Wie wählt man die richtige Methode zur Quantifizierung von Cyberrisiken für strategische Entscheidungen?

Aktualisiert am

June 16, 2025

/

9 min Lesezeit

Home

/

Alle Beiträge

/

Wie wählt man die richtige Methode zur Quantifizierung von Cyberrisiken für strategische Entscheidungen?

Die Zunahme von Cyber-Bedrohungen und strengere gesetzliche Anforderungen an das Management von Cyber-Risiken haben die persönliche Verantwortung der Vorstandsmitglieder erhöht. Infolgedessen ist das Cyber-Risiko zu einem zentralen Thema auf der Tagesordnung der Vorstände geworden, was Unternehmen dazu veranlasst, ihre Strategien zur Bewältigung von Herausforderungen im Bereich der Informationssicherheit zu überdenken. Dies unterstreicht die Bedeutung der Quantifizierung von Cyber-Risiken für die Entwicklung von Strategien zur Risikominderung. Auf dieser Grundlage können Unternehmen wirksame Cyber-Initiativen entwickeln, um die potenziellen finanziellen, rechtlichen und reputationsbezogenen Auswirkungen von Cyber-Angriffen zu mindern.

Trotz des gestiegenen Bewusstseins für Cyberrisiken auf Führungsebene und der Vorteile der Quantifizierung von Cyberrisiken (CRQ) für finanzielle Entscheidungen haben viele Unternehmen die entsprechenden Grundsätze nur zögerlich übernommen. Laut der Deloitte-Umfrage „2023 Global Future of Cyber Survey” nutzen nur 50 % der Führungskräfte auf C-Level quantitative Tools zur Risikobewertung. Die andere Hälfte stützt sich nach wie vor hauptsächlich auf qualitative Methoden, um ihre Cyberrisiken zu verstehen, wobei oft subjektive Bewertungen und vereinfachte Risikoeinstufungen wie rot, gelb und grün zum Einsatz kommen.

Dieser Artikel stellt das transformative Konzept der Quantifizierung von Cyberrisiken vor. Er beschreibt zwei primäre Methoden zur Risikobewertung, Top-down und Bottom-up, und vergleicht sie, um praktische Ratschläge zu geben. Am Ende dieses Artikels werden Sie die verschiedenen Methoden zur Quantifizierung von Cyberrisiken klar verstehen und wissen, wie Sie die für Ihre Bedürfnisse am besten geeignete Methode auswählen können.

Wichtige Erkenntnisse

  • Cyber Risk Quantification (CRQ) übersetzt das qualitative Verständnis von Cyberrisiken in finanzielle Kennzahlen. Die Quantifizierung von Cyberrisiken gewährleistet ein gemeinsames Verständnis der Cyberrisiken und ermöglicht es Führungskräften, fundierte Entscheidungen zu treffen.
  • Bottom-up-CRQ eignet sich am besten für das detaillierte operative Risikomanagement, erschwert jedoch die Skalierbarkeit und strategische Anwendung auf Unternehmensebene.
  • Top-down-CRQ bietet einen strategischen Überblick über Cyberrisiken und ermöglicht schnelle, hochgradige Risikobewertungen, die strategische Entscheidungen und die langfristige Planung unterstützen.

Wie die Quantifizierung von Cyberrisiken die Diskussionen in den Vorstandsetagen vorantreibt

Cyber Risk Quantification (CRQ) ist eine neue Methode für Unternehmen zur Bewertung und Steuerung von Cyberrisiken. Im Gegensatz zu herkömmlichen Methoden, die qualitative Messgrößen auf der Grundlage von Expertenmeinungen liefern, übersetzt CRQ technische Cyberrisikodaten in klare, datengestützte Erkenntnisse über die finanziellen und geschäftlichen Auswirkungen von Cyberrisiken. Dieser Ansatz fördert ein gemeinsames Verständnis von Cyberrisiken. Er hilft Führungskräften und Vorstandsmitgliedern, wichtige Fragen zu beantworten, wie zum Beispiel:

  • „Wie könnten sich unsere Cyberrisiken auf unsere Bilanz auswirken?“
  • „Welche wichtigen Geschäftsprozesse, Produktlinien oder Unternehmen stellen unsere größten Cyberrisiken dar?“
  • „Wie hoch ist der tatsächlich zu erwartende finanzielle Verlust unter Berücksichtigung unserer Cyberrisiken?“
  • „Wie können wir unsere Risikobereitschaft für Cyberrisiken, die wir bereit sind zu akzeptieren, am besten definieren?“
  • „Wie zeigen wir den Wert von Sicherheit bei gleichzeitiger Kostenkontrolle?“
  • „Welche Sicherheitsinitiativen sollten wir priorisieren, um das Risiko zu minimieren?“
  • „Verfügen wir über einen ausreichenden Cyberversicherungsschutz?“

Durch die Klärung dieser wesentlichen strategischen Fragen ist die Quantifizierung von Cyberrisiken zu einem wertvollen Instrument für ein effektives Cyberrisikomanagement geworden, das folgende Vorteile bietet:

  1. Geschäftsfreundliche Sprache: CRQ übersetzt technische Cyberrisiken in leicht verständliche Kennzahlen, die auch für nicht-technische Stakeholder, Führungskräfte und Vorstandsmitglieder verständlich sind.
  2. Einfache Risikopriorisierung: Die Bewertung der wirtschaftlichen Auswirkungen von Cyberrisiken ermöglicht einen direkten Vergleich verschiedener Unternehmensrisiken und erleichtert die Definition der Risikobereitschaft, die Risikopriorisierung und die Zuweisung von Ressourcen für die wirkungsvollsten Initiativen zur Risikominderung.
  3. Berechnung der Kapitalrendite (ROI): Mit CRQ können Unternehmen die Kapitalrendite von Sicherheitsinvestitionen berechnen, die effektivsten Aktivitäten im Bereich der Informationssicherheit priorisieren und gezielte Maßnahmen für ineffektive Sicherheitsmaßnahmen ergreifen.
  4. Auswirkungen auf die Unternehmensleitung: CRQ sorgt für ein gemeinsames Verständnis der Cyberrisiken bei allen Stakeholdern und hilft der Geschäftsleitung und dem Vorstand, die Bedeutung von Cybersicherheitsinitiativen zu verstehen. Außerdem unterstützt es Cyber-Führungskräfte wie CISOs dabei, Unterstützung für wichtige Investitionen und Sicherheitsinitiativen zu gewinnen.

Methoden zur Quantifizierung von Cyberrisiken und wie man die richtige auswählt

Bei der Auswahl der für Ihr Unternehmen am besten geeigneten Methode zur Quantifizierung von Cyberrisiken (CRQ) ist es wichtig zu verstehen, dass nicht alle CRQ-Methoden gleich sind. Jede Methode hat einzigartige Vorteile und Auswirkungen auf den Umfang und die Qualität der Risikobewertung. In diesem Abschnitt werden die beiden bekanntesten CRQ-Methoden, der Bottom-up- und der Top-down-Ansatz, vorgestellt und detailliert verglichen, damit Sie entscheiden können, welche CRQ-Methode für Ihr Unternehmen am besten geeignet ist und warum.

Top-down versus bottom-up quantification approach.

Bottom-up-Quantifizierung von Cyberrisiken: Ein detaillierter Blick auf Ihre Vermögenswerte

Bottom-up-Quantifizierungsmethoden sind eine technische Analyse einzelner Risiken und Bedrohungen, die mit Informationsressourcen innerhalb jeder Geschäftseinheit oder auf Prozessebene verbunden sind. Dieser Ansatz eignet sich für das Management von Cyberrisiken auf operativer Ebene.

Vorteile von Bottom-up-CRQ:

  • Detaillierte Analyse: Bottom-up-CRQ bietet ein tiefgreifendes Verständnis spezifischer Systeme und Geschäftsprozesse sowie deren Schwachstellen.
  • Anpassbare Modelle: Bottom-up-CRQ ermöglicht maßgeschneiderte Risikobewertungsmodelle, die auf die besonderen Merkmale jedes Unternehmens zugeschnitten sind.
  • Return on Investment (ROI): Bottom-up-CRQ hilft, Investitionen in die Sicherheit auf der Ebene einzelner Kontrollen besser zu verstehen.

Zu den bekanntesten Bottom-up-CRQ-Ansätzen gehören FAIR (Factor Analysis of Information Risk) oder NIST SP 800-30.

Obwohl Bottom-up-Methoden für das operative Cyber-Risikomanagement hilfreich sein können, sind sie aufgrund ihrer Einschränkungen bei der Aggregation unternehmensweiter Risikodaten nur begrenzt für strategische Entscheidungen auf Unternehmensebene geeignet.

Herausforderungen von Bottom-up-CRQ:

  • Operativer Fokus: Bottom-up-CRQ konzentriert sich auf die technische Analyse einzelner Risiken und Bedrohungen auf Asset-Ebene, wodurch seine Nützlichkeit für strategische Entscheidungen eingeschränkt ist.
  • Komplex und abhängig von Expertenwissen: Die Implementierung von Bottom-up-CRQ erfordert ein tiefes Verständnis der Risikofaktoren, die Identifizierung relevanter Datenquellen und die Anwendung von Wahrscheinlichkeitsverteilungen.
  • Skalierbarkeitsprobleme: Bottom-up-CRQ bewertet das Risiko für jedes Asset oder jede Asset-Klasse, was die Aggregation dieser Risiken auf Unternehmensebene mühsam macht und oft Wochen oder Monate in Anspruch nimmt.
  • Mögliche Informationsverzerrung: Bottom-up-CRQ hängt stark von vorhandenem Expertenwissen und subjektiven Dateneingaben ab, was die Risikobewertung verzerren kann, wenn die Daten und Annahmen ungenau oder unvollständig sind.
  • Hoher Wartungsaufwand: Unternehmen müssen Bottom-up-Risikobewertungsmodelle kontinuierlich pflegen, um deren Relevanz und Genauigkeit sicherzustellen, da diese Modelle auf ihre spezifischen Merkmale zugeschnitten sind.
  • Begrenzte Bedrohungserkennung: Die Bottom-up-CRQ-Methode kann neu auftretende oder unvorhergesehene Risiken übersehen, da sie auf vorhandenem Wissen basiert und somit in erster Linie bekannte Bedrohungen und Schwachstellen berücksichtigt.

Zusammenfassend lässt sich sagen, dass der Bottom-up-Ansatz detaillierte Einblicke in bestimmte Systeme und Prozesse bietet und den CISO bei der Verwaltung des komplexen Cybersicherheitssystems auf der täglichen operativen Ebene unterstützt. Aufgrund seiner Komplexität, Skalierbarkeitsprobleme und potenziellen Informationsverzerrungen ist diese Methode jedoch möglicherweise nicht die beste Wahl, um die Vorstandsmitglieder in ihrer Sprache der Finanzkennzahlen zu informieren. Das Verständnis dieser Faktoren hilft Ihnen bei der Entscheidung, ob diese Methode den Anforderungen und Fähigkeiten Ihres Unternehmens entspricht.

Top-down-Quantifizierung von Cyberrisiken: Fokus auf das Gesamtbild

Der Top-down-Ansatz berechnet das große Risikopotenzial eines Unternehmens auf Unternehmensebene. Diese Methode bietet erhebliche Vorteile für Unternehmen, die ein ganzheitliches Verständnis ihres unternehmensweiten Cyberrisikoprofils anstreben. Die Ergebnisse der Top-down-Quantifizierung ermöglichen die Priorisierung von Risiken, erleichtern die Erstellung konsolidierter Managementberichte und verbessern die Fähigkeit der Führungskräfte und des Vorstands, strategische Entscheidungen zu treffen.

Vorteile der Top-Down-CRQ:

  • Strategischer Fokus: Die Top-Down-CRQ bietet einen Überblick über die Cyberrisiken auf Unternehmensebene und unterstützt so die strategische Entscheidungsfindung auf höchster Ebene. Die Ergebnisse erleichtern den Vergleich mit anderen Unternehmen und langfristige Vergleiche und fördern einen kontinuierlichen Risikodialog zwischen der Unternehmensleitung.
  • Schnelle Risikobewertungen: Top-down-CRQ nutzt leicht verfügbare öffentliche Daten, beispielsweise aus Jahresberichten, und benötigt nur einen Bruchteil der Eingabedaten, die für Bottom-up-Ansätze erforderlich sind.
  • Nahtlose Skalierbarkeit: Die Standardisierung der Risikobewertungen über Geschäftsbereiche hinweg und eine übergeordnete Fokussierung ermöglichen eine nahtlose unternehmensweite Risikoaggregation für ein umfassendes Cyber-Risikomanagement im gesamten Unternehmen.

Squalify verwendet einen Top-Down-Ansatz zur Messung von Cyberrisiken. Sein semi-standardisiertes Modell und die Möglichkeit, aggregierte Eingabedaten zu verwenden, geben Führungskräften strategische Einblicke in ihre Cyberrisiken. Der Ansatz von Squalify zur Quantifizierung von Cyberrisiken bietet zusätzliche Vorteile wie:

  • Schnellere Erkenntnisse: Mit Squalify können Sie innerhalb von 48 Stunden eine Bewertung der schlimmsten Verluste durchführen und in nur wenigen Tagen eine vollständige Quantifizierung der Cyberrisiken vornehmen.
  • Rein datenbasierter Ansatz: Die Top-Down-CRQ verwendet ausschließlich historische Daten zu Cyberverlusten, um die Parameter des Quantifizierungsmodells zu definieren, wodurch subjektive Dateneingaben vermieden werden.
  • Kein Wartungsaufwand: Nutzt bewährte Risikomodelle und historische Daten, um konsistente und genaue Risikobewertungen zu liefern.
  • Einbeziehung unbekannter Risiken: Die Top-Down-CRQ berücksichtigt auch potenzielle Bedrohungen, die dem Unternehmen nicht bekannt sind, und liefert so Einblicke in mögliche blinde Flecken.

Herausforderungen der Top-Down-CRQ:

  • Weniger detaillierte Informationen: Die Top-Down-CRQ liefert möglicherweise nicht die detaillierten Einblicke in bestimmte Systeme und Prozesse, die Bottom-Up-Ansätze bieten, und ist daher für Entscheidungen auf operativer Ebene weniger geeignet.
  • Abhängigkeit von der Datenqualität: Da Top-Down-CRQ ausschließlich historische Verlustdaten zu Cybervorfällen nutzt, hängt die Qualität der Ergebnisse von der Genauigkeit und Vollständigkeit der aggregierten Daten ab, um zuverlässige Risikobewertungen zu erstellen.

Wenn es um strategische Entscheidungen auf Unternehmens- oder Geschäftseinheitsebene geht, überwindet der Top-Down-Ansatz die Einschränkungen des Bottom-Up-Ansatzes bei der Quantifizierung von Cyberrisiken. Obwohl er möglicherweise keine so detaillierte Analyse wie Bottom-Up-Methoden liefert, bietet Top-Down-CRQ in kürzester Zeit eine strategische Perspektive auf Cyberrisiken.

Comparison between bottom-up and top-down cyber risk quantification (CRQ) methods.
Methoden zur Quantifizierung von Cyberrisiken (CRQ): Ein Vergleich zwischen Bottom-up- und Top-down-Ansatz.

Schlussbemerkungen

Cyber-Risikomanagement ist in der heutigen, sich schnell verändernden Cyber-Bedrohungslandschaft für Unternehmen weltweit zu einem wichtigen Thema geworden. Die Zunahme von Cyber-Bedrohungen und strengere gesetzliche Anforderungen haben Cyber-Risiken zu einer obersten Priorität für Unternehmen gemacht, die einen fortschrittlicheren Ansatz zum Verständnis und zur Reduzierung dieser Risiken erfordern.

Cyber Risk Quantification (CRQ) ist ein neuartiges Konzept, das die Bewertung von Cyberrisiken von subjektiven Einschätzungen zu datengestützten Erkenntnissen verlagert. Durch die Übersetzung von Cyberrisiken in finanzielle Begriffe liefert CRQ ein klares, verständliches Bild der potenziellen Auswirkungen und ermöglicht so fundiertere Entscheidungen sowohl auf operativer als auch auf strategischer Ebene.

Bottom-up-CRQ bietet detaillierte Einblicke in bestimmte Systeme und Prozesse und eignet sich daher ideal für das Management von Cyberrisiken auf operativer Ebene. Es bietet:

  • Ein tiefgreifendes Verständnis der Schwachstellen bestimmter Systeme.
  • Anpassbare Modelle, die auf die besonderen Merkmale einer Organisation zugeschnitten sind.

Die Bottom-up-CRQ steht jedoch vor Herausforderungen wie Komplexität, Skalierbarkeitsproblemen und potenziellen Informationsverzerrungen, die ihre Nützlichkeit für strategische Entscheidungen einschränken.

Die Top-down-CRQ hingegen bietet einen Überblick über Cyberrisiken auf Unternehmensebene und unterstützt Führungskräfte dabei, fundierte strategische Entscheidungen zu treffen. Sie bietet:

  • Einen strategischen Fokus auf unternehmensweite Risiken.
  • Schnelle Risikobewertungen anhand von leicht verfügbaren Daten.
  • Nahtlose Skalierbarkeit und datengestützte Erkenntnisse.

Top-down-CRQ bietet zwar nicht die Detailgenauigkeit von Bottom-up-Methoden, liefert jedoch eine umfassende, strategische Perspektive auf Cyberrisiken. Top-down-CRQ behebt die Einschränkungen von Bottom-up-Ansätzen und bildet die Grundlage für fundierte Sicherheitsentscheidungen der Führungskräfte und Vorstandsmitglieder.

Hermann Kramer

Chief Strategy Officer & Gründer

Hermann verfügt über mehr als 30 Jahre Erfahrung im Underwriting und im Unternehmensrisikomanagement bei Munich Re, wo er eine Schlüsselrolle in der Abteilung Corporate Underwriting spielte. Heute ist er Managing Director und Chief Strategy Officer bei Squalify, wo er für die Risikomodelle und die Output-Qualität von Squalify verantwortlich ist und strategische Initiativen leitet.

Inhaltsverzeichnis
Newsletter
Du bist startklar.
Danke, dass du dich angemeldet hast.
Etwas ist schief gelaufen. Bitte überprüfen Sie Ihre Eingaben und versuchen Sie es erneut.
Ausgewählte Beiträge
Die größten Herausforderungen in der Cyberkommunikation in Vorstandsetagen (und Lösungen)
Serie Teil II: So definieren Sie Worst-Case-Szenarien mithilfe einer Cyberrisiko-Methodik
Cyberrisiken konsistent identifizieren — Die Cyberrisiko-Taxonomie von Squalify

Abonnieren Sie unseren Newsletter.

Expertenwissen zum Cyberrisikomanagement
Updates zur der Squalify-Plattform
Aktuelles über Squalify
Du bist startklar. Danke, dass du dich angemeldet hast.
Etwas ist schief gelaufen. Bitte überprüfen Sie Ihre Eingaben und versuchen Sie es erneut.
Mehr Beiträge
Alle Beiträge ansehen

Die größten Herausforderungen in der Cyberkommunikation in Vorstandsetagen (und Lösungen)

Jul 14
/
Boardroom
/
Lesedauer: 4 Minuten

Serie Teil II: So definieren Sie Worst-Case-Szenarien mithilfe einer Cyberrisiko-Methodik

Jul 7
/
CRQ Essentials
/
9 Minuten Lesezeit

Cyberrisiken konsistent identifizieren — Die Cyberrisiko-Taxonomie von Squalify

Jun 25
/
Platform
/
Lesedauer: 5 Minuten

Machen Sie Cyber-Risikomanagement zu Ihrem Wettbewerbsvorteil

Quantifizieren Sie Risiken, optimieren Sie Sicherheitsinvestitionen und stimmen Sie Cybersicherheit mit den Unternehmenszielen ab — gestützt auf reale Cyber-Verlustdaten.
Termin vereinbaren
Squalify bringt die Quantifizierung von Cyberrisiken in die Vorstandsetage. Unsere CRQ-Plattform versorgt Führungskräfte im Bereich Informationssicherheit und Risikomanagement mit umsetzbaren Erkenntnissen über die unternehmensweiten Cyberrisiken und ermöglicht so fundierte Entscheidungen und eine effektive Governance. Mehr erfahren
Folge uns auf
Funktionen
Quantifizierung von Cyberrisiken
Optimierung der Sicherheitskontrollen
Risikobilanz
Verbesserungssimulation
Steuerung von Tochtergesellschaften
Industrie-Benchmarking
Einhaltung von Cybervorschriften
Unternehmen
Über unsWarum wirPartnerKarriereKontakt
Ressourcen
WissenHäufig gestellte FragenLoginTermin vereinbaren
Copyright © 2025 Squalify. Alle Rechte vorbehalten.
ImpressumDatenschutzCookies