Wie erstellt man eine Karte der Cybersicherheitsrisiken?

Die Risikokartierung ist ein Verwaltung Prozess und Tool zur Visualisierung der Risiken, denen ein Unternehmen ausgesetzt ist. Dabei handelt es sich um eine Tabelle oder Grafik mit drei bis sechs (manchmal mehr) Abszissen- und Ordinatenebenen, in denen die Risiken vom niedrigsten zum höchsten bewertet werden.

Die Risikokartierung ist eine Technik zur Erkennung Cyberrisiken. Dies ist besonders wichtig im Jahr 2022, da die Bedeutung der Cybersicherheit für Unternehmen seit einigen Jahren steigt (wie aus der WEF_Der_Globale_Risikobericht_2021 und Allianz-Risikobarometer). Hier finden Sie alles, was Sie wissen müssen, um eine Risikokarte zu erstellen. Welche relevanten Informationen müssen Sie sammeln? An welche Interessengruppen müssen Sie sich wenden, um diese Informationen zu erhalten? Welche Hauptziele müssen verfolgt werden?

Lydie Aubert

An article from

Lydie Aubert
Marketing Director
Published
June 13, 2023
Updated
June 13, 2023
Reading time
minutes
risikokartierung - C-Risk

Was ist Risikokartierung?

In erster Linie besteht die Risikokartierung aus einer Tabelle, die anhand einer Farbklassifizierung („Heatmap“) der Bedrohungen für ein Unternehmen angeordnet ist. Obwohl die Implementierung einfach erscheint, ist die Organisation, die sie umfasst, umständlich und bezieht Interessengruppen auf allen Ebenen eines Unternehmens ein.

Definition der Risikokartierung und Schematisierung

Das französische Medienunternehmen Agefi (eine Wirtschafts- und Finanzagentur) definiert Risikokartierung als „Identifizierung, Bewertung, Priorisierung und Steuerung der Risiken, die mit den Aktivitäten einer Organisation einhergehen“.

Im Rahmen einer Risikomanagementprozess Im Zusammenhang mit Cybersicherheitsverletzungen verfolgt die Risikokartierung zwei Ziele:

  • Identifizierung und Verwaltung der wichtigsten Risiken, um sicherzustellen, dass das Unternehmen Onlinesicherheit;
  • Gewährung ausreichender Ressourcen für die Geschäftsleitung und die Abteilung Informationssysteme, um erfolgreiche und wirksame Präventionsmaßnahmen ergreifen zu können.

Das Ergebnis dieser Methodik ist eine Landkarte — eine Art grafische Darstellung. Sie fasst die Risiken eines Unternehmens in einer Tabelle mit doppelten Einträgen zusammen:

  • Die horizontale Achse steht für den Schweregrad eines Risikos. Er reicht von gering bis schwer oder sogar „katastrophal“, je nachdem, welche Skala Sie wählen möchten.
  • Die vertikale Achse zeigt den Grad der Wahrscheinlichkeit des Risikos, der von unwahrscheinlich bis sehr wahrscheinlich/sicher reicht.

Unternehmen kehren diese Achsen bei der Kartierung manchmal um, wobei die Wahrscheinlichkeit dann auf der X-Achse und der Schweregrad auf der Y-Achse liegt. In allen Fällen entspricht die Kritikalität des Risikos dem Verhältnis zwischen seiner Auswirkung und seiner Wahrscheinlichkeit. Die unten links in der Tabelle abgebildeten Risiken stellen also eine geringe Wahrscheinlichkeit und Gefahr dar. Je näher ein Risiko oben rechts in der Tabelle liegt, desto greifbarer und schwerwiegender ist die Bedrohung.

Farbcodes spielen bei der Risikokartierung oft eine wichtige Rolle; die Grafik wechselt von grün nach rot. Grün ist ein akzeptables Risiko und Rot ist ein kritisches Risiko, das sich als mehr herausstellen kann, als Ihr Unternehmen aushalten kann.

Example of risk mapping

Wer sollte an der Risikokartierung beteiligt sein?

Idealerweise sollten bei der Gestaltung der Cyber-Risikokartierung die Leiter aller Hauptabteilungen des Unternehmens einbezogen werden. Jeder Mitarbeiter — vom Geschäftsführer bis zum Rezeptionisten — ist Risikoszenarien ausgesetzt oder aktiv daran beteiligt, die eindeutig identifiziert werden müssen, damit sie bewertet werden können. Es ist wichtig, so viele verschiedene Abteilungen wie möglich einzubeziehen, von allen Ebenen der Organisation bis hin zum Betriebspersonal.

Aus Sicht der Cyberrisikobewertung ist die Leitender Beauftragter für Informationssicherheit (CISO) spielt natürlich eine wichtige Rolle bei der Erstellung der Cyber-Risikokarte. Dennoch müssen sie mit dem Risikomanagement und der internen Kontrolle zusammenarbeiten, falls Ihr Unternehmen zufällig über solche Abteilungen verfügt. Ohne eine einwandfreie Kommunikation zwischen den Abteilungen kann eine Risikobewertung unmöglich effektiv sein.

Warum müssen Sie Risiken kartografieren?

Wie bereits erwähnt, ist die Risikokartierung vor allem ein Risikomanagementinstrument, das für die Entscheidungsträger des Unternehmens bestimmt ist. Es konzentriert sich auf die Auflistung aller Hauptrisiken, denen ein Unternehmen ausgesetzt ist, und deckt Management, Vertrieb, Personalwesen, Cyberrisiken, Korruption und sogar Naturkatastrophen- oder Gesundheitsrisiken ab. Die schematische Darstellung der Wahrscheinlichkeiten und Auswirkungen erleichtert das Verständnis der Risiken, denen Ihr Unternehmen ausgesetzt ist.

Eine Risikokartierung kann auch für jede Abteilung Ihres Unternehmens durchgeführt werden. In diesem Fall führt das Unternehmen seine Risikobewertung nach Gefahrenkategorien durch: eine für Cybersicherheit, eine für das Management und eine weitere für die Personalabteilung usw. Im Bereich Cybersicherheit soll die Risikotabelle sicherstellen, dass jeder in allen Teilen des Unternehmens ein gutes Verständnis der IT-bezogenen Risiken hat, sodass jeder Abteilungsleiter in einer informierten Position ist, um die richtigen Entscheidungen in Bezug auf Cybersicherheit zu treffen.

Die Risikokartierung ist kein obligatorisches Verfahren. Es kann jedoch als Nachweis dafür verwendet werden, dass sich Ihr Unternehmen im Rahmen eines Gerichtsverfahrens um die Wahrung der Cybersicherheit bemüht. Außerdem sind börsennotierte Unternehmen verpflichtet, eine wirksame Risikomanagementstrategie zu verfolgen, indem sie die Hauptrisiken auflisten, denen sie ausgesetzt sind.

Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.

Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mit CRQ ein robustes, risikobasiertes Cybersicherheitsprogramm.

Learn more

So kartografieren Sie Ihr Unternehmen erfolgreich

Sobald das allgemeine Prinzip der Risikokartierung berücksichtigt wurde, müssen Sie einige Tipps und Richtlinien befolgen, damit dieses Tool maximale Effizienz erreicht:

  • Vollständigkeit bedeutet auch Skalierbarkeit: Die Karte muss regelmäßig aktualisiert und an potenzielle neue Bedrohungen angepasst werden;
  • Es reicht nicht aus, die Risiken zu benennen: Sie müssen sie in den Kontext der gesamten Unternehmensabläufe stellen;
  • Die Art und Weise, wie Häufigkeit und Schwere von Gefahren bestimmt werden, sollte im Anhang zur Risikotabelle gemäß ISO 27005 definiert und beschrieben werden. Für einen erheblichen projektiven Wert empfiehlt es sich, die Risikokartierung mit einer quantitativen Methode zur Bewertung des finanziellen Risikos zu kombinieren. Ein Ansatz wie VaR (Value at Risk) besteht aus der Erfassung statistischer Daten, um Wahrscheinlichkeitsschätzungen für Cyberrisiken zu erstellen. Es ist weitaus gründlicher und zuverlässiger als qualitative Ansätze.
  • Dieses Zuordnungsdokument muss leicht verständlich sein und für alle Mitarbeiter zugänglich bleiben.

Unter Berücksichtigung dieses Ziels der Lesbarkeit entscheiden sich einige Strukturen dafür, ihre Hauptrisiken nach Zahlen zu ordnen. Das ist vor allem Risikomessung von McKinsey & Company Strategie. Das Beratungsunternehmen schlägt vor, die Erfassung der Cyberrisiken mit einer Note von 1 bis 4 für die wichtigsten Cyberrisiken zu verknüpfen. Im folgenden Beispiel werden vier Hauptrisiken genannt: Störung der Online-Dienste (1), Datenschutzverletzung (2), Cyberbetrug (3), Risiko im Zusammenhang mit Lieferanten oder Anbietern (4).

Cartographie des risques McKinsey

Sie können diese Nummerierungsstrategie verwenden, um das Verständnis der Mitarbeiter zu verbessern, die nicht an der Entwicklung Ihrer Risikokartierung beteiligt sind. Diese Art von Risikomatrix hängt von der Subjektivität Ihrer Arbeitsgruppe ab. Sie sollten daher den Rest Ihrer Mitarbeiter über die Einzelheiten informieren. Wie in ISO270005 Abschnitt 8.3 und Addendum E2 dokumentiert, ist dieser qualitative Ansatz, der auf nominalen oder ordinalen Skalen basiert, tatsächlich stark voreingenommen. Er lässt wenig Spielraum für einen zuverlässigen Vergleich von Szenarien oder der Effizienz von Schutzmaßnahmen und hilft dem Entscheidungsprozess nicht wirklich. Hier geht es nicht um die grafische Darstellung, sondern um die Methode zur Messung von Wahrscheinlichkeit und Wirkung, die unzuverlässig ist.

Welche Methoden können bei der Kartierung von Cyberrisiken verwendet werden?

Ein ordnungsgemäßes Verfahren zur Risikokartierung umfasst mindestens vier Stufen. Dieser Ansatz ist der konventionellste. Er zielt darauf ab, die Kerntätigkeit des Unternehmens und die damit verbundenen Risiken zu identifizieren.

Der Standardansatz zur Risikokartierung in 4 Stufen

In vielen Fällen umfasst die Risikokartierung lediglich vier Phasen:

1/Nennen Sie die Hauptaktivitäten Ihrer Struktur und ihre wichtigsten Vermögenswerte;

2/Identifizieren Sie die Bedrohungen, mit denen es konfrontiert werden könnte. In dieser Phase geht es darum, die Schwachstellen Ihres Unternehmens zu ermitteln. Listen Sie hier die problematischen Situationen auf, die Ihr Unternehmen in eine Krisensituation bringen oder sogar sein Überleben gefährden könnten. Wenn es um Cybersicherheit geht, müssen Sie jeden potenziellen Cyberangriff berücksichtigen: DDoS Angriff, Phishing, Ransomware, Man-in-the-Middle-Angriff (MITM)und andere Schadsoftware.

3/Bewerten Sie die Auswirkungen und die Wahrscheinlichkeit dieser Risiken. Ein Cyberangriff kann den Ruf des Unternehmens beeinträchtigen, seinen Betrieb stören, seine finanziellen Vermögenswerte beeinträchtigen oder die persönlichen Daten von Benutzern und Kunden gefährden.

Ordnen Sie jeder dieser Folgen einen Schweregrad zu: grün, gelb, orange oder rot. Ordnen Sie dann jedem dieser Risiken eine Eintrittswahrscheinlichkeit zu, wiederum grün (unwahrscheinlich) oder rot (sehr wahrscheinlich). Anhand dieser Klassifizierung sollten Sie eine Risikokarte haben, die auf vier Abszissenebenen und vier Ordinatenebenen aufgebaut ist.

Beachten Sie, dass diese Methode zur Risikoeinstufung — sowohl nominal als auch ordinal — persönliche und subjektive Bewertungen vermittelt, die von den Repräsentationen Ihrer Task-Force-Mitglieder sowie deren eigenen persönlichen Erfahrungen beeinflusst werden. Für eine optimale Prävention könnten Sie vielleicht erwägen, Ihre Risikokartierung um die wichtigsten Methoden zur finanziellen Quantifizierung von Cyberrisiken zu ergänzen. Wissenschaftliche Studien haben gezeigt, dass selbst Experten häufig Opfer eines hohen Maßes an Subjektivität sind (siehe Harvard Business Review und 19710101 - Amos Tversky und Daniel Kahneman - belief-in-the-law-of-small-numbers-stats-org-uk.pdf).

4/Legen Sie fest, welche Maßnahmen Sie ergreifen sollten, um Cyberrisiken zu erkennen, bevor eine Krise eintritt, und evaluieren Sie dann die Mittel, mit denen deren Auswirkungen gemindert werden können.

Establish risk mapping steering committee

Welche häufigen Fehler sollten bei der Gestaltung Ihrer Risikokarte vermieden werden?

1/Konzentrieren Sie sich auf die Bedrohungen, bevor Sie die kritischen Ressourcen identifiziert haben. Dies sind die für den Betrieb des Unternehmens wesentlichen Ressourcen, für die wir eine der drei Auswirkungen der C-I-A-Triade befürchten würden (Vertraulichkeit, Integrität, Verfügbarkeit)

2/Vernachlässigung der Elemente des Kontextes, in dem Ihr Unternehmen tätig ist (Geschäftsmodell, Geschäftsökosystem, B2B- oder B2C-Modell, geografisches Gebiet usw.)

3/Bleiben Sie in Bezug auf die identifizierten Risiken zu theoretisch. Ihre Kartierung muss spezifische Risikoszenarien berücksichtigen, von denen das befürchtete Schadenereignis messbar ist.

4/Die allgemeinen Management- und Geschäftsfunktionen werden nicht ausreichend einbezogen, obwohl sie die Wertschöpfungskette des Unternehmens und die ihr zugrunde liegenden kritischen Prozesse und Vermögenswerte kennen.

5/Begnügen Sie sich mit einer qualitativen Analyse, die auf nominalen und ordinalen Skalen basiert, die von Natur aus subjektiv sind. Das Problem besteht nicht in der endgültigen Erstellung der Risikokartierung, sondern in der Art und Weise, wie die Häufigkeit und die Auswirkungen von Verlusten geschätzt werden.

Die Grenzen der Risikokartierung

Diese Art der Kartierung hat einen Vorteil: Sie ist einfach zu verstehen. Das Farbsystem ist einfach zu interpretieren, weshalb es häufig zur Bewertung von Risiken verwendet wird, unabhängig von den Aktivitäten des Unternehmens. Diese Einfachheit kann jedoch zu stark vereinfacht werden und sogar teilweise falsch sein (vgl ISO 27005, Anhang E 2; Wie man alles in Bezug auf Cyberrisiken misst — Doug Hubbard und Richar Seiersen).

Range compression problem

Die Welt hat sich jedoch verändert. Die Risiken für Unternehmen haben sich stark weiterentwickelt, insbesondere im Zusammenhang mit der digitalen Technologie. In der jetzigen Form mangelt es der Risikokartierung an Präzision. Es profitiert von der Verknüpfung mit mathematischen Methoden zur Quantifizierung der Wahrscheinlichkeit von Cyberrisiken.

Heute besteht die Herausforderung darin, Risiken und mögliche Folgen viel genauer abzuschätzen, bis hin zur Quantifizierung der finanziellen Auswirkungen. Dies ist von größter Bedeutung, um die Budgets für Sicherheit (und insbesondere Cybersicherheit) besser verwalten zu können.

Um weiter zu gehen, empfehlen wir Ihnen, einen Blick auf die FAIR ™️ -Methode (Faktoranalyse des Informationsrisikos).

Häufig gestellte Fragen: Risikokartierung

Was ist Risikokartierung?

Die Risikokartierung ist ein Risikomanagementinstrument in Form einer Tabelle. Die Risiken werden nach ihrer Wahrscheinlichkeit und ihrer Auswirkung von der niedrigsten bis zur höchsten eingestuft.

Wie kann ich eine Risikokartierung durchführen?

Die Risikokartierung folgt in der Regel einem vierstufigen Ansatz: Identifizierung der wichtigsten Aktivitäten der Struktur, Festlegung der Risiken, Bewertung ihrer Wahrscheinlichkeit und Auswirkungen sowie Entwicklung von Erkennungs- und Schutzmaßnahmen. Dieser Ansatz ist jedoch von Theoretiker zu Theoretiker unterschiedlich.

Warum sollten Sie eine Karte riskieren?

Die Risikokartierung bringt potenzielle Bedrohungen für die Aktivitäten oder das Überleben eines Unternehmens ans Licht. Es ist ein einfaches und lesbares grafisches Tool, das Ihnen hilft, relevante Entscheidungen im Hinblick auf das Risikomanagement zu treffen.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Erfahre mehr

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.

See all articles
ISO 27005 - C-Risk

ISO 27005: Alles, was Sie wissen müssen, wenn Sie eine Implementierung in Betracht ziehen

Alles, was Sie über die internationale Norm ISO 27005 wissen müssen. Offizielle Definition, Zusammenfassung, Methodik, Vorteile und Einschränkungen.

Christophe Forêt

11/9/2023
hazop cyber risk - C-Risk

Ist HAZOP auf die Cybersicherheit anwendbar?

Die HAZOP-Methode gilt für die Analyse von Cyberrisiken des Industrieunternehmens. Ein Leitfaden zu Vor- und Nachteilen und Ansätzen, die auf die IT angewendet werden.

Lydie Aubert

27/9/2023

C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.

Unsere Lösungen
CRQ as a ServiceSAFE One CRQ-PlattformCRQ Enablement ServiceCRQ Beratungs- und Cosultingdienste
Ihre Rolle
Executive ManagementCISORisiko-Experten
Anwendungsfälle
Kommunikation mit Vorstand und GeschäftsleitungCyberrisikomanagement von DrittanbieternMergers & AcquisitonsOptimieren Sie den Cyber-VersicherungsschutzDimensionen, Zuteilung und Begründung eines Infosec-BudgetsErleichterung der Einhaltung gesetzlicher VorschriftenCISO — Priorisierung der wichtigsten Risiken und Kontrollen
Ressourcen
BlogNeuigkeitenVideos
Firma
Über C-RiskKarrierePartnerC-Risk in den Nachrichten
Formation
CRQ-Schulung
Kontakt
Kontaktieren Sie uns
Sprache
Erstellt von Sales Odyssey
Rechtlicher HinweisDatenschutz