Crowdstrike, NotPetya, Wannacry: Es sind die katastrophalen Cybervorfälle, die in den Nachrichten auftauchen und die Aufmerksamkeit von Führungskräften und Vorständen auf sich ziehen. Cybersicherheitsteams in Unternehmen auf der ganzen Welt bewältigen jedoch täglich kleinere Vorfälle. Die Bewältigung dieser routinemäßigen, aber wenig folgenschweren Ereignisse ist wichtig, macht jedoch keine Schlagzeilen. Die Fähigkeit, große und kleine Vorfälle zu planen, zu erkennen und darauf zu reagieren, ist eine Kernkompetenz der Cybersicherheit. Wenn Sie dies gut machen, bleibt Ihr Unternehmen aus den Schlagzeilen heraus.
Cyberkrisen, also Ereignisse mit hoher Auswirkung, aber geringer Wahrscheinlichkeit, haben erhebliche finanzielle und geschäftliche Auswirkungen und können zu negativen Schlagzeilen führen, wenn sie nicht richtig bewältigt werden. Wenn Sie die Worst-Case-Szenarien für Ihr Unternehmen kennen, können Sie die Kostentreiber sowie die erforderlichen Schutz- und Wiederherstellungsziele identifizieren.
Die Quantifizierung von Cyberrisiken kann diese Planung unterstützen und dem Vorstand Finanzkennzahlen liefern, um solche Risiken im Kontext der allgemeinen Risiken des Unternehmens einzuordnen, und dem CISO die notwendigen Informationen für einen Business Case für Verbesserungen liefern.
In diesem Artikel wird untersucht, wie Sie mit Hilfe der Quantifizierung von Cyberrisiken eine Cyberkrise effektiv planen, bewerten und abmildern können. Am Ende dieses Artikels werden Sie ein tieferes Verständnis dafür haben, wie Sie mit der Squalify CRQ-Plattform widerstandsfähige Cybersicherheitsstrategien entwickeln können.
Wichtige Erkenntnisse
- Eine Cyberkrise ist ein unvorhersehbares Ereignis mit geringer Wahrscheinlichkeit und erheblichen finanziellen Auswirkungen. Das Management von Cyberkrisen erfordert einen strategischen Ansatz im gesamten Unternehmen und ist für die Geschäftsleitung und den Vorstand von Interesse.
- Routinemäßige Cybervorfälle sind dagegen eher vorhersehbar und können mit den regulären täglichen Vorfallmanagementprozessen bewältigt werden. Da diese Vorfälle nur geringe Auswirkungen auf das Geschäft haben, erfordern sie in der Regel keine Aufmerksamkeit des Vorstands.
- Cyber-Krisenmanagement und Cyber-Risikoquantifizierung haben gemeinsame Aktivitäten. Der Top-Down-Ansatz von Squalify zur Cyber-Risikoquantifizierung (CRQ) konzentriert sich auf Krisenszenarien und bewertet diese mit einem monetären Wert, sodass die Geschäftsleitung und der Vorstand Strategien zur Minderung von Cyber-Risiken auf der Grundlage der potenziellen finanziellen Auswirkungen auf das Unternehmen priorisieren können.
Cyber-Krisen vs. routinemäßige Cyber-Vorfälle
Das Verständnis des Unterschieds zwischen einer Cyberkrise und einem routinemäßigen Cybervorfall ist von entscheidender Bedeutung, da es tiefgreifende Auswirkungen auf Ihr Risikomanagement und Ihre strategische Planung hat. Beide Arten von Ereignissen unterscheiden sich in ihrer Häufigkeit und Schwere, was zu unterschiedlichen Expositions- und Schadensmustern führt.
Cyberkrise
Eine Cyberkrise ist ein groß angelegtes Ereignis, das durch eine Cyberbedrohung verursacht wird und erhebliche und langfristige Auswirkungen auf ein Unternehmen hat. Eine Cyberkrise hat (hoffentlich!) eine relativ geringe Eintrittswahrscheinlichkeit und ist wahrscheinlich nicht vorhersehbar. Um diese Risiken effektiv zu managen, ist es notwendig, die Natur und die Auswirkungen eines solchen Krisenereignisses zu verstehen.
Beispielsweise kann eine erhebliche Verletzung des Schutzes personenbezogener Daten zu einer Cyberkrise führen. In diesem Fall können die Kosten schnell in die Höhe schnellen. Zusätzlich zu den Kosten für die Reaktion auf den Vorfall, die Wiederherstellung und die Forensik können langfristige Kosten für die Überwachung der Kundenbonität, Prozesskosten zur Abwehr von Klagen, erhebliche Bußgelder, Geschäftsausfälle sowie immaterielle Kosten aufgrund des Verlusts des Kundenvertrauens und der langfristigen Schädigung des Rufs des Unternehmens entstehen.
Eine Cyberkrise hat per Definition erhebliche und potenziell existenzielle Auswirkungen auf das Unternehmen. Das Krisenmanagement erfordert eine strategischere Reaktion als das routinemäßige Incident Management und kann alternative Risikomanagementansätze wie den Transfer von Cyberversicherungsrisiken und die Prüfung der Frage, ob das Unternehmen eine Lösegeldforderung für Ransomware zahlen sollte (was rechtliche und regulatorische Überlegungen erfordern kann), berücksichtigen.
Damit der Vorstand seine Governance- und Risikoüberwachungsfunktionen wahrnehmen kann, ist es wichtig, dass die Folgen und Managementansätze für potenzielle Cyberkrisen in einer verständlichen, nicht technischen Sprache berichtet werden. Die Quantifizierung der Auswirkungen von Cyberkrisenszenarien mit Tools wie Cyber Risk Quantification (CRQ) ist ein wirksames Mittel zur Bewertung potenzieller Risiken und Krisenszenarien im Zeitverlauf. Ziel ist es, diese Ereignisse mit geringer Wahrscheinlichkeit und hoher Schwere entsprechend der Risikobereitschaft Ihres Unternehmens richtig zu priorisieren, um unvorhergesehene, katastrophale Folgen zu mindern.
Routinemäßige Cybervorfälle
Routinemäßige Vorfälle sind dagegen solche, die mit regulären täglichen Vorfallmanagementprozessen bewältigt werden können. Diese Vorfälle treten relativ häufig auf (möglicherweise mehrmals pro Jahr) und haben nur minimale Auswirkungen auf den Betrieb eines Unternehmens. Der genaue Zeitpunkt, zu dem diese Vorfälle auftreten, ist zwar nicht vorhersehbar, aber die Auswirkungen sind in der Regel leicht zu verstehen und vorherzusagen, sodass Vorfallreaktionspläne oder „Runbooks“ erstellt werden können, um sie einheitlich zu bewältigen.
Da diese Vorfälle nur geringe Auswirkungen auf das Geschäft haben, erfordern sie in der Regel keine Aufmerksamkeit seitens des Vorstands. Aus diesem Grund konzentriert sich Squalify auf Krisenszenarien.
Wie die Quantifizierung von Cyberrisiken beim Cyber-Krisenmanagement helfen kann
Die erfolgreiche Vorbereitung auf das Cyber-Krisenmanagement und die Erstellung einer effektiven Cyber-Risikobewertung haben eine Reihe von Gemeinsamkeiten:
- Die vorhersehbaren Teile einer Krise können quantifiziert werden: Die Informationen, die für die Vorbereitung auf eine Krise und eine Risikobewertung benötigt werden, stammen aus ähnlichen Quellen. Ein klarer Überblick über die beteiligten Stakeholder, z. B. Rechtsabteilung, Kommunikationsabteilung, Cyberversicherung, hilft nicht nur bei der Planung der Krisenreaktion, sondern identifiziert auch Stakeholder, die bei der Ermittlung der damit verbundenen Kosten und finanziellen Überlegungen für die Aufnahme in ein Risikobewertungsmodell helfen können.
- Priorisierung von Risiken auf Unternehmensebene: Durch die Quantifizierung der potenziellen Auswirkungen mehrerer Krisenszenarien kann ein Unternehmen seine aggregierten Risiken verstehen und vergleichen und somit Prioritäten für Investitionen zur Bewältigung der kritischsten Risiken setzen.
- CRQ kann zum Testen, Validieren und Entwickeln von Krisenplänen verwendet werden: Die Quantifizierung von Cyberrisiken sollte Unternehmen dazu veranlassen, ihre Vorbereitungen für Vorfälle und Krisen zu überdenken. Die Inputs und Outputs von CRQ können verwendet werden, um Annahmen der Krisenplanung zu testen und die Auswirkungen von Änderungen wichtiger Parameter zu erkennen. Mit der Squalify-Plattform können Sie beispielsweise schnell die finanziellen Auswirkungen modellieren, die sich aus der Verletzung von 100 Millionen gegenüber einer Milliarde personenbezogener Datensätze ergeben, oder die Auswirkungen unterschiedlicher Dauer von Betriebsunterbrechungen testen. Diese Sensitivitätsprüfung kann verwendet werden, um Wiederherstellungsziele und Schwellenwerte festzulegen, mit der Gewissheit, dass diese Ziele durch Daten zu potenziellen finanziellen Verlusten untermauert sind. Dies hilft auch bei Gesprächen mit dem Vorstand, zum Beispiel: „Wir sind zuversichtlich, dass bei einer Krisendauer von 10 Tagen die potenziellen Verluste X Millionen Dollar betragen, bei einer Dauer von 30 Tagen jedoch bis zu Y Millionen Dollar.“
Der Top-Down-Ansatz von Squalify zur Quantifizierung von Cyberrisiken bietet Ihnen eine aggregierte Übersicht über die Cyberrisiken Ihres gesamten Unternehmens in Form von Finanzkennzahlen. Wir verfügen über integrierte Abfragen für Szenarien wie Betriebsunterbrechungen, Datenschutzverletzungen sowie Finanzdiebstahl und -betrug, damit Sie schnell die richtigen Informationen erhalten und die kritischsten Risiken anhand ihrer wirtschaftlichen Auswirkungen und datengestützter Nachweise angehen können. Mit der Squalify-Plattform können Sie sogar die Leistung benchmarken und Ihrem Vorstand den ROI dieser Risikominderungsmaßnahmen aufzeigen.
Wie Squalify Unternehmen bei der Bewertung und Bewältigung von Cyberkrisen unterstützt
Die Squalify-Plattform dient der langfristigen Resilienz und Entscheidungsfindung. Durch den Einsatz einer Top-Down-Methodik zur Quantifizierung von Cyberrisiken unterstützt Squalify das strategische Cyberrisikomanagement auf den oberen Ebenen des Unternehmens.
Quantifizieren Sie die Auswirkungen von Cyberkrisen mit Squalify
Squalify macht es einfach, die finanziellen Auswirkungen einer Cyberkrise zu bewerten:
- Worst-Case-Szenarien: Squalify beginnt mit einer „Worst-Case”-Bewertung, um anhand von leicht und schnell verfügbaren Informationen wie dem Umsatz, der Branche und der Anzahl der Mitarbeiter des Unternehmens schnell eine obere Verlustgrenze zu berechnen. Mithilfe unseres integrierten Benchmarking-Datensatzes liefern wir innerhalb weniger Minuten eine erste Schätzung.
- Hinweise für häufige Cyber-Krisenszenarien: Wir verfügen über eine integrierte Bibliothek mit Fragen, die Ihnen helfen, die notwendigen Informationen für die Modellierung von Szenarien für Betriebsunterbrechungen, Verletzungen des Schutzes personenbezogener Daten sowie Finanzdiebstahl und -betrug zu erhalten. Durch die Beantwortung dieser szenariospezifischen Fragen wird das Worst-Case-Szenario für Ihr Unternehmen kontextualisiert und Sie erhalten die notwendigen Inputs für die statistische Quantifizierung der Verluste.
