Wie definiert man Cybersicherheitsrisiken?
Der Begriff „Risiko“ wird täglich verwendet, aber es gibt keine eindeutige Definition, insbesondere wenn es um Unternehmen geht. Wenn man jedoch versucht, eine Definition zu finden, wird in der Regel eine Vorstellung davon impliziert, dass man einer Gefahr ausgesetzt ist. Wie kann man diesen Nebel lichten und dem Ganzen einen Sinn geben?
Definition des Risikos aus Unternehmenssicht
Das Norm ISO 31000 enthält die folgende Definition von Risiko: „Auswirkung von Unsicherheit auf Ziele“. Die Norm ISO/IEC Guide 73 spezifiziert diesen Punkt weiter und besagt, dass es bei Risiko um die „Kombination der Wahrscheinlichkeit eines Ereignisses und seiner Folgen“ geht.
Diese offizielle und akademische Definition impliziert daher, dass die Folgen eines Risikos entweder positiv oder negativ, vorteilhaft oder schädlich für ein Unternehmen sein können. Risikomanagement wird daher zum Bedrohungsmanagement, aber auch zum Chancenmanagement.
In Unternehmensfunktionen wird der Begriff „Risiko“ jedoch selten verwendet, um sich auf eine positive Chance zu beziehen. Diese Definition von Risiko scheint im Widerspruch zu bestimmten Geschäftsprinzipien zu stehen. Wie kann man behaupten, dass ein Risiko im Zusammenhang mit der Sicherheit der Mitarbeiter positive Folgen haben kann?
Was ist Cyberrisiko?
Wie in anderen Bereichen eines Unternehmens gibt es auch in der IT mehrere Definitionen von Risiko:
ISO: SO: die Möglichkeit, dass eine bestimmte Bedrohung die Schwachstellen eines Vermögenswerts oder einer Gruppe von Vermögenswerten ausnutzt und dadurch der Organisation Schaden zufügt. Es wird gemessen, indem die Wahrscheinlichkeit des Eintritts eines Ereignisses mit seinen Folgen kombiniert wird.
NIST SP800-30: Das Risiko ist eine Frage der Wahrscheinlichkeit, mit der eine bestimmte Bedrohungsquelle eine bestimmte potenzielle Schwachstelle aufreißt, und der Auswirkungen dieses negativen Ereignisses auf das Unternehmen.
Cyber-Risiken dieser Art können sich aus Cyber-Angriffen ergeben, d.h. Angriffen auf Ihre Informationssysteme mit böswilligen Absichten. Wie in unserem Artikel über Cyber-Angriffe beschrieben, können diese Angriffe in 4 Kategorien eingeteilt werden: Cyberkriminalität, Rufschädigung, Spionage und Sabotage. In den meisten Fällen ist das Cyber-Risiko jedoch auf menschliches oder technisches Versagen zurückzuführen. Diese beiden großen Risikofamilien betreffen Unternehmen jeder Größe.
Um das Risiko zu reduzieren, verwenden wir bei C-Risk die Standarddefinition der Factor Analysis of Information Risk (FAIR™). Diese beschreibt das Cyber-Risiko als die wahrscheinliche Häufigkeit und das Ausmaß eines zukünftigen finanziellen Verlusts infolge eines Cyber-Vorfalls. Ein Cyber-Vorfall ist jedes Ereignis, das die Vertraulichkeit, die Integrität oder sogar die Verfügbarkeit eines Informationssystems oder von Computerdaten beeinträchtigt (Vertraulichkeit, Integrität und Verfügbarkeit: die CIA-Trias).
Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.
Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mithilfe der Quantifizierung von Cyberrisiken ein robustes, risikobasiertes Cybersicherheitsprogramm.
Was ist Risikomanagement?
Das Risikomanagement hängt wesentlich von der Definition des Risikos ab. Wenn ein Risiko positive Auswirkungen haben kann, wie in ISO 31000 vorgeschlagen, kann das Risikomanagement auch das Management „positiver Überraschungen“ umfassen.
Diese Definition ist jedoch nicht besonders gut auf Cybersicherheit anwendbar. In diesem Bereich geht es beim Risikomanagement zunächst darum, Risiken zu identifizieren und Cyber-Bedrohungen zu verstehen. Anschließend geht es darum, die Risiken zu mindern, um sie auf einem für das Unternehmen akzeptablen Niveau zu halten.
Überschneidungen der Definitionen von Risikomanagement
Nach ISO 27005 und 31000 ist Risikomanagement der Prozess, durch den ein Unternehmen „methodisch“ mit potenziellen Risiken umgeht. Der gesamte Prozess umfasst sowohl die Identifizierung signifikanter Risiken als auch die Umsetzung entsprechender Maßnahmen, insbesondere letzteres. Entgegen der weit verbreiteten Meinung bedeutet Risikomanagement jedoch nicht, dass versucht wird, alle Arten von Risiken zu reduzieren oder zu eliminieren.
Aus diesem Grund heißt es in der neuen Version von ISO 31000, dass das Risikomanagement „Wertschöpfung und -schutz“ ermöglichen muss. Diese Definition entspricht der Vision des quantitativen Cyberrisikomanagements, die wir bei C-Risk entwickeln. Unsere Vision besteht darin, Cyberrisiken auf der Grundlage der potenziellen finanziellen Verluste, die sie darstellen, zu identifizieren und dann zu behandeln. Die quantitative Risikoanalyse ermöglicht ein gutes Risikomanagement.
Risikomanagement: eine Methode mit Vorteilen auf vielen Ebenen
Wie aus den obigen Definitionen hervorgeht, handelt es sich beim Risikomanagement in erster Linie um die Anwendung einer bestimmten Methode. Es handelt sich vielmehr um einen „kontinuierlichen Verbesserungsprozess“, wie es im Referenzrahmen für Risikomanagement der Federation of European Risk Management Associations (FERMA) heißt.
Das Risikomanagement umfasst mehrere Ziele, darunter:
- Bereitstellung einer Methode, die alle zukünftigen Projekte reguliert, um mehr Sicherheit zu gewährleisten;
- Verbesserung der Verwendung, Allokation und Erhaltung des Unternehmenskapitals;
- Erleichterung des Entscheidungsprozesses durch Priorisierung von Bedrohungen;
- Das Ansehen des Unternehmens und damit seinen Wert zu schützen
Die einzelnen Phasen des Risikomanagements
Bei dem Risikomanagement handelt es sich um eine Methode, die in 6 Hauptphasen unterteilt werden kann:
1/ Risikobewertung, die sowohl die Risikoanalyse als auch die Risikobewertung umfasst;
2/ Bericht über die Risikobewertung;
3/ Entscheidungsfindung;
4/ Implementierung von Risikomanagementlösungen;
5/ Interne und externe Kommunikation über identifizierte Risiken;
6/ Langfristige Überwachung der Risikomanagementstrategien.
1. Bewertung des Risikos
Risikobeurteilung bezieht sich auf den Prozess der Risikoanalyse und -bewertung gemäß ISO/IEC 73. Der erste Schritt, die Analyse, umfasst selbst vier Teilschritte: Identifizierung, Beschreibung, Einschätzung und Bewertung von Risiken.
1.1 Identifizierung des Risikos
Die Risikoidentifizierung dient dazu, die Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, durch eine methodische Analyse des Umfelds sowie der strategischen und operativen Ziele zu ermitteln. Diese Analyse sollte es Ihnen ermöglichen, die wichtigsten Aktivitäten Ihrer Struktur zu isolieren. Sie dient auch dazu, Instabilitäten zu lokalisieren, die ein Risiko darstellen könnten.
Diese „signifikanten Aktivitäten“ können sich auf Folgendes beziehen:
- Strategische Ziele, wie sie von Ihrem Vorstand festgelegt wurden. Diese können durch eine Vielzahl von Cyber-Risiken bedroht sein, die mit Reputation, Identitätsdiebstahl, Datendiebstahl und Spionage oder dem Ausfall von IT-Aktivitäten zusammenhängen.
- Laufende betriebliche Aktivitäten;
- Datenschutz;
- Finanzmanagement;
- Einhaltung des Datenschutzes, wie es beispielsweise die europäische DSGVO (allgemeine Datenschutzverordnung) vorschreibt.
1.2 Beschreibung des Risikos
In dieser Phase kommt es darauf an, die Darstellung der Risiken zu strukturieren, um sie intern besser kommunizieren zu können. Zu diesem Zweck können Sie eine Tabelle mit den identifizierten Risiken erstellen, in der Sie Folgendes angeben:
- ihre Folgen, insbesondere finanzielle;
- die Wahrscheinlichkeit, dass die Risiken eintreten. Diese Daten müssen mit den Folgen abgeglichen werden, um eine Rangfolge der Risiken zu erstellen;
- die betroffenen Interessengruppen;
- die Toleranz Ihres Unternehmens gegenüber diesen spezifischen Risiken;
- bestehende Protokolle zur Abschwächung der Bedrohungen;
- Schritte zur Verbesserung bestehender Maßnahmen;
- die benannten Personen, die für die Bearbeitung der einzelnen Risiken zuständig sind.
1.3 Einschätzung des Risikos
Schließlich ist die Risikobewertung ein schwieriger Schritt, für den es verschiedene Methoden gibt. Sie können das Risiko qualitativ bewerten, d.h. die Bedrohung anhand einer für diese Analyse entwickelten Klassifizierung benennen: z.B. „stark“, „mittel“, „schwach“. Die Wahrscheinlichkeit des Risikos kann ebenfalls anhand der Einstufung bewertet werden: „hoch“, „mittel“, „niedrig“.
Diese weit verbreitete Methode wird vom National Institute of Standards and Technology (NIST) in seinem Leitfaden zur Durchführung von Risikobewertungen sowie in ISO 27005 verwendet. Die Ergebnisse der Risikoanalyse werden dann in einer Matrix zusammengefasst - jedes Unternehmen bzw. jede Analyse hat ihre eigene Matrix - und nach einem Farbcode geordnet: Rot steht für die schwerwiegendsten Risiken, Orange für mittlere Risiken und Grün für weniger schwerwiegende Risiken. Die Grenzen dieses Ansatzes, der nicht festlegt, wie die Risiken zu bewerten sind, sind leider zahlreich und gut dokumentiert. So wird in Abschnitt 8.3 der ISO 27005 darauf hingewiesen, dass dieser qualitative Ansatz unter der Subjektivität der Skalen leidet. Zahlreiche Studien, wie die von Andrew und Michael J. Mauboussin, zeigen die Grenzen von nominalen und ordinalen Skalen auf.
C-Risk bevorzugt jedoch pragmatischere, präskriptive quantitative Risikobewertungsmethoden, die keine subjektive Interpretation zulassen. Aus diesem Grund verwenden wir die FAIR™-Methode: „Factor Analysis of Information Risk“.
Diese Methode unterteilt Risikofaktoren in quantifizierbare Variablen, die es ermöglichen, die akzeptablen und inakzeptablen finanziellen Verluste für Ihr Unternehmen quantitativ abzuschätzen. Das FAIR™ -Risikomodell ist die einzige quantitative Methode zur Messung von IT-Risiken. Es ist der 2005 OpenFair-Standard des Open Group-Konsortiums oder TOGAF™.
Weitere Informationen zur Risikoanalyse im Bereich der Cybersicherheit finden Sie in unserem entsprechenden Artikel.
1.4 Bewertung des Risikos
Sobald die Risikoanalyse abgeschlossen ist, müssen Sie die aus der Schätzung resultierenden Risiken anhand der ausgewählten Kriterien vergleichen. Bei der FAIR™ -Methode basiert dieser Vergleich auf quantitativen Kostenkriterien. Einige Unternehmen bevorzugen möglicherweise andere Kriterien, wie z. B. die Einhaltung gesetzlicher Vorschriften oder die Bedenken der Interessengruppen.
Die Risikobewertung sollte Ihnen helfen, die Bedeutung aller Risiken zu ermitteln und zu ermitteln, wie tolerant das Unternehmen ihnen gegenüber sein kann. Dies führt dann zu einer Entscheidungsphase. Diese Fähigkeit, ein Risiko zu tolerieren (oder nicht), bestimmt, welche Risiken vorrangig zu behandeln sind.
2. Umgang mit Cyberbedrohungen
Dies ist ein spezifischer Schritt im Risikomanagement, bei dem Maßnahmen ergriffen werden. Dabei geht es nicht mehr um Messungen, sondern um die Umsetzung von Maßnahmen zur Verringerung oder Beseitigung von Gefährdungen. Diese Maßnahmen können in vier Kategorien eingeteilt werden, die als die 4 „T“ bezeichnet werden:
- Tolerieren; das Risiko akzeptieren
- Behandeln; Ergreifen von Maßnahmen zur Verringerung der Anzahl von Katastrophen oder des Ausmaßes ihrer Auswirkungen
- Beenden; Entfernen der Prozesse oder Ressourcen, die dieses Risiko verursachen
- Übertragung; Ausgleich potenzieller finanzieller Verluste, beispielsweise durch eine Cyber-Versicherung.
In dieser Phase der Umsetzung von Präventionsmaßnahmen müssen Unternehmen darauf abzielen, die Funktionsfähigkeit ihrer Organisation wiederherzustellen und die geltenden Vorschriften einzuhalten. Bei der Bewältigung von Cyberrisiken ist es wichtig, sich mit den Vorschriften zum Schutz der Privatsphäre und personenbezogener Daten wie der Datenschutz-Grundverordnung (DSGVO) vertraut zu machen. Aber auch ausländische Vorschriften für Tochtergesellschaften, insbesondere in den USA und in China, müssen berücksichtigt werden.
Es gibt eine Reihe von Faktoren, die die Wahl einer Risikobehandlungsmaßnahme gegenüber einer anderen beeinflussen:
- es muss ein Risiko ausschließen oder erheblich mindern;
- Die Kosten für die Einführung von Präventionsmaßnahmen dürfen die finanziellen Risiken, denen Ihr Unternehmen ausgesetzt ist, nicht übersteigen.
3. Kommunikation der Risikomanagementstrategien
Die interne und externe Kommunikation über die Risikomanagementprozesse Ihres Unternehmens sollte parallel entwickelt werden.
Die interne Risikokommunikation verfolgt mehrere Ziele:
- Informierung des Vorstands über die Hauptbedrohungen für die Struktur und ihre finanziellen und strategischen Auswirkungen;
- Sicherstellen, dass alle Mitarbeiter über die wichtigsten Risiken informiert sind. Dies ist besonders im Bereich der Cybersicherheit notwendig, da laut Stanford-Forschern auch 2021 die meisten Cybersicherheitsverletzungen auf menschliche Schwächen zurückzuführen sein werden;
- Vorbereitung auf das Krisenmanagement;
- Festlegung der Zuständigkeitsebenen der einzelnen Unternehmensbereiche im Risikomanagement;
- Erleichterung der Risikoüberwachung und des Informationsfeedbacks.
Risikokommunikation ist auch eine Verpflichtung gegenüber den Stakeholdern. Es geht darum, die Leistung Ihres Unternehmens bei der Prävention zu demonstrieren, was zwangsläufig die Wahl der richtigen Methode voraussetzt. Aktionäre und Investoren müssen wissen, dass ihre Interessen gewahrt werden und dass Ihr Unternehmen weiterhin Wert schafft.
4. Überwachung der Risiken
Die Risikoüberwachung gewährleistet die Angemessenheit des gewählten Risikomanagementansatzes in Bezug auf
- Einhaltung der Gesetze, die sich in diesem Bereich häufig ändern;
- Bedrohungskontrolle;
- Fähigkeit, sich mit dem Geschäftsumfeld weiterzuentwickeln;
- Durchsetzung präventiver Maßnahmen;
- Effizienz der Verfahren.
So verhindern Sie Cyberrisiken
Die Behandlung und Prävention von Cyberrisiken nehmen je nach Struktur offensichtlich unterschiedliche Formen an. EEine gute quantitative Analyse sollte es ermöglichen, die Faktoren zu identifizieren, die zur Häufigkeit oder Signifikanz der Auswirkungen beitragen, um die wirksamsten Kontrollmechanismen zu bestimmen. Im Vorfeld einer Katastrophe ist es daher notwendig, sich auf so genannte präventive Maßnahmen (Vermeidung, Abschreckung und Abwehr) zu konzentrieren, um die Eintrittswahrscheinlichkeit einer Katastrophe zu verringern.Um die Auswirkungen einer Katastrophe zu begrenzen, müssen nachgeschaltete Maßnahmen zur Gefahrenabwehr (Detektion, Reaktion und Wiederherstellung) ergriffen werden.
In dieser Phase muss ein Business Continuity Plan für den Fall eines Cyberangriffs erstellt werden. Außerdem muss ein Disaster Recovery Plan erstellt werden:
- Der BCP, oder Business Continuity Plan, ermöglicht es Ihrem Unternehmen, im Krisenfall einen Mindestbetrieb aufrechtzuerhalten. Dieser Plan trägt zum Schutz sensibler und vertraulicher Daten bei, obwohl Ihre Informationssysteme gehackt wurden. Es sieht auch die Verwendung eines Backup-Computersystems für den Fall eines vollständigen Systemausfalls vor.
- Das DRP, oder Disaster Recovery-Plan, hilft bei der Entscheidung, wie Sie Ihr IT-System wieder betriebsbereit machen können. Ein IT-DRP umfasst auch Maßnahmen zur Minderung der Auswirkungen möglicher Sicherheitsverletzungen. Darüber hinaus wird die maximale Dauer der IT-Unterbrechung und der maximale Datenverlust, von dem sich Ihr Unternehmen erholen kann, angegeben - das Recovery Point Objective.
Abschließend sei darauf hingewiesen, dass die Verbreitung von Cyber-Risiken in den letzten Jahren Unternehmen dazu veranlassen kann, einige nützliche Ansätze auszuprobieren:
- Sensibilisierung der Verwaltungsräte für Cybersicherheitsfragen und Sicherstellung, dass diese bei den Sitzungen stets auf der Tagesordnung stehen;
- Berücksichtigung von Cyberrisiken als transversale Bedrohung, die natürlich die IT-Systemabteilung (CIO) betrifft, aber auch potenzielle Lieferanten, Tochtergesellschaften, die Lieferkette und Partner;
- Entwickeln Sie den Dialog zwischen dem IT-Team, dem Vorstand und der Geschäftsleitung.
Häufig gestellte Fragen: Risikomanagement
Was ist ein Risikomanagementverfahren?
Wenn der Begriff Risikomanagement auf Unternehmen angewendet wird, bezieht er sich auf einen Prozess, der darauf abzielt, Risiken zu identifizieren, zu vermeiden und zu bewältigen, die im Rahmen der täglichen Geschäftstätigkeit eines Unternehmens auftreten können.
Was ist der Unterschied zwischen Risikomanagement und Risikoanalyse?
Das Risikomanagement ist ein umfassenderer Prozess als die Risikoanalyse, die nur eine Phase des ersteren darstellt.
Was sind die Phasen des Risikomanagements?
Die Phasen des Risikomanagements variieren je nach Theorie, aber im Allgemeinen finden wir folgende Phasen: Risikoidentifizierung, Risikoanalyse, Risikobewertung, Entwicklung eines Präventionsplans und eine letzte Phase, die der Überwachung gewidmet ist, um den Erfolg zu kontrollieren.
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.