So geht's richtig: Erfassung hochwertiger Daten für Cyber-Risikomodelle

Aktualisiert am

October 24, 2025

/

6 min Lesezeit

Zuhause

/

Alle Beiträge

/

So geht's richtig: Erfassung hochwertiger Daten für Cyber-Risikomodelle

Welche Daten werden in der Regel für Cyber-Risikomodelle benötigt?

Cyber-Risikomodelle benötigen Daten über das Unternehmen und die Cyber-Bedrohung, um die Auswirkungen eines Vorfalls auf die Organisation abschätzen zu können. Die für ein Cyber-Risikomodell benötigten Daten lassen sich in zwei Komponenten unterteilen: Unternehmensdaten und Cyber-Bedrohungsdaten (Modelldaten). Erstere ermitteln die individuelle Anfälligkeit des einzelnen Unternehmens für Cyber-Risiken und bestimmen, wie gut das Unternehmen sich schützt. Die Eingaben des Unternehmens bestimmen somit maßgeblich, was zu einem Cyberverlust führen kann. Die Daten zu Cyberbedrohungen hingegen bestimmen den aktuellen Grad der Schwere und Häufigkeit von Cyberrisiken, denen ein Unternehmen aufgrund der Cyberbedrohungslage ausgesetzt ist. In den Daten zu Cyberbedrohungen werden die analysierten Daten zu Risikotreibern und deren Beitrag zur Schwere und Häufigkeit für bestimmte Unternehmen zusammengeführt, woraus sich eine Schätzung der Folgen eines Cyberverlusts ergibt.

Eingaben des Unternehmens

Die für ein Cyber-Risikomodell erforderlichen Eingaben des Unternehmens umfassen Folgendes:

  1. Exposure-Daten: Diese Daten definieren, was für ein einzelnes Unternehmen im Falle eines Cybervorfalls finanziell auf dem Spiel steht. Sie umfassen Details zu Unternehmensvermögen, Infrastruktur und Geschäftsabhängigkeiten und helfen dabei, die Anfälligkeit der Organisation für Angriffe zu bewerten. Beispielsweise bestimmt die Anzahl der Datensätze eines Unternehmens maßgeblich, wie anfällig das Unternehmen für eine Datenverletzung ist. Mit anderen Worten: Je mehr Daten ein Unternehmen hat, desto größer ist das finanzielle Risiko, wenn es zu einer Datenverletzung kommt. Inwieweit dies zu einem Verlust führt, wird dann anhand von Parametern für die Schwere der Cyberbedrohung ermittelt.
  2. Informationssicherheitsdaten: Diese geben Aufschluss darüber, wie gut ein Unternehmen gegen Cyberbedrohungen geschützt ist. Dazu gehört eine Bewertung der Informationssicherheit des Unternehmens, die auf der Einhaltung gesetzlicher Vorschriften, Informationssicherheitszertifizierungen und anderen Bewertungen einzelner Cybersicherheitsmaßnahmen basieren kann. In der Regel basiert eine Bewertung der Informationssicherheit auf einem standardisierten Informationssicherheits-Framework wie NIST oder ISO. Im Allgemeinen gilt: Je stärker ein Unternehmen Cyberrisiken ausgesetzt ist, desto höher müssen seine Informationssicherheitsstandards sein. Beispielsweise macht eine größere Datenmenge ein Unternehmen anfälliger für Cybervorfälle. Daher sind fortschrittlichere Informationssicherheitsstandards erforderlich, um die Daten angemessen vor Verstößen zu schützen.

Im Bereich Cyber geht es darum, Daten zu identifizieren, die einen Zusammenhang zwischen den Merkmalen eines Unternehmens und seiner Informationssicherheit mit der Häufigkeit oder Schwere eines Cybervorfalls aufzeigen. Dabei kann ein Cybervorfall verschiedene Arten von Cybervorfällen umfassen, wie z. B. gestohlene Daten, eine Unterbrechung des Geschäftsbetriebs, gestohlenes Geld oder andere Folgen. Jede Art von Vorfall hat ihre eigenen Risikotreiber, die sich aus den Unternehmensmerkmalen, den regulatorischen Anforderungen oder der Cyberbedrohungslandschaft ergeben können. Sobald die Zusammenhänge identifiziert sind, werden die abgeleiteten Parameter in Bezug auf Schwere und Häufigkeit verwendet, um das potenzielle Folge-Risiko abzuschätzen.

Cyber-Bedrohungsdaten

Um einen vollständigen Überblick über das Cyberrisiko einer Organisation zu erhalten, verwenden Cyber-Risikomodelle eine Simulation, in der Regel eine Monte-Carlo-Simulation, um die Schwereverteilung und die Eintrittswahrscheinlichkeit von Cybervorfällen abzuschätzen. Dazu werden Cyber-Bedrohungsdaten sowohl zur Häufigkeit als auch zur Schwere der Vorfälle benötigt, die auf der aktuellen Cyber-Bedrohungslage basieren.

  • Häufigkeitsdaten: Diese bestimmen, wie häufig ein Unternehmen mit einem Verlust aufgrund eines Cybervorfalls rechnen muss. Auf der Grundlage aktueller Vorfallstrends und Bedrohungsinformationen lassen sich Schätzungen ableiten, wie oft Unternehmen mit einem bestimmten Risikoprofil Ziel eines Cybervorfalls werden. Diese Schätzung muss natürlich auf der Grundlage weiterer Daten zum Risikoprofil und zum Reifegrad der Informationssicherheit eines Unternehmens individuell angepasst werden. So sind beispielsweise Unternehmen in bestimmten Branchen, wie dem Militär und der kritischen Infrastruktur, derzeit häufiger von politisch motivierten Angriffen betroffen als andere Branchen. Mit anderen Worten: Bestimmte Risikofaktoren erhöhen die Wahrscheinlichkeit, dass ein Cybervorfall eintritt. Dies ist jedoch nur ein Faktor, weitere Faktoren erhöhen oder verringern die Häufigkeit je nach dem individuellen Risikoprofil eines Unternehmens.
  • Schweregraddaten: Tritt ein Vorfall ein, bestimmen die Daten zur Verteilung der Verluste, also der Schweregrad, wie viel ein Cybervorfall kostet. Die Verteilung der Verluste kann anhand historischer Daten über die Auswirkungen von Cybervorfällen ermittelt werden. Auch hier hängt die endgültige Schwere eines Vorfalls von mehreren Faktoren ab, die die Gefährdung eines Unternehmens bestimmen. Beispielsweise ist die Anzahl der personenbezogenen Datensätze eines Unternehmens ein wichtiger Faktor für die Schwere einer potenziellen Datenschutzverletzung. Je mehr Datensätze vorhanden sind, desto höher sind die Folgekosten, einschließlich Benachrichtigungskosten, Rechtskosten und anderer Kosten.

Herausforderungen bei der Erfassung hochwertiger Daten

Die Erfassung hochwertiger Daten sowohl für unternehmensspezifische Inputs als auch für Cyber-Bedrohungsinformationen kann eine Herausforderung sein, insbesondere wenn man nicht genau weiß, wonach man suchen muss und wo man diese Daten finden kann. Bei der Erstellung eines Cyber-Risikomodells, das ausschließlich auf internen Unternehmensdaten basiert, kann es schwierig sein, den gesamten Umfang potenzieller Risikofaktoren, Unternehmensmerkmale und anderer relevanter Faktoren zu ermitteln. Dieser Ansatz kann zu Verzerrungen führen und die Genauigkeit des Modells beeinträchtigen.

Zu den wichtigsten Herausforderungen gehören:

  • Verfügbarkeit von Daten – Der Zugriff auf die richtigen Daten ist für die Einschätzung der Häufigkeit und Schwere von Cybervorfällen von entscheidender Bedeutung. Oftmals sind jedoch nicht nur interne Unternehmensdaten erforderlich. Unternehmen müssen sich auf externe Berichte, historische Aufzeichnungen, öffentlich bekannte Fälle oder Branchenbenchmarks stützen. Wenn Daten knapp sind, sind Unternehmen gezwungen, sich auf allgemeine Annahmen zu stützen, was die Genauigkeit der Risikobewertungen beeinträchtigen kann.
  • Kognitive Verzerrung – Die interne subjektive Perspektive eines Unternehmens ist oft optimistischer als eine externe Sichtweise. Das Vertrauen in die Betriebsabläufe und Sicherheitsmaßnahmen kann zu einer Unterschätzung der Risiken führen. Dies kann zu einer Bewertung führen, die die Schwere und Häufigkeit von Vorfällen niedriger einschätzt als Branchenbenchmarks, wodurch Verzerrungen in das Modell gelangen. Daher ist es eine große Herausforderung, die Vollständigkeit und Genauigkeit der Daten sicherzustellen und gleichzeitig subjektive Verzerrungen zu minimieren.
  • Tunnelblick – Die ausschließliche Konzentration auf interne Daten kann zu einer eingeschränkten Sichtweise auf potenzielle Cyber-Bedrohungen führen. Wichtige Zusammenhänge können übersehen und die Auswirkungen von Cyber-Vorfällen unterschätzt werden – insbesondere, wenn diese über die direkten Erfahrungen des Unternehmens hinausgehen. Außerdem beschränkt die Verwendung eigener Daten die Modellierung auf das, was innerhalb des Unternehmens erlebt wurde oder erwartet wird, sodass unbekannte Risiken, die in der Cyber-Bedrohungslandschaft bestehen können, nicht berücksichtigt werden. Ohne Berücksichtigung der gesamten Cyber-Risikolandschaft können wichtige Bedrohungen und Risikofaktoren unbemerkt bleiben.
  • Hoher Wartungsaufwand – Aufgrund der sich ständig verändernden Bedrohungslandschaft und neuer Schutztechniken erfordert ein auf eigenen Parametern basierendes Modell einen hohen Ressourcenaufwand. Dies ist unerlässlich, um die Veränderungen in den Zusammenhängen zwischen Ursachen und Folgen kontinuierlich in genaue Häufigkeits- und Schweregradparameter zu übersetzen.

Fazit: Genaue Cyberrisiken erfordern vorparametrisierte Modelle

Wenn Parameter auf der Grundlage eigener Erfahrungen und Daten generiert werden, besteht im Wesentlichen ein hohes Risiko, unbekannte Risiken zu übersehen, Verzerrungen einzuführen und nur einen Ausschnitt des gesamten Cyberrisikos zu erhalten. Ein gut strukturiertes Cyber-Risikomodell und ein vorparametrisiertes Modell können dabei helfen, Verzerrungen zu vermeiden und eine genaue Risikobewertung zu verbessern. Die Nutzung eines breiten Spektrums an Datenquellen erhöht die Transparenz und bietet einen umfassenderen Überblick über die Cyber-Risiken eines Unternehmens. Die Beschaffung und Pflege zuverlässiger, hochwertiger Bedrohungsinformationen bleibt jedoch eine große Herausforderung.

Der Einsatz vorparametrisierter Modelle wie Squalify löst das Problem, dass Daten selbst beschafft werden müssen, um Rückschlüsse auf Zusammenhänge zwischen Cyberbedrohungen zu ziehen. Squalify enthält vordefinierte Parameter für Häufigkeit und Schweregrad, die auf Datenquellen aus Versicherungsfällen, internem und externem Fachwissen sowie Expertenwissen basieren. Anstatt sich auf subjektive Schätzungen für Parameter zu verlassen, werden die Daten durch strukturierte Interviews mit einer Vielzahl von Fachexperten erhoben, wodurch Konsistenz und Genauigkeit gewährleistet sind.

Letztendlich hängt eine hochwertige Quantifizierung von Cyberrisiken von der Verwendung genauer, gut strukturierter, branchenweiter und regionenübergreifender Daten zu Cyberrisiken ab, um die besten Parameter für Cyberbedrohungen zu generieren, die die Ursachen von Cyberrisiken mit den daraus resultierenden Verlusten verknüpfen. Unternehmen, die zuverlässige Ergebnisse suchen, sollten datengesteuerte Ansätze priorisieren und Cyberwissen und strukturierte Methoden nutzen, um fundierte Parameter zu generieren, die die besten Schätzungen zu Cyberrisiken enthalten.

Theresa Barsy

Senior Cyber Risk Consultant

Theresa verbindet analytische Tiefe mit einem Blick für das große Ganze, um Unternehmen dabei zu helfen, Klarheit in komplexe Cyberrisiken zu bringen. Als Senior Cyber Risk Consultant bei Squalify leitet sie die Entwicklung des Cyberrisikomodells des Unternehmens und begleitet Kunden bei strategischen CRQ-Projekten.

Inhaltsverzeichnis
Newsletter
Du bist startklar.
Danke, dass du dich angemeldet hast.
Etwas ist schief gelaufen. Bitte überprüfen Sie Ihre Eingaben und versuchen Sie es erneut.
Ausgewählte Beiträge
Digitale Haftung: Das neue Risiko, das sich hinter der digitalen Transformation verbirgt
Verluste in Millionenhöhe – Was können Sie aus dem Cyberangriff auf Jaguar Land Rover für Ihr Unternehmen lernen?
Von der Ursache zu den Folgen: Wie das Squalify-Modell Cyberrisiken quantifiziert

Abonnieren Sie unseren Newsletter.

Expertenwissen zum Cyberrisikomanagement
Updates zur der Squalify-Plattform
Aktuelles über Squalify
Du bist startklar. Danke, dass du dich angemeldet hast.
Etwas ist schief gelaufen. Bitte überprüfen Sie Ihre Eingaben und versuchen Sie es erneut.
Mehr Beiträge
Alle Beiträge ansehen

Digitale Haftung: Das neue Risiko, das sich hinter der digitalen Transformation verbirgt

Oct 28
/
CRQ Essentials
/
3 min Lesezeit

Verluste in Millionenhöhe – Was können Sie aus dem Cyberangriff auf Jaguar Land Rover für Ihr Unternehmen lernen?

Oct 24
/
CRQ Essentials
/
2 Minuten Lesezeit

Von der Ursache zu den Folgen: Wie das Squalify-Modell Cyberrisiken quantifiziert

Sep 17
/
Platform
/
6 min Lesezeit

Machen Sie Cyber-Risikomanagement zu Ihrem Wettbewerbsvorteil

Quantifizieren Sie Risiken, optimieren Sie Sicherheitsinvestitionen und stimmen Sie Cybersicherheit mit den Unternehmenszielen ab — gestützt auf reale Cyber-Verlustdaten.
Termin vereinbaren
Squalify bringt die Quantifizierung von Cyberrisiken in die Vorstandsetage. Unsere CRQ-Plattform versorgt Führungskräfte im Bereich Informationssicherheit und Risikomanagement mit umsetzbaren Erkenntnissen über die unternehmensweiten Cyberrisiken und ermöglicht so fundierte Entscheidungen und eine effektive Governance. Mehr erfahren
Folge uns auf
Funktionen
Quantifizierung von Cyberrisiken
Optimierung der Sicherheitskontrollen
Risikobilanz
Verbesserungssimulation
Steuerung von Tochtergesellschaften
Industrie-Benchmarking
Einhaltung von Cybervorschriften
Unternehmen
Über unsWarum wirPartnerKarriereKontakt
Ressourcen
WissenWhitepapersHäufig gestellte FragenCRQ-EignungstestWorst Case VerlustrechnerLoginTermin vereinbaren
Copyright © 2025 Squalify. Alle Rechte vorbehalten.
ImpressumDatenschutzCookies