Termin vereinbaren

5 Mythen zur Quantifizierung von Cyberrisiken und wie Squalify diese widerlegt

Moving to quantitative cyber risk assessment sounds complex, maths rich and data-heavy, but we show it's simpler than you think.

5 min Lesezeit

/

May 30, 2025

Home

/

All Insights

/

5 Mythen zur Quantifizierung von Cyberrisiken und wie Squalify diese widerlegt

Der Umstieg auf einen quantitativen Ansatz zur Bewertung von Cyberrisiken kann einschüchternd sein! Er bringt den Eindruck von Komplexität, mathematischem Fachwissen und einem Bedarf an riesigen Mengen historischer Datensätze mit sich. Dieser Artikel soll diese Mythen ausräumen und erklären, wie Sie mit der Squalify-Plattform schnell und einfach mit der Quantifizierung von Cyberrisiken beginnen können.

Der Ansatz von Squalify zur Quantifizierung von Cyberrisiken geht diese Herausforderungen direkt an und macht es einfacher denn je, Ihre Cyberrisiken quantitativ zu bewerten.

Mythos Nr. 1: Muss ich ein Mathematik-/Statistikgenie sein, um CRQ durchzuführen?

Im Zentrum vieler Methoden zur Quantifizierung von Cyberrisiken stehen fortgeschrittene statistische Techniken und mathematische Werkzeuge wie die Monte-Carlo-Simulation. Die Einführung kann durch den Bedarf an mathematischen, statistischen oder datenwissenschaftlichen Fachkenntnissen erschwert werden, die für die Einrichtung und Pflege des Modells sowie für dessen ordnungsgemäße Konfiguration und Kalibrierung erforderlich sind.

Wie Squalify die Herausforderung der mathematischen Kenntnisse für CRQ beseitigt

Squalify verwendet ebenfalls fortgeschrittene statistische Techniken und Monte-Carlo-Simulationen, jedoch ist die damit verbundene Komplexität in unserer Software integriert und wird von unserem Expertenteam ständig aktualisiert. Für die Nutzung des Tools sind keine mathematischen oder statistischen Kenntnisse erforderlich.

Die Ergebnisse des Squalify-Modells werden in der gängigen Finanzrisikosprache erklärt, wodurch Cyberrisiken mit anderen Unternehmensrisikokategorien vergleichbar werden.

Wenn Sie mehr erfahren möchten oder wenn Aktuare, Datenwissenschaftler oder andere Personen die Funktionsweise unseres Modells verstehen möchten, stehen Ihnen unsere ausführlichen Unterlagen zur Verfügung. Wir erklären Ihnen gerne alles im Detail.

Mythos Nr. 2: Benötige ich für CRQ viele Daten?

Es besteht die Auffassung, dass ohne ausreichende Daten eine Quantifizierung der Wahrscheinlichkeit und/oder der Auswirkungen eines Cyberrisikos ungenau ist.

Welche Daten für eine CRQ erforderlich sind, habe ich in unserem Beitrag „So planen Sie ein erfolgreiches CRQ-Projekt” erläutert.

Zusammenfassend benötigen Sie:

  • Finanzdaten – Wie hoch ist der Umsatz des Unternehmens, wo erzielt es seinen Gewinn, welche Ausgaben fallen nach einem Vorfall an (z. B. Rechtskosten, Forensikdienstleister usw.)? Diese Informationen erhalten Sie in der Regel vom Finanzteam.
  • Daten zu Szenarien mit Auswirkungen auf das Geschäft – Hier wird festgelegt, was passieren könnte und welche Folgen dies für Ihr Unternehmen hätte. Diese Informationen finden Sie häufig in Business-Continuity-Plänen oder ähnlichen Dokumenten.
  • Daten zu Bedrohungen der Informationssicherheit – Unternehmen mit ausgefeilten internen Sicherheits- oder SOC-Teams verfügen möglicherweise über ausreichende Daten, um diese Bedrohungsschätzungen (wie oft bestimmte Angriffstypen zu erwarten sind) zu erstellen. Die meisten Unternehmen müssen jedoch auf öffentlich oder kommerziell verfügbare Datensätze zurückgreifen, um diese Informationen zu erhalten.
  • Daten zu Informationssicherheitskontrollen – Diese geben Aufschluss darüber, wie gut das Unternehmen geschützt ist. Auch dies kann für einzelne Vermögenswerte oder aggregiert auf Unternehmensebene modelliert werden.

Wie Squalify die Herausforderung der CRQ-Daten löst

Squalify verfolgt einen Top-down-Ansatz zur Quantifizierung von Cyberrisiken, wodurch die erforderlichen Eingabedaten erheblich vereinfacht werden. Sie müssen nicht mehr jedes einzelne Asset und System analysieren und mehrere Risikobewertungen auf Systemebene zu einer Unternehmensübersicht zusammenfassen.

Squalify integriert historische Daten zu Verlusten durch Cybervorfälle in sein Serviceangebot, sodass Abonnenten keine Bedrohungsschätzungen vornehmen müssen. Unsere Verlustdaten stammen von Munich Re, unserer Muttergesellschaft und weltweit führenden Cyberversicherer/Rückversicherer.

Mit Squalify erhalten Sie erste quantitative Ergebnisse mit nur wenigen zusätzlichen Informationen zu Ihren Finanzberichten. Squalify berechnet eine schnelle Einschätzung auf der Grundlage von Informationen wie Umsatz, Mitarbeiterzahl und Branche.

Für detailliertere Ergebnisse kann die Risikobewertung durch weitere Informationen zu Ihren Cybersicherheitskontrollen und Szenarien zur Geschäftskontinuitätsplanung an das Unternehmen angepasst werden. Auch dies geschieht aus einer Top-down-Perspektive, sodass die allgemeine Reife des gesamten Unternehmens berücksichtigt wird und nicht nur einzelne Systeme. In der Regel können diese Informationen relativ schnell bereitgestellt werden, vorausgesetzt, die Stärken und Schwächen des Unternehmens sind bekannt.

Mythos Nr. 3: Wie erhalte ich mit CRQ einen unternehmensweiten Überblick über die Risiken?

Risikobewertungen auf Systemebene eignen sich hervorragend für die Betrachtung technischer Details und Bedrohungen, aber die Aggregation mehrerer Risiken über mehrere Systeme und Geschäftsbereiche hinweg, um einen unternehmensweiten Überblick zu erhalten, ist eine Herausforderung!

Es kann leicht passieren, dass Risiken doppelt gezählt werden und/oder die Ergebnisse aus verschiedenen Systemen oder Geschäftsbereichen nicht vergleichbar sind.

Wie Squalify die Herausforderung der Risikoaggregation löst

Der Top-Down-Ansatz von Squalify zur Quantifizierung von Cyberrisiken ist darauf ausgelegt, einen unternehmensweiten Überblick zu geben. Squalify betrachtet die Folgen und den Reifegrad der Informationssicherheit auf Organisationsebene, wodurch die Kombination oder Aggregation einzelner Bottom-Up-Risikobewertungen auf Systemebene entfällt.

Der Ansatz von Squalify ermöglicht auch die Risikoüberwachung und den Vergleich verschiedener Einheiten innerhalb einer Unternehmensgruppe. Unsere gemeinsame Methodik wird auf jede Bewertung angewendet, sodass die Ergebnisse mithilfe unserer Subsidiary Steering-Dashboards leicht zwischen verschiedenen Einheiten verglichen werden können.

Mythos Nr. 4: Wie lange dauert eine CRQ-Bewertung (bis zum Start)?

Einige Methoden zur Quantifizierung von Cyberrisiken bieten zwar eine Methode, überlassen die Umsetzung jedoch dem Unternehmen selbst. Dies führt oft zu einem Netzwerk komplizierter Tabellenkalkulationen, die auf dem neuesten Stand gehalten, qualitätsgesichert, den Stakeholdern erklärt und zu einem Gesamtbild zusammengefügt werden müssen.

Es kann Zeit in Anspruch nehmen, den Umfang der zu quantifizierenden Risiken zu klären, Beziehungen innerhalb des Unternehmens aufzubauen sowie Daten zu verhandeln und zu sammeln. Jede dieser Fallstricke wird in unserem Beitrag „Wie Sie ein erfolgreiches CRQ-Projekt planen“ behandelt.

Wie Squalify Ihnen hilft, Cyberrisiken schnell zu quantifizieren

Das Quantifizierungsmodell von Squalify ist in unser Software-as-a-Service (SaaS)-Tool zur Quantifizierung von Cyberrisiken integriert. Die Squalify-Software ist vorkonfiguriert, um die erforderlichen Eingaben anzufordern und die Berechnungen automatisch zu generieren. Die Methode ist wiederholbar und bietet einfache Möglichkeiten, Eingaben anzupassen und neue Szenarien zu simulieren.

Sie müssen keine Zeit mit der Bearbeitung von Tabellenkalkulationen, der Konfiguration anderer Softwaretools oder der Erstellung von Integrationen verbringen.

Wir stellen außerdem sicher, dass das zugrunde liegende mathematische Modell und die Referenzdaten auf dem neuesten Stand gehalten werden, was Ihnen wiederum Zeit spart!

Erste Ergebnisse können innerhalb eines Tages vorliegen, detailliertere Ergebnisse innerhalb weniger Tage (abhängig davon, wie schnell Unternehmensinformationen zur Verfügung gestellt werden können). Unser standardisierter Lieferansatz stellt sicher, dass Quantifizierungen in der Regel innerhalb von Wochen und nicht Monaten geliefert werden.

Mythos Nr. 5: Muss ich mein aktuelles Risikorahmenwerk durch einen Quantifizierungsansatz ersetzen?

Wenn Sie bereits über ein unternehmensweites Risikobewertungsrahmenwerk verfügen, kann es schwierig sein, Argumente für eine Änderung zu finden. Das Risikobewertungsrahmenwerk ist wahrscheinlich ein zentraler Bestandteil des Informationssicherheits-Managementsystems und möglicherweise Teil der regulatorischen Berichterstattung. Die Einführung eines neuen Ansatzes ist ein großer Schritt.

Manchmal herrscht die Auffassung, dass die Einführung von CRQ bedeutet, dass das bestehende Risikorahmenwerk verworfen werden muss.

Tatsächlich kann die Quantifizierung jedoch eine Ergänzung zu bestehenden Risikomethoden sein. Ich habe darüber ausführlich in „Qualitative vs. quantitative Cyber-Risikobewertung: Wann ist der beste Zeitpunkt für den Einsatz der jeweiligen Methode?“ geschrieben.

Zusammenfassend lässt sich sagen

Wie der CRQ-Ansatz von Squalify Ihr bestehendes Risikokonzept ergänzt

Quantifizierungsmethoden können parallel zu bestehenden nicht-quantitativen Ansätzen eingeführt werden. Ein typischer Einsatz von Squalify sieht beispielsweise wie folgt aus

  • Fangen Sie klein an und gehen Sie von oben nach unten vor: Wählen Sie einen Geschäftsbereich oder ein einzelnes Unternehmen innerhalb einer Unternehmensgruppe aus und erstellen Sie eine quantifizierte Bewertung für den gesamten Geschäftsbereich/das gesamte Unternehmen. So können Sie den leitenden Stakeholdern die Stärken von CRQ aufzeigen und Begeisterung und Engagement für eine breitere Nutzung wecken.
  • Quantifizieren Sie parallel zu Ihrem aktuellen Ansatz: Das bestehende Risikobewertungs-Framework kann während der Erprobung von CRQ und auch danach weiter genutzt werden. Die Ergebnisse von CRQ können mit bestehenden Risikobewertungen verglichen und deren Nützlichkeit und Aufwand bewertet werden.
  • Bauen Sie auf ersten CRQ-Ergebnissen mit weiteren Unternehmen auf: Die für die erste CRQ gesammelten Daten werden wahrscheinlich für spätere Bewertungen in anderen Geschäftsbereichen oder Unternehmen nützlich sein. Wenn möglich, sollten Sie ein Kernteam auf Gruppen-/Zentralebene einsetzen, damit die Fähigkeiten und das Fachwissen in spätere Projekte einfließen können.

Ist mein Unternehmen bereit für die Quantifizierung von Cyberrisiken?

Cyber-Risikobewertung ist nichts Neues, und viele Unternehmen verfügen bereits über bestehende Risikobewertungsprozesse. Es kann entmutigend sein, einen neuen Ansatz in Betracht zu ziehen. Wie könnte der Squalify-Ansatz mit meinem bestehenden Risikobewertungsrahmen zusammenwirken? Muss ich viele Mitarbeiter umschulen? Wie erkläre ich die Ergebnisse?

Als Top-Down-Ansatz zur Quantifizierung von Cyberrisiken ergänzt Squalify andere qualitative oder quantitative Methoden. Squalify wurde für Führungskräfte und das Top-Management entwickelt und unterstützt die strategische Planung, Unternehmenssteuerung und Überwachung von Cyberrisiken.

Ich hoffe, dass Ihnen dieser Artikel einige Mythen über Cyberrisiken aufgeklärt hat und Sie nun besser verstehen, wie Sie die Quantifizierung von Cyberrisiken mit Squalify in Ihrem Unternehmen umsetzen können.

Möchten Sie prüfen, ob Sie für CRQ bereit sind? Nehmen Sie jetzt an unserer kostenlosen, kurzen Befragung teil.

Douglas Needham
Head of Consulting

Douglas Needham hat es sich zur Aufgabe gemacht, die komplexe Welt der Informationssicherheit zu entmystifizieren, Fachjargon durch einfache Sprache zu ersetzen und das Positive in der oft allzu zynischen Welt der Cybersicherheit zu sehen. Doug verfügt über mehr als 15 Jahre Erfahrung im Bereich Cybersicherheit für Unternehmen wie Allianz Insurance, EDF und Klarna.

Table of Contents
Mehr Beiträge

Von der Ursache zu den Folgen: Wie das Squalify-Modell Cyberrisiken quantifiziert

Lerne, wie das Squalify Modell Cyber-Bedrohungen in klare finanzielle Verlustwerte umwandelt für schnelle, fundierte Zahlen für Risikobewertung im Vorstand.

Read Now

Vorstandssitzungen: Wichtige Fragen zur Cybersicherheit, die jeder CISO vorwegnehmen sollte

Learn which questions boards ask CISOs, how to translate cyber risks into business language, and how to highlight opportunities in the boardroom.

Read Now

Komponenten einer Checkliste zur Bewertung von Cybersicherheitsrisiken [Best Practices]

Access our exclusive five-point cybersecurity risk assessment checklist. Our guide will enable you to quantify and manage your cyber risks effectively.

Read Now

Newsletter abonnieren

Thanks. You are successfully subscribed to our newsletter.
Oops! Something went wrong while submitting the form. Please try again. If this problem persists, please reach out to contact@squalify.io
Squalify macht Cyberrisiken finanziell messbar für den Vorstand.
Folge uns auf
Produkt
Ansatz zur RisikoquantifizierungRisikomodellPlattform für Risikoquantifizierung
Use Cases
Regulatorische Cyber-ComplianceSubsidiary SteeringCyber Regulatory Compliance
Unternehmen
Über unsKarrierePartner
Kostenlose Tools
CRQ Readiness AssessmentWorst-Case-Loss Rechner
Resources
InsightsWhitepapersKontaktEinloggenTermin vereinbaren
© 2025 Squalify. Alle Rechte vorbehalten.
ImpressumDatenschutzerklärungCookies