Was ist Risikokartierung?
In erster Linie besteht die Risikokartierung aus einer Tabelle, die anhand einer Farbklassifizierung („Heatmap“) der Bedrohungen für ein Unternehmen angeordnet ist. Obwohl die Implementierung einfach erscheint, ist die Organisation, die sie umfasst, umständlich und bezieht Interessengruppen auf allen Ebenen eines Unternehmens ein.
Definition der Risikokartierung und Schematisierung
Das französische Medienunternehmen Agefi (eine Wirtschafts- und Finanzagentur) definiert Risikokartierung als „Identifizierung, Bewertung, Priorisierung und Steuerung der Risiken, die mit den Aktivitäten einer Organisation einhergehen“.
Im Rahmen einer Risikomanagementprozess Im Zusammenhang mit Cybersicherheitsverletzungen verfolgt die Risikokartierung zwei Ziele:
- Identifizierung und Verwaltung der wichtigsten Risiken, um sicherzustellen, dass das Unternehmen Onlinesicherheit;
- Gewährung ausreichender Ressourcen für die Geschäftsleitung und die Abteilung Informationssysteme, um erfolgreiche und wirksame Präventionsmaßnahmen ergreifen zu können.
Das Ergebnis dieser Methodik ist eine Landkarte — eine Art grafische Darstellung. Sie fasst die Risiken eines Unternehmens in einer Tabelle mit doppelten Einträgen zusammen:
- Die horizontale Achse steht für den Schweregrad eines Risikos. Er reicht von gering bis schwer oder sogar „katastrophal“, je nachdem, welche Skala Sie wählen möchten.
- Die vertikale Achse zeigt den Grad der Wahrscheinlichkeit des Risikos, der von unwahrscheinlich bis sehr wahrscheinlich/sicher reicht.
Unternehmen kehren diese Achsen bei der Kartierung manchmal um, wobei die Wahrscheinlichkeit dann auf der X-Achse und der Schweregrad auf der Y-Achse liegt. In allen Fällen entspricht die Kritikalität des Risikos dem Verhältnis zwischen seiner Auswirkung und seiner Wahrscheinlichkeit. Die unten links in der Tabelle abgebildeten Risiken stellen also eine geringe Wahrscheinlichkeit und Gefahr dar. Je näher ein Risiko oben rechts in der Tabelle liegt, desto greifbarer und schwerwiegender ist die Bedrohung.
Farbcodes spielen bei der Risikokartierung oft eine wichtige Rolle; die Grafik wechselt von grün nach rot. Grün ist ein akzeptables Risiko und Rot ist ein kritisches Risiko, das sich als mehr herausstellen kann, als Ihr Unternehmen aushalten kann.
Wer sollte an der Risikokartierung beteiligt sein?
Idealerweise sollten bei der Gestaltung der Cyber-Risikokartierung die Leiter aller Hauptabteilungen des Unternehmens einbezogen werden. Jeder Mitarbeiter — vom Geschäftsführer bis zum Rezeptionisten — ist Risikoszenarien ausgesetzt oder aktiv daran beteiligt, die eindeutig identifiziert werden müssen, damit sie bewertet werden können. Es ist wichtig, so viele verschiedene Abteilungen wie möglich einzubeziehen, von allen Ebenen der Organisation bis hin zum Betriebspersonal.
Aus Sicht der Cyberrisikobewertung ist die Leitender Beauftragter für Informationssicherheit (CISO) spielt natürlich eine wichtige Rolle bei der Erstellung der Cyber-Risikokarte. Dennoch müssen sie mit dem Risikomanagement und der internen Kontrolle zusammenarbeiten, falls Ihr Unternehmen zufällig über solche Abteilungen verfügt. Ohne eine einwandfreie Kommunikation zwischen den Abteilungen kann eine Risikobewertung unmöglich effektiv sein.
Warum müssen Sie Risiken kartografieren?
Wie bereits erwähnt, ist die Risikokartierung vor allem ein Risikomanagementinstrument, das für die Entscheidungsträger des Unternehmens bestimmt ist. Es konzentriert sich auf die Auflistung aller Hauptrisiken, denen ein Unternehmen ausgesetzt ist, und deckt Management, Vertrieb, Personalwesen, Cyberrisiken, Korruption und sogar Naturkatastrophen- oder Gesundheitsrisiken ab. Die schematische Darstellung der Wahrscheinlichkeiten und Auswirkungen erleichtert das Verständnis der Risiken, denen Ihr Unternehmen ausgesetzt ist.
Eine Risikokartierung kann auch für jede Abteilung Ihres Unternehmens durchgeführt werden. In diesem Fall führt das Unternehmen seine Risikobewertung nach Gefahrenkategorien durch: eine für Cybersicherheit, eine für das Management und eine weitere für die Personalabteilung usw. Im Bereich Cybersicherheit soll die Risikotabelle sicherstellen, dass jeder in allen Teilen des Unternehmens ein gutes Verständnis der IT-bezogenen Risiken hat, sodass jeder Abteilungsleiter in einer informierten Position ist, um die richtigen Entscheidungen in Bezug auf Cybersicherheit zu treffen.
Die Risikokartierung ist kein obligatorisches Verfahren. Es kann jedoch als Nachweis dafür verwendet werden, dass sich Ihr Unternehmen im Rahmen eines Gerichtsverfahrens um die Wahrung der Cybersicherheit bemüht. Außerdem sind börsennotierte Unternehmen verpflichtet, eine wirksame Risikomanagementstrategie zu verfolgen, indem sie die Hauptrisiken auflisten, denen sie ausgesetzt sind.
Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.
Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mit CRQ ein robustes, risikobasiertes Cybersicherheitsprogramm.
So kartografieren Sie Ihr Unternehmen erfolgreich
Sobald das allgemeine Prinzip der Risikokartierung berücksichtigt wurde, müssen Sie einige Tipps und Richtlinien befolgen, damit dieses Tool maximale Effizienz erreicht:
- Vollständigkeit bedeutet auch Skalierbarkeit: Die Karte muss regelmäßig aktualisiert und an potenzielle neue Bedrohungen angepasst werden;
- Es reicht nicht aus, die Risiken zu benennen: Sie müssen sie in den Kontext der gesamten Unternehmensabläufe stellen;
- Die Art und Weise, wie Häufigkeit und Schwere von Gefahren bestimmt werden, sollte im Anhang zur Risikotabelle gemäß ISO 27005 definiert und beschrieben werden. Für einen erheblichen projektiven Wert empfiehlt es sich, die Risikokartierung mit einer quantitativen Methode zur Bewertung des finanziellen Risikos zu kombinieren. Ein Ansatz wie VaR (Value at Risk) besteht aus der Erfassung statistischer Daten, um Wahrscheinlichkeitsschätzungen für Cyberrisiken zu erstellen. Es ist weitaus gründlicher und zuverlässiger als qualitative Ansätze.
- Dieses Zuordnungsdokument muss leicht verständlich sein und für alle Mitarbeiter zugänglich bleiben.
Unter Berücksichtigung dieses Ziels der Lesbarkeit entscheiden sich einige Strukturen dafür, ihre Hauptrisiken nach Zahlen zu ordnen. Das ist vor allem Risikomessung von McKinsey & Company Strategie. Das Beratungsunternehmen schlägt vor, die Erfassung der Cyberrisiken mit einer Note von 1 bis 4 für die wichtigsten Cyberrisiken zu verknüpfen. Im folgenden Beispiel werden vier Hauptrisiken genannt: Störung der Online-Dienste (1), Datenschutzverletzung (2), Cyberbetrug (3), Risiko im Zusammenhang mit Lieferanten oder Anbietern (4).
Sie können diese Nummerierungsstrategie verwenden, um das Verständnis der Mitarbeiter zu verbessern, die nicht an der Entwicklung Ihrer Risikokartierung beteiligt sind. Diese Art von Risikomatrix hängt von der Subjektivität Ihrer Arbeitsgruppe ab. Sie sollten daher den Rest Ihrer Mitarbeiter über die Einzelheiten informieren. Wie in ISO270005 Abschnitt 8.3 und Addendum E2 dokumentiert, ist dieser qualitative Ansatz, der auf nominalen oder ordinalen Skalen basiert, tatsächlich stark voreingenommen. Er lässt wenig Spielraum für einen zuverlässigen Vergleich von Szenarien oder der Effizienz von Schutzmaßnahmen und hilft dem Entscheidungsprozess nicht wirklich. Hier geht es nicht um die grafische Darstellung, sondern um die Methode zur Messung von Wahrscheinlichkeit und Wirkung, die unzuverlässig ist.
Welche Methoden können bei der Kartierung von Cyberrisiken verwendet werden?
Ein ordnungsgemäßes Verfahren zur Risikokartierung umfasst mindestens vier Stufen. Dieser Ansatz ist der konventionellste. Er zielt darauf ab, die Kerntätigkeit des Unternehmens und die damit verbundenen Risiken zu identifizieren.
Der Standardansatz zur Risikokartierung in 4 Stufen
In vielen Fällen umfasst die Risikokartierung lediglich vier Phasen:
1/Nennen Sie die Hauptaktivitäten Ihrer Struktur und ihre wichtigsten Vermögenswerte;
2/Identifizieren Sie die Bedrohungen, mit denen es konfrontiert werden könnte. In dieser Phase geht es darum, die Schwachstellen Ihres Unternehmens zu ermitteln. Listen Sie hier die problematischen Situationen auf, die Ihr Unternehmen in eine Krisensituation bringen oder sogar sein Überleben gefährden könnten. Wenn es um Cybersicherheit geht, müssen Sie jeden potenziellen Cyberangriff berücksichtigen: DDoS Angriff, Phishing, Ransomware, Man-in-the-Middle-Angriff (MITM)und andere Schadsoftware.
3/Bewerten Sie die Auswirkungen und die Wahrscheinlichkeit dieser Risiken. Ein Cyberangriff kann den Ruf des Unternehmens beeinträchtigen, seinen Betrieb stören, seine finanziellen Vermögenswerte beeinträchtigen oder die persönlichen Daten von Benutzern und Kunden gefährden.
Ordnen Sie jeder dieser Folgen einen Schweregrad zu: grün, gelb, orange oder rot. Ordnen Sie dann jedem dieser Risiken eine Eintrittswahrscheinlichkeit zu, wiederum grün (unwahrscheinlich) oder rot (sehr wahrscheinlich). Anhand dieser Klassifizierung sollten Sie eine Risikokarte haben, die auf vier Abszissenebenen und vier Ordinatenebenen aufgebaut ist.
Beachten Sie, dass diese Methode zur Risikoeinstufung — sowohl nominal als auch ordinal — persönliche und subjektive Bewertungen vermittelt, die von den Repräsentationen Ihrer Task-Force-Mitglieder sowie deren eigenen persönlichen Erfahrungen beeinflusst werden. Für eine optimale Prävention könnten Sie vielleicht erwägen, Ihre Risikokartierung um die wichtigsten Methoden zur finanziellen Quantifizierung von Cyberrisiken zu ergänzen. Wissenschaftliche Studien haben gezeigt, dass selbst Experten häufig Opfer eines hohen Maßes an Subjektivität sind (siehe Harvard Business Review und 19710101 - Amos Tversky und Daniel Kahneman - belief-in-the-law-of-small-numbers-stats-org-uk.pdf).
4/Legen Sie fest, welche Maßnahmen Sie ergreifen sollten, um Cyberrisiken zu erkennen, bevor eine Krise eintritt, und evaluieren Sie dann die Mittel, mit denen deren Auswirkungen gemindert werden können.
Welche häufigen Fehler sollten bei der Gestaltung Ihrer Risikokarte vermieden werden?
1/Konzentrieren Sie sich auf die Bedrohungen, bevor Sie die kritischen Ressourcen identifiziert haben. Dies sind die für den Betrieb des Unternehmens wesentlichen Ressourcen, für die wir eine der drei Auswirkungen der C-I-A-Triade befürchten würden (Vertraulichkeit, Integrität, Verfügbarkeit)
2/Vernachlässigung der Elemente des Kontextes, in dem Ihr Unternehmen tätig ist (Geschäftsmodell, Geschäftsökosystem, B2B- oder B2C-Modell, geografisches Gebiet usw.)
3/Bleiben Sie in Bezug auf die identifizierten Risiken zu theoretisch. Ihre Kartierung muss spezifische Risikoszenarien berücksichtigen, von denen das befürchtete Schadenereignis messbar ist.
4/Die allgemeinen Management- und Geschäftsfunktionen werden nicht ausreichend einbezogen, obwohl sie die Wertschöpfungskette des Unternehmens und die ihr zugrunde liegenden kritischen Prozesse und Vermögenswerte kennen.
5/Begnügen Sie sich mit einer qualitativen Analyse, die auf nominalen und ordinalen Skalen basiert, die von Natur aus subjektiv sind. Das Problem besteht nicht in der endgültigen Erstellung der Risikokartierung, sondern in der Art und Weise, wie die Häufigkeit und die Auswirkungen von Verlusten geschätzt werden.
Die Grenzen der Risikokartierung
Diese Art der Kartierung hat einen Vorteil: Sie ist einfach zu verstehen. Das Farbsystem ist einfach zu interpretieren, weshalb es häufig zur Bewertung von Risiken verwendet wird, unabhängig von den Aktivitäten des Unternehmens. Diese Einfachheit kann jedoch zu stark vereinfacht werden und sogar teilweise falsch sein (vgl ISO 27005, Anhang E 2; Wie man alles in Bezug auf Cyberrisiken misst — Doug Hubbard und Richar Seiersen).
Die Welt hat sich jedoch verändert. Die Risiken für Unternehmen haben sich stark weiterentwickelt, insbesondere im Zusammenhang mit der digitalen Technologie. In der jetzigen Form mangelt es der Risikokartierung an Präzision. Es profitiert von der Verknüpfung mit mathematischen Methoden zur Quantifizierung der Wahrscheinlichkeit von Cyberrisiken.
Heute besteht die Herausforderung darin, Risiken und mögliche Folgen viel genauer abzuschätzen, bis hin zur Quantifizierung der finanziellen Auswirkungen. Dies ist von größter Bedeutung, um die Budgets für Sicherheit (und insbesondere Cybersicherheit) besser verwalten zu können.
Um weiter zu gehen, empfehlen wir Ihnen, einen Blick auf die FAIR ™️ -Methode (Faktoranalyse des Informationsrisikos).
Häufig gestellte Fragen: Risikokartierung
Was ist Risikokartierung?
Die Risikokartierung ist ein Risikomanagementinstrument in Form einer Tabelle. Die Risiken werden nach ihrer Wahrscheinlichkeit und ihrer Auswirkung von der niedrigsten bis zur höchsten eingestuft.
Wie kann ich eine Risikokartierung durchführen?
Die Risikokartierung folgt in der Regel einem vierstufigen Ansatz: Identifizierung der wichtigsten Aktivitäten der Struktur, Festlegung der Risiken, Bewertung ihrer Wahrscheinlichkeit und Auswirkungen sowie Entwicklung von Erkennungs- und Schutzmaßnahmen. Dieser Ansatz ist jedoch von Theoretiker zu Theoretiker unterschiedlich.
Warum sollten Sie eine Karte riskieren?
Die Risikokartierung bringt potenzielle Bedrohungen für die Aktivitäten oder das Überleben eines Unternehmens ans Licht. Es ist ein einfaches und lesbares grafisches Tool, das Ihnen hilft, relevante Entscheidungen im Hinblick auf das Risikomanagement zu treffen.
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.