Aufdecken der geschäftlichen Kosten von Cyberrisiken: Ponemon-Studie

Die Studie kommt zu dem Ergebnis, dass Unternehmen die geschäftlichen Kosten von Cyberrisiken nicht genau messen und sie nicht in der Lage sind, den potenziellen geschäftlichen Schaden von Cyberangriffen zu quantifizieren. Somit fehlen ihnen unerlässliche Informationen, um Entscheidungen über die Zuteilung von Ressourcen, Technologieinvestitionen und die Priorisierung von Bedrohungen zu treffen.

Im Gegensatz zu anderen Unternehmensdisziplinen wie CRM, ERP oder HR gibt es für Cybersecurity keine eindeutigen Geschäftsmetriken, die Führungskräften helfen, für die Entscheidungsfindung relevante Informationen in einer Sprache zu formulieren, die C-Level und Vorstand verstehen. Wir wollten ergründen, inwiefern sich vier gängige Cyber Exposure-KPIs auf bestimmte Arten von Geschäftsrisiken übertragen lassen. Daher haben wir Ponemon Research damit beauftragt, die Auswirkungen von Cyberrisiken auf den Geschäftsbetrieb zu untersuchen. Dabei interessierten uns nicht allein die rein finanziellen Auswirkungen, sondern es sollte ermittelt werden, welchen Einfluss Cyberrisiken auf Unternehmensstrategie, Produkte, Lieferkette, Umsatzströme, Betriebsabläufe, Unternehmenstechnologie, Kundenerlebnis und Compliance haben.

Im Anschluss an die Befragung von 2.410 IT- und InfoSec-Entscheidern in sechs Ländern haben wir festgestellt, dass herkömmliche KPIs oder Metriken zur Bewertung von Geschäftsrisiken nicht für die Beurteilung von Cyberrisiken eingesetzt werden können. Unternehmen messen die geschäftlichen Kosten von Cyberrisiken nicht exakt und können den potenziellen geschäftlichen Schaden von Cyberangriffen nicht quantifizieren. Daher werden Entscheidungen über die Zuteilung von Ressourcen, Investitionen in Technologien und Priorisierung von Bedrohungen getroffen, obwohl wesentliche Informationen fehlen. Darüber hinaus sind Unternehmen nicht in der Lage, Informationen aus den von Ihnen verwendeten Cyberrisiko-KPIs in Maßnahmen zur Behebung von Datenverstößen oder Sicherheitslücken umzusetzen.

Zu einer Zeit, in der Vorstände zunehmendes Interesse an Cybersecurity zeigen, deckt die vom Ponemon Institute im Auftrag von Tenable durchgeführt Studie Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb ein mangelndes Vertrauen von Cybersecurity-Experten in die Verlässlichkeit ihrer Metriken auf. Wenn CISOs und andere Sicherheitsentscheider nicht sicher sind, dass die von ihnen ermittelten Zahlen exakt sind, zögern sie, wichtige Informationen über die geschäftlichen Kosten von Cyberrisiken an ihre Vorstände weiterzugeben.

Untersuchung gängiger KPIs

Für die Studie identifizierten wir vier gängige KPIs zur Messung von Cyberrisiken:

• Zeit bis zur Bewertung
• Zeit bis zur Behebung
• Effektivität bei der Priorisierung von Cyberrisiken
• Identifizierung von Assets, die anfällig für Cyberrisiken sind – einschließlich OT- (operative Technologie) und IoT-Geräten (Internet of Things).

Außerdem untersuchten wir drei KPIs, die am häufigsten zur Messung der finanziellen Auswirkungen eines Cyberangriffs verwendet werden:

• Umsatzeinbußen
• Produktivitätsverlust
• Rückgang des Aktienkurses

Die überwältigende Mehrheit der Teilnehmer (91 %) gab zu, in den letzten 24 Monaten mindestens einen geschäftsschädigenden Cybervorfall erlebt zu haben; 60 % haben im selben Zeitraum zwei oder mehr solcher Vorfälle erlebt. Diese Angriffe führten zu Datenschutzvorfällen und/oder Störungen und Ausfallzeiten bei Geschäftsprozessen, Produktions‑ oder Betriebsmitteln.

Die Mehrzahl der Teilnehmer (58 %) gibt an, dass herkömmliche KPIs oder Metriken für die Bewertung von Cyberrisiken nicht geeignet sind. Nur 41 % (988) der Befragten bestätigen, dass ihr Unternehmen versucht, den geschäftlichen Schaden zu quantifizieren, den Cyberprobleme verursachen könnten. Zudem sind nur 30 % der Befragten der Meinung, dass ihr Unternehmen in der Lage ist, Informationen aus Cyberrisiko-KPIs in Maßnahmen zur Reduzierung des Risikos von Datenschutzvorfällen und Sicherheitslücken umzusetzen.

Die Antworten der 988 Befragten, die angeben, dass ihr Unternehmen um die Quantifizierung der geschäftsschädigenden Folgen von Sicherheitsvorfällen bemüht ist, gliedern sich wie folgt:

• 54 % geben an, dass sie quantifizieren, was der Diebstahl von geistigem Eigentum kosten würde.
• 43 % sagen, dass ihr Unternehmen den potenziellen finanziellen Verlust berechnet.
• 42 % berücksichtigen die Auswirkungen eines Verlusts von Mitarbeiterproduktivität im Anschluss an einen Datenschutzvorfall oder eine Sicherheitslücke.

Welche Faktoren werden zur Quantifizierung des potenziellen Risikos von Cyberangriffen herangezogen?

Quelle: Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb, Ponemon Institute & Tenable, Dezember 2018

Wir haben die Teilnehmer gebeten, die Genauigkeit der aus den oben genannten KPIs gewonnenen Informationen auf einer Skala von 1 bis 10 zu bewerten (1 = ungenau, 10 = sehr genau). Nur 38 % der Befragten halten ihre Messungen für sehr genau, während 44 % sie nicht für besonders genau halten.

Der Bericht zeigt auch, dass Unternehmen nicht die KPIs nutzen, die ihnen für die Bewertung und das Verständnis von Cyberbedrohungen am wichtigsten erscheinen. So nannten zwei Drittel der Teilnehmer (64 %) „Zeit bis zur Bewertung“ als wichtigen KPI für die Bewertung von Cyberrisiken, doch nur 49 % der Befragten wenden diese Metrik aktuell auch an. Ähnliche Diskrepanzen lassen sich auch bei den drei anderen KPIs feststellen, die in diesem Bericht erörtert werden (siehe unten).

Diskrepanzen zwischen Anwendung und Wichtigkeit von KPIs

Quelle: Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb, Ponemon Institute & Tenable, Dezember 2018

Cyberrisiken messen: Keine einfache Aufgabe

Die Teilnehmer gaben sieben Hauptgründe dafür an, warum ihre Unternehmen im Hinblick auf Cybersecurity auch weiterhin zu kämpfen haben:

• Ein unterbesetztes IT-Sicherheitsteam
• Nicht genug Ressourcen für das Schwachstellen-Management
• Die zunehmende Verbreitung von IoT-Geräten am Arbeitsplatz
• Die Komplexität der IT-Sicherheitsinfrastruktur
• Mangelnde Kontrolle über den Zugriff Dritter auf sensible und vertrauliche Daten
• Abhängigkeit von manuellen Prozessen bei der Reaktion auf Schwachstellen
• Unzureichenden Einblick in die Angriffsoberfläche des Unternehmens

Auch wenn es für diese Probleme keine schnellen, einfachen Lösungen gibt, sind wir der Überzeugung, dass die folgenden fünf Maßnahmen Ihr Unternehmen dabei unterstützen können, eine stärker geschäftsorientierte Cybersecurity-Strategie zu entwickeln.

1. Jedes Asset in jeder Computerumgebung identifizieren und abbilden
2. Cyber Exposure aller Assets bewerten, einschließlich Schwachstellen, Fehlkonfigurationen und andere Sicherheitsindikatoren
3. Gefährdungen im Kontext beurteilen, um Behebungsmaßnahmen anhand von Asset-Kritikalität, Bedrohungskontext und Schweregrad der Schwachstellen zu priorisieren
4. Priorisieren, welche Gefährdungen zuerst zu beheben sind (wenn überhaupt), und die entsprechenden Behebungsmaßnahmen ergreifen
5. Cyber Exposure messen und benchmarken, um bessere Geschäfts- und Technologie-entscheidungen zu treffen

Zusätzlich zu den oben aufgeführten Empfehlungen schließt der Bericht Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb mit einem aus fünf Schritten bestehenden Prozess zur Messung und Verwaltung von Cyberrisiken ab, den Sie in Ihrem Unternehmen sofort umsetzen können.

Über diese Studie

Der Bericht „Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb“ basiert auf einer Befragung von 2.410 Entscheidungsträgern aus den Bereichen IT- und IT-Sicherheit in den USA, im Vereinigten Königreich sowie in Deutschland, Australien, Mexiko und Japan. Alle Befragten sind an der Bewertung und/oder am Management von Investitionen in Cybersecurity-Lösungen in ihrem Unternehmen beteiligt. In diesem Bericht werden die konsolidierten globalen Ergebnisse vorgestellt. Laden Sie den Bericht hier kostenlos herunter