einen mathematischen Ansatz entscheiden, der statistische und probabilistische Schätzungen umfasst, wie sie beispielsweise von FAIR™ bereitgestellt werden.
Bewertung von Cyberrisiken: eine methodische Voreingenommenheit
4/Schließlich ist die Risikobewertung nicht immer in der Risikoanalyse enthalten. Auch hier variieren die Praktiken je nach Ihrer Methode. In jedem Fall müssen Sie Kriterien für den Risikovergleich auswählen. Dies können subjektive Schweregradkriterien (wie die Besorgnis der Anleger) oder quantitative Kriterien (wie potenzieller finanzieller Verlust).
Um die Kosten eines Cyberangriffs zu ermitteln, berücksichtigt die finanzielle Bewertung:
- die vertraglichen Verpflichtungen des Unternehmens gegenüber den betroffenen Interessengruppen;
- die geltenden Vorschriften und die Strafen, die bei Nichteinhaltung dieses Rechtsrahmens verhängt werden;
- wie lange das Informationssystem abgeschaltet war, bevor der Betrieb wieder aufgenommen werden konnte;
- Betriebsverlust und Produktionsverlust;
- Verlust aufgrund der Löschung oder Beschädigung vertraulicher Daten oder Daten, die für das reibungslose Funktionieren des Unternehmens von entscheidender Bedeutung sind.
Die Risikobewertung ist der Schritt, der die Entscheidungsfindung zur Risikobehandlung leitet.
Häufig gestellte Fragen: Risikoanalyse
Was ist der Unterschied zwischen Risikoanalyse und Risikomanagement?
Die Risikoanalyse ist ein Schritt des Risikomanagementprozesses. Sie dient lediglich der Identifizierung, Abschätzung und Bewertung von Risiken, nicht aber ihrer Behandlung. Es ist wichtig für die Entscheidungsfindung.
Wie sollten Sie Ihre Risikoanalysemethode wählen?
Es gibt verschiedene Methoden der Risikoanalyse. Einige Unternehmen bevorzugen die von offiziellen Stellen empfohlenen Methoden. Andere ziehen es vor, sich für mathematischere Methoden mit echten Prognosefähigkeiten zu entscheiden. Die richtige Methode für Sie ist diejenige, die es Ihnen ermöglicht, Risikomanagemententscheidungen zu treffen, sie im Auge zu behalten und sie intern und extern zu begründen.
Wann sollten Sie eine Cyberrisikoanalyse durchführen?
Heutzutage sollten Unternehmen aller Größen dies tun. Es wird empfohlen, eine Risikoanalyse zu starten, sobald das für diese Aufgabe zuständige Team gebildet wurde. Dann sollte sie mindestens einmal jährlich erneut durchgeführt werden.
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.