Cyber Risk Quantification (CRQ)

Bei der Cyberrisiko-Quantifizierung (Cyber Risk Quantification, CRQ) wird abgeschätzt, welcher finanzielle Schaden Ihrem Unternehmen durch spezifische Cyber-Gefährdungen – sogenannte Cyber Exposures – entstehen könnte. 

Im Gegensatz zu qualitativen Bewertungen (bei denen Risiken in der Regel nach Schweregraden wie „hoch“ oder „mittel“ eingestuft werden) wird bei CRQ auf Daten gesetzt, um Verluste in konkreten Geldbeträgen zu beziffern. Der Unterschied bei der Bewertung besteht folglich in der „Quantifizierung“ dieser Verluste.

Mithilfe von CRQ können Ihre Teams:

• Risiken aus finanzieller Sicht in einer Form kommunizieren, die bei Geschäfts- und Finanzverantwortlichen auf Resonanz stoßen, damit Cybersecurity-Ziele mit allgemeineren Unternehmenszielen auf eine Linie gebracht werden können.
• Risiken in konsistenter Form vergleichen – über verschiedene Asset-Klassen oder Abteilungen hinweg. So ist es für sie nachvollziehbar, wo die größte Exposure vorliegt und wo Kontrollmechanismen am effektivsten sind.
• Behebungsmaßnahmen und Investitionsentscheidungen priorisieren – basierend auf den jeweiligen Maßnahmen, mit denen sich gravierende finanzielle Risiken am ehesten reduzieren lassen.
• Strukturierte Daten zur Unterstützung von Compliance-Maßnahmen nutzen und vertretbare Informationen (sogenannte „Inputs“) für Aufgaben wie Versicherungsplanung und Underwriting bereitstellen.

Cybersecurity-Verantwortliche erkennen zunehmend, dass Cyberrisiken aus finanzieller Sicht kommuniziert werden müssen, um eine klarere Entscheidungsfindung auf Führungsebene zu unterstützen. Dieser Wandel bestärkt CISOs darin, technische Risikoindikatoren mit den jeweiligen geschäftlichen Auswirkungen zu verknüpfen, um diese Beziehungen dann als Informationsgrundlage für die Unternehmensstrategie heranzuziehen.

Darüber hinaus stehen Teams durch diesen Wandel zunehmend unter Druck, Strategien mit Geschäftsergebnissen auf eine Linie zu bringen und den entsprechenden Mehrwert über rein technische Kennzahlen hinaus zu belegen. 

Hier hilft CRQ in folgender Hinsicht weiter:

• Cyberrisiken können auf konsistente, reproduzierbare Weise gemessen werden, um Benchmark-Vergleiche anzustellen und Änderungen im Zeitverlauf nachzuverfolgen.
• Cybersecurity-Entscheidungen lassen sich aus finanzieller Sicht einordnen; dies trägt dazu bei, Investitionen zu priorisieren und Kompromisse in einer Sprache zu vermitteln, die bei Führungskräften Anklang findet.
• Objektive Analysen dienen als Informationsgrundlage für Gespräche mit der Führungsebene; diese Analysen gehen über technischen Fachjargon hinaus und tragen zur Konsensbildung rund um Prioritäten bei.

Tools zur Risikoquantifizierung spielen eine integrale Rolle dabei, allgemeinere Erkenntnisse aus dem Bereich Schwachstellenmanagement in finanzielle Maßnahmen zu übertragen. Näheres zum Thema Schwachstellenmanagement (Vulnerability Management, VM) erfahren Sie hier.

Die Wirksamkeit von CRQ-Strategien hängt vom Reifegrad Ihres Unternehmens, den verfügbaren Daten und von behördlichen Verpflichtungen ab. Grundsätzlich sind qualitative und quantitative Ansätze gängig.

Qualitative Ansätze beinhalten in der Regel Expertenbeurteilungen, Bewertungssysteme nach Ordinalzahlen und Heatmaps zur Evaluierung von Risiken. Diese Methoden sind einfacher zu implementieren und anzuwenden, wenn Unternehmen keine ausführlichen Finanz- oder Vorfallsdaten vorliegen, doch Subjektivität kann ihre Präzision und Konsistenz einschränken.

Quantitative Ansätze ziehen mathematische Modelle, Wahrscheinlichkeitstheorie und Finanzanalysen heran, um die jeweilige Wahrscheinlichkeit sowie die entsprechenden Auswirkungen von spezifischen Bedrohungen abzuschätzen. Diese Modelle liefern präzisere Ergebnisse (sogenannte „Outputs“) und eignen sich besser für Entscheidungen auf Vorstandsebene, insbesondere im Zusammenhang mit der Priorisierung von Investitionen oder der Versicherungsplanung.

Quantitative Ansätze lassen sich in folgende Komponenten aufschlüsseln:

• Factor Analysis of Information Risk (FAIR) – Bei dieser Form der Analyse werden Risiken nach Häufigkeit und Auswirkung aufgeschlüsselt, um finanzielle Schätzungen auszugeben. Unternehmen, die vertretbare und reproduzierbare Risikobewertungen benötigen, könnten sich für diese Methode entscheiden.
• Common Vulnerability Scoring System (CVSS) – Hierbei handelt es sich um ein standardisiertes System, das den Schweregrad von bekannten Schwachstellen bewertet. CVSS-Scores sind technischer Natur, unterstützen bei entsprechender Kontextualisierung jedoch allgemeinere Risikoberechnungen.
• Bayes'sche Modellierung – Hierbei handelt es sich um einen datengesteuerten Ansatz, der den Faktor „Unsicherheit“ in Risikoprognosen berücksichtigt. Diese Technik eignet sich für dynamische Umgebungen, in denen sich Annahmen und Input-Daten ändern können.
• Versicherungsmathematische und statistische Modelle – Diese Modelle werden beispielsweise von Versicherern verwendet und beziffern Verluste basierend auf historischen Daten. Sie unterstützen die langfristige Planung, erfassen unter Umständen aber keine besonderen oder sich schnell weiterentwickelnden Bedrohungen.
• Maschinelle Lernmodelle – ML-Modelle (Machine Learning) nutzen Algorithmen, die aus großen Datenmengen lernen, um Trends zu identifizieren und Ergebnisse vorherzusagen. Sie steigern Geschwindigkeit und Skalierbarkeit, doch ihre Zuverlässigkeit hängt in hohem Maße von der Qualität der Input-Daten ab.

Jeder Modelltyp weist Stärken und Einschränkungen auf. Die Auswahl des richtigen Modells hängt von den spezifischen Zielen und verfügbaren Ressourcen Ihres Unternehmens ab. Je nach Fall können auch mehrere Modelle miteinander kombiniert werden.

Sie sind an Infos zum Thema risikobasiertes Schwachstellenmanagement (Risk-Based Vulnerability Management, RBVM) interessiert? Auf unserer Seite zu den Grundprinzipien des risikobasierten Schwachstellen-Managements erfahren Sie mehr.

Vor- und Nachteile gängiger CRQ-Modelle

FAIR

Vorteile:

• Bietet einen strukturierten, reproduzierbaren Ansatz zur Quantifizierung von Risiken aus finanzieller Sicht
• Weit verbreitet und unterstützt die Kommunikation auf Vorstandsebene

Nachteile:

• Erfordert Schulungen sowie ein hohes Maß an Datenerfassung und Veranschlagung
• Könnte sich für kleinere Teams als ressourcenintensiv erweisen

CVSS

Vorteile:

• Bietet eine standardisierte Methode zur Bewertung von „technischen“ Schwachstellen und ist (genau wie FAIR) in der Branche weithin anerkannt

Nachteile:

• Statt allgemeinerer Geschäftsrisiken stehen einzelne Schwachstellen im Vordergrund
• Berücksichtigt keine finanziellen Auswirkungen

Bayes'sche Modellierung

Vorteile:

• Zur Modellierung von Unsicherheit und sich entwickelnden Bedrohungsszenarien hervorragend geeignet
• Funktioniert gut bei unvollständigen oder variablen Datasets

Nachteile:

• Aufbau und Interpretation können sich als komplex erweisen
• Erfordert häufig spezielle Kenntnisse im Bereich der Statistik

Statistische/versicherungsmathematische Modelle

Vorteile:

• Nützlich zur Abschätzung von Verlusten basierend auf Häufigkeits- und Schweregradmustern, insbesondere bei historischen Daten

Nachteile:

• Abhängig von qualitativ hochwertigen historischen Daten, die neuartige oder komplexe Bedrohungen unter Umständen nicht immer widerspiegeln

Maschinelles Lernen (ML) / Künstliche Intelligenz (KI)

Vorteile:

• Modelle verarbeiten riesige Datenmengen, um verborgene Muster zu identifizieren und künftige Risiken schnell vorherzusagen

Nachteile:

• Zuverlässige Modelle erfordern umfangreiche, qualitativ hochwertige Input-Daten
• Modelle könnten zu Interpretationsschwierigkeiten bei Stakeholdern führen

Sobald feststeht, welche(s) Modell(e) zur Quantifizierung von Cyberrisiken zum Einsatz kommen soll(en), besteht der nächste Schritt in der praktischen Umsetzung. Dies umfasst in der Regel strukturierte Aktivitäten, die die Grundlage für ein reproduzierbares CRQ-Programm bilden.

Erwähnenswert ist hier, dass das Common Vulnerability Scoring System (CVSS) ein eher technisches Bewertungssystem ist. Die aufgeführten Schritte werden unter Umständen nur dann in Gänze befolgt, wenn das CVSS in Ihr allgemeineres Framework zur Risikoquantifizierung eingebunden ist. 

Ebenso könnten ML- und KI-Modelle dazu führen, dass bei einigen Schritten anders vorgegangen wird. Statt Inputs explizit vorzugeben, ziehen diese Modelle häufig Rückschlüsse aus Mustern. 

Doch im Allgemeinen sind folgenden Schritte für die meisten CRQ-Programme geeignet:

1. Assets identifizieren und kategorisieren

Bilden Sie zunächst Ihren gesamten digitalen Fußabdruck ab. Berücksichtigen Sie sensible Datenbanken, für Kunden zugängliche Anwendungen, Cloud-Infrastruktur sowie interne Geschäftssysteme. Weisen Sie sämtlichen Assets einen finanziellen Wert zu, der jeweils auf potenziellen Kosten für Ausfallzeiten, Datenverluste oder Betriebsstörungen basiert. Ein mit entsprechenden Umsätzen verknüpftes Kundenportal könnte beispielsweise ein größeres Risiko darstellen als eine Testumgebung.

2. Bedrohungen und Schwachstellen evaluieren

Bewerten Sie, wie Bedrohungsakteure Systeme angreifen könnten. Setzen Sie Schwachstellen-Scanner ein und ziehen Sie vergangene Vorfälle heran, um sich ein Bild davon zu machen, bei welchen Assets die größten Gefährdungen bestehen. Ein ungepatchtes Betriebssystem mit einer kritischen Schwachstelle und aktiven Exploits stellt beispielsweise ein deutlich größeres Risiko dar als ein interner Server, auf dem Schwachstellen mit niedrigem Schweregrad festgestellt werden.

3. Potenzielle Auswirkungen analysieren

Beziehen Sie sowohl offensichtliche Kosten (Bußgelder, Kosten für Wiederherstellungsmaßnahmen) wie auch schwerer zu messende Auswirkungen (Reputationsschäden, Vertrauensverlust von Kunden) in Ihre Überlegungen ein. Wenn Sie diese Auswirkungen für unterschiedliche Angriffsszenarien modellieren, kann die Vorstandsebene besser nachvollziehen, welche Cybervorfälle tatsächlich Kosten im Unternehmen verursachen können. 

4. Risiken berechnen und aggregieren

Spielen Sie Daten in Ihr CRQ-Modell ein, um die sogenannte „Loss Exposure“ – das jeweilige Verlustpotenzial – für jede Kombination aus Bedrohung und Asset zu beziffern. Ergebnisse können aggregiert werden, um kumulative Risiken zu ermitteln, die über Abteilungen oder Geschäftsbereiche hinweg bestehen. Diese Aggregation trägt dazu bei, Cybersecurity-Investitionen anhand von finanziellen Auswirkungen zu priorisieren.

Unvollständige oder inkonsistente Daten

Eine effektive Quantifizierung von Cyberrisiken beginnt mit verlässlichen Daten. Wenn Ihr Asset-Bestandsverzeichnis nicht mehr auf dem neusten Stand ist oder Ihren Vorfallsberichten die nötige Detailtiefe fehlt, sind keine präzisen Verlustschätzungen möglich. Dies hebelt Ihre Risikomodelle aus und hat zur Folge, dass Sie sich auf die falschen Sicherheitsprioritäten fokussieren.

Die sich wandelnde Bedrohungslandschaft

Cyberbedrohungen entwickeln sich ständig weiter und es treten immer neue Angriffsvektoren und Schwachstellen auf. Wenn Sie Ihre CRQ-Modelle nicht regelmäßig aktualisieren, werden sie in kürzester Zeit veraltet oder gar irreführend sein. Speisen Sie regelmäßig aktuelle Threat-Intelligence ein und aktualisieren Sie Ihre Modelle fortwährend, sodass sie mit dem tatsächlichen Geschehen in Ihrer Umgebung übereinstimmen.

Nicht greifbare Auswirkungen sind schwer messbar

Verlust des Markenvertrauens, Auswirkungen auf Aktienkurse oder langfristige Reputationsschäden – die schwerwiegendsten Folgen von Cybervorfällen lassen sich nur schwer sofort beziffern. 

Sie können Näherungswerte heranziehen, doch diese Schätzungen bringen von Natur aus eine gewisse Unsicherheit mit sich. Werden diese Folgen aber gänzlich außer Acht gelassen, könnten tatsächlich bestehende Risiken unterschätzt werden.

Für eine Cyberrisiko-Quantifizierung müssen darüber hinaus die richtigen Tools vorhanden sein, um Modelle auszuführen und Ergebnisse vorzulegen.

Mit den folgenden Lösungen bietet Tenable grundlegende Unterstützung für CRQ:

• Tenable Vulnerability Management bietet Ihnen Einblick in all Ihre Assets, sodass Sie erkennen können, wo die stärkste Gefährdung besteht. Mithilfe der Lösung ist es möglich, eine Baseline für aussagekräftige Risikoberechnungen zu erstellen.
• Tenable One ist eine einheitliche Exposure Management-Plattform, die Schwachstellen-, Asset-, Cloud- und Identitätsdaten zusammenführt. Sie bietet Ihren Sicherheitsteams den notwendigen Kontext, um Risiken aus finanzieller Sicht zu quantifizieren und entsprechend zu reduzieren.

Tenable One lässt sich darüber hinaus mit vorhandenen Technologie-Stacks integrieren, beispielsweise mit Configuration Management Databases (CMDB), EDR-Plattformen (Endpoint Detection and Response), SIEM-Systemen (System Information and Event Management), cloud-nativen Systemen und SOAR-Tools (Security Orchestration Automation and Response), um Modelle kontinuierlich zu aktualisieren.

Die gängigsten gesetzlichen Bestimmungen unterstreichen die Notwendigkeit von messbaren, datengesteuerten Methoden zur Risikobewertung. 

CRQ-Verfahren unterstützen Ihr Unternehmen bei der Sammlung von Nachweisen, die belegen, wie Sie Risiken identifizieren und priorisieren. Dies ist für Kontext, Transparenz und Rechenschaftspflicht im regulatorischen Bereich von entscheidender Bedeutung. 

Beispiele:

• Das NIST Cybersecurity Framework und NIST SP 800-53800-53 fördern risikobasierte Entscheidungen und befürworten eine kontinuierliche Evaluierung von Sicherheitskontrollen.
• ISO 27005 regt dazu an, einen strukturierten Ansatz zur Handhabung von Informationssicherheitsrisiken zu verfolgen und vorzugsweise auf quantifizierbare Erkenntnisse zu setzen.
• HIPAA, DSGVO und PCI DSS schreiben vor, dass Risiken für sensible Daten bewertet und dokumentiert und effektive Sicherheitsvorkehrungen nachgewiesen werden müssen.
• Die CIS Controls unterstreichen, wie wichtig es ist, formelle Risikobewertungen als zentralen Bestandteil der Cybersecurity-Hygiene zu berücksichtigen.

Modelle auf dem neuesten Stand halten

Wenn sich Ihre Asset-Landschaft weiterentwickelt oder durch Threat Intelligence neue Risiken aufgedeckt werden, ist eine Aktualisierung Ihrer Modelle unerlässlich. 

Die richtigen Stakeholder einbeziehen

Binden Sie Stakeholder aus den Bereichen Risikomanagement, Finanzen, Compliance und IT ein, um sicherzustellen, dass Ihr CRQ-Ansatz den konkreten Prioritäten Ihres Unternehmens entspricht. 

Eine unabhängige Prüfung durch Dritte in Betracht ziehen

Eine Bewertung Ihrer CRQ-Modelle durch externe Anbieter kann blinde Flecken aufdecken, Annahmen validieren und das Vertrauen von Führungskräften in Ihre Ergebnisse stärken. Eine unabhängige Validierung stärkt zudem interne Audits und unterstützt behördliche Untersuchungen.

CRQ auf Geschäftsziele abstimmen

Verknüpfen Sie CRQ-Outputs mit spezifischen Geschäftszielen, z. B. mit Betriebszeit (Uptime), der Einhaltung von Compliance-Auflagen oder Markenreputation.

CRQ zur strategischen Planung nutzen

Statt CRQ auf technische Entscheidungen zu beschränken, sollten CRQ-Outputs als Orientierungshilfe für die langfristige Budget-, Versicherungs- und Investitionsplanung herangezogen werden.

CRQ wird sich zu einem Eckpfeiler der Cybersecurity entwickeln: Immer mehr Unternehmen werden CRQ-Verfahren nutzen, um Budgets zu rechtfertigen und Investitionen basierend auf potenziellen Verlusten zu steuern.

Immer mehr Automatisierung und generative KI: Moderne CRQ-Tools werden zunehmend Automatisierung und künstliche Intelligenz (KI) beinhalten, um Daten schneller zu analysieren und Ergebnisse zu simulieren. Diese Funktionen werden manuelle Prozesse optimieren und Teams helfen, wirkungsvollere Maßnahmen zu ergreifen.

Verlagerung zu einer kontinuierlichen Quantifizierung von Risiken: CRQ wird sich keineswegs als einmalige Aufgabe sondern zunehmend als kontinuierliche Fähigkeit etablieren.

Stärkere Konzentration auf Risiken durch Dritte sowie Supply Chain-Risiken: Immer mehr Unternehmen werden CRQ-Verfahren zur Bewertung von finanziellen Risiken einsetzen, die von externen Stakeholdern ausgehen. Dadurch können Sicherheits- und Beschaffungsteams besser priorisieren, in welchen Bereichen Risiken entschärft werden müssen.

Was ist CRQ?
Verfahren zur Cyberrisiko-Quanbtifizierung (Cyber Risk Quantification, CRQ) dienen dem Zweck, finanzielle Verluste durch Cybersecurity-Bedrohungen zu beziffern. Hierbei kommen strukturierte Daten und Modellierung zum Einsatz, um Unternehmen aus geschäftlicher Sicht ein besseres Verständnis ihrer potenziellen Gefährdung durch Cyberrisiken zu vermitteln.

Warum ist CRQ nützlich?
CRQ verknüpft Cybersecurity-Risiken mit Geschäftsergebnissen, sodass Sie Maßnahmen priorisieren und die Zuweisung von Ressourcen durch messbare Ergebnisse rechtfertigen können.

Worin unterscheidet sich CRQ von einer gewöhnlichen Risikobewertung?
Anstatt sich ausschließlich auf statische Schwachstellenbewertungen anhand von Schweregraden wie „hoch“ oder „niedrig“ zu verlassen, quantifiziert CRQ Risiken aus finanzieller Sicht und liefert folglich eindeutigere Entscheidungsgrundlagen.

Welche Daten sind für CRQ notwendig?
Zur Quantifizierung von Cyberrisiken sind verschiedene Input-Daten notwendig: Asset-Bestandsverzeichnisse, bekannte Schwachstellen, Threat-Intelligence, vergangene Vorfälle und voraussichtliche geschäftliche Auswirkungen.

Können Cyberrisiken wirklich in Geldbeträgen gemessen werden?
Ja. Schätzungen variieren, doch CRQ-Verfahren vermitteln Ihnen eine grundlegende Vorstellung der potenziellen Verluste, die eine risikobasierte Planung und Kommunikation unterstützt.

Was ist das FAIR-Modell?
Das FAIR-Modell ist ein weit verbreitetes Framework, das Risiken nach zwei zentralen Elementen aufschlüsselt: Häufigkeit von Ereignissen und finanzielle Auswirkungen. Es trägt dazu bei, die Vorgehensweise bei der Analyse von Cyberrisiken zu standardisieren.

Wie genau ist CRQ?
Die Genauigkeit von CRQ-Outputs hängt von der Qualität und Vollständigkeit Ihrer Daten sowie von der Frage ab, wie häufig Sie entsprechende Modelle aktualisieren. Transparenz und Iteration verbessern Ergebnisse.

Welche Tools helfen bei CRQ?
Mithilfe von Plattformen wie Tenable One können Sie Exposure-Daten aggregieren, Risiken priorisieren und CRQ-Verfahren mit aktuellen, geschäftsbezogenen Erkenntnissen unterstützen.

Wer sollte in CRQ-Prozesse eingebunden sein?
CRQ-Verfahren erfordern funktionsübergreifende Input-Daten von Sicherheits-, IT-, Risiko- sowie Finanzteams und der Geschäftsleitung, um sicherzustellen, dass sich alle Beteiligten über Prioritäten und Gefährdungen im Klaren sind.

Wie häufig sollte CRQ erfolgen?
CRQ-Verfahren sollten regelmäßig durchgeführt werden (vierteljährliche Intervalle sind gängig) – oder jeweils im Anschluss an signifikante Änderungen innerhalb Ihrer Bedrohungslandschaft oder IT-Umgebung.

Aus welchen Gründen lässt sich CRQ nur schwer implementieren?
Eingeschränkte Sichtbarkeit von Daten, uneinheitliche Zuständigkeiten sowie die Aufgabe, technische Risiken mit aussagekräftigen geschäftlichen Auswirkungen in Verbindung zu bringen, bereiten einigen Unternehmen Schwierigkeiten.

Hilft CRQ bei Compliance-Aufgaben?
Ja. CRQ-Verfahren unterstützen die Einhaltung von Vorschriften (Compliance), indem Sicherheitskontrollen mit finanziellen Risiken auf eine Linie gebracht werden, um so die Audit-Vorbereitung und -Berichterstellung zu verbessern.

Inwiefern hilft CRQ bei Gesprächen mit Versicherern?
CRQ vermittelt Versicherern ein klareres Bild der potenziellen Gefährdung, sodass Sie bessere Konditionen aushandeln und eine auf Ihr Risikoprofil abgestimmte Versicherungsdeckung vereinbaren können.

Tenable vereinfacht die Quantifizierung von Cyberrisiken (CRQ) durch Funktionen, die die Datenerfassung, Risikomodellierung und geschäftsbezogene Berichterstellung unterstützen. Tenable One führt Exposure-Daten zu Schwachstellen, Assets, Cloud-Umgebungen sowie Identitäten zusammen und erstellt daraus eine ganzheitliche Ansicht Ihrer Cyberrisiken. Die Lösung baut auf grundlegenden Funktionen wie Schwachstellenmanagement und Exposure Management auf und verschafft Ihren Teams das Maß an Sichtbarkeit, das für eine zuverlässige Cyberrisiko-Quantifizierung notwendig ist.