Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Aufdecken der geschäftlichen Kosten von Cyberrisiken: Ponemon-Studie

Die Studie kommt zu dem Ergebnis, dass Unternehmen die geschäftlichen Kosten von Cyberrisiken nicht genau messen und sie nicht in der Lage sind, den potenziellen geschäftlichen Schaden von Cyberangriffen zu quantifizieren. Somit fehlen ihnen unerlässliche Informationen, um Entscheidungen über die Zuteilung von Ressourcen, Technologieinvestitionen und die Priorisierung von Bedrohungen zu treffen.

Im Gegensatz zu anderen Unternehmensdisziplinen wie CRM, ERP oder HR gibt es für Cybersecurity keine eindeutigen Geschäftsmetriken, die Führungskräften helfen, für die Entscheidungsfindung relevante Informationen in einer Sprache zu formulieren, die C-Level und Vorstand verstehen. Wir wollten ergründen, inwiefern sich vier gängige Cyber Exposure-KPIs auf bestimmte Arten von Geschäftsrisiken übertragen lassen. Daher haben wir Ponemon Research damit beauftragt, die Auswirkungen von Cyberrisiken auf den Geschäftsbetrieb zu untersuchen. Dabei interessierten uns nicht allein die rein finanziellen Auswirkungen, sondern es sollte ermittelt werden, welchen Einfluss Cyberrisiken auf Unternehmensstrategie, Produkte, Lieferkette, Umsatzströme, Betriebsabläufe, Unternehmenstechnologie, Kundenerlebnis und Compliance haben.

Im Anschluss an die Befragung von 2.410 IT- und InfoSec-Entscheidern in sechs Ländern haben wir festgestellt, dass herkömmliche KPIs oder Metriken zur Bewertung von Geschäftsrisiken nicht für die Beurteilung von Cyberrisiken eingesetzt werden können. Unternehmen messen die geschäftlichen Kosten von Cyberrisiken nicht exakt und können den potenziellen geschäftlichen Schaden von Cyberangriffen nicht quantifizieren. Daher werden Entscheidungen über die Zuteilung von Ressourcen, Investitionen in Technologien und Priorisierung von Bedrohungen getroffen, obwohl wesentliche Informationen fehlen. Darüber hinaus sind Unternehmen nicht in der Lage, Informationen aus den von Ihnen verwendeten Cyberrisiko-KPIs in Maßnahmen zur Behebung von Datenverstößen oder Sicherheitslücken umzusetzen.

Zu einer Zeit, in der Vorstände zunehmendes Interesse an Cybersecurity zeigen, deckt die vom Ponemon Institute im Auftrag von Tenable durchgeführt Studie Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb ein mangelndes Vertrauen von Cybersecurity-Experten in die Verlässlichkeit ihrer Metriken auf. Wenn CISOs und andere Sicherheitsentscheider nicht sicher sind, dass die von ihnen ermittelten Zahlen exakt sind, zögern sie, wichtige Informationen über die geschäftlichen Kosten von Cyberrisiken an ihre Vorstände weiterzugeben.

Untersuchung gängiger KPIs

Für die Studie identifizierten wir vier gängige KPIs zur Messung von Cyberrisiken:

  • Zeit bis zur Bewertung
  • Zeit bis zur Behebung
  • Effektivität bei der Priorisierung von Cyberrisiken
  • Identifizierung von Assets, die anfällig für Cyberrisiken sind – einschließlich OT- (operative Technologie) und IoT-Geräten (Internet of Things).

Außerdem untersuchten wir drei KPIs, die am häufigsten zur Messung der finanziellen Auswirkungen eines Cyberangriffs verwendet werden:

  • Umsatzeinbußen
  • Produktivitätsverlust
  • Rückgang des Aktienkurses

Die überwältigende Mehrheit der Teilnehmer (91 %) gab zu, in den letzten 24 Monaten mindestens einen geschäftsschädigenden Cybervorfall erlebt zu haben; 60 % haben im selben Zeitraum zwei oder mehr solcher Vorfälle erlebt. Diese Angriffe führten zu Datenschutzvorfällen und/oder Störungen und Ausfallzeiten bei Geschäftsprozessen, Produktions‑ oder Betriebsmitteln.

Die Mehrzahl der Teilnehmer (58 %) gibt an, dass herkömmliche KPIs oder Metriken für die Bewertung von Cyberrisiken nicht geeignet sind. Nur 41 % (988) der Befragten bestätigen, dass ihr Unternehmen versucht, den geschäftlichen Schaden zu quantifizieren, den Cyberprobleme verursachen könnten. Zudem sind nur 30 % der Befragten der Meinung, dass ihr Unternehmen in der Lage ist, Informationen aus Cyberrisiko-KPIs in Maßnahmen zur Reduzierung des Risikos von Datenschutzvorfällen und Sicherheitslücken umzusetzen.

Die Antworten der 988 Befragten, die angeben, dass ihr Unternehmen um die Quantifizierung der geschäftsschädigenden Folgen von Sicherheitsvorfällen bemüht ist, gliedern sich wie folgt:

  • 54 % geben an, dass sie quantifizieren, was der Diebstahl von geistigem Eigentum kosten würde.
  • 43 % sagen, dass ihr Unternehmen den potenziellen finanziellen Verlust berechnet.
  • 42 % berücksichtigen die Auswirkungen eines Verlusts von Mitarbeiterproduktivität im Anschluss an einen Datenschutzvorfall oder eine Sicherheitslücke.

Welche Faktoren werden zur Quantifizierung des potenziellen Risikos von Cyberangriffen herangezogen?

bei der Quantifizierung des Geschäftsrisikos von Cyberangriffen

Quelle: Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb, Ponemon Institute & Tenable, Dezember 2018

Wir haben die Teilnehmer gebeten, die Genauigkeit der aus den oben genannten KPIs gewonnenen Informationen auf einer Skala von 1 bis 10 zu bewerten (1 = ungenau, 10 = sehr genau). Nur 38 % der Befragten halten ihre Messungen für sehr genau, während 44 % sie nicht für besonders genau halten.

Der Bericht zeigt auch, dass Unternehmen nicht die KPIs nutzen, die ihnen für die Bewertung und das Verständnis von Cyberbedrohungen am wichtigsten erscheinen. So nannten zwei Drittel der Teilnehmer (64 %) „Zeit bis zur Bewertung“ als wichtigen KPI für die Bewertung von Cyberrisiken, doch nur 49 % der Befragten wenden diese Metrik aktuell auch an. Ähnliche Diskrepanzen lassen sich auch bei den drei anderen KPIs feststellen, die in diesem Bericht erörtert werden (siehe unten).

Diskrepanzen zwischen Anwendung und Wichtigkeit von KPIs

KPI Verwendet von (% der Befragten) Als unbedingt erforderlich empfunden (% der Befragten)
Zeit bis zur Bewertung des Cyberrisikos 49 % 64 %
Zeit bis zur Behebung des Cyberrisikos 46 % 70 %
Identifizieren von OT- und IoT-Assets 34 % 62 %
Effektivität bei der Priorisierung 38 % 57 %

Quelle: Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb, Ponemon Institute & Tenable, Dezember 2018

Cyberrisiken messen: Keine einfache Aufgabe

Die Teilnehmer gaben sieben Hauptgründe dafür an, warum ihre Unternehmen im Hinblick auf Cybersecurity auch weiterhin zu kämpfen haben:

  • Ein unterbesetztes IT-Sicherheitsteam
  • Nicht genug Ressourcen für das Schwachstellen-Management
  • Die zunehmende Verbreitung von IoT-Geräten am Arbeitsplatz
  • Die Komplexität der IT-Sicherheitsinfrastruktur
  • Mangelnde Kontrolle über den Zugriff Dritter auf sensible und vertrauliche Daten
  • Abhängigkeit von manuellen Prozessen bei der Reaktion auf Schwachstellen
  • Unzureichenden Einblick in die Angriffsoberfläche des Unternehmens

Auch wenn es für diese Probleme keine schnellen, einfachen Lösungen gibt, sind wir der Überzeugung, dass die folgenden fünf Maßnahmen Ihr Unternehmen dabei unterstützen können, eine stärker geschäftsorientierte Cybersecurity-Strategie zu entwickeln.

  1. Jedes Asset in jeder Computerumgebung identifizieren und abbilden
  2. Cyber Exposure aller Assets bewerten, einschließlich Schwachstellen, Fehlkonfigurationen und andere Sicherheitsindikatoren
  3. Gefährdungen im Kontext beurteilen, um Behebungsmaßnahmen anhand von Asset-Kritikalität, Bedrohungskontext und Schweregrad der Schwachstellen zu priorisieren
  4. Priorisieren, welche Gefährdungen zuerst zu beheben sind (wenn überhaupt), und die entsprechenden Behebungsmaßnahmen ergreifen
  5. Cyber Exposure messen und benchmarken, um bessere Geschäfts- und Technologie-entscheidungen zu treffen

Zusätzlich zu den oben aufgeführten Empfehlungen schließt der Bericht Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb mit einem aus fünf Schritten bestehenden Prozess zur Messung und Verwaltung von Cyberrisiken ab, den Sie in Ihrem Unternehmen sofort umsetzen können.

Über diese Studie

Der Bericht „Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb“ basiert auf einer Befragung von 2.410 Entscheidungsträgern aus den Bereichen IT- und IT-Sicherheit in den USA, im Vereinigten Königreich sowie in Deutschland, Australien, Mexiko und Japan. Alle Befragten sind an der Bewertung und/oder am Management von Investitionen in Cybersecurity-Lösungen in ihrem Unternehmen beteiligt. In diesem Bericht werden die konsolidierten globalen Ergebnisse vorgestellt. Laden Sie den Bericht hier kostenlos herunter

Abonnieren Sie den Tenable Blog

Abonnieren
Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

30 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

2.275,00 USD

Jetzt kaufen

Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support haben Sie rund um die Uhr und 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und E-Mail sowie über die Community. Vollständige Details finden Sie hier.

KOSTENLOSER Advanced Support

beim Kauf von Nessus Professional

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Erfahren Sie mehr über Industrial Security

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Demo von Tenable.ot anfordern

Passgenauer Schutz Ihrer operativen Technologien –
durch effektive Risikoreduzierung.