Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Aufdecken der geschäftlichen Kosten von Cyberrisiken: Ponemon-Studie

Die Studie kommt zu dem Ergebnis, dass Unternehmen die geschäftlichen Kosten von Cyberrisiken nicht genau messen und sie nicht in der Lage sind, den potenziellen geschäftlichen Schaden von Cyberangriffen zu quantifizieren. Somit fehlen ihnen unerlässliche Informationen, um Entscheidungen über die Zuteilung von Ressourcen, Technologieinvestitionen und die Priorisierung von Bedrohungen zu treffen.

Im Gegensatz zu anderen Unternehmensdisziplinen wie CRM, ERP oder HR gibt es für Cybersecurity keine eindeutigen Geschäftsmetriken, die Führungskräften helfen, für die Entscheidungsfindung relevante Informationen in einer Sprache zu formulieren, die C-Level und Vorstand verstehen. Wir wollten ergründen, inwiefern sich vier gängige Cyber Exposure-KPIs auf bestimmte Arten von Geschäftsrisiken übertragen lassen. Daher haben wir Ponemon Research damit beauftragt, die Auswirkungen von Cyberrisiken auf den Geschäftsbetrieb zu untersuchen. Dabei interessierten uns nicht allein die rein finanziellen Auswirkungen, sondern es sollte ermittelt werden, welchen Einfluss Cyberrisiken auf Unternehmensstrategie, Produkte, Lieferkette, Umsatzströme, Betriebsabläufe, Unternehmenstechnologie, Kundenerlebnis und Compliance haben.

Im Anschluss an die Befragung von 2.410 IT- und InfoSec-Entscheidern in sechs Ländern haben wir festgestellt, dass herkömmliche KPIs oder Metriken zur Bewertung von Geschäftsrisiken nicht für die Beurteilung von Cyberrisiken eingesetzt werden können. Unternehmen messen die geschäftlichen Kosten von Cyberrisiken nicht exakt und können den potenziellen geschäftlichen Schaden von Cyberangriffen nicht quantifizieren. Daher werden Entscheidungen über die Zuteilung von Ressourcen, Investitionen in Technologien und Priorisierung von Bedrohungen getroffen, obwohl wesentliche Informationen fehlen. Darüber hinaus sind Unternehmen nicht in der Lage, Informationen aus den von Ihnen verwendeten Cyberrisiko-KPIs in Maßnahmen zur Behebung von Datenverstößen oder Sicherheitslücken umzusetzen.

Zu einer Zeit, in der Vorstände zunehmendes Interesse an Cybersecurity zeigen, deckt die vom Ponemon Institute im Auftrag von Tenable durchgeführt Studie Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb ein mangelndes Vertrauen von Cybersecurity-Experten in die Verlässlichkeit ihrer Metriken auf. Wenn CISOs und andere Sicherheitsentscheider nicht sicher sind, dass die von ihnen ermittelten Zahlen exakt sind, zögern sie, wichtige Informationen über die geschäftlichen Kosten von Cyberrisiken an ihre Vorstände weiterzugeben.

Untersuchung gängiger KPIs

Für die Studie identifizierten wir vier gängige KPIs zur Messung von Cyberrisiken:

  • Zeit bis zur Bewertung
  • Zeit bis zur Behebung
  • Effektivität bei der Priorisierung von Cyberrisiken
  • Identifizierung von Assets, die anfällig für Cyberrisiken sind – einschließlich OT- (operative Technologie) und IoT-Geräten (Internet of Things).

Außerdem untersuchten wir drei KPIs, die am häufigsten zur Messung der finanziellen Auswirkungen eines Cyberangriffs verwendet werden:

  • Umsatzeinbußen
  • Produktivitätsverlust
  • Rückgang des Aktienkurses

Die überwältigende Mehrheit der Teilnehmer (91 %) gab zu, in den letzten 24 Monaten mindestens einen geschäftsschädigenden Cybervorfall erlebt zu haben; 60 % haben im selben Zeitraum zwei oder mehr solcher Vorfälle erlebt. Diese Angriffe führten zu Datenschutzvorfällen und/oder Störungen und Ausfallzeiten bei Geschäftsprozessen, Produktions‑ oder Betriebsmitteln.

Die Mehrzahl der Teilnehmer (58 %) gibt an, dass herkömmliche KPIs oder Metriken für die Bewertung von Cyberrisiken nicht geeignet sind. Nur 41 % (988) der Befragten bestätigen, dass ihr Unternehmen versucht, den geschäftlichen Schaden zu quantifizieren, den Cyberprobleme verursachen könnten. Zudem sind nur 30 % der Befragten der Meinung, dass ihr Unternehmen in der Lage ist, Informationen aus Cyberrisiko-KPIs in Maßnahmen zur Reduzierung des Risikos von Datenschutzvorfällen und Sicherheitslücken umzusetzen.

Die Antworten der 988 Befragten, die angeben, dass ihr Unternehmen um die Quantifizierung der geschäftsschädigenden Folgen von Sicherheitsvorfällen bemüht ist, gliedern sich wie folgt:

  • 54 % geben an, dass sie quantifizieren, was der Diebstahl von geistigem Eigentum kosten würde.
  • 43 % sagen, dass ihr Unternehmen den potenziellen finanziellen Verlust berechnet.
  • 42 % berücksichtigen die Auswirkungen eines Verlusts von Mitarbeiterproduktivität im Anschluss an einen Datenschutzvorfall oder eine Sicherheitslücke.

Welche Faktoren werden zur Quantifizierung des potenziellen Risikos von Cyberangriffen herangezogen?

bei der Quantifizierung des Geschäftsrisikos von Cyberangriffen

Quelle: Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb, Ponemon Institute & Tenable, Dezember 2018

Wir haben die Teilnehmer gebeten, die Genauigkeit der aus den oben genannten KPIs gewonnenen Informationen auf einer Skala von 1 bis 10 zu bewerten (1 = ungenau, 10 = sehr genau). Nur 38 % der Befragten halten ihre Messungen für sehr genau, während 44 % sie nicht für besonders genau halten.

Der Bericht zeigt auch, dass Unternehmen nicht die KPIs nutzen, die ihnen für die Bewertung und das Verständnis von Cyberbedrohungen am wichtigsten erscheinen. So nannten zwei Drittel der Teilnehmer (64 %) „Zeit bis zur Bewertung“ als wichtigen KPI für die Bewertung von Cyberrisiken, doch nur 49 % der Befragten wenden diese Metrik aktuell auch an. Ähnliche Diskrepanzen lassen sich auch bei den drei anderen KPIs feststellen, die in diesem Bericht erörtert werden (siehe unten).

Diskrepanzen zwischen Anwendung und Wichtigkeit von KPIs

KPI Verwendet von (% der Befragten) Als unbedingt erforderlich empfunden (% der Befragten)
Zeit bis zur Bewertung des Cyberrisikos 49 % 64 %
Zeit bis zur Behebung des Cyberrisikos 46 % 70 %
Identifizieren von OT- und IoT-Assets 34 % 62 %
Effektivität bei der Priorisierung 38 % 57 %

Quelle: Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb, Ponemon Institute & Tenable, Dezember 2018

Cyberrisiken messen: Keine einfache Aufgabe

Die Teilnehmer gaben sieben Hauptgründe dafür an, warum ihre Unternehmen im Hinblick auf Cybersecurity auch weiterhin zu kämpfen haben:

  • Ein unterbesetztes IT-Sicherheitsteam
  • Nicht genug Ressourcen für das Schwachstellen-Management
  • Die zunehmende Verbreitung von IoT-Geräten am Arbeitsplatz
  • Die Komplexität der IT-Sicherheitsinfrastruktur
  • Mangelnde Kontrolle über den Zugriff Dritter auf sensible und vertrauliche Daten
  • Abhängigkeit von manuellen Prozessen bei der Reaktion auf Schwachstellen
  • Unzureichenden Einblick in die Angriffsoberfläche des Unternehmens

Auch wenn es für diese Probleme keine schnellen, einfachen Lösungen gibt, sind wir der Überzeugung, dass die folgenden fünf Maßnahmen Ihr Unternehmen dabei unterstützen können, eine stärker geschäftsorientierte Cybersecurity-Strategie zu entwickeln.

  1. Jedes Asset in jeder Computerumgebung identifizieren und abbilden
  2. Cyber Exposure aller Assets bewerten, einschließlich Schwachstellen, Fehlkonfigurationen und andere Sicherheitsindikatoren
  3. Gefährdungen im Kontext beurteilen, um Behebungsmaßnahmen anhand von Asset-Kritikalität, Bedrohungskontext und Schweregrad der Schwachstellen zu priorisieren
  4. Priorisieren, welche Gefährdungen zuerst zu beheben sind (wenn überhaupt), und die entsprechenden Behebungsmaßnahmen ergreifen
  5. Cyber Exposure messen und benchmarken, um bessere Geschäfts- und Technologie-entscheidungen zu treffen

Zusätzlich zu den oben aufgeführten Empfehlungen schließt der Bericht Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb mit einem aus fünf Schritten bestehenden Prozess zur Messung und Verwaltung von Cyberrisiken ab, den Sie in Ihrem Unternehmen sofort umsetzen können.

Über diese Studie

Der Bericht „Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb“ basiert auf einer Befragung von 2.410 Entscheidungsträgern aus den Bereichen IT- und IT-Sicherheit in den USA, im Vereinigten Königreich sowie in Deutschland, Australien, Mexiko und Japan. Alle Befragten sind an der Bewertung und/oder am Management von Investitionen in Cybersecurity-Lösungen in ihrem Unternehmen beteiligt. In diesem Bericht werden die konsolidierten globalen Ergebnisse vorgestellt. Laden Sie den Bericht hier kostenlos herunter

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Sonderpreise gelten bis zum 30. September.
Mehrjahreslizenz kaufen und noch mehr sparen!

Support hinzufügen