Cyberrisiken verstehen und vermeiden

Today, there are increasing cyber risks for organizations of all sizes across all industries around the globe. While these risks can be quantified in terms of data loss, cyber risk has more far-reaching impacts such as threats to your operational resilience and potential financial losses and negative brand and customer impact.

Unfortunately, many organizations just don't have enough qualified staff, time, resources or experience to identify these risks for their organization or to make plans to prioritize and address them.

And, threat actors are working overtime hoping you haven’t mitigated all the risks within your organization. Sie warten die richtige Gelegenheit ab, um eine Cyberbedrohung auszunutzen und von Ihren Schwächen zu profitieren – mit möglicherweise katastrophalen Folgen.

As teams work around the clock to get a handle on cyber risk, the reality is the list grows in length, types and complexity. It’s further complicated because many organizations are also balancing cyber risk analysis and cyber risk management while actively responding to multiple risks and disruptions at the same time.

According to Allianz Risk Barometer 2023, cyber risk is the leading cause of concern for business interruption, leading the list for the second consecutive year. That includes incidents such as IT outages, data breaches and ransomware attacks. And, for 19 counties, cyber risk is also considered the top peril.

As cyber risk continues to increase and change, the risks and related measures to proactively identify and mitigate them are no longer just quiet conversations among IT professionals. They’re getting a lot more attention at the board and C-suite level. In many cases, cyber risk management is also becoming an executive and key stakeholder responsibility, the report found. Some new legislation and other regulations are even making it a requirement for compliance. For example, the SEC’s new cyber incident disclosure guidelines specifically shift some of cyber risk management responsibility to the board level.

Cyber insurance companies are also giving cyber risk management best practices closer scrutiny. Traditionally, carriers only required companies to attest they had cybersecurity controls and frameworks in place to get coverage. Today, most carriers go well beyond that, including now requiring proof those controls are in place and function as intended. In some cases, that even includes undergoing third-party testing and exercises to maintain coverage.

The National Institute of Standards and Technology (NIST) defines cyber risk as the risk of "financial loss, operational disruption, or damage, from the failure of the digital technologies employed for informational and/or operational functions introduced to a manufacturing system via electronic means from the unauthorized access, use, disclosure, disruption, modification or destruction of the manufacturing system."

Einfacher ausgedrückt: Das Cyberrisiko berücksichtigt die Wahrscheinlichkeit, mit der ein Angreifer eine Cyberbedrohung ausnutzt, sowie die potenziellen Auswirkungen eines Angriffs. It looks something like this:

Cyber risk is the risk of potential negative impact to your organization if your information systems fail or are disrupted, damaged or destroyed by unauthorized use or access. Es geht also um die Wahrscheinlichkeit, dass ein Cybervorfall Ihr Unternehmen gefährdet oder schädigt.

While some may think of cyber risks specifically in terms of technology and data loss, cyber risk may result in brand or reputational damage, loss of productivity and loss of revenue. Und es gibt mehrere Arten von Cyberrisiken: While cyber risk generally focuses on risks of doing business in an interconnected, online world, you may have other threats, for example, insider threats or corporate espionage.

That’s because cyber risks can be internal (for example, insider threats) or external (for example, cyber-attackers).

While cyber risk exploitation is generally intentional, for example a threat actor exploiting a known vulnerability, they may also be accidental, such as an accidental data exposure (for example, an email containing sensitive or protected information is unintentionally sent to an unintended or unauthorized user).

Cyber risk may also result from operational IT issues such as poor system integrity or lack of implementation of best practices for IT, risk management or cybersecurity.

While the terms cyber risk and cyber threats are often used interchangeably, they are not the same. First, a cyber threat is generally referred to as any incident in which an organization’s information systems could be impacted by unauthorized access, including the potential for data destruction, modification or unauthorized release. Angreifer nutzen Cyberbedrohungen oftmals im Rahmen von böswilligen Aktionen aus, die darauf abzielen, Daten zu beschädigen oder zu stehlen.

Cyber risk is the potential impact of (or risk of) a cyber threat negatively affecting your organization. In terms of risk, it’s about looking at the potential for losses, not just those related to systems and data, but also financially and to your reputation and your ability to do business.

Cyber risk is relevant to all organizations because today, no organization is immune to a potential cyberattack or other disruptive cyber issue. Früher ging man in der Branche davon aus, dass nur Großunternehmen von Cyberkriminalität betroffen sind, da das Potenzial für umfangreichen Datendiebstahl und finanziellen Zugewinn größer ist. But today, any organization whose systems create, store, process or transmit data could be at risk.

And, with a growing number of companies turning to cloud services providers (CSPs) in a shared environment, attackers could be even more interested in exploiting your cyber threats and because they can move laterally in interconnected systems unnoticed for longer periods of time with the potential for greater negative impact to operations.

Cyberrisiko-Management ist zentraler Bestandteil eines ausgereiften Cybersecurity-Programms. Es kann Sie dabei unterstützen, all Ihre Assets und sensiblen und geschützten Daten besser abzusichern. Viele Compliance- und gesetzliche Auflagen schreiben ein gewisses Maß an Cyberrisiko-Management vor.

Cyber risks are also relevant to your organization because by identifying where you have these risks, you can mature your operational resilience practices and build proactive and reactive defenses to prevent attackers from stealing your data. Dies betrifft nicht nur Ihre Kundendaten, sondern kann auch geistiges Eigentum und Finanzdaten Ihres Unternehmens umfassen.Da sich die verschiedenen Arten von Cyberbedrohungen weiterentwickeln und sie an Komplexität zunehmen, sind viele Unternehmen bedauerlicherweise einfach nicht in der Lage, mit dieser Entwicklung Schritt zu halten. Already understaffed IT and security teams are stretched and many lack the tools and resources needed to effectively manage all the cyber risks identified, especially for organizations using traditional vulnerability scoring tools such as Common Vulnerability Scoring System (CVSS).

Da sich die verschiedenen Arten von Cyberbedrohungen weiterentwickeln und sie an Komplexität zunehmen, sind viele Unternehmen bedauerlicherweise einfach nicht in der Lage, mit dieser Entwicklung Schritt zu halten. Bereits unterbesetzte IT- und Sicherheitsteams sind überlastet und vielen mangelt es an den notwendigen Tools und Ressourcen, um alle identifizierten Cyberrisiken effektiv zu managen – insbesondere in Unternehmen, die traditionelle Tools zur Bewertung von Schwachstellen wie das CVSS einsetzen.

Unternehmen werden immer größer und führen dabei mehr und mehr Technologien und Assets ein. In Verbindung mit der fortgesetzten Migration in die Cloud hat dies zur Folge, dass auch Sicherheitsinfrastruktur komplexer wird. Teams often don't have control of what happens with third-party applications, introducing even more cybersecurity risk into environments.

Ja, zwischen Cyberrisiken und Cybersecurity besteht ein Zusammenhang.Cybersecurity encompasses all of the technologies, processes and practices your organization employs to protect your systems and data. Your cybersecurity practices can help mitigate and remediate cyber risks by directly addressing cyber threats and identifying and fixing gaps within your security program. A cyberattack is an example of a cyber risk for your organization. Mit Ihren Cybersecurity-Verfahren können Sie dazu beitragen, die Wahrscheinlichkeit und potenziellen Auswirkungen im Zusammenhang mit diesem Risiko zu verringern.

Ja, There are different types of cyber risk. Einige Cyberrisiken treten intern, andere extern auf.Einige Beispiele für interne Cyberrisiken sind: Verlust oder Diebstahl von Geräten, mangelhafte Cyberhygiene unter Mitarbeitern, mangelnde Ausbildung und Schulung von Mitarbeitern, unbefugte Nutzung von Geräten, unbefugter Zugriff auf Daten, Wirtschaftsspionage, verärgerte Mitarbeiter, die Reputations- oder andere Schäden anrichten wollen, Datendiebstahl sowie die Löschung oder Beschädigung von Daten und Systemen.

According to Cybersecurity Insiders' 2023 Insider Threat Report, 74% of organizations say insider attacks have become more frequent. More than half have experienced an insider threat in the last year and nearly 10% say they’ve experienced more than 20. VentureBeat had similar findings with respondents saying nearly 20% of breaches originated from the inside and many CISOs indicated they find it challenging to stop these types of breaches.

Verizon’s 2023 Data Breach Investigations Report found that the human element is involved in three out of four breaches with social engineering being one of the most common exploits.

Cyberrisiken durch Insider mögen zwar zunehmen, doch der Großteil der heutigen Cyberrisiken geht von externen Quellen aus, For example, ransomware attacks, phishing schemes, vulnerability exploitation and hacking. Externe Cyberrisiken beziehen sich im Allgemeinen auf externe Bedrohungen durch Outsider, die versuchen, sich unbefugten Zugriff auf Ihre Systeme und Ihr Netzwerk zu verschaffen. Dies kann auch eine versuchte Entwendung oder Kompromittierung der sensiblen Daten Ihres Unternehmens beinhalten.

Tenable's Measuring & Managing the Cyber Risks to Business Operations report, which was independently conducted by the Ponemon Institute LLC, identified some key KPIs organizations can use to measure cyber risk:

• Zeit bis zur Bewertung des Cyberrisikos

• Zeit bis zur Behebung des Cyberrisikos

• Identifizierung von OT- und IoT-Assets, die anfällig für Cyberrisiken sind

• Effektivität bei der Priorisierung von Cyberrisiken

The report also identified additional KPIs to measure financial consequences of cyber risk, including:

• Umsatzeinbußen

• Produktivitätsverlust

• Rückgang des Aktienkurses

Traditional approaches to cybersecurity risk measurement are often inadequate. Warum?Zunächst schenken sie der technischen Seite von Cyberrisiken sehr viel Beachtung, ohne sich genauer mit anderen Faktoren zu befassen, wie etwa mit den geschäftlichen und finanziellen Auswirkungen. Also, some KPIs are generally not very strategic and many don’t focus on the need to prioritize risk for effective remediation and cyber risk reduction. In fact, some 30% of survey respondents said they can't correlate KPIs with their ability to mitigate cyber risks.

Noch schlimmer ist: 30 % der Teilnehmer dieser Umfrage gaben an, diese KPIs nicht mit ihrer Fähigkeit zur Eindämmung von Cyberrisiken in Verbindung bringen zu können.

A number of organizations in this survey also indicated they're not measuring costs of cyber risk at all. Warum das wichtig ist? Measuring the financial costs of cyber risks illustrates the importance and value of your cybersecurity and risk management programs to your executives and key stakeholders. These leaders will make important business decisions that will affect your program support. etwa im Hinblick auf Personal, Zeitfenster, Finanzen und Ressourcen.

Selbst wenn sie einige schlagzeilenträchtige Ereignisse in den Nachrichten verfolgt haben, können viele Führungskräfte die Tragweite und Auswirkungen von Cyberrisiken in der Regel nicht nachvollziehen. By quantifying the costs of cyber risks, you can more effectively speak a language your executives understand — one that takes into account business goals and objectives. Think of your cyber risk measurements as a way to build your use case in a way that directly relates to your operational resilience.

Exposure management takes a deeper dive into risk, analyzing not just which risks exist, but also potential impact, how to prioritize addressing those risks, and what to do to reduce cyber risk over time.

Exposure management is about how you can address cyber risk.

By understanding your cyber risk, your organization will be better prepared to answer some important, and often overlooked questions, in a quantifiable way. For example, how secure is your organization?

Exposure management helps you take a deeper dive into all of your assets, across all of your environments, understand where you have vulnerabilities and other security issues, and then prioritize when and how you'll address cyber risks based on real-world exploitation information and a range of other important areas that are specific to the way you do business and how your risk management processes directly relate to your business goals and objectives. By aligning your cybersecurity risk management program to your cybersecurity lifecycle, your organization will be able to answer these key questions with confidence:

• Wo ist das Unternehmen gefährdet?

• Wo sollten wir Prioritäten auf Basis von Cyberrisiken setzen?

• Reduzieren wir unsere Gefährdung allmählich?

• Wo stehen wir beim Management von Cyberrisiken im Vergleich?

With exposure management your organization will be better prepared to identify all of your cyber risks across your entire attack surface, or in simple terms, see everything. Dies bezieht sich nicht nur auf Ihre klassischen IT-Assets. It's also about discovering your cyber risks all the way from DevOps to deployment and beyond, including in your cloud environments, within operational technology environments, and even in your web apps.

Doch mit dem Aufspüren dieser Cyberrisiken ist es nicht getan. Exposure management also helps you predict which cyber risks actually pose a potential security issue for your organization, now and in the near future. For example, using machine-learning, Tenable's products have integrated predictive capabilities to help you prioritize your risk remediation strategy.

Und bei der Behebung dieser priorisierten Probleme ist kein Rätselraten nötig. By using an exposure management platform like Tenable, you can even get best practice recommendations on how to address cyber risks to reduce the likelihood a business-impacting cyber event may happen.

Cyberrisiko-Management ist ein unverzichtbarer Bestandteil der Cybersecurity. Wenn Ihr Unternehmen ein Cyberrisiko-Management-Programm entwickelt, kann es nicht nur besser nachvollziehen, welche Risiken bestehen, sondern auch welche potenziellen Auswirkungen sich ergeben und wie diese Risiken eingedämmt werden können.

Cybersecurity risk management can help your teams develop practices to identify cyber risks, prioritize cybersecurity response measures based on their potential negative impact on your organization, and then develop a risk management plan to address those risks as they relate to your organization.

In a perfect world, cybersecurity teams would love to have the ability to prevent every potential cyberattack. That's just not possible. Your cybersecurity risk management program can help you, however, develop plans that are proactive, adaptable and flexible, so you'll always be ready to address cyber risk, regardless of type or complexity. You can align your cyber risk management program to the cybersecurity lifecycle, where you can better identify cyber risks, protect your attack surface, respond to cyber incidents and quickly recover.

Dieser Lebenszyklus findet in einem ausgereiften Cyberrisiko-Management-Programm nicht nur einmalig Berücksichtigung. Instead, it's an ongoing process where you're continually identifying gaps and weaknesses, improving them and then retesting to ensure you're maturing your cybersecurity risk management approach as your company and the threat landscape evolves.

Cyber risk management is important because it can help your organization more effectively identify cyber risks, prioritize those risks and remediate or mitigate risks with a goal of decreasing the frequency and likelihood of a cyber event that negatively impacts operations.

Ihr Plan zum Umgang mit Cyberrisiken kann helfen sicherzustellen, dass in Ihrem Unternehmen die notwendigen proaktiven und reaktiven Cybersecurity-Maßnahmen vorhanden sind, um es vor Cybervorfällen zu schützen. Dadurch wird das Risiko eines potenziellen Angriffs effektiv reduziert.

Gaps often exist between IT and security teams and their executives and key stakeholders. Ein Cyberrisiko-Management-Programm spielt eine wichtige Rolle dabei, diese Kluft zu überbrücken. Es kann Ihnen helfen, die Anforderungen und den Nutzwert Ihres Programms in Zahlen auszudrücken – auf eine Art und Weise, die die Geschäftsführung versteht. Beispielsweise lässt sich quantifizieren, wie Ihre Strategien zur Reduzierung von Cybersecurity-Risiken die Kosten für Ihr Unternehmen senken und operative Resilienz gewährleisten können.

And, because cyber risk management is just good business practice, it can strengthen your business reputation with your customers, the general public and possibly have positive impacts on your market. By demonstrating your organization takes cyber risk management seriously — and that you've employed industry-recognized best practices — you can build confidence in your brand and reputation, creating a win for attracting new clients and retaining existing customers.

Mit der Implementierung eines Cyberrisiko-Management-Programms sind einige weitere Vorteile verbunden, darunter größere Zuversicht bezüglich Ihrer Fähigkeiten, Compliance-, gesetzliche und andere Auflagen zu erfüllen, weniger (oder idealerweise gar keine) Ausfallzeit, wenn ein Cybervorfall eintritt, wenig oder gar kein Datenverlust infolge eines Cybervorfalls sowie ein besseres Verständnis davon, wie sich Cyberrisiken auf die operative Resilienz auswirken können und wie sich dies vermeiden lässt.

In many organizations, the chief information officer is responsible for cyber risk management, including evaluating cyber risk as it relates to business risk. Allerdings kommt diese Aufgabe in einigen Unternehmen auch einem Chief Information Security Officer, Chief Technology Officer, Chief Risk Officer oder einem Chief Security Officer zu.

Bei der Aufstellung eines Plans für das Cyberrisiko-Management besteht der grundlegende Schritt in der Durchführung einer Risikobewertung. Je nach Branche oder gesetzlichen Vorgaben kann dieser Schritt auch als Risikoanalyse bezeichnet werden, beispielsweise im Gesundheitswesen.

Before you can fully identify and understand your risks, it may be helpful to better understand common cyber risks. Some teams have skilled professionals who make this a priority; however, most organizations just don't have the time or resources to keep up with the changing threat landscape. Wenn Ihnen das bekannt vorkommt, könnte Ihnen die Zusammenarbeit mit einem Unternehmen weiterhelfen, das Recherchen dieser Art für Sie übernimmt – beispielsweise das kompetente Team von Tenable Research.

Sobald Sie eine Vorstellung von der aktuellen Bedrohungslandschaft entwickelt haben, könnten weitere Recherchen von Vorteil sein (sofern noch nicht erfolgt), um besser nachzuvollziehen, wie Bedrohungsakteure vorgehen, was sie motiviert und wie einige Unternehmen aus Ihrer Branche auf erfolgreiche Angriffe reagiert haben und zu Wiederherstellungsmaßnahmen übergegangen sind.

Mit diesen Informationen zur aktuellen Bedrohungslandschaft und zu den Motiven und Vorgehensweisen von Angreifern sind Sie besser in der Lage, Ihre Risikobewertung bzw. Risikoanalyse zu starten. An dieser Stelle sollte Ihre Risikoanalyse all Ihren kritischen Assets und Geschäftsfunktionen sowie den potenziellen Auswirkungen Rechnung tragen, die eine Cyberbedrohung auf Ihre Fähigkeit haben könnte, den Normalbetrieb mit diesen Assets und Services aufrechtzuerhalten.

Die Leitlinien des NIST können Sie bei der Durchführung einer formellen Risikobewertung unterstützen, worauf wir unten genauer eingehen. Wenn Sie aber jetzt schon Näheres zu diesem Thema erfahren möchten, finden Sie ausführlichere Informationen im Information Security Guide des NIST.

Eine Risikobewertung bietet mehrere Vorteile. Not only will it become a driving factor for how you mature your cyber hygiene practices, it will also help build that bridge between your IT and security objectives and your organization's business goals and objectives. Denken Sie daran: Dies ein wichtiger Schritt, um die Unterstützung von Führungskräften zu gewinnen und sie von Ihrem Cyberrisiko-Management-Programm zu überzeugen.

A cyber risk management program, especially for organizations that face compliance and regulatory mandates, can help you better understand how your cyber risks directly correlate to key security objectives, for example, ensuring the confidentiality, integrity and availability of your data.

Ja, es gibt mehrere Frameworks, die Sie bei der Analyse von Cyberrisiken sowie deren Management unterstützen können. Hier einige Beispiele:

• NIST Risk Management Framework

• NIST Cybersecurity Framework

• ISO 27001

While there are a range of considerations to take into account when selecting which cyber risk management framework may be most appropriate for your organization, most of these frameworks share common themes.

Das NIST Risk Management Framework (RMF) beispielsweise sieht einen Prozess mit sieben Schritten vor, der Ihr Unternehmen dabei unterstützt, Risiken auf Basis der Standards und Leitlinien des NIST zu managen.

Hier ein Überblick über einige wichtige RMF-Bereiche und deren potenzielle Anwendbarkeit im Rahmen Ihres Cyberrisiko-Management-Programms:

1. Entwickeln Sie grundlegende Aktivitäten, die Ihr Unternehmen auf das Management von Risiken vorbereiten

2. Kategorisieren Sie Systeme und sämtliche verarbeiteten, gespeicherten und übertragenen Daten anhand einer Auswirkungsanalyse

3. Wählen Sie auf Grundlage Ihrer Risikobewertung(en) NIST SP 800-53-Kontrollen zum Schutz aus

4. Implementieren Sie Kontrollen und dokumentieren Sie, wie diese eingesetzt werden

5. Führen Sie Bewertungen durch, um sicherzustellen, dass effektive Kontrollen vorhanden sind und dass diese Kontrollen wie vorgesehen funktionieren und die beabsichtigten Ergebnisse liefern

6. Stellen Sie sicher, dass die Geschäftsleitung bei der Autorisierung des Systembetriebs risikobasierte Entscheidungen trifft

7. Überwachen Sie die Implementierung von Kontrollen sowie Systemrisiken kontinuierlich

Eine weitere nützliche Ressource ist das NIST Cybersecurity Framework (CSF), das eine Reihe freiwilliger Standards zur Verwaltung und Eindämmung von Cyberrisiken enthält.

Das NIST CSF kann Sie dabei unterstützen, Cyberrisiken zu identifizieren und Pläne zur Behebung von Risiken auszuarbeiten, die im Hinblick auf die geschäftlichen Ziele Ihres Unternehmens relevant sind.

Darüber hinaus könnten auch die ISO 27001-Standards für Sie interessant sein, die Sie bei der Entwicklung, Implementierung und Verwaltung von Prozessen unterstützen – wie etwa beim Cyberrisiko-Management.

And finally, one more cyber risk management framework that may be helpful is SOC2, also known as System and Organization Controls 2, which can help your organization manage cyber risk.

Bei der Ermittlung des für Ihr Unternehmen am besten geeigneten Frameworks für Cyberrisiko-Management sind mehrere Faktoren zu berücksichtigen.

Consider the size of your organization, the volume and types of assets, the types and complexity of your technology architecture (for example, traditional IT, OT, web apps, the cloud, etc.), data your organization stores, transmits and processes, where you use or store that data, and of course, the current threat landscape.

Benötigen Sie Hilfe bei der Auswahl des passenden Cyberrisiko-Frameworks für Ihr Unternehmen? Der Sicherheitsansatz der nächsten Generation von Tenable könnte genau das sein, wonach Sie suchen. Hier erfahren Sie mehr über die Tenable-Unterstützung von Sicherheits-Frameworks.

Es gibt eine Reihe von Best Practices, die Ihr Unternehmen einsetzen kann, um Cyberrisiken besser zu managen. Ziehen Sie die Einführung eines Frameworks für Cyberrisiko-Management in Betracht, wie etwa das NIST Risk Management Framework, falls Sie dies noch nicht getan haben. A risk management framework can help you develop plans to identify cyber risks for your organization, mitigate those risks and prioritize which risk may have the most potential impact on your organization so you can develop a strategy to address them.

Here are some other best practices that may help you better see, predict and act on your cybersecurity risks:

1. Identifizieren und inventarisieren Sie all Ihre Assets und nehmen Sie regelmäßige Aktualisierungen vor. Denken Sie daran: Wenn Sie gar nicht wissen, welche Assets vorhanden sind, können Sie auch nicht wissen, wo möglicherweise Cybersecurity-Risiken vorliegen.

2. Identifizieren Sie Ihre kritischen Betriebsabläufe und führen Sie sich vor Augen, wie sich Ausfälle oder Störungen dieser Abläufe auf Ihre Fähigkeit auswirken könnten, den Normalbetrieb fortzuführen.

3. Use a tool, for example Tenable Nessus to automate processes to continuously identify potential vulnerabilities or security issues.

4. Nutzen Sie Tools für maschinelles Lernen und Predictive Prioritization wie Tenable Lumin, um Schwachstellen danach zu priorisieren, mit welchen wahrscheinlich die größten potenziellen Auswirkungen auf Ihr Unternehmen verbunden sind – jetzt und in naher Zukunft.

5. Wenden Sie einen risikobasierten Ansatz für das Schwachstellen-Management an, um Ihre Cyberrisiken zu managen, einzudämmen und zu beheben.

While there are a number of tools on the market that can help teams quickly and automatically identify vulnerabilities and other cybersecurity risks, it can be challenging to prioritize cybersecurity risks. Most IT and security teams struggle with addressing those vulnerabilities. That's particularly challenging for organizations that rely heavily, or exclusively, on the traditional CVSS to prioritize vulnerabilities for remediation.

Wenn das CVSS zur Priorisierung eingesetzt wird, besteht das häufigste Problem darin, dass es im Allgemeinen nur den technischen Schweregrad einer Schwachstelle berücksichtigt. It doesn't consider other important factors, such as if there is a known exploit in the wild or how likely it is an attacker may exploit the weakness now or in the near future.

Die gute Nachricht ist jedoch, dass es eine effektivere und effizientere Alternative gibt, die Ihr Unternehmen dabei unterstützen kann, Cyberrisiken effektiv zu priorisieren: That's Tenable's Vulnerability Priority Rating (VPR). Im Gegensatz zum CVSS bietet Ihnen das VPR eine leicht verständliche Bewertung, die auf die speziellen Anforderungen Ihres Unternehmens direkt übertragbar ist. Dadurch wissen Sie, welche identifizierten Schwachstellen Ihrer Aufmerksamkeit zuerst bedürfen.

Und anders als beim CVSS, bei dem eine hohe Anzahl von Schwachstellen (sprich mehrere Zehntausend) als „hoch“ oder „kritisch“ eingestuft wird, reduzieren die maschinellen Lernalgorithmen des VPR diese Zahl um mehrere Tausend. Dadurch wird sichergestellt, dass Schwachstellen, die auf Ihrer Plattform als „hoch“ oder „kritisch“ eingestuft werden, in der Tat Ihre Aufmerksamkeit erfordern.By prioritizing your cybersecurity risks, your organization will be better poised to build, test and deploy plans that effectively mitigate your risks, while reducing attack frequency and impact so you can quickly recover and get back to business as usual as soon as possible.

Durch Priorisierung der Cybersecurity-Risiken ist Ihr Unternehmen besser dazu in der Lage, Pläne zu entwickeln, zu testen und umzusetzen, die Risiken effektiv eindämmen. Parallel dazu sinkt auch die Häufigkeit von Angriffen und ihre Auswirkungen werden reduziert, sodass Sie rasch zu Wiederherstellungsmaßnahmen übergehen und schnellstmöglich zum Normalbetrieb zurückkehren können.

Die heutige Bedrohungslandschaft entwickelt sich ständig weiter und wird zunehmend komplexer, was auch für die Methoden gilt, mit denen Bedrohungsakteure die Cyberrisiken Ihres Unternehmens ausnutzen. This list is routinely changing, and while not exhaustive, here are a few examples of some of the biggest cyber risks organizations face today:

• Malware

• Ransomware

• Phishing-Kampagnen

• Social Engineering

• Unzureichendes Passwortmanagement

• Ineffektive Identitäts- und Zugriffsverwaltung (IAM)

• Insider-Bedrohungen

• DDoS-Angriffe

• SQL-Injektion

• Supply Chain-Risiken sowie Risiken durch Dritte

• Unzureichende Cyberhygiene

• Cloud-Schwachstellen

• Fehlkonfigurationen

• Schwachstellen und Fehlkonfigurationen in Code (Infrastructure as Code)

• Sicherheitsschwachstellen in Active Directory

• IT-Ausfälle

• Cyberübergriffe und Offenlegung von Datensätzen

Das NIST definiert eine Cyberrisiko-Bewertung „als Prozess der Identifizierung von Risiken, die aus dem Betrieb eines Informationssystems resultieren und den Unternehmensbetrieb (darunter Mission, Funktionen, Image, Reputation), Assets des Unternehmens, Einzelpersonen, andere Unternehmen und Organisationen sowie die gesamte Nation betreffen“.

Eine Bewertung des Cyberrisikos ist Bestandteil des Risikomanagements. Sie umfasst Bedrohungs- und Schwachstellenanalysen und zieht Risikominderungsmaßnahmen aus Sicherheitskontrollen in Betracht, die bereits vorhanden sind oder deren Implementierung geplant ist.

Im Kontext des NIST werden die Begriffe Risikobewertung und Risikoanalyse synonym verwendet.

NIST SP 800-30 provides guidance for conducting effective risk assessments, particularly related to federal information systems and organizations; however, the best practices can be applied across a range of industries.

Basierend auf NIST 800-30 sollte Ihre Bewertung des Cyberrisikos vier wichtige Prozesse beinhalten:

1. Beschreibung von Risiken

2. Bewertung von Risiken

3. Reaktion auf Risiken

4. Monitoring von Risiken

Wenn das NIST davon spricht, Cyberrisiken zu beschreiben, geht es darum, einen Risikokontext festzulegen – beispielsweise durch ein Framework, das die Art der Umgebung berücksichtigt, in der Sie risikobasierte Entscheidungen treffen. Dies unterstützt Ihre Risikomanagementstrategie, sodass Sie vorbereitet sind und sich als Nächstes damit befassen können, wie Ihr Unternehmen Risiken bewerten, darauf reagieren und sie überwachen soll.

Im Hinblick auf die Bewertung von Cyberrisiken geht es um die Frage, wie Sie beispielsweise Risiken wie die folgenden identifizieren:

• Bedrohungen im Unternehmen, die Betriebsabläufe, Assets oder Einzelpersonen betreffen, aber auch Bedrohungen, die von Ihrem Unternehmen ausgehen und andere Unternehmen betreffen

• Interne und externe Schwachstellen

• Beeinträchtigungen durch diese Risiken basierend auf einer möglichen Ausnutzung der Schwachstelle durch Bedrohungsakteure

• Wahrscheinlichkeit, mit der es zu einer Ausnutzung der Bedrohung kommt

Der nächste wichtige Schritt bei der Bewertung des Cyberrisikos besteht in der Ausarbeitung eines Plans, aus dem hervorgeht, wie Ihr Unternehmen basierend auf den Ergebnissen Ihrer Risikobewertung auf Risiken reagieren wird. An dieser Stelle zielen Sie darauf ab, eine Strategie zur Reaktion auf Risiken zu entwickeln, die Sie in Ihrem gesamten Unternehmen anwenden können. Es geht nicht nur um Maßnahmen, die Sie möglicherweise ergreifen, sondern auch darum, Teammitglieder mit Informationen zu unterstützen und ihnen die Möglichkeit zu bieten, sich – im Rahmen der Risikotoleranz oder Risikoschwelle Ihres Unternehmens – auf alternative Maßnahmen einzustellen.

Und schließlich sollte Ihre Bewertung des Cyberrisikos Pläne beinhalten, die das Monitoring von Risiken im Zeitverlauf unterstützen. Dadurch erlauben Sie sich keine Nachlässigkeiten, wenn Sie analysieren, ob Ihre Strategien zur Reaktion auf Risiken wie beabsichtigt funktionieren, und machen Änderungen innerhalb Ihrer Umgebung ausfindig, die möglicherweise Anpassungen erfordern.Möchten Sie sich eingehender mit den NIST-Leitlinien für Risikobewertungen befassen? Das vollständige Dokument finden Sie hier.

In Anlehnung an die Leitlinien des Department of Health and Human Services (HHS) und des Health Insurance Portability and Accountability Act (HIPAA) sollte eine formelle Risikoanalyse Folgendes beinhalten:

• An accurate and thorough assessment of potential cyber risks and vulnerabilities related to the confidentiality, integrity and availability of the protected data your organization creates, receives, maintains or transmits.

• Identifizierung von Bedrohungen und Schwachstellen

• Establishing effective controls to manage, mitigate and remediate cyber risks.

• Erstellung einer Risikobewertung mitsamt der Wahrscheinlichkeit von Schäden durch Cyberrisiken

• Zusammenstellung von Dokumentationsunterlagen für Compliance- und andere Management-Berichte

In einigen Branchen sind Bewertungen des Cyberrisikos durch Compliance-Standards und/oder gesetzliche Bestimmungen vorgeschrieben. Beachtenswert ist auch die wachsende Zahl von Ländern, die aktiv eigene Datenschutz- und Cybersecurity-Standards entwickeln. Es wäre keine Überraschung, wenn die meisten dieser Länder – wenn nicht gar alle – darin auch entsprechende Vorschriften zur Bewertung des Cyberrisikos berücksichtigen.

Durch eine Risikobewertung kann Ihr Unternehmen weitere Vorteile erzielen, die über die Einhaltung von Compliance-Auflagen hinausgehen. Most importantly, it may be helpful to consider what could happen if you don’t conduct a cyber risk assessment or establish a cyber risk management program — your organization’s system and data may be at risk of a cyber event.

Not only could your organization lose productivity and negatively affect your customers, vendors, key stakeholders and potentially your market, you could face fines that reach into millions of dollars, depending on event type, severity and culpability. Some organizations that experience cyber events never fully recover.

Eine Bewertung des Cyberrisikos sollte eine elementare Geschäftspraxis Ihres Unternehmens sein. Sie kann nicht nur Ihre Cybersecurity-Verfahren sondern auch Ihre Strategien für Geschäftskontinuität (Business Continuity) und operative Resilienz stützen. Eine effektive Cyberrisiko-Bewertung kann als Grundlage für Ihr Cybersecurity-Programm dienen und die Risikomanagementaktivitäten Ihres Unternehmen unterstützen – heute und auch wenn es sich weiterentwickelt und verändert.

With Tenable, your organization can have the knowledge, tools and resources to see everything, predict what matters and act to address cyber risk across your entire attack surface. You can employ the fundamentals of risk-based vulnerability management to mature your cybersecurity risk management practices. Dies ist eine großartige Möglichkeit, einen gemeinsamen risikofokussierten Ansatz für Ihr Cybersecurity-Programm einzuführen. Beyond that, Tenable can help you demonstrate and report on metric-based language that everyone understands and gets excited about being a part of a culture that takes cyber risk management seriously, with great benefits for your organization — from your security and IT teams, all the way up to engaged executive leadership and key stakeholders.

Tenable can help your organization identify, prioritize and address cyber risks across your entire attack surface.

Webinar: Sehen, Vorhersagen, Handeln: Bekämpfen Sie Cyberrisiken mit den Funktionen von Tenable

Report: Wie sicher sind wir?

Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb

Benchmarking des Cyberrisikos: Das müssen Unternehmen wissen