Cyberrisiken: Warum und wie sie quantifiziert werden
Cyberrisiken sind unvermeidlich, jeden Tag werden unzählige Unternehmen Opfer von Cyberangriffen – oft merken sie es nicht einmal. Die Folgen können verheerend sein, auch über die finanzielle Dimension hinaus. Daher quantifizieren immer mehr Unternehmen ihre Cyber-Risiken, um die möglichen Auswirkungen von Angriffen abzuschätzen und Maßnahmen gezielt zu priorisieren. Wir zeigen in einer FAQ, worum es dabei geht.
Wo ist das Problem?
Laut IT-Branchenverband Bitkom werden im deutschen Markt für Cybersicherheit 2024 erstmals mehr als zehn Milliarden Euro umgesetzt. Der Grund ist bekannt: Ebenfalls der Bitkom hatte die Schäden durch Cyberangriffe wenige Monate zuvor auf 206 Milliarden Euro beziffert. Erstmals fühlten sich 52 Prozent der Betriebe durch Cyberangriffe in ihrer Existenz bedroht, wobei die Grenzen zwischen organisierter Kriminalität und staatlich gesteuerten Akteuren fließend sind. Ein Blick in die Medien zeigt: Es kann jeden treffen.
Was ist Cyber-Risk-Quantifizierung?
Durch die Quantifizierung von Cyberrisiken können Unternehmen die Kosten eines Cyberangriffs schätzen und zudem bewerten, mit welcher Wahrscheinlichkeit ein Angriff eintritt. Die Quantifizierung von Cyberrisiken ist ein wichtiger Teil des Managements operativer Risiken. Sie hilft Unternehmen, eine bessere Vorstellung davon zu bekommen, welche Cyberrisiken sie haben und welche Maßnahmen sie ergreifen müssen, um sich dagegen zu schützen.
Warum ist Cyber-Risk-Quantifizierung wichtig?
Die Quantifizierung von Cyberrisiken kann dazu beitragen, die Wirkung des Budgets für IT-Sicherheit zu steigern. So können Unternehmen, die ihre Risiken beziffern, das Budget besser auf Bereiche verteilen, in denen Eintrittswahrscheinlichkeit und Schadenshöhe am höchsten ist. Auf diese Weise stellen Verantwortliche sicher, dass sie ausreichend geschützt sind, ohne das Geld an der falschen Stelle auszugeben. Zudem kann die Quantifizierung als Grundlage zur Optimierung von Cyber-Versicherungen dienen.
Wie funktioniert Cyber-Risk-Quantifizierung?
Entscheidend ist, dass Unternehmen schrittweise vorgehen und ihre Risiken zerlegen – vom Großen ins Kleine. Ein Ad-hoc-Ansatz führt nicht zu sinnvollen Ergebnissen. Für komplexe Organisationen und ihre Risiken kommen spezielle Tools zum Einsatz, um etwa aus historischen Daten und Simulationen Risiken zu quantifizieren. Zudem können im Rahmen von Szenarioanalysen spezifische relevante Bedrohungen wie beispielsweise Ransomware bewertet werden.
Cyberrisiken werden in mehreren Dimensionen identifiziert und bewertet:
- IT-Assets – alle Daten, Systeme und Anwendungen, die für das Unternehmen wichtig sind.
- Bedrohungen – beispielsweise Malware, Ransomware, Phishing-Angriffe oder Denial-of-Service-Attacken.
- Wahrscheinlichkeit eines Angriffs – etwa anhand von historischen Daten und Trends, aber auch durch die Analyse spezifischer Bedrohungen.
- Auswirkungen eines Angriffs – beispielsweise auf Geschäftsprozesse und die Finanzen eines Unternehmens sowie der Reputation.
Welche Kategorien spielen bei der Bewertung der Schäden eine Rolle?
Auch hier gibt es viele Dimensionen, die in die Bewertung einfließen, darunter:
- Betriebsunterbrechungen mit der Dauer des Ausfalls sowie betroffenen Geschäftsprozessen;
- Datenverlust und/oder -manipulation mit Kosten für die Wiederherstellung der Daten, beispielsweise durch externe Spezialisten;
- vertragliche Verpflichtungen, etwa mit dem Risiko möglicher Sammelklagen;
- finanzieller Betrug oder Lösegeldzahlungen;
- Wiederherstellung von Software und/oder Hardware mit erhöhten Arbeitskosten oder Ausgaben für Wiederherstellung/Ersatz;
- forensische Ausgaben;
- Kosten für Regulierung und Rechtsverteidigung einschließlich der damit verbundenen rechtlichen Maßnahmen gemäß der Gesetzgebung sowie eventuellen Bußgeldern;
- Kommunikation und Management, etwa mit Kosten für verstärkte PR, Call-Center-Dienste und das Krisenmanagement
Fazit
Die Quantifizierung von Cyberrisiken ist zwar ein aufwendiger, aber auch ein entscheidender Schritt für Unternehmen, um sich besser gegen die Bedrohung durch Cyberangriffe zu schützen. Damit können Cyberrisiken identifiziert und transparent gemacht werden. Dies dient als Grundlage für fundierte Investitionsentscheidungen und die Optimierung der Budgetplanung für IT-Sicherheit. Statt „mit der Gießkanne vorzugehen“, wird das Security-Budget sinnvoll den einzelnen Risikobereichen zugewiesen, um Eintrittswahrscheinlichkeit und Schadenshöhe zu senken.
Sie haben Fragen zur Umsetzung? Kontaktieren Sie uns! Und hier gibt es mehr zum Thema: Gemeinsam mit einem Konzern haben wir ein globales Managementsystem für Cyberrisiken entwickelt.