So planen Sie ein erfolgreiches Projekt zur Quantifizierung von Cyberrisiken

Aktualisiert am

October 24, 2025

/

15 min Lesezeit

Zuhause

/

Alle Beiträge

/

So planen Sie ein erfolgreiches Projekt zur Quantifizierung von Cyberrisiken

Verstehen Sie, warum Sie quantifizieren

Wer trifft anhand der CRQ-Ergebnisse Entscheidungen?

Die erste Frage, die Sie sich bei der Planung einer Quantifizierung von Cyberrisiken stellen sollten, lautet: Wer ist die Zielgruppe? In der Regel gibt es zwei Zielgruppen für CRQ: die Geschäftsleitung/den Vorstand und technische Experten. Die Zielgruppe bestimmt die Anforderungen an das Projekt insgesamt.

Die oberste Geschäftsleitung möchte die Risiken aus einer übergeordneten Perspektive betrachten und sich auf diejenigen Risiken konzentrieren, deren potenzielle finanzielle Verluste groß sind. Die Cyber-Risikobewertung und die Berichte für den Vorstand müssen die wichtigsten Risiken hervorheben, d. h. diejenigen, die die größten Auswirkungen auf das gesamte Unternehmen haben können und mit anderen Nicht-Cyber-Risiken verglichen werden können, denen ein Unternehmen ausgesetzt ist.

Auf der anderen Seite können Technologen, die für den Aufbau, die Wartung und die Sicherheit von Informationssystemen innerhalb eines Unternehmens verantwortlich sind, von Risikoberichten profitieren, die technisch detailliertere Informationen enthalten. Dazu können detaillierte Aufschlüsselungen von Schwachstellen und Bedrohungsinformationen gehören. Möglicherweise müssen auch Ausnahmen für lokale Risikobewertungen unterstützt werden.

Was bedeutet das für Ihr CRQ-Projekt?

  • Wenn Ihre Zielgruppe die oberste Führungsebene ist, müssen Sie sicherstellen, dass die Ergebnisse in Bezug auf die geschäftlichen Folgen beschrieben, in einer nicht-technischen Sprache erklärt und mit anderen Unternehmensrisikokennzahlen abgeglichen sind.
  • Wenn Ihre Zielgruppe Technologen sind, ist es möglicherweise sinnvoller, den Schwerpunkt auf die Bedrohungen und Ursachen von Risiken zu legen und den Umfang der Bewertung einzugrenzen.

Wenn Sie noch keine klare Vorstellung von Ihrer Zielgruppe haben, fragen Sie sich: Möchte ich strategische Entscheidungen lenken oder operative Maßnahmen rechtfertigen? Muss meine Zielgruppe mehr über die technischen Details eines Risikos oder über die geschäftlichen Folgen wissen?

Bei welchen Entscheidungen soll CRQ mich unterstützen?

Eine Quantifizierung der Cyberrisiken liefert Ihnen einige Zahlen. Damit diese Zahlen aussagekräftig sind, müssen Sie sie in den Kontext einer Entscheidungsfindung stellen. Und um den Kontext zu verstehen, müssen Sie sich darüber im Klaren sein, welche Entscheidungen Sie mit CRQ steuern möchten.

Im Folgenden habe ich einige typische Risikomanagemententscheidungen aufgelistet, bei denen CRQ helfen kann:

  • Wie ist unser aktuelles Risikoniveau im gesamten Unternehmen im Vergleich zu unserer Risikobereitschaft und -toleranz?
  • Wie viel sollten wir in die Verbesserung der Sicherheitskontrollen investieren? Und welche Kontrollen sollten wir priorisieren?
  • Inwieweit wird unsere Informationssicherheitsstrategie unser aktuelles Risiko reduzieren?
  • Welche Maßnahmen außerhalb des Sicherheitsteams könnten die finanziellen Auswirkungen eines Vorfalls verringern?

Verschiedene CRQ-Ansätze und -Tools bieten unterschiedliche Funktionen zur Visualisierung und Beantwortung dieser Fragen.

Was werde ich quantifizieren?

Eine klare Vorstellung davon, was quantifiziert werden soll, stellt sicher, dass die Fragen der Stakeholder beantwortet werden können und keine Zeit damit verschwendet wird, „das Meer zu kochen” und Daten zu irrelevanten Themen zu sammeln. Diese abschließende Frage zum Umfang hängt eng mit der Zielgruppe und den Anwendungsfällen zusammen. Dies ist auch wichtig, wenn Sie potenzielle CRQ-Tools in Betracht ziehen, da verschiedene Anbieter unterschiedliche Stärken und Schwächen für unterschiedliche Bewertungsbereiche haben, wie in der folgenden Tabelle dargestellt. (Weitere Informationen finden Sie in unserem Artikel „Top-Down- vs. Bottom-Up-Ansatz”).

Scope Considerations
Whole company view (Top Down) Most frequently for a Top Management audience looking at the overall risk and strategic decisions.
Top Down CRQ tools (such as the Squalify platform) are best suited here as no aggregation of lower level results is needed.
Organisational Unit view Can be used by Top Management for steering entities within a corporate Group.
Can be used by Technologists for steering products / teams within a technology department.
Top Down / Bottom Up preference dependent on target audience.
System / IT Asset view (Bottom Up) Can be used by Technologist to understand the threats/risks to individual systems / assets.
Less useful for Top Management as often too tech-focused, narrow in scope, and need jargon translated.
Bottom Up approaches (such as those based on the FAIR methodology) are better suited here.

Wer ist an einem CRQ-Projekt beteiligt?

Es ist wichtig zu verstehen, dass eine erfolgreiche Quantifizierung von Cyberrisiken ein Prozess ist, der menschliche Interaktion, Kommunikation und kontinuierliches Engagement erfordert. Es reicht nicht aus, einfach ein Tool zu kaufen und eine Zahl zu erhalten. Das Verständnis der Arten von Personen, die zu einer Quantifizierung beitragen, der erforderlichen Fähigkeiten und der Beziehungen zwischen ihnen trägt zum Erfolg des Projekts bei.

Das Quantifizierungsprojekt besteht in der Regel aus einem „Kernteam“, das für die Leitung und Verwaltung der Quantifizierungsmaßnahmen verantwortlich ist (in der Regel das Informationssicherheitsteam), und einem „erweiterten Team“, das über die für die Quantifizierung erforderlichen Informationen verfügt.

Ein unterschätzter Vorteil von CRQ ist, dass es Sicherheitsteams oft ermöglicht, neue Beziehungen außerhalb der IT-Abteilung aufzubauen und ein besseres Verständnis für das Geschäft zu entwickeln.

Das Kernteam

Das Kernteam ist für die erfolgreiche Durchführung des CRQ-Projekts verantwortlich. In der Regel wird CRQ vom Informationssicherheits-/Cybersicherheitsteam vorangetrieben. Die Größe des Teams hängt vom Umfang des Projekts ab. Ein CRQ kann von einer einzelnen Person durchgeführt werden, wir empfehlen jedoch mindestens zwei Personen, um Redundanz und eine breitere Kompetenzverteilung zu gewährleisten.

Das Kernteam sollte über die folgenden Kenntnisse und Fähigkeiten verfügen:

  • Kenntnisse in der Risikobewertung – gutes Verständnis des Risikomanagements im Allgemeinen und der spezifischen CRQ-Methode im Besonderen. Verschiedene Anbieter verwenden unterschiedliche CRQ-Methoden. Wenn Sie eine externe Lösung beschaffen, sollten Sie den Anbieter fragen, wie er den Wissenstransfer an Ihr Team unterstützt.
  • Projektmanagementfähigkeiten – Die Durchführung einer CRQ erfordert die Zusammenführung von Personen und Daten aus dem gesamten Unternehmen. Dazu können auch Beschaffungs- und IT-Integrationsarbeiten gehören. Es ist sehr hilfreich, wenn jemand im Kernteam diese Arbeit koordiniert und überwacht, insbesondere beim ersten Quantifizierungsprojekt.
  • Kommunikations- und Stakeholder-Management-Fähigkeiten – Organisatorische Silos sind eine häufige Herausforderung für CRQ-Projekte. Es ist ein starker Indikator für den Erfolg, wenn jemand im Kernteam das CRQ-Projekt anderen Stakeholdern im Unternehmen erklären und sie um die Weitergabe von Daten bitten kann, die zuvor möglicherweise nicht geteilt wurden. Ein hochrangiger Sponsor für das Projekt ist hier ebenfalls hilfreich (einfacher bei einem von der Geschäftsleitung vorangetriebenen CRQ als bei einem IT-gesteuerten CRQ).

Ein externer Anbieter kann oft jede dieser Kompetenzen als Teil seiner Dienstleistungen oder als zusätzliche Beratungsleistungen bereitstellen. Die Inanspruchnahme dieser Beratungsleistungen kann die Umsetzung beschleunigen, bedeutet jedoch, dass Sie bei laufenden Änderungen und wiederholten Quantifizierungen möglicherweise vom Anbieter abhängig sind. Ein ausgewogener Ansatz könnte darin bestehen, dass der Anbieter die erste Quantifizierung durchführt und gleichzeitig die internen Mitglieder des Kernteams schult, damit diese zukünftige Quantifizierungen selbst durchführen können.

Das erweiterte Team

Um Cyberrisiken finanziell zu beziffern, muss das Kernteam Informationen aus dem gesamten Unternehmen einholen. Das erweiterte Team ist die Bezeichnung für diejenigen Stakeholder, die für diese Informationen kontaktiert werden müssen. Die genaue Liste der Stakeholder hängt vom Projektumfang ab, umfasst jedoch in der Regel Folgendes:

  • Finanzen: Das Finanzteam sollte in der Lage sein, Hinweise zu den profitabelsten Geschäftsbereichen zu geben, bei der Festlegung des Umfangs zu helfen und auch dabei zu helfen, die nach einem Vorfall anfallenden Kosten zu beziffern.
  • Datenschutz: Eine Verletzung des Schutzes personenbezogener Daten ist in der Regel eines der zu quantifizierenden Szenarien. Daher ist es wichtig, die Bedenken des Datenschutzbeauftragten zu verstehen und seine Meinung zu Umfang und Speicherorten personenbezogener Daten einzuholen.
  • Betrieb/Geschäftskontinuität: Spezialisten für Geschäftskontinuität haben möglicherweise bereits Analysen zu Risikoszenarien durchgeführt und eine Vorstellung von den Maßnahmen, die als Reaktion darauf ergriffen werden müssen. Dies kann die Festlegung des Umfangs und die Ermittlung der zu quantifizierenden Kostentreiber beschleunigen.
    Threat Intelligence/SOC:
    Das Verständnis der relevanten Bedrohungen für Ihr Unternehmen und der historischen Trends in diesem Zusammenhang kann insbesondere für Bottom-up-CRQ nützlich sein.
  • Einige Anbieter bieten historische Bedrohungs- und Verlustinformationen als Teil ihrer Dienstleistungen an, sodass eine interne Einschätzung nicht immer erforderlich ist.
  • Informationssicherheit: Es muss verstanden werden, welche Kontrollen zum Schutz des Umfangs der Bewertung vorhanden sind und wie wirksam diese sind. Wenn diese Informationen dem Kernteam noch nicht bekannt sind, sollten Sie sich diesbezüglich an andere Mitglieder der Informationssicherheitsfunktion wenden.

Zusammenfassung

Der Erfolg eines CRQ-Projekts hängt ebenso sehr von den beteiligten Personen wie von der verwendeten Technologie ab. Mach dir klar, dass das Kernteam für die Steuerung und Koordination des Projekts zuständig ist und das erweiterte Team die erforderlichen Daten bereitstellt. Sowohl das Kernteam als auch das erweiterte Team müssen über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um das Projekt effektiv durchzuführen.

Externe Anbieter können das Kernteam unterstützen oder diese Rolle vollständig übernehmen, aber das erweiterte Team muss immer aus dem Unternehmen stammen, das bewertet wird.

Welche Informationen werden für eine erfolgreiche CRQ benötigt?

Die obige Erörterung des erweiterten Teams gibt einen Hinweis auf die verschiedenen Arten von Informationen, die für eine Quantifizierung von Cyberrisiken benötigt werden. Die wichtigste Erkenntnis ist, dass ein Großteil dieser Informationen von außerhalb des Informationssicherheitsteams stammt und das Kernteam daher in der Lage sein muss, sich innerhalb des Unternehmens zu vernetzen, um Informationssilos aufzubrechen und den Zugang zu den erforderlichen Informationen zu verhandeln.

Die benötigten Daten lassen sich grob in drei Kategorien einteilen:

Finanzinformationen

Dazu gehören sowohl übergreifende Informationen auf Unternehmensebene, die zur Quantifizierung der finanziellen Auswirkungen auf Umsatz, Rentabilität usw. erforderlich sind, als auch spezifischere Informationen über die Kosten bestimmter Dienstleistungen, die das Unternehmen im Falle eines Vorfalls in Anspruch nehmen wird, z. B. Rechtskosten, forensische Kosten, Cyber-Versicherungslimits und Selbstbehalte.

Informationen zu Szenarien mit Auswirkungen auf das Geschäft

Dazu gehört die konkrete Definition dessen, was genau quantifiziert wird. Bei der Auswahl der Szenarien ist es wichtig, Überschneidungen und Doppelzählungen zu vermeiden. Dies ist bei einem Top-Down-CRQ-Ansatz einfacher, bei dem die Szenarien in der Regel auf der Grundlage der allgemeinen geschäftlichen Folgen definiert werden. Bei einem Bottom-Up-CRQ-Ansatz muss jedoch besonders darauf geachtet werden, dass die Aggregation verschiedener Risikobewertungen auf niedriger Ebene nicht zu Doppelzählungen führt.

Während die Liste der Bedrohungsszenarien offen sein kann, sind die Folgen in der Regel konkreter. Beispielsweise können viele verschiedene Bedrohungen zu den Folgen Verfügbarkeitsausfall, Verletzung sensibler Daten oder Finanzdiebstahl/Betrug führen. Die Konzentration auf die Folgen erleichtert die Erklärung gegenüber nicht-technischen Stakeholdern, die mehr an den Auswirkungen auf das Geschäft als an den technischen Ursachen interessiert sind, während eine Konzentration auf die Bedrohungen für einen Verteidiger, der verstehen möchte, was einen Vorfall verursachen könnte und wie er gemindert werden kann, möglicherweise nützlicher ist.

CRQ-Anbieter können bei der Gestaltung der Bewertung der geschäftlichen Auswirkungen helfen, indem sie relevante Fragen und branchenspezifische Vorschläge für relevante Szenarien bereitstellen.

Informationen zur Informationssicherheit

Die für einen CRQ erforderlichen Informationen zur Informationssicherheit bestehen in der Regel aus Bedrohungsinformationen und Kontrollinformationen.

Einige Bottom-Up-CRQ-Methoden erfordern die Schätzung von Bedrohungsparametern, wie z. B. die erwartete Häufigkeit jeder Angriffsart, die Fähigkeiten der gegnerischen Gruppen und ob diese Fähigkeiten ausreichend fortgeschritten sind, um die Abwehrmaßnahmen zu überwinden. Die Schätzung solcher Parameter kann schwierig sein und die Ergebnisse anfechtbar machen, wenn verschiedene Interessengruppen unterschiedliche Meinungen haben.

Unternehmen mit hochentwickelten internen Sicherheits- oder SOC-Teams verfügen möglicherweise über ausreichende Daten, um diese Bedrohungsschätzungen zu erstellen. Die meisten Unternehmen müssen jedoch auf öffentlich oder kommerziell verfügbare Datensätze zurückgreifen, um diese Informationen zu erhalten. Squalify integriert historische Verlustdaten in sein Serviceangebot, sodass Abonnenten diese Bedrohungsschätzungen nicht selbst vornehmen müssen.

Die andere Kategorie von Informationen zur Informationssicherheit, die für eine Quantifizierung erforderlich sind, bezieht sich auf die Kontrollumgebung. Ein Top-Down-CRQ-Ansatz betrachtet das gesamte Unternehmen und erfordert in der Regel eine Reifegradbewertung anhand eines branchenüblichen Kontrollrahmens, wie z. B. dem NIST Cybersecurity Framework oder ISO27001. Ein Bottom-Up-CRQ-Ansatz betrachtet genauer die spezifischen technischen Kontrollen, die für das betreffende System eingerichtet sind.

Integration eines CRQ-Tools in andere Systeme?

Häufig wird die Frage gestellt, ob es notwendig ist, ein CRQ-Tool in andere Systeme wie Schwachstellenmanagement-Plattformen, Threat-Intelligence-Plattformen oder andere operative Sicherheitstools zu integrieren.

Eine Integration kann folgende Vorteile haben:

  • Sie kann unter bestimmten Umständen dazu beitragen, die Erfassung von Informationssicherheitsinformationen zu beschleunigen.
  • Sie kann insbesondere dann nützlich sein, wenn Sie einen Bottom-Up-CRQ durchführen, um technische Telemetriedaten zu erhalten.
  • Sie können Daten aus anderen Tools „wiederverwenden”, um das Risikomanagement zu informieren.

Es gibt jedoch auch Nachteile der Integration, und sie sollte nicht als Allheilmittel für CRQ angesehen werden:

  • Es ist unwahrscheinlich, dass sie den äußerst wertvollen Teil des CRQ-Prozesses, der die Einbindung des Unternehmens betrifft, ersetzen kann.
  • Durch die Einbeziehung weiterer technischer Daten kann sich der Fokus von den Führungskräften weg verlagern, was es schwieriger macht, die Ergebnisse nicht-technischen Stakeholdern zu erklären.
  • Ein externer Anbieter erhält Zugriff auf Ihre sensiblen betrieblichen Sicherheitssysteme.
  • Die Planung und Erstellung von Integrationen kann den Umfang eines CRQ-Projekts vergrößern und dessen Zeitrahmen verlängern.

Zusammenfassung

Für einen erfolgreichen CRQ sind Finanzinformationen, Informationen zu Szenarien mit Auswirkungen auf das Geschäft und Informationen zur Informationssicherheit erforderlich. Einige Anbieter stellen möglicherweise Datensätze für einen Teil der Informationen zur Informationssicherheit zur Verfügung, die anderen Kategorien müssen jedoch aus dem Unternehmen selbst stammen.

Die Integration eines CRQ-Tools in andere Sicherheitssysteme kann dazu beitragen, die Informationsbeschaffung für die Kategorie Informationssicherheit zu beschleunigen, was für technische Bottom-up-CRQ-Bewertungen nützlich sein kann. Integrationen liefern jedoch nicht alle für eine CRQ erforderlichen Informationen, verlagern den Fokus einer CRQ wahrscheinlich weg von der obersten Führungsebene und können das Projekt mit zusätzlichen Risiken und Verzögerungen belasten.

CRQ wiederholbar und konsistent gestalten

Wie jeder Risikobewertungsprozess ist auch die Quantifizierung von Cyberrisiken keine einmalige Aktivität. Es ist wichtig, regelmäßige Neubewertungen zu planen, und es ist entscheidend, dass Sie bei der ersten Planung die Voraussetzungen schaffen, um zukünftige CRQs wiederholbar und konsistent durchführen zu können. Hier sind einige der wichtigsten Überlegungen, um einen kontinuierlichen Erfolg sicherzustellen.

Der Zeitpunkt der Quantifizierung hängt von den CRQ-Zielen ab

Die Häufigkeit, mit der Quantifizierungen überprüft und neu bewertet werden sollten, hängt vom Umfang ab. Es ist wichtig, die Häufigkeit der Quantifizierung als Teil des gesamten Ansatzes zur Informationssicherheits-Governance zu betrachten.

  • Jährliche Quantifizierungen können zur Erstellung von Unternehmensgeschäftsplänen, zur Offenlegung und Berichterstattung von Unternehmensrisiken, zur Abstimmung von Geschäfts- und Cybersicherheitsstrategien sowie für Entscheidungen über den Abschluss oder die Verlängerung von Cyberversicherungen verwendet werden.
  • Vierteljährliche Quantifizierungen können sich nach den vierteljährlichen Berichtszyklen an die Geschäftsleitung/den Vorstand oder andere Berichtsgremien richten. Vierteljährliche Aktualisierungen können auch von einem CISO zur Unterstützung seiner Governance- und Risikomanagementpraktiken verwendet werden, beispielsweise um Tochtergesellschaften eines globalen Konzerns zu verpflichten, über Aktualisierungen ihres Sicherheitsreifegrades zu berichten und Fortschritte bei der Risikominderung zu verfolgen.
  • Häufigere Quantifizierungen (z. B. monatlich) könnten verwendet werden, wenn sich die Umstände innerhalb eines Unternehmens schnell ändern. Wir stellen jedoch fest, dass die für CRQ erforderlichen Eingaben in der Regel über mindestens ein Quartal hinweg stabil sind.
  • Einmalige Quantifizierungen können für Sonderprojekte wie Fusionen und Übernahmen verwendet werden, um eine quantifizierte Sicht auf das Risiko für einen bestimmten Bereich zu erhalten.

Änderungen an den Eingaben und Ergebnissen der Quantifizierung müssen erklärbar sein

Im Laufe der Zeit ändern sich die Inputs für eine Risikobewertung. Dies kann auf Umstrukturierungen zurückzuführen sein, die den Umfang der Bewertung verändern, auf operative oder geschäftliche Veränderungen, die die profitabelsten Bereiche des Unternehmens oder die Geschäftskontinuitätsszenarien beeinflussen, oder auf Veränderungen der Bedrohungslage für die Informationssicherheit und der Kontrollumgebung.

Auch die Personen, die an der Bewertung von Cyberrisiken beteiligt sind, ändern sich im Laufe der Zeit, was zu unterschiedlichen Interpretationen der CRQ-Inputs und letztlich zu einer inkonsistenten CRQ-Durchführung führen kann. Ein stabiles und beständiges Kernteam trägt dazu bei, die Konsistenz der CRQ-Ergebnisse im Laufe der Zeit sicherzustellen.

Ein CRQ-Prozess muss in der Lage sein, diese Änderungen zu berücksichtigen und bei der Durchführung von Quantifizierungen von einem Zeitpunkt zum nächsten flexibel zu sein. Hier kommt ein Kernteam, das für den Prozess verantwortlich ist, zum Tragen. Ein Vorteil eines stabilen Kernteams besteht darin, dass zukünftige Quantifizierungen schneller durchgeführt werden können, da das Team über die erforderlichen Fähigkeiten und das interne Netzwerk verfügt, um die erforderlichen Informationen zu beschaffen. Das Kernteam kann auch mit den Stakeholdern im erweiterten Team in Kontakt bleiben, um Änderungen zu überwachen und so erklären zu können, wie sich Abweichungen in den Ergebnissen aus den relevanten Änderungen in den Eingaben ergeben haben.

Wenn beispielsweise das quantifizierte Risiko von einem Jahr zum nächsten um 5 % gesunken ist, muss erklärt werden können, ob dies auf Verbesserungen bei den Kontrollmaßnahmen, auf organisatorische Änderungen, die den quantifizierten Umfang verringern, oder auf Verbesserungen in der Bedrohungslage zurückzuführen ist.

Bei der Auswahl eines externen CRQ-Tools ist es wichtig zu berücksichtigen, wie die Funktionen dieses Tools Ihnen bei dieser Darstellung helfen können. Der wahre Wert von CRQ liegt darin, die sich ändernden Zahlen in den geschäftlichen Kontext zu stellen.

Konsistenz im Quantifizierungsmodell selbst

Der zweite wichtige Faktor für wiederholbare Ergebnisse ist die Stabilität des Quantifizierungsmodells selbst. Es ist vorteilhaft, ein Quantifizierungsmodell kontinuierlich zu verbessern, damit es beispielsweise Folgendes berücksichtigt:

  • Neue Methoden, mit denen sich die Kostentreiber von Vorfällen besser quantifizieren lassen
  • Regulatorische Vorgaben, die neue Anwendungsfälle oder Risikomanagementziele einführen
  • Neue Funktionen, die von CRQ-Anbietern eingeführt werden

Wenn die Änderungen am Modell jedoch nicht verstanden und gut verwaltet werden, kann dies zu Ergebnissen führen, die sich von einer Quantifizierung zur nächsten nur schwer vergleichen lassen.

Für interne CRQ-Modelle sollten Änderungskontrollverfahren eingesetzt werden, damit Änderungen am Modell verstanden und in Absprache mit dem Kernteam eingeführt werden.

Bei CRQ-Tools von Anbietern sollten Sie den Anbieter fragen, wie das Modell aktualisiert wird, wie häufig Aktualisierungen zu erwarten sind und wie der Anbieter sicherstellt, dass Quantifizierungen vor und nach Modellaktualisierungen konsistent verglichen werden können.

Zusammenfassung zur Wiederholbarkeit

Um nicht nur eine einmalige CRQ-Lieferung, sondern einen langfristigen Erfolg sicherzustellen, ist es wichtig, die fortlaufende Quantifizierung als Prozess zu planen. Bei der Festlegung des anfänglichen Umfangs sollte überlegt werden, wie häufig Neubewertungen durchgeführt werden sollten, um die laufenden Fragen der Zielgruppe zu beantworten. Die Unterschiede zwischen den CRQ-Ergebnissen von einer Quantifizierung zur nächsten werden genau untersucht, und das Kernteam muss in der Lage sein, zu erklären, woher diese Unterschiede stammen, ob sie auf Änderungen der Eingaben oder des Modells selbst zurückzuführen sind. Ein Team, das anhand der Quantifizierungsergebnisse über einen längeren Zeitraum eine langfristige Entwicklung darstellen kann, hat den Wert von CRQ wirklich erschlossen.

Fazit

Die Quantifizierung von Cyberrisiken ist machbar, und mit diesem Leitfaden verfügen Sie nun über die notwendigen Taktiken, um CRQ in Ihrem Unternehmen erfolgreich zu implementieren.

Bevor Sie mit CRQ beginnen, ist es wichtig, sich ein klares Bild vom Umfang zu machen. Dazu gehört die Zielgruppe für die Quantifizierungsergebnisse und ob diese für strategische Entscheidungen der Geschäftsleitung oder für eher technische Stakeholder für operative Entscheidungen bestimmt sind. Dazu gehört auch der Umfang der zu quantifizierenden Elemente, der zunächst mit einem Überblick über das gesamte Unternehmen beginnen und dann weiter in die einzelnen Organisationseinheiten vordringen kann. Eine klare Vorstellung vom Umfang ist entscheidend, bevor Sie sich nach einem CRQ-Anbieter umsehen.

Es ist wichtig, die Personen zu kennen, die am CRQ-Prozess beteiligt sein werden. Wir empfehlen, ein Kernteam zu bilden, das den Prozess leitet, und ein erweitertes Team zu identifizieren, das die für die Quantifizierung erforderlichen Daten bereitstellt. Ein Anbieter kann das Kernteam unterstützen oder sogar dessen Rolle übernehmen, aber für eine langfristige Stabilität wird empfohlen, dieses Team intern zu belassen. Das erweiterte Team sollte immer intern sein.

Informationen zu Informationssicherheitsbedrohungen und -kontrollen sind nur eine Kategorie von Informationen, die für eine erfolgreiche CRQ erforderlich sind. Einige Anbieter können historische Daten bereitstellen, um die Erfassung von Bedrohungsdaten zu beschleunigen. Zusätzlich benötigen Sie jedoch Finanzinformationen und Informationen zu den quantifizierten Szenarien mit Auswirkungen auf das Geschäft, die aus dem Unternehmen selbst stammen müssen. Die Integration eines CRQ-Tools in andere Sicherheitstools kann ebenfalls die Erfassung von Sicherheitsdaten beschleunigen, birgt jedoch sowohl Sicherheitsrisiken als auch Lieferrisiken.

Um langfristig von CRQ zu profitieren, müssen Sie wiederholbare und konsistente Quantifizierungen planen. Es ist wichtig, dass Sie Änderungen am Quantifizierungsmodell selbst sowie Änderungen in der Organisation und im weiteren Umfeld, die zu Änderungen der Eingaben und damit der Ergebnisse führen, erklären können.

Douglas Needham

Head of Consulting

Douglas Needham hat es sich zur Aufgabe gemacht, die komplexe Welt der Informationssicherheit zu entmystifizieren, Fachjargon durch einfache Sprache zu ersetzen und das Positive in der oft allzu zynischen Welt der Cybersicherheit zu sehen. Doug verfügt über mehr als 15 Jahre Erfahrung im Bereich Cybersicherheit für Unternehmen wie Allianz Insurance, EDF und Klarna.

Inhaltsverzeichnis
Newsletter
Du bist startklar.
Danke, dass du dich angemeldet hast.
Etwas ist schief gelaufen. Bitte überprüfen Sie Ihre Eingaben und versuchen Sie es erneut.
Ausgewählte Beiträge
Pressemeldung: Squalify und KROSE geben Partnerschaft für smartes Cyber-Risikomanagement bekannt
Digitale Haftung: Das neue Risiko, das sich hinter der digitalen Transformation verbirgt
Verluste in Millionenhöhe – Was können Sie aus dem Cyberangriff auf Jaguar Land Rover für Ihr Unternehmen lernen?

Abonnieren Sie unseren Newsletter.

Expertenwissen zum Cyberrisikomanagement
Updates zur der Squalify-Plattform
Aktuelles über Squalify
Du bist startklar. Danke, dass du dich angemeldet hast.
Etwas ist schief gelaufen. Bitte überprüfen Sie Ihre Eingaben und versuchen Sie es erneut.
Mehr Beiträge
Alle Beiträge ansehen

Pressemeldung: Squalify und KROSE geben Partnerschaft für smartes Cyber-Risikomanagement bekannt

Nov 13
/
/
3 min Lesezeit

Digitale Haftung: Das neue Risiko, das sich hinter der digitalen Transformation verbirgt

Oct 28
/
CRQ Essentials
/
3 min Lesezeit

Verluste in Millionenhöhe – Was können Sie aus dem Cyberangriff auf Jaguar Land Rover für Ihr Unternehmen lernen?

Oct 24
/
CRQ Essentials
/
2 Minuten Lesezeit

Machen Sie Cyber-Risikomanagement zu Ihrem Wettbewerbsvorteil

Quantifizieren Sie Risiken, optimieren Sie Sicherheitsinvestitionen und stimmen Sie Cybersicherheit mit den Unternehmenszielen ab — gestützt auf reale Cyber-Verlustdaten.
Termin vereinbaren
Squalify bringt die Quantifizierung von Cyberrisiken in die Vorstandsetage. Unsere CRQ-Plattform versorgt Führungskräfte im Bereich Informationssicherheit und Risikomanagement mit umsetzbaren Erkenntnissen über die unternehmensweiten Cyberrisiken und ermöglicht so fundierte Entscheidungen und eine effektive Governance. Mehr erfahren
Folge uns auf
Funktionen
Quantifizierung von Cyberrisiken
Optimierung der Sicherheitskontrollen
Risikobilanz
Verbesserungssimulation
Steuerung von Tochtergesellschaften
Industrie-Benchmarking
Einhaltung von Cybervorschriften
Unternehmen
Über unsWarum wirPartnerKarriereKontakt
Ressourcen
WissenWhitepapersHäufig gestellte FragenCRQ-EignungstestWorst Case VerlustrechnerLoginTermin vereinbaren
Copyright © 2025 Squalify. Alle Rechte vorbehalten.
ImpressumDatenschutzCookies