Cyberrisiken verstehen und vermeiden

Heutzutage sind Unternehmen und Organisationen aller Größenordnungen und Branchen weltweit zunehmend von Cyberrisiken betroffen. Diese Risiken lassen sich zwar in Form von Datenverlust quantifizieren, aber Cyberrisiken haben weitreichendere Auswirkungen, wie etwa die Bedrohung Ihrer betrieblichen Ausfallsicherheit, potenzielle finanzielle Verluste sowie negative Folgen für Markennamen und Kunden.

Leider verfügen viele Unternehmen nicht über genügend qualifizierte Mitarbeiter, Zeit, Ressourcen oder Erfahrung, um die Risiken für ihr Unternehmen zu identifizieren oder Pläne zu entwickeln, um sie zu priorisieren und zu beseitigen.

Zudem arbeiten Bedrohungsakteure auf Hochtouren in der Hoffnung, dass Sie noch nicht alle Risiken in Ihrem Unternehmen entschärft haben. Sie warten die richtige Gelegenheit ab, um eine Cyberbedrohung auszunutzen und von Ihren Schwächen zu profitieren – mit möglicherweise katastrophalen Folgen.

Teams arbeiten unaufhörlich daran, Cyberrisiken in den Griff zu bekommen. Doch Tatsache ist, dass die Liste immer länger, vielfältiger und komplexer wird. Erschwerend kommt hinzu, dass viele Unternehmen die Analyse und das Management von Cyberrisiken bewältigen und dabei gleichzeitig aktiv auf mehrere Risiken und Störungen reagieren müssen.

Laut dem Allianz Risk Barometer 2023 sind Cyberrisiken die Hauptursache für die Besorgnis hinsichtlich Betriebsunterbrechungen und führen die Liste im zweiten Jahr in Folge an. Dazu gehören Vorfälle wie IT-Ausfälle, Datenpannen und Ransomware-Angriffe. Und in 19 Ländern wird Cyberrisiko zudem als die größte Gefahr angesehen.

Da Cyberrisiken ständig zunehmen und sich verändern, sind die Risiken und die damit verbundenen Maßnahmen zur proaktiven Erkennung und Eindämmung nicht mehr nur Gegenstand von Gesprächen unter IT-Experten. Sie erhalten immer mehr Aufmerksamkeit auf Vorstands- und Geschäftsführungsebene. In vielen Fällen fällt Cyber-Risikomanagement zunehmend in den Zuständigkeitsbereich von Führungskräften und wichtigen Stakeholdern, so der Bericht. Einige neue Gesetze und andere Bestimmungen machen es sogar zu einer Auflage für die Compliance. Beispielsweise verlagern die neuen Richtlinien der SEC zur Offenlegung von Cybervorfällen einen Teil der Verantwortung für das Cyber-Risikomanagement ausdrücklich auf die Vorstandsebene.

Cyber-Versicherungsgesellschaften nehmen ebenfalls Best Practices für das Cyber-Risikomanagement genauer unter die Lupe. Bislang verlangten Versicherer von Unternehmen lediglich eine Bescheinigung, dass sie über Cybersecurity-Kontrollen und -Strukturen verfügen, um Versicherungsschutz zu erhalten. Inzwischen gehen die meisten Versicherungsträger weit darüber hinaus und verlangen jetzt auch Nachweise, dass diese Kontrollen vorhanden sind und wie vorgesehen funktionieren. In einigen Fällen müssen Unternehmen sich sogar Tests und Übungen durch Dritte unterziehen, um ihren Versicherungsschutz aufrechtzuerhalten.

Das National Institute of Standards and Technology (NIST) definiert diesen Begriff als das Risiko „eines finanziellen Verlusts, einer betrieblichen Störung oder eines Schadens, welches im Zusammenhang mit dem Ausfall der zu Informations- und/oder Betriebszwecken eingesetzten digitalen Technologien besteht und bedingt durch Elektronik in einem Fertigungssystem entstanden ist – durch unbefugten Zugriff, Nutzung, Offenlegung, Störung, Modifizierung oder Zerstörung des Fertigungssystems“.

Einfacher ausgedrückt: Im Cyberrisiko wird die Wahrscheinlichkeit berücksichtigt, mit der ein Angreifer eine Cyberbedrohung ausnutzt, sowie die potenziellen Auswirkungen eines Angriffs. Das sieht ungefähr so aus:

Das Cyberrisiko bezeichnet das Risiko möglicher negativer Auswirkungen auf Ihr Unternehmen, wenn Ihre Informationssysteme ausfallen oder durch unbefugte Nutzung oder Zugriff gestört, beschädigt oder zerstört werden. Es geht also um die Wahrscheinlichkeit, dass ein Cybervorfall Ihr Unternehmen gefährdet oder schädigt.

Bei Cyberrisiken könnte man speziell an einen Ausfall von Technologien und Datenverlust denken, doch sie können auch Marken- und Reputationsschäden, Produktivitätsverluste und Umsatzeinbußen zur Folge haben. Und es gibt mehrere Arten von Cyberrisiken: Im Allgemeinen stehen beim Cyberrisiko solche Risiken im Vordergrund, die sich aus der Geschäftstätigkeit in einer vernetzten Online-Welt ergeben, doch es können auch andere Bedrohungen vorliegen, beispielsweise Insider-Bedrohungen oder Wirtschaftsspionage.

Denn Cyberrisiken können intern (z. B. Insiderbedrohungen) oder extern (z. B. Cyberangreifer) sein.

Die Ausnutzung von Cyberrisiken ist in der Regel beabsichtigt, zum Beispiel durch einen Bedrohungsakteur, der eine bekannte Schwachstelle ausnutzt. Aber sie kann aber auch versehentlich erfolgen, etwa durch die versehentliche Exposition von Daten (z. B. wenn eine E-Mail mit sensiblen oder geschützten Informationen versehentlich an einen nicht vorgesehenen oder nicht autorisierten Benutzer gesendet wird).

Cyberrisiken können auch aus betriebsbedingten IT-Problemen resultieren, etwa aus unzureichender Systemintegrität oder aus der mangelnden Implementierung von Best Practices für Informationstechnologie, Risikomanagement oder Cybersecurity.

Die Begriffe Cyberrisiko und Cyberbedrohungen werden zwar oft synonym verwendet, sind aber nicht gleichbedeutend. Als Cyberbedrohung wird im Allgemeinen jeder Vorfall bezeichnet, bei dem die Informationssysteme eines Unternehmens durch unbefugten Zugriff beeinträchtigt werden könnten, einschließlich der Möglichkeit der Vernichtung, Modifizierung oder unbefugten Veröffentlichung von Daten. Angreifer nutzen Cyberbedrohungen oftmals im Rahmen von böswilligen Aktionen aus, die darauf abzielen, Daten zu beschädigen oder zu stehlen.

Das Cyberrisiko ist die potenzielle Auswirkung (oder die Gefahr) einer Cyberbedrohung, die sich negativ auf Ihr Unternehmen auswirkt. Beim Risiko geht es darum, das Potenzial für Verluste zu betrachten, nicht nur in Bezug auf Systeme und Daten, sondern auch in finanzieller Hinsicht und in Bezug auf Ihre Reputation und Ihre Fähigkeit, geschäftlich tätig zu sein.

Das Thema Cyberrisiko ist für alle Unternehmen relevant, denn heutzutage ist kein Unternehmen vor einem potenziellen Cyberangriff oder anderen Cybersecurity-Problemen mit großem Störpotenzial sicher. Früher ging man in der Branche davon aus, dass nur Großunternehmen von Cyberkriminalität betroffen sind, da das Potenzial für umfangreichen Datendiebstahl und finanziellen Zugewinn größer ist. Doch heutzutage sind alle Unternehmen, deren Systeme Daten erstellen, speichern, verarbeiten oder übertragen, potenziell gefährdet.

Und da immer mehr Unternehmen Cloud Services Provider (CSPs) in einer gemeinsam genutzten Umgebung nutzen, könnten Angreifer ein noch größeres Interesse daran haben, diese Cyberbedrohungen auszunutzen, da sie sich unbemerkt über längere Zeiträume hinweg lateral in vernetzten Systemen fortbewegen können, was wiederum das Potenzial für größere negative Auswirkungen auf den Betrieb birgt.

Cyber-Risikomanagement ist zentraler Bestandteil eines ausgereiften Cybersecurity-Programms. Es kann Sie dabei unterstützen, all Ihre Assets und sensiblen und geschützten Daten besser abzusichern. Viele Compliance- und gesetzliche Auflagen schreiben ein gewisses Maß an Cyberrisiko-Management vor.

Cyberrisiken sind auch für Ihr Unternehmen relevant, denn wenn Sie feststellen, wo diese Risiken vorhanden sind, können Sie Ihre Verfahren für operative Resilienz verbessern und proaktive und reaktive Schutzmaßnahmen entwickeln, um Angreifer am Diebstahl Ihrer Daten zu hindern. Dies betrifft nicht nur Ihre Kundendaten, sondern kann auch geistiges Eigentum und Finanzdaten Ihres Unternehmens umfassen. Da sich die verschiedenen Arten von Cyberbedrohungen weiterentwickeln und sie an Komplexität zunehmen, sind viele Unternehmen bedauerlicherweise einfach nicht in der Lage, mit dieser Entwicklung Schritt zu halten. Die ohnehin schon unterbesetzten IT- und Sicherheitsteams sind überlastet, und vielen fehlen die erforderlichen Tools und Ressourcen, um alle ermittelten Cyberrisiken effektiv zu managen. Dies gilt insbesondere für Unternehmen, die mit traditionellen Tools zur Schwachstellenbewertung wie dem Common Vulnerability Scoring System (CVSS) arbeiten.

Da sich die verschiedenen Arten von Cyberbedrohungen weiterentwickeln und sie an Komplexität zunehmen, sind viele Unternehmen bedauerlicherweise einfach nicht in der Lage, mit dieser Entwicklung Schritt zu halten. Bereits unterbesetzte IT- und Sicherheitsteams sind überlastet und vielen mangelt es an den notwendigen Tools und Ressourcen, um alle identifizierten Cyberrisiken effektiv zu managen – insbesondere in Unternehmen, die traditionelle Tools zur Bewertung von Schwachstellen wie das CVSS einsetzen.

Unternehmen werden immer größer und führen dabei mehr und mehr Technologien und Assets ein. In Verbindung mit der fortgesetzten Migration in die Cloud hat dies zur Folge, dass auch Sicherheitsinfrastruktur komplexer wird. Teams haben oft keine Kontrolle darüber, was mit Anwendungen von Drittanbietern geschieht, wodurch noch mehr Cybersecurity-Risiken in Umgebungen entstehen.

Ja, zwischen Cyberrisiken und Cybersecurity besteht ein Zusammenhang. Cybersecurity umfasst sämtliche Technologien, Prozesse und Verfahren, mit denen Ihr Unternehmen Systeme und Daten schützt. Ihre Cybersecurity-Verfahren können dazu beitragen, Cyberrisiken einzudämmen und zu beseitigen, indem Cyberbedrohungen auf direktem Weg angegangen und Lücken in Ihrem Sicherheitsprogramm identifiziert und geschlossen werden. Ein Cyberangriff ist ein Beispiel für ein Cyberrisiko, das für Ihr Unternehmen besteht. Mit Ihren Cybersecurity-Verfahren können Sie dazu beitragen, die Wahrscheinlichkeit und potenziellen Auswirkungen im Zusammenhang mit diesem Risiko zu verringern.

Ja, es gibt unterschiedliche Arten von Cyberrisiken. Einige Cyberrisiken treten intern, andere extern auf. Einige Beispiele für interne Cyberrisiken sind: Verlust oder Diebstahl von Geräten, mangelhafte Cyberhygiene unter Mitarbeitern, mangelnde Ausbildung und Schulung von Mitarbeitern, unbefugte Nutzung von Geräten, unbefugter Zugriff auf Daten, Wirtschaftsspionage, verärgerte Mitarbeiter, die Reputations- oder andere Schäden anrichten wollen, Datendiebstahl sowie die Löschung oder Beschädigung von Daten und Systemen.

Laut dem 2023 Insider Threat Report von Cybersecurity Insiders geben 74 % der Unternehmen an, dass Insider-Angriffe häufiger geworden sind. Bei mehr als der Hälfte der Unternehmen hat es im letzten Jahr eine Insider-Bedrohung gegeben, und knapp 10% geben an, dass über 20 Bedrohungen vorgekommen sind. VentureBeat kam zu ähnlichen Ergebnissen. Die Befragten meldeten, dass fast 20 % der Verstöße intern verursacht wurden, und viele CISOs gaben an, dass sie es schwierig finden, diese Art von Verstößen zu verhindern.

Der 2023 Data Breach Investigations Report von Verizon hat ergeben, dass bei drei von vier Sicherheitsverletzungen der Faktor Mensch eine Rolle spielt, wobei Social Engineering zu den häufigsten Angriffsmethoden gehört.

Cyberrisiken durch Insider mögen zwar zunehmen, doch der Großteil der heutigen Cyberrisiken geht von externen Quellen aus, wie beispielsweise Ransomware-Angriffe, Phishing-Kampagnen, die Ausnutzung von Schwachstellen und Hacking. Externe Cyberrisiken beziehen sich im Allgemeinen auf externe Bedrohungen durch Outsider, die versuchen, sich unbefugten Zugriff auf Ihre Systeme und Ihr Netzwerk zu verschaffen. Dies kann auch eine versuchte Entwendung oder Kompromittierung der sensiblen Daten Ihres Unternehmens beinhalten.

Der Bericht Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb von Tenable, der unabhängig von Ponemon Institute LLC durchgeführt wurde, identifiziert einige wichtige KPIs, die Unternehmen zur Messung des Cyberrisikos verwenden können:

• Zeit bis zur Bewertung des Cyberrisikos

• Zeit bis zur Behebung des Cyberrisikos

• Identifizierung von OT- und IoT-Assets, die anfällig für Cyberrisiken sind

• Effektivität bei der Priorisierung von Cyberrisiken

In dem Bericht wurden außerdem weitere KPIs zur Messung der finanziellen Folgen von Cyberrisiken ermittelt, darunter:

• Umsatzeinbußen

• Produktivitätsverlust

• Rückgang des Aktienkurses

Traditionelle Ansätze für die Messung von Cybersecurity Risiken sind oft unzureichend. Der Grund dafür? Sie schenken der technischen Seite von Cyberrisiken sehr viel Beachtung, ohne sich genauer mit anderen Faktoren zu befassen, wie etwa mit den geschäftlichen und finanziellen Auswirkungen. Außerdem sind einige KPIs im Regelfall nicht sehr strategisch und viele legen den Schwerpunkt nicht auf die Notwendigkeit, Risiken für eine effektive Behebung und Reduzierung von Cyberrisiken zu priorisieren. Tatsächlich gaben etwa 30 % der Umfrageteilnehmer an, dass sie KPIs nicht mit ihrer Fähigkeit zur Eindämmung von Cyberrisiken in Beziehung setzen können.

Noch schlimmer ist: 30 % der Teilnehmer dieser Umfrage gaben an, diese KPIs nicht mit ihrer Fähigkeit zur Eindämmung von Cyberrisiken in Verbindung bringen zu können.

Eine Reihe von Unternehmen in dieser Umfrage gaben außerdem an, dass die Kosten von Cyberrisiken überhaupt nicht gemessen werden. Warum das wichtig ist? Die Messung der finanziellen Kosten von Cyberrisiken verdeutlicht die Bedeutung und den Nutzen Ihrer Cybersecurity- und Risikomanagement-Programme gegenüber Ihren Führungskräften und wichtigen Stakeholdern. Diese Verantwortlichen werden wichtige geschäftliche Entscheidungen treffen, die sich auf die Unterstützung Ihres Programms auswirken werden, etwa im Hinblick auf Personal, Zeitfenster, Finanzen und Ressourcen.

Selbst wenn sie einige schlagzeilenträchtige Ereignisse in den Nachrichten verfolgt haben, können viele Führungskräfte die Tragweite und Auswirkungen von Cyberrisiken in der Regel nicht nachvollziehen. Durch Quantifizierung der Kosten von Cyberrisiken können Sie sich effektiver in einer für Führungskräfte verständlichen Sprache artikulieren – einer Sprache, die den Unternehmenszielen und -vorgaben Rechnung trägt. Betrachten Sie die Messung von Cyberrisiken als eine Möglichkeit, Ihren Anwendungsfall in einer Weise zu gestalten, die direkt mit Ihrer operativen Resilienz zusammenhängt.

Exposure-Management setzt sich eingehender mit Risiken auseinander und analysiert nicht nur, welche Risiken vorhanden sind, sondern auch, welche Auswirkungen sie haben können, welche Prioritäten bei der Beseitigung dieser Risiken gesetzt werden müssen und was zu tun ist, um Cyberrisiken mit der Zeit zu reduzieren.

Beim Exposure-Management geht es um den Umgang mit Cyberrisiken.

Wenn Sie Ihr Cyberrisiko verstehen, wird Ihr Unternehmen besser darauf vorbereitet sein, einige wichtige und oft übersehene Fragen auf quantifizierbare Weise zu beantworten. Zum Beispiel: Wie sicher ist Ihr Unternehmen?

Exposure-Management hilft Ihnen dabei, sich eingehender mit all Ihren Assets in sämtlichen Umgebungen auseinanderzusetzen, und vermittelt Ihnen ein Verständnis davon, wo Schwachstellen und andere Sicherheitsprobleme vorliegen. Anschließend können Sie priorisieren, wann und wie Cyberrisiken zu beheben sind – anhand von konkreten Informationen zur Ausnutzung von Schwachstellen sowie einer Reihe weiterer Faktoren, die sich speziell auf Ihre Geschäftstätigkeit sowie darauf beziehen, welcher direkte Bezug zwischen Ihren Risikomanagement-Prozessen und geschäftlichen Zielen und Vorgaben besteht. Wenn Sie Ihr Risikomanagement-Programm für die Cybersicherheit auf Ihren Cybersecurity-Lebenszyklus abstimmen, ist Ihr Unternehmen in der Lage, diese Schlüsselfragen mit Zuversicht zu beantworten:

• Wo ist das Unternehmen gefährdet?

• Wo sollten wir Prioritäten auf Basis von Cyberrisiken setzen?

• Reduzieren wir unsere Gefährdung allmählich?

• Wo stehen wir beim Management von Cyberrisiken im Vergleich?

Mit Exposure-Management ist Ihr Unternehmen besser darauf vorbereitet, sämtliche Cyberrisiken in der gesamten Angriffsoberfläche zu erkennen – oder einfach ausgedrückt: alles zu sehen. Dies bezieht sich nicht nur auf Ihre klassischen IT-Assets. Es geht auch darum, Cyberrisiken von DevOps bis zur Bereitstellung und darüber hinaus aufzudecken, einschließlich Ihrer Cloud-Umgebungen, Umgebungen mit operativer Technologie und sogar Ihrer Web-Apps.

Doch mit dem Aufspüren dieser Cyberrisiken ist es nicht getan. Exposure-Management hilft Ihnen außerdem vorherzusagen, welche Cyberrisiken tatsächlich ein potenzielles Sicherheitsproblem für Ihr Unternehmen darstellen, jetzt und in naher Zukunft. Tenable-Produkte verfügen beispielsweise über integrierte prädiktive Funktionen, die Sie mithilfe von maschinellem Lernen dabei unterstützen, Ihre Strategie zur Risikobeseitigung nach Prioritäten auszurichten.

Und bei der Behebung dieser priorisierten Probleme ist kein Rätselraten nötig. Durch den Einsatz einer Exposure-Management-Plattform wie Tenable können Sie sogar Best-Practice-Empfehlungen für den Umgang mit Cyberrisiken erhalten, um die Wahrscheinlichkeit zu verringern, dass ein geschäftsschädigender Cybervorfall eintritt.

Cyber-Risikomanagement ist ein unverzichtbarer Bestandteil der Cybersecurity. Wenn Ihr Unternehmen ein Cyber-Risikomanagement-Programm entwickelt, kann es nicht nur besser nachvollziehen, welche Risiken bestehen, sondern auch welche potenziellen Auswirkungen sich ergeben und wie diese Risiken eingedämmt werden können.

Cybersecurity-Risikomanagement kann Ihre Teams bei der Entwicklung von Verfahren unterstützen, um Cyberrisiken zu identifizieren, Cybersecurity-Reaktionsmaßnahmen auf der Grundlage der potenziellen negativen Auswirkungen auf Ihr Unternehmen zu priorisieren und dann einen Risikomanagementplan auszuarbeiten, um diese Risiken entsprechend ihrer Bedeutung für Ihr Unternehmen zu behandeln.

In einer perfekten Welt wären Cybersecurity-Teams in der Lage, jeden potenziellen Cyberangriff zu verhindern. Das ist einfach nicht möglich. Ihr Cybersecurity-Risikomanagement-Programm kann Ihnen jedoch helfen, Pläne zu erarbeiten, die proaktiv, anpassungsfähig und flexibel sind, sodass Sie jederzeit bereit sind, Cyberrisiken zu begegnen, ungeachtet ihrer Art oder Komplexität. Sie können Ihr Cyber-Risikomanagement-Programm auf den Cybersecurity Lifecycle abstimmen. Dadurch sind Sie besser in der Lage, Cyberrisiken zu identifizieren, die Angriffsoberfläche zu schützen auf Cybervorfälle zu reagieren und eine schnelle Wiederherstellung zu erreichen.

Dieser Lebenszyklus findet in einem ausgereiften Cyber-Risikomanagement-Programm nicht nur sporadisch Berücksichtigung. Stattdessen handelt es sich um einen fortlaufenden Prozess, bei dem Sie kontinuierlich Lücken und Schwachpunkte identifizieren, sie verbessern und dann erneut testen, um sicherzustellen, dass Ihr Cybersecurity-Risikomanagement mit der Entwicklung Ihres Unternehmens und der Bedrohungslandschaft Schritt hält.

Cyber-Risikomanagement ist wichtig, weil es Ihrem Unternehmen helfen kann, Cyberrisiken effektiver zu ermitteln, diese Risiken zu priorisieren und zu beheben oder zu entschärfen – mit dem Ziel, die Häufigkeit und Wahrscheinlichkeit von Cyber-Vorfällen zu reduzieren, die sich negativ auf den Betrieb auswirken.

Ihr Plan zum Umgang mit Cyberrisiken kann helfen sicherzustellen, dass in Ihrem Unternehmen die notwendigen proaktiven und reaktiven Cybersecurity-Maßnahmen vorhanden sind, um es vor Cybervorfällen zu schützen. Dadurch wird das Risiko eines potenziellen Angriffs effektiv reduziert.

Häufig gibt es eine Kluft zwischen IT- und Sicherheitsteams und deren Führungskräften und wichtigen Stakeholdern. Ein Cyber-Risikomanagement-Programm spielt eine wichtige Rolle dabei, diese Kluft zu überbrücken. Es kann Ihnen helfen, die Anforderungen und den Nutzwert Ihres Programms in Zahlen auszudrücken – auf eine Art und Weise, die die Geschäftsführung versteht. Beispielsweise lässt sich quantifizieren, wie Ihre Strategien zur Reduzierung von Cybersecurity-Risiken die Kosten für Ihr Unternehmen senken und operative Resilienz gewährleisten können.

Und weil Cyber-Risikomanagement einfach gute Geschäftspraxis ist, kann es den Ruf Ihres Unternehmens bei Ihren Kunden und in der Öffentlichkeit stärken und sich möglicherweise positiv auf Ihren Markt auswirken. Wenn Sie nachweisen, dass Ihr Unternehmen Cyber-Risikomanagement ernst nimmt und Sie branchenweit anerkannte Best Practices einsetzen, können Sie Vertrauen in Ihre Marke aufbauen und Ihren Ruf verbessern, was zur Gewinnung von Neukunden wie auch zur Bindung von Bestandskunden von Vorteil ist.

Mit der Implementierung eines Cyber-Risikomanagement-Programms sind einige weitere Vorteile verbunden, darunter größere Zuversicht bezüglich Ihrer Fähigkeiten, Compliance-, gesetzliche und andere Auflagen zu erfüllen, weniger (oder idealerweise gar keine) Ausfallzeit, wenn ein Cybervorfall eintritt, wenig oder gar kein Datenverlust infolge eines Cybervorfalls sowie ein besseres Verständnis davon, wie sich Cyberrisiken auf die operative Resilienz auswirken können und wie sich dies vermeiden lässt.

In vielen Unternehmen ist der Chief Information Officer für das Cyber-Risikomanagement verantwortlich, wozu auch die Bewertung von Cyberrisiken in Bezug auf Geschäftsrisiken gehört. Allerdings kommt diese Aufgabe in einigen Unternehmen auch einem Chief Information Security Officer, Chief Technology Officer, Chief Risk Officer oder einem Chief Security Officer zu.

Bei der Aufstellung eines Plans für das Cyber-Risikomanagement besteht der grundlegende Schritt in der Durchführung einer Risikobewertung. Je nach Branche oder gesetzlichen Vorgaben kann dieser Schritt auch als Risikoanalyse bezeichnet werden, beispielsweise im Gesundheitswesen.

Bevor Sie Ihre Risiken vollständig ermitteln und verstehen können, kann es hilfreich sein, gängige Cyberrisiken besser zu verstehen. In einigen Teams gibt es qualifizierte Fachkräfte, die sich vorrangig mit diesem Thema befassen. Doch die meisten Unternehmen verfügen einfach nicht über ausreichend Zeit oder Ressourcen, um mit der sich wandelnden Bedrohungslandschaft Schritt zu halten. Wenn Ihnen das bekannt vorkommt, könnte Ihnen die Zusammenarbeit mit einem Unternehmen weiterhelfen, das Recherchen dieser Art für Sie übernimmt – beispielsweise das kompetente Team von Tenable Research.

Sobald Sie eine Vorstellung von der aktuellen Bedrohungslandschaft entwickelt haben, könnten weitere Recherchen von Vorteil sein (sofern noch nicht erfolgt), um besser nachzuvollziehen, wie Bedrohungsakteure vorgehen, was sie motiviert und wie einige Unternehmen aus Ihrer Branche auf erfolgreiche Angriffe reagiert haben und zu Wiederherstellungsmaßnahmen übergegangen sind.

Mit diesen Informationen zur aktuellen Bedrohungslandschaft und zu den Motiven und Vorgehensweisen von Angreifern sind Sie besser in der Lage, Ihre Risikobewertung bzw. Risikoanalyse zu starten. An dieser Stelle sollte Ihre Risikoanalyse all Ihren kritischen Assets und Geschäftsfunktionen sowie den potenziellen Auswirkungen Rechnung tragen, die eine Cyberbedrohung auf Ihre Fähigkeit haben könnte, den Normalbetrieb mit diesen Assets und Services aufrechtzuerhalten.

Die Leitlinien des NIST können Sie bei der Durchführung einer formellen Risikobewertung unterstützen, worauf wir unten genauer eingehen. Wenn Sie aber jetzt schon Näheres zu diesem Thema erfahren möchten, finden Sie ausführlichere Informationen im Information Security Guide des NIST.

Eine Risikobewertung bietet mehrere Vorteile. Sie wird nicht nur zu einem treibenden Faktor für die Weiterentwicklung Ihrer Cyber-Hygiene-Praktiken, sondern hilft auch dabei, die Brücke zwischen den IT- und Sicherheitszielen und den geschäftlichen Zielen Ihres Unternehmens zu schlagen. Denken Sie daran: Dies ein wichtiger Schritt, um die Unterstützung von Führungskräften zu gewinnen und sie von Ihrem Cyber-Risikomanagement-Programm zu überzeugen.

Ein Cyber-Risikomanagement-Programm kann insbesondere Unternehmen, die Compliance- und Regulierungsauflagen erfüllen müssen, zu einem besseren Verständnis der unmittelbaren Wechselbeziehung zwischen ihren Cyberrisiken und ihren wichtigsten Sicherheitszielen verhelfen, wie beispielsweise die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten.

Ja, es gibt mehrere Frameworks, die Sie bei der Analyse von Cyberrisiken sowie deren Management unterstützen können. Hier einige Beispiele:

• NIST Risk Management Framework

• NIST Cybersecurity Framework

• ISO 27001

Obwohl es eine Reihe von Überlegungen gibt, die bei der Auswahl des für Ihr Unternehmen am besten geeigneten Frameworks für das Cyber-Risikomanagement berücksichtigt werden müssen, weisen die meisten dieser Frameworks gemeinsame Themen auf.

Das NIST Risk Management Framework (RMF) beispielsweise sieht einen Prozess mit sieben Schritten vor, der Ihr Unternehmen dabei unterstützt, Risiken auf Basis der Standards und Leitlinien des NIST zu managen.

Hier ein Überblick über einige wichtige RMF-Bereiche und deren potenzielle Anwendbarkeit im Rahmen Ihres Cyber-Risikomanagement-Programms:

1. Entwickeln Sie grundlegende Aktivitäten, die Ihr Unternehmen auf das Management von Risiken vorbereiten

2. Kategorisieren Sie Systeme und sämtliche verarbeiteten, gespeicherten und übertragenen Daten anhand einer Auswirkungsanalyse

3. Wählen Sie auf Grundlage Ihrer Risikobewertung(en) NIST SP 800-53-Kontrollen zum Schutz aus

4. Implementieren Sie Kontrollen und dokumentieren Sie, wie diese eingesetzt werden

5. Führen Sie Bewertungen durch, um sicherzustellen, dass effektive Kontrollen vorhanden sind und dass diese Kontrollen wie vorgesehen funktionieren und die beabsichtigten Ergebnisse liefern

6. Stellen Sie sicher, dass die Geschäftsleitung bei der Autorisierung des Systembetriebs risikobasierte Entscheidungen trifft

7. Überwachen Sie die Implementierung von Kontrollen sowie Systemrisiken kontinuierlich

Eine weitere nützliche Ressource ist das NIST Cybersecurity Framework (CSF), das eine Reihe freiwilliger Standards zur Verwaltung und Eindämmung von Cyberrisiken enthält.

Das NIST CSF kann Sie dabei unterstützen, Cyberrisiken zu identifizieren und Pläne zur Behebung von Risiken auszuarbeiten, die im Hinblick auf die geschäftlichen Ziele Ihres Unternehmens relevant sind.

Darüber hinaus könnten auch die ISO 27001-Standards für Sie interessant sein, die Sie bei der Entwicklung, Implementierung und Verwaltung von Prozessen unterstützen – wie etwa beim Cyber-Risikomanagement.

Und schließlich ist SOC2 (auch bekannt als System and Organization Controls 2) ein weiteres nützliches Framework für Cyber-Risikomanagement, das Unternehmen bei der Verwaltung von Cyberrisiken unterstützen kann.

Bei der Ermittlung des für Ihr Unternehmen am besten geeigneten Frameworks für Cyber-Risikomanagement sind mehrere Faktoren zu berücksichtigen.

Berücksichtigen Sie die Größe Ihres Unternehmens, die Menge und die Typen der Assets, die Typen und die Komplexität Ihrer Technologiearchitektur (z. B. herkömmliche IT, OT, Webanwendungen, die Cloud usw.), die von Ihrem Unternehmen gespeicherten, übertragenen und verarbeiteten Daten, wo Sie diese Daten nutzen oder speichern, und natürlich die aktuelle Bedrohungslage.

Benötigen Sie Hilfe bei der Auswahl des passenden Cyberrisiko-Frameworks für Ihr Unternehmen? Der Sicherheitsansatz der nächsten Generation von Tenable könnte genau das sein, wonach Sie suchen. Hier erfahren Sie mehr über die Tenable-Unterstützung von Sicherheits-Frameworks.

Es gibt eine Reihe von Best Practices, die Ihr Unternehmen einsetzen kann, um Cyberrisiken besser zu managen. Ziehen Sie die Einführung eines Frameworks für Cyber-Risikomanagement in Betracht, wie etwa das NIST Risk Management Framework, falls Sie dies noch nicht getan haben. Mit einem Framework für Cyber-Risikomanagement können Sie Pläne ausarbeiten, um Cyberrisiken Ihres Unternehmens zu identifizieren, diese Risiken einzudämmen und sie anhand der potenziell größten Auswirkungen auf Ihr Unternehmen zu priorisieren, sodass Sie eine Strategie zu ihrer Behebung entwickeln können.

Hier einige weitere Best Practices, die Sie dabei unterstützen können, Cybersecurity-Risiken besser zu erkennen, vorherzusagen und darauf zu reagieren:

1. Identifizieren und inventarisieren Sie all Ihre Assets und nehmen Sie regelmäßige Aktualisierungen vor. Denken Sie daran: Wenn Sie gar nicht wissen, welche Assets vorhanden sind, können Sie auch nicht wissen, wo möglicherweise Cybersecurity-Risiken vorliegen.

2. Identifizieren Sie Ihre kritischen Betriebsabläufe und führen Sie sich vor Augen, wie sich Ausfälle oder Störungen dieser Abläufe auf Ihre Fähigkeit auswirken könnten, den Normalbetrieb fortzuführen.

3. Nutzen Sie ein Tool wie beispielsweise Tenable Nessus, um Prozesse zu automatisieren, mit denen potenzielle Schwachstellen oder Sicherheitsprobleme kontinuierlich identifiziert werden.

4. Nutzen Sie Tools für maschinelles Lernen und Predictive Prioritization wie Tenable Lumin, um Schwachstellen danach zu priorisieren, mit welchen wahrscheinlich die größten potenziellen Auswirkungen auf Ihr Unternehmen verbunden sind – jetzt und in naher Zukunft.

5. Wenden Sie einen risikobasierten Ansatz für das Schwachstellen-Management an, um Ihre Cyberrisiken zu managen, einzudämmen und zu beheben.

Es gibt zwar eine Reihe von Tools auf dem Markt, die Teams bei der schnellen und automatischen Identifizierung von Schwachstellen und anderen Cybersecurity-Risiken helfen können, doch die Priorisierung von Cybersecurity-Risiken kann eine Herausforderung sein. Die meisten IT- und Sicherheitsteams tun sich schwer damit, diese Schwachstellen zu beheben. Besonders schwierig ist dies für Unternehmen, die sich ausschließlich auf das traditionelle CVSS-System verlassen, um Schwachstellen für die Behebung zu priorisieren.

Wenn das CVSS zur Priorisierung eingesetzt wird, besteht das häufigste Problem darin, dass es im Allgemeinen nur den technischen Schweregrad einer Schwachstelle berücksichtigt. CVSS berücksichtigt keine anderen wichtigen Faktoren, z. B. ob bereits ein Exploit in freier Wildbahn bekannt ist oder wie groß die Wahrscheinlichkeit ist, dass ein Angreifer die Schwachstelle jetzt oder in naher Zukunft ausnutzen wird:

Die gute Nachricht ist jedoch, dass es eine effektivere und effizientere Alternative gibt, die Ihr Unternehmen dabei unterstützen kann, Cyberrisiken effektiv zu priorisieren: das Vulnerability Priority Rating (VPR) von Tenable. Im Gegensatz zum CVSS bietet Ihnen das VPR eine leicht verständliche Bewertung, die auf die speziellen Anforderungen Ihres Unternehmens direkt übertragbar ist. Dadurch wissen Sie, welche identifizierten Schwachstellen Ihrer Aufmerksamkeit zuerst bedürfen.

Und anders als beim CVSS, bei dem eine hohe Anzahl von Schwachstellen (sprich mehrere Zehntausend) als „hoch“ oder „kritisch“ eingestuft wird, reduzieren die maschinellen Lernalgorithmen des VPR diese Zahl um mehrere Tausend. Dadurch wird sichergestellt, dass Schwachstellen, die auf Ihrer Plattform als „hoch“ oder „kritisch“ eingestuft werden, in der Tat Ihre Aufmerksamkeit erfordern. Durch Priorisierung der Cybersecurity-Risiken ist Ihr Unternehmen besser dazu in der Lage, Pläne zu entwickeln, zu testen und umzusetzen, die Ihre Risiken effektiv eindämmen. Parallel dazu sinkt auch die Häufigkeit von Angriffen und ihre Auswirkungen werden reduziert, sodass Sie rasch zu Wiederherstellungsmaßnahmen übergehen und schnellstmöglich zum Normalbetrieb zurückkehren können.

Durch Priorisierung der Cybersecurity-Risiken ist Ihr Unternehmen besser dazu in der Lage, Pläne zu entwickeln, zu testen und umzusetzen, die Risiken effektiv eindämmen. Parallel dazu sinkt auch die Häufigkeit von Angriffen und ihre Auswirkungen werden reduziert, sodass Sie rasch zu Wiederherstellungsmaßnahmen übergehen und schnellstmöglich zum Normalbetrieb zurückkehren können.

Die heutige Bedrohungslandschaft entwickelt sich ständig weiter und wird zunehmend komplexer, was auch für die Methoden gilt, mit denen Bedrohungsakteure die Cyberrisiken Ihres Unternehmens ausnutzen. Diese Liste ändert sich regelmäßig, und obwohl sie nicht vollständig ist, finden Sie hier einige Beispiele für die größten Cyberrisiken, denen Unternehmen heute ausgesetzt sind:

• Malware

• Ransomware

• Phishing-Kampagnen

• Social Engineering

• Unzureichendes Passwortmanagement

• Ineffektive Identitäts- und Zugriffsverwaltung (IAM)

• Insider-Bedrohungen

• DDoS-Angriffe

• SQL-Injektion

• Supply Chain-Risiken sowie Risiken durch Dritte

• Unzureichende Cyberhygiene

• Cloud-Schwachstellen

• Fehlkonfigurationen

• Schwachstellen und Fehlkonfigurationen in Code (Infrastructure as Code)

• Sicherheitsschwachstellen in Active Directory

• IT-Ausfälle

• Cyberübergriffe und Offenlegung von Datensätzen

Das NIST definiert eine Cyberrisiko-Bewertung „als Prozess der Identifizierung von Risiken, die aus dem Betrieb eines Informationssystems resultieren und den Unternehmensbetrieb (darunter Mission, Funktionen, Image, Reputation), Assets des Unternehmens, Einzelpersonen, andere Unternehmen und Organisationen sowie die gesamte Nation betreffen“.

Eine Bewertung des Cyberrisikos ist Bestandteil des Risikomanagements. Sie umfasst Bedrohungs- und Schwachstellenanalysen und zieht Risikominderungsmaßnahmen aus Sicherheitskontrollen in Betracht, die bereits vorhanden sind oder deren Implementierung geplant ist.

Im Kontext des NIST werden die Begriffe Risikobewertung und Risikoanalyse synonym verwendet.

NIST SP 800-30 enthält Leitlinien zur Durchführung von effektiven Risikobewertungen, insbesondere im Zusammenhang mit Informationssystemen und Organisationen auf Bundesebene. Diese Best Practices können jedoch in einer Reihe verschiedener Branchen angewendet werden.

Basierend auf NIST 800-30 sollte Ihre Bewertung des Cyberrisikos vier wichtige Prozesse beinhalten:

1. Beschreibung von Risiken

2. Bewertung von Risiken

3. Reaktion auf Risiken

4. Monitoring von Risiken

Wenn das NIST davon spricht, Cyberrisiken zu beschreiben, geht es darum, einen Risikokontext festzulegen – beispielsweise durch ein Framework, das die Art der Umgebung berücksichtigt, in der Sie risikobasierte Entscheidungen treffen. Dies unterstützt Ihre Risikomanagementstrategie, sodass Sie vorbereitet sind und sich als Nächstes damit befassen können, wie Ihr Unternehmen Risiken bewerten, darauf reagieren und sie überwachen soll.

Im Hinblick auf die Bewertung von Cyberrisiken geht es um die Frage, wie Sie beispielsweise Risiken wie die folgenden identifizieren:

• Bedrohungen im Unternehmen, die Betriebsabläufe, Assets oder Einzelpersonen betreffen, aber auch Bedrohungen, die von Ihrem Unternehmen ausgehen und andere Unternehmen betreffen

• Interne und externe Schwachstellen

• Beeinträchtigungen durch diese Risiken basierend auf einer möglichen Ausnutzung der Schwachstelle durch Bedrohungsakteure

• Wahrscheinlichkeit, mit der es zu einer Ausnutzung der Bedrohung kommt

Der nächste wichtige Schritt bei der Bewertung des Cyberrisikos besteht in der Ausarbeitung eines Plans, aus dem hervorgeht, wie Ihr Unternehmen basierend auf den Ergebnissen Ihrer Risikobewertung auf Risiken reagieren wird. An dieser Stelle zielen Sie darauf ab, eine Strategie zur Reaktion auf Risiken zu entwickeln, die Sie in Ihrem gesamten Unternehmen anwenden können. Es geht nicht nur um Maßnahmen, die Sie möglicherweise ergreifen, sondern auch darum, Teammitglieder mit Informationen zu unterstützen und ihnen die Möglichkeit zu bieten, sich – im Rahmen der Risikotoleranz oder Risikoschwelle Ihres Unternehmens – auf alternative Maßnahmen einzustellen.

Und schließlich sollte Ihre Bewertung des Cyberrisikos Pläne beinhalten, die das Monitoring von Risiken im Zeitverlauf unterstützen. Dadurch erlauben Sie sich keine Nachlässigkeiten, wenn Sie analysieren, ob Ihre Strategien zur Reaktion auf Risiken wie beabsichtigt funktionieren, und machen Änderungen innerhalb Ihrer Umgebung ausfindig, die möglicherweise Anpassungen erfordern. Möchten Sie sich eingehender mit den NIST-Leitlinien für Risikobewertungen befassen? Das vollständige Dokument finden Sie hier.

In Anlehnung an die Leitlinien des Department of Health and Human Services (HHS) und des Health Insurance Portability and Accountability Act (HIPAA) sollte eine formelle Risikoanalyse Folgendes beinhalten:

• Eine genaue und gründliche Bewertung potenzieller Cyberrisiken und Schwachstellen im Zusammenhang mit der Vertraulichkeit, Integrität und Verfügbarkeit von geschützten Daten, die Ihr Unternehmen erstellt, erhält, pflegt oder überträgt.

• Identifizierung von Bedrohungen und Schwachstellen

• Einrichtung von effektiven Kontrollen zur Verwaltung, Eindämmung und Behebung von Cyberrisiken

• Erstellung einer Risikobewertung mitsamt der Wahrscheinlichkeit von Schäden durch Cyberrisiken

• Zusammenstellung von Dokumentationsunterlagen für Compliance- und andere Management-Berichte

In einigen Branchen sind Bewertungen des Cyberrisikos durch Compliance-Standards und/oder gesetzliche Bestimmungen vorgeschrieben. Beachtenswert ist auch die wachsende Zahl von Ländern, die aktiv eigene Datenschutz- und Cybersecurity-Standards entwickeln. Es wäre keine Überraschung, wenn die meisten dieser Länder – wenn nicht gar alle – darin auch entsprechende Vorschriften zur Bewertung des Cyberrisikos berücksichtigen.

Durch eine Risikobewertung kann Ihr Unternehmen weitere Vorteile erzielen, die über die Einhaltung von Compliance-Auflagen hinausgehen. Vor allem sollte bedacht werden, was passieren könnte, wenn Sie keine Bewertung des Cyberrisikos durchführen oder kein Cyber-Risikomanagement-Programm aufbauen: Die Systeme und Daten Ihres Unternehmens könnten durch einen Cybervorfall gefährdet sein.

Ihr Unternehmen könnte dadurch nicht nur an Produktivität einbüßen und Kunden, Anbieter, wichtige Stakeholder sowie möglicherweise den gesamten Markt in Mitleidenschaft ziehen. Je nach Art, Schweregrad und Verschulden drohen bei einem Vorfall zudem auch Bußgelder in Millionenhöhe. Einige Unternehmen, die von Cybervorfall betroffen sind, erholen sich nie wieder vollständig.

Eine Bewertung des Cyberrisikos sollte eine elementare Geschäftspraxis Ihres Unternehmens sein. Sie kann nicht nur Ihre Cybersecurity-Verfahren, sondern auch Ihre Strategien für Geschäftskontinuität (Business Continuity) und operative Resilienz stützen. Eine effektive Cyberrisiko-Bewertung kann als Grundlage für Ihr Cybersecurity-Programm dienen und die Risikomanagementaktivitäten Ihres Unternehmen unterstützen – heute und auch wenn es sich weiterentwickelt und verändert.

Mit Tenable verfügt Ihr Unternehmen über die notwendigen Kenntnisse, Tools und Ressourcen, um alles zu sehen, vorherzusagen, was wichtig ist, und zu handeln, um Cyberrisiken auf Ihrer gesamten Angriffsoberfläche anzugehen. Die Grundlagen des risikobasierten Schwachstellen-Managements können eingesetzt werden, um Ihre Verfahren für das Management von Cybersecurity-Risiken zu optimieren. Dies ist eine großartige Möglichkeit, einen allgemeinen risikofokussierten Ansatz für Ihr Cybersecurity-Programm einzuführen. Darüber hinaus kann Tenable Sie bei Nachweisen und Berichten unterstützen – in einer auf Kennzahlen beruhenden Sprache, die jeder versteht. Dies findet Anklang bei allen Beteiligten, denn sie sind Teil einer Firmenkultur, die das Cyber-Risikomanagement ernst nimmt. Dadurch ergeben sich große Vorteile für das Unternehmen, angefangen bei den Sicherheits- und IT-Teams bis ganz nach oben zu einer engagierten Geschäftsleitung und wichtigen Stakeholdern.

Tenable kann Ihr Unternehmen dabei unterstützen, Cyberrisiken auf der gesamten Angriffsoberfläche zu identifizieren, zu priorisieren und anzugehen.

Webinar: Sehen, Vorhersagen, Handeln: Bekämpfen Sie Cyberrisiken mit den Funktionen von Tenable

Report: Wie sicher sind wir?

Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb

Benchmarking des Cyberrisikos: Das müssen Unternehmen wissen