Wenn Sie seit mehreren Jahren im Bereich Cybersicherheit tätig sind, haben Sie wahrscheinlich bereits einen Informationssicherheitsvorfall erlebt, der sich wie eine Krise angefühlt hat. In solchen Situationen müssen mehrere Aktivitäten gleichzeitig gesteuert werden. Während der Vorfall selbst untersucht und eingedämmt werden muss, verlangen Stakeholder wie der Vorstand oder Aufsichtsbehörden häufig umgehend Antworten auf eine zentrale Frage: „Wie schwerwiegend wird es sein?“
Ein gutes Beispiel für eine solche Krise war der Ransomware‑Vorfall bei MKS Instruments im Jahr 2023, der das Unternehmen dazu zwang, zentrale IT‑Systeme abzuschalten, die die Auftragsabwicklung, die Fertigung und den Versand der Chip‑Produktionsinfrastruktur für Halbleiterhersteller unterstützten. In der Folge wurden die Abläufe in mehreren Geschäftsbereichen erheblich beeinträchtigt, und das Unternehmen stellte die Produktion vorübergehend ein, während Maßnahmen zur Eindämmung und Wiederherstellung eingeleitet wurden. Das Unternehmen bezifferte die mit dieser Störung verbundenen Umsatzeinbußen später auf rund 200 Millionen US‑Dollar.
In einer frühen Phase eines solchen Vorfalls liegt in der Regel noch kein vollständiges Bild vor. Die geschäftlichen Auswirkungen und die damit verbundenen finanziellen Kosten werden erst nach und nach klarer. Die Ermittlung des gesamten finanziellen Schadens eines schwerwiegenden Vorfalls kann Monate oder sogar Jahre dauern – insbesondere im Fall von Datenschutzverletzungen.
Die Top‑down‑Methodik zur Cyber‑Risikobewertung von Squalify kann die Abschätzung und Steuerung der finanziellen Auswirkungen über den gesamten Lebenszyklus eines schwerwiegenden Cybervorfalls hinweg unterstützen.
Das Dashboard „Large Incident Assessment“ ist in drei Komponenten gegliedert:
- Vorfallbeschreibung
- Finanzielle Abschätzung und Bewertung der Auswirkungen
- Monitoring und Reporting
Diese Struktur wird in diesem Blogbeitrag genutzt, um zu veranschaulichen, wie sich Verlustschätzungen im Zeitverlauf entwickeln und wie das Dashboard für professionelles Krisenmanagement und Reporting eingesetzt werden kann.
Vorfallbeschreibung – Status‑quo‑Details im Zeitverlauf
Der erste Abschnitt liefert übergeordnete Informationen zur Beschreibung des Vorfalls für ein nicht‑technisches Publikum und hebt die wichtigsten Annahmen sowie die für die Quantifizierung verwendeten Eingangsdaten hervor. Nutzer können unterschiedliche Quantifizierungszeitpunkte auswählen und so nachvollziehen, wie mit zunehmender Datenbasis die Sicherheit der Quantifizierungsergebnisse im Zeitverlauf steigt.
In der initialen Schätzung sind viele der erforderlichen Daten typischerweise noch nicht verfügbar und müssen entsprechend geschätzt werden. Mit jeder nachfolgenden Quantifizierung werden zusätzliche Informationen bekannt, während die Unsicherheit abnimmt. In dem im Diagramm dargestellten Beispiel erfolgt die dritte Quantifizierung, nachdem die Betriebsunterbrechung beendet ist, während sich die Wiederherstellungsphase noch fortsetzt. Produktionsstillstände und Kapazitätsreduktionen sind zu diesem Zeitpunkt vollständig bekannt, während Daten zu sogenannten Make‑up‑Fähigkeiten weiterhin unsicher bleiben.
Dieser Ansatz erhöht die Transparenz hinsichtlich der Quantifizierungsannahmen und ‑ergebnisse und unterstützt eine klarere Kommunikation sowie Vertrauen in die Resultate.
Finanzielle Abschätzung und Bewertung der Auswirkungen
Dieser Abschnitt stellt die Quantifizierungsergebnisse zum ausgewählten Quantifizierungszeitpunkt dar. Er beginnt mit zentralen Ergebniskennzahlen, darunter die geschätzte Verlusthöhe, das Quantifizierungsdatum und das jeweilige Sicherheits‑ bzw. Gewissheitsniveau. Der geschätzte Gesamtverlust wird zudem in einzelne Verlustkomponenten aufgeschlüsselt. Im Beispiel eines Betriebsunterbrechungsvorfalls umfassen diese unter anderem entgangene Gewinne, Kosten für Incident Response sowie Aufwendungen für die Wiederherstellung von Software und Daten.
Im nächsten Schritt wird der geschätzte Verlust sowohl in einen internen als auch externen Kontext eingeordnet, um die Interpretation durch nicht‑technische Stakeholder zu erleichtern. In diesem Beispiel vergleicht das Unternehmen den geschätzten Verlust mit der im Vorjahr ausgeschütteten Dividende. Dieser Vergleich bietet einen internen Referenzpunkt und unterstützt Entscheidungen zur Kommunikation mit Stakeholdern wie dem Aufsichtsrat oder Aktionären.
Das Dashboard berücksichtigt zudem regulatorische Anforderungen. Da das Beispielunternehmen der Regulierung durch die SEC unterliegt, ist es verpflichtet, einen „wesentlichen Vorfall“ innerhalb von 72 Stunden zu melden. Zur Operationalisierung dieser Anforderung hatte das Unternehmen eine Wesentlichkeitsschwelle von 2 % des Umsatzes der betroffenen Einheit definiert. Die Grafik „SEC Risk Reporting“ visualisiert, ob der geschätzte Verlust diese Schwelle überschreitet und damit Meldepflichten auslöst.
Monitoring und Reporting
Der letzte Abschnitt bietet eine Übersicht über die Verlustschätzungen zu verschiedenen Quantifizierungszeitpunkten. Mit zunehmendem Verständnis des Vorfalls verändern sich die Schätzungsergebnisse typischerweise im Zeitverlauf.
In diesem Beispiel sinkt der geschätzte Verlust mit jeder weiteren Quantifizierung. Dieses Muster ist typisch: Frühzeitige Schätzungen sind häufig von höherer Unsicherheit geprägt und tendenziell konservativer, während spätere Schätzungen auf vollständigeren und verlässlicheren Eingangsdaten basieren.
Zusammenfassung
Das Dashboard „Large Incident Assessment“ veranschaulicht, wie die Cyber‑Risikobewertung von Squalify CISOs dabei unterstützen kann, finanzielle Verluste während einer schweren Cyberkrise mithilfe eines strukturierten und transparenten Ansatzes abzuschätzen. Das Dashboard visualisiert, wie sich Verlustschätzungen über den gesamten Lebenszyklus eines schwerwiegenden Vorfalls hinweg entwickeln.
Durch die Gliederung der Informationen in Vorfallbeschreibung, finanzielle Bewertung und kontinuierliches Monitoring erhöht das Dashboard die Transparenz der zugrunde liegenden Annahmen, ordnet die potenziellen Auswirkungen in einen verständlichen Kontext ein und verfolgt Veränderungen, sobald neue Informationen verfügbar werden. Dies unterstützt eine konsistente und vertrauensvolle Kommunikation mit Stakeholdern, während der Vorfall untersucht und gemanagt wird. Darüber hinaus erhöht die Integration dieses Ansatzes in einen Krisenplan das Maß an Resilienz und Professionalität.
