Serie Teil II: So definieren Sie Worst-Case-Szenarien mithilfe einer Cyberrisiko-Methodik

Aktualisiert am

July 7, 2025

/

9 Minuten Lesezeit

Worst-Case-Szenarien formulieren und verstehen

Das Verständnis der Worst-Case-Cyberszenarien innerhalb eines Unternehmens ist ein grundlegender Schritt bei der Kommunikation und dem Management von Cyberrisiken. Anstatt sich in der Fachsprache auf Sicherheitslücken oder Bedrohungen zu konzentrieren, priorisieren neue Methoden für Cyberrisiken von oben nach unten finanzielle Auswirkungenund macht Risiken in Euro oder Dollar sichtbar. Nachdem die Szenarien identifiziert und deren finanzielle Auswirkungen bekannt sind, kann eine strategische Planung in die Wege geleitet werden. So können beispielsweise Maßnahmen zur Risikominderung priorisiert, Optionen für den Risikotransfer abgewogen oder Sorgfaltspflichten geprüft werden.

Dieser Blogbeitrag untersucht die Cyberrisiko-Methodik von oben nach unten zu definieren Worst-Case-Szenarien innerhalb von drei Kategorien von Konsequenzen:

  • Betriebsunterbrechung (BI)
  • Datenschutzverletzung (DB)
  • Finanzieller Diebstahl und Betrug (FTF).

Wir bauen auf dem Artikel auf Maßgeschneiderte Cybermodellierung: Warum die Definition Ihres Worst-Case-Cyberszenarios wichtig ist, was zeigte, wie wichtig es ist, Worst-Case-Szenarien für jede Organisation individuell zu definieren. Jetzt fahren wir mit dem nächsten Schritt fort: der Definition und Priorisierung dieser potenziellen Szenarien in praktischer, organisationsspezifischer Hinsicht. Konkret stehen die Schritte 2 und 3 des Prozesses zur Identifizierung von Worst-Case-Szenarien im Mittelpunkt, wie in der folgenden Grafik dargestellt.

Zusammenfassung: Die vier Schritte zur Identifizierung Ihres Worst-Case-Cyberszenarios

Das ultimative Ziel besteht darin, für jede Kategorie von Folgenszenarien ein Worst-Case-Szenario zu identifizieren. Diese Szenarien sollten sowohl realistisch als auch nachvollziehbar sein und gleichzeitig immer noch die schlimmsten Cybervorfälle sein, wenn fast alle Maßnahmen zur Informationssicherheit versagen. Dies stellt sicher, dass ein Unternehmen auf den schwerwiegendsten Cybervorfall vorbereitet ist, der möglicherweise passieren kann, und hilft, eine zu enge und eingeschränkte Sicht auf das potenzielle Risiko zu vermeiden. Das Motto: Fangen Sie groß an und hören Sie dort auf, wo die Realität zuschlägt!

  • Betrachten Sie das Weltuntergangsszenario
    Stellen Sie sich das absolut schlimmste Cyberereignis vor — wie etwa einen längeren Betriebsausfall oder eine vollständige Datenkompromittion — nicht, um es vorherzusagen, sondern um Annahmen darüber, was wirklich unmöglich ist, in Frage zu stellen.
  • Definieren Sie potenzielle Szenarien mit klaren Grenzen
    Unterteilen Sie das Weltuntergangsszenario in spezifische, technisch isolierte Ereignisse (z. B. nach System oder Abteilung), wobei Sie nur technische architektonische Trennungen — keine vorhandenen Kontrollen — als Begründung verwenden. In diesem Artikel werden wir uns auf diesen Schritt konzentrieren.
  • Ordnen Sie Szenarien nach finanziellen Auswirkungen ein
    Beurteilen und priorisieren Sie jedes Szenario, indem Sie den potenziellen finanziellen Schaden abschätzen, wobei Sie sich auf diejenigen mit dem höchsten Verlustpotenzial in den verschiedenen Risikokategorien konzentrieren. In diesem Artikel werden wir auf diesen Schritt eingehen.
  • Quantifizieren Sie den schlimmsten Fall mithilfe von CRQ-Tools
    Verwenden Sie ein CRQ-Tool, um erstklassige Szenarien zu modellieren und komplexe Risiken in finanzielle Bedingungen umzuwandeln, auf die Führungskräfte reagieren können.

Warum sollten Sie eine Top-Down-Cyberrisikomethode verwenden?

Eine Methode zur Quantifizierung von Cyberrisiken von oben nach unten beginnt damit, das Geschäft zu verstehen, nicht die Bedrohungslandschaft. Es definiert Cyberrisiken auf der Grundlage ihrer potenzielle finanzielle Auswirkungen. Jedes Unternehmen ist einzigartig — unterschiedliche Geschäftsmodelle, digitale Architekturen und betriebliche Abhängigkeiten. Da jedes Unternehmen seine eigene Betriebsstruktur hat, muss der finanzielle Umfang des Cyberrisikos für jedes Unternehmen individuell identifiziert werden.

Mithilfe eines von oben nach unten gerichteten Bewertungsansatzes zur Identifizierung und Anpassung von Szenarien an die Unternehmensstruktur können Führungskräfte Cyberrisiken verstehen und den Stakeholdern gegenüber klar argumentieren. Dieser Perspektivenwechsel ermöglicht es Ihnen, Folgendes zu bewerten Kosten von Cyber auf eine umfassende und plausible Art und Weise, die auf Ihr Unternehmen zugeschnitten ist und den Weg für eine klare Kommunikation mit den Vorstandsmitgliedern und der C-Suite ebnet.

Ein dreistufiges Framework zur Definition von Cyberrisikoszenarien

Zwar ist jedes Unternehmen anders, aber Methode zur Definition von Cyberrisiken Die Szenarien bleiben die gleichen:

  1. Beurteilen Sie, wie Ihr Unternehmen Wert generiert.
  2. Erfassen Sie kritische Prozesse und digitale Abhängigkeiten.
  3. Definieren und priorisieren Sie Risikoszenarien, die darauf basieren, wie sich ein Cybervorfall auf die finanziellen Ergebnisse auswirken würde.

Betriebsunterbrechung: Wo Prozess auf Gewinn trifft

Betriebsunterbrechung (BI) tritt auf, wenn ein Cybervorfall die Produktion oder die Erbringung von Dienstleistungen stoppt. Um das BI-Szenario im schlimmsten Fall zu identifizieren, müssen Sie wissen, welcher Teil Ihres Unternehmens bei einer Störung den größten finanziellen Schaden verursachen würde.

Erarbeitung eines Cyberszenarios mit Betriebsunterbrechung

Bei der Identifizierung und Festlegung eines BI-Worst-Case-Szenarios müssen mehrere Faktoren berücksichtigt werden. Je nach Produkt oder Dienstleistung sind einige Faktoren für die Identifizierung von Szenarien innerhalb eines Unternehmens nützlicher, während andere die Bewertung und Einstufung von Szenarien nach finanzieller Schwere besser unterstützen. Wenn beispielsweise ein IT-System alle Produktionsstandorte miteinander verbindet, könnte ein Cybervorfall sie alle auf einmal zum Erliegen bringen — ein Weltuntergangsszenario. Wenn nur wenige Produktionsstandorte ausfallen, beispielsweise über ein regionales Netzwerk, das vom IT-Hauptsystem getrennt ist, kann ein Cybervorfall im schlimmsten Fall all diese Standorte zum Erliegen bringen.

Beurteilen Sie, wie Ihr Unternehmen Wert generiert

Verschiedene Überlegungen helfen dabei, die wichtigsten finanziellen Geschäftsprozesse zu ermitteln:

  • Welche Geschäftsbereiche, Produkte oder Dienstleistungen sind am profitabelsten?
  • Was sind die wichtigsten betrieblichen Prozesse, und welche davon sind sowohl die kostenintensivsten als auch die wichtigsten für die Aufrechterhaltung der allgemeinen Geschäftskontinuität?
  • Wie werden IT- und OT-Umgebungen segmentiert, insbesondere in Bezug auf kritische Geschäftsfunktionen?

Abbildung kritischer Prozesse und digitaler Interdependenzen

Primäre Faktoren - diese definieren weitgehend den Umfang des Szenarios.

  • IT-Segmentierung: Welche Einheiten sind miteinander verbunden? Verbundene Einheiten bilden ein einziges Szenario — wenn z. B. drei Anlagen auf dieselbe IT-Infrastruktur angewiesen sind, wirkt sich eine Störung auf alle drei zusammen aus.
  • Engpässe: Welche Prozesse würden, wenn sie gestört würden, einen Welleneffekt verursachen? Prozesse, die nicht direkt über IT-Systeme miteinander verbunden sind, aber betrieblich voneinander abhängig sind, sollten im gleichen Umfang betrachtet werden. Wenn beispielsweise an einem Standort Komponenten hergestellt werden, die für andere unverzichtbar sind, wirkt sich der Ausfall auf mehrere Standorte aus.

Definieren Sie Risikoszenarien: Wie sich ein Cybervorfall auf die finanziellen Ergebnisse auswirken würde

Sekundäre Faktoren - wird dazu beitragen, den finanziellen Schweregrad von Szenarien besser abzuschätzen.

  • Make-up-Funktionen: Können verloren gegangene Produktions- oder Servicearbeiten später wiederhergestellt werden? Die Fähigkeit, verpasste Leistungen nachzuholen, entscheidet darüber, ob Verkäufe verschoben werden oder dauerhaft verloren gehen. So kann es beispielsweise vorkommen, dass ein Lebensmittelhersteller durch Ersatzprodukte Umsätze verliert, während ein Premium-Autohersteller sich aufgrund seiner treuen Kunden erholen kann.
  • Puffer und Reserven: Gibt es Inventare oder Zeitpuffer, um die Auswirkungen von Ausfallzeiten zu reduzieren? Lagerbestände oder Zeitreserven helfen dabei, vorübergehende Unterbrechungen zu überbrücken und das Serviceniveau aufrechtzuerhalten. Beispielsweise kann ein Einzelhändler mit Lagerreserven den Verkauf während eines Produktionsausfalls fortsetzen.
  • Komplexität: Welche Produktionsprozesse umfassen viele Schritte oder Systeme? Bei komplexeren Vorgängen ist es schwieriger, sie wieder aufzunehmen, und es dauert in der Regel länger, bis sie nach einer Unterbrechung wiederhergestellt sind. Beispielsweise muss ein Hightech-Elektronikwerk mit komplizierten Montagelinien eine längere und kostspieligere Wiederanlaufzeit als eine einfache Verpackungsanlage in Anspruch nehmen.
  • Saisonalität: Wann erzielt das Unternehmen Spitzengewinne? Unterbrechungen in der Hochsaison haben größere finanzielle Auswirkungen als in Nebenzeiten. Beispielsweise erleidet ein Skigebiet, das während der Hochsaison im Winter betroffen ist, größere Verluste als ein ganzjährig geöffnetes Strandresort.

Nachdem Sie verschiedene BI-Szenarien identifiziert haben, verwenden Sie Informationen aus den sekundären Faktoren, um ordne sie nach Schweregrad und bereiten Sie sich auf die Quantifizierung vor. Informationen von Interessenvertretern innerhalb der Organisation werden bei der Beantwortung der spezifischen Fragen helfen.

Datenschutzverletzung: Aus sensiblen Daten wird ein finanzielles Risiko

Datenschutzverletzung (DB) Szenarien beziehen sich auf Cybervorfälle, die die Verfügbarkeit, Vertraulichkeit oder Integrität personenbezogener Daten während der Speicherung, Übertragung, Verarbeitung oder Archivierung gefährden und zu einer Verletzung des Rechts einer Person auf Privatsphäre führen. Um das Worst-Case-Szenario einer Datenschutzverletzung zu identifizieren, muss geklärt werden, welche personenbezogenen Daten, wenn sie kompromittiert werden, die schwerwiegendsten Auswirkungen auf die Privatsphäre von Einzelpersonen haben und der Organisation den größten Schaden zufügen würden.

Formulierung eines Cyberszenarios für Datenschutzverstöße

Ähnlich wie bei BI gibt es mehrere Faktoren, die bei der Bewertung und Rangfolge von Szenarien nach ihrer finanziellen Schwere hilfreich sind. Aber anders als bei BI gibt es nur einen zentralen Faktor, der potenzielle DB-Szenarien voneinander isoliert.

Wenn beispielsweise ein System personenbezogene Daten an allen Standorten speichert oder verarbeitet, könnte eine Datenschutzverletzung alle Datensätze gleichzeitig offenlegen, was zum Weltuntergangsszenario führen könnte. Wenn jedoch mehrere Datenspeicher miteinander verbunden sind, könnte ein Verstoß innerhalb dieses miteinander verbundenen Segments des Systems alle darin gespeicherten personenbezogenen Daten gefährden.

Beurteilen Sie, wie Ihr Unternehmen Wert generiert

Die folgenden Überlegungen helfen dabei, einen klaren Überblick über die in einer Organisation gespeicherten personenbezogenen Daten zu geben. Dabei sind personenbezogene Daten oft ein integraler Bestandteil der Wertschöpfung für Unternehmen.

  • Welche Arten von Daten speichert Ihr Unternehmen (PII, PCI, PHI)?
  • Um wessen Daten handelt es sich und welche Vorschriften gelten für sie (z. B. EU-Bürger, US-Kunden)?
  • Wo und wie werden diese Daten gespeichert und segmentiert?

Abbildung kritischer Prozesse und digitaler Interdependenzen

Primäre Faktoren - dies definiert den Umfang des Szenarios.

  • Datensegmentierung: Wie isoliert sind die verschiedenen Pools personenbezogener Daten? Ohne Segmentierung kann eine Sicherheitsverletzung mehrere Datensätze gefährden. Die Segmentierung hilft dabei, die Auswirkungen einer Datenschutzverletzung einzudämmen, indem begrenzt wird, welche Daten betroffen sind. Beispielsweise verfügt ein Unternehmen mit mehreren Produkten in verschiedenen Regionen, die jeweils personenbezogene Daten erfassen, über mehrere Datenbanken, in denen vertrauliche Informationen gespeichert sind.

Definieren Sie Risikoszenarien: Wie sich ein Cybervorfall auf die finanziellen Ergebnisse auswirken würde

Sekundäre Faktoren - wird dazu beitragen, den finanziellen Schweregrad von Szenarien besser abzuschätzen.

  • Datenvolumen: Wie viele persönliche Daten werden gespeichert und wie weit sind sie verbreitet?
    Ein großes Datenvolumen erhöht das potenzielle Ausmaß und die Komplexität einer Sicherheitsverletzung. Je mehr Daten systemübergreifend gespeichert werden, desto schwieriger ist es, sie zu schützen und einzudämmen. Beispielsweise ist ein Unternehmen, das Millionen von persönlichen Daten speichert, einem höheren Risiko ausgesetzt als kleinere Mengen an Datensätzen.
  • Datentyp: Um welche Kategorien personenbezogener Daten geht es, wie PCI oder PHI?
    Bestimmte Datentypen bergen ein höheres regulatorisches und rechtliches Risiko. PCI- und PHI-Daten sind besonders sensibel. Bei falscher Handhabung gelten besondere Standards und Strafen. So kann beispielsweise die Offenlegung von Kreditkartendaten mit einer Geldbuße gemäß PCI DSS verbunden sein, während das Durchsickern von PHI-Gesundheitsdaten zu teuren Sammelklagen führen könnte.
  • Sensibilität der Daten: Wie schädlich wäre der Missbrauch dieser Daten für Einzelpersonen?
    Je sensibler die personenbezogenen Daten sind, desto größer ist der potenzielle Schaden für die betroffenen Personen. Der Missbrauch hochsensibler Daten kann zu Diskriminierung oder anderen wirtschaftlichen und sozialen Folgen für Einzelpersonen führen. Wenn beispielsweise der Name einer Person preisgegeben wird, die mit ihrem Krankenversicherungsträger in Verbindung steht, kann dies geringfügige Folgen haben, während die Offenlegung ihrer Krankengeschichte zu schwerwiegenden, dauerhaften Schäden führen kann.
  • Studienfach Nationalitäten: Welche Jurisdiktionen regeln die Daten und wie unterscheiden sich die Datenschutzgesetze?
    Verschiedene Länder haben unterschiedliche gesetzliche Anforderungen und Strafen für Datenschutzverletzungen. Die Nationalität der betroffenen Personen bestimmt die regulatorische Reaktion. Beispielsweise kann ein Verstoß, an dem EU-Bürger beteiligt sind, hohe DSGVO-Bußgelder nach sich ziehen, während ein Verstoß gegen US-Bürger zu Sammelklagen und obligatorischen Benachrichtigungen über Verstöße führen kann.
  • Methoden der Verarbeitung: Wie wird mit personenbezogenen Daten umgegangen — intern oder durch Tools von Drittanbietern?
    Die Nutzung von Diensten oder Analysetools von Drittanbietern kann zusätzliche Risiken mit sich bringen, insbesondere wenn Personen nicht wissen, wie ihre Daten verarbeitet werden. Beispielsweise kann eine Website, die Google Analytics ohne entsprechende Zustimmung verwendet, mit behördlichen Sanktionen gemäß Datenschutzgesetzen wie der DSGVO rechnen.

Sobald verschiedene DB-Szenarien durch die Bewertung von Datensegmenten identifiziert wurden, besteht der nächste Schritt darin, ihren relativen Schweregrad anhand der sekundären Faktoren zu bewerten. Das Einholen von Beiträgen relevanter Interessengruppen aus der gesamten Organisation hilft dabei, die Leitfragen zu beantworten und Szenarien für die weitere Analyse zu priorisieren.

Finanzdiebstahl und Betrug: Wenn Cybervorfälle Kapital verbrauchen

Finanzieller Diebstahl und Betrug (FTF) Szenarien beziehen sich auf Cybervorfälle, die zur unbefugten Übertragung oder zum Diebstahl von Geldern von einer Organisation führen, entweder durch externe Manipulation (z. B. Phishing, Social Engineering) oder internen Missbrauch von Zugriffsrechten. Diese Vorfälle gefährden die Vertraulichkeit und Integrität von Zahlungsprozessen und führen zu direkten finanziellen Verlusten.

Um das Worst-Case-FTF-Szenario zu identifizieren, muss geklärt werden, welche Art von Transaktion, wenn sie kompromittiert wird, den größten finanziellen Schaden verursachen würde — sei es aufgrund einer einzigen hochwertigen Zahlung oder der langsamen Häufung kleinerer, unentdeckter Diebstähle im Laufe der Zeit.

Erstellung eines Cyberszenarios für Finanzdiebstahl und Betrug

Um ein Worst-Case-Szenario für FTF zu definieren, müssen die Finanzprozesse in einem Unternehmen verstanden werden. In erster Linie definiert die Art der Transaktion die verschiedenen potenziellen Szenarien, während sekundäre Faktoren den Schweregrad stark beeinflussen. So stellt beispielsweise eine einzelne umgeleitete Kapitaltransaktion in Höhe von 25 Mio. € über ein kompromittiertes Geschäftsführerkonto ein anderes Risikoszenario dar als die anhaltende Veruntreuung von 15.000€ pro Monat durch einen internen Akteur über mehrere Jahre.

Beurteilen Sie, wie Ihr Unternehmen Wert generiert

Die folgenden Überlegungen helfen dabei, einen klaren Überblick über die Finanz- und Zahlungsströme des Unternehmens zu erhalten, die für die Wertschöpfung des Unternehmens von zentraler Bedeutung sind:

  • Für welche Geschäftsprozesse werden Finanztransaktionen benötigt?
  • Wann und wo werden Finanztransaktionen durchgeführt?
  • Wer führt Finanztransaktionen durch?

Abbildung kritischer Prozesse und digitaler Interdependenzen

Primäre Faktoren - dies definiert den Umfang des Szenarios.

  • Art der Transaktion: Was sind die verschiedenen Zahlungsarten und -prozesse — einmalige große Überweisungen oder wiederholte kleine Zahlungen? Die Art der Transaktion bestimmt die verschiedenen Szenariomotive — entweder eine einmalige Zahlung durch einen externen Angreifer, die einen sofortigen Verlust verursacht, oder ein kontinuierlicher interner Betrug mit kleinen wiederkehrenden Zahlungen durch einen böswilligen Insider. Beispielsweise stellt eine Kapitaltransaktion in Höhe von 40 Mio. €, die in einem einzigen Ereignis umgeleitet wird, ein anderes Risikoszenario dar als ein Insider, der über mehrere Jahre monatlich 10.000€ abzweigt.

Definieren Sie Risikoszenarien: Wie sich ein Cybervorfall auf die finanziellen Ergebnisse auswirken würde

Sekundäre Faktoren — diese beeinflussen die finanzielle Schwere eines Szenarios.

  • Häufigkeit der Zahlungen: Wie oft finden Transaktionen statt, die ins Visier genommen werden könnten? Häufige Transaktionen erhöhen die Anzahl der Momente, die ein Angreifer ausnutzen kann. Beispiel: Ein Channel, der 150.000€ pro Monat verarbeitet, ist ein kleineres Ziel als ein Kanal, der mehrmals pro Monat 50.000€ verarbeitet.
  • Genehmigungskontrollen: Welche Zahlungslimits oder Schwellenwerte gibt es, um unbefugte Überweisungen einzuschränken? Strenge Genehmigungslimits, wie z. B. Limits für Banktransaktionen, können die Auswirkungen einer betrügerischen Transaktion erheblich verringern, selbst wenn sie initiiert wurde. Beispielsweise kann ein Zahlungssystem, das Überweisungen über 100.000€ ohne Genehmigung der Geschäftsleitung automatisch blockiert, große Verluste verhindern, selbst wenn der anfängliche Zugriff beeinträchtigt ist.
  • Transaktionsvolumen: Welches Volumen haben die Zahlungsvorgänge? Das Gesamtvolumen des Geldes in einem bestimmten Stream bestimmt das finanzielle Ausmaß einer potenziellen Sicherheitsverletzung. Beispielsweise ist eine einmalige Transaktion für eine Dienstleistung als Auftragnehmer weniger attraktiv als eine einmalige M&A-Transaktion.

Sobald die FTF-Szenarien identifiziert wurden, besteht der nächste Schritt darin, ihre potenziellen finanziellen Auswirkungen anhand der sekundären Faktoren abzuschätzen. Die Zusammenarbeit mit Interessenvertretern aus den Bereichen Finanzen und interne Revision ist unerlässlich, um diese Fragen zu beantworten und Szenarien für die weitere Analyse und Reaktionsplanung in eine Rangfolge einzuordnen.

Fazit: Unterstützung strategischer Entscheidungen mit Cyber-Insights

Bei der Identifizierung von Cyberszenarien im schlimmsten Fall geht es nicht darum, jede mögliche Cyberbedrohung vorherzusagen. Es geht darum, die spezifischen, finanziell motivierten Szenarien zu definieren, die Ihrem Unternehmen am meisten schaden würden. Das von oben nach unten, Cyberrisiko-Methodik, bietet eine verständliche Methode zur eindeutigen Identifizierung von Cyberszenarien aus finanzieller Sicht. Durch die Identifizierung der Worst-Case-Konsequenzszenarien, du kannst:

  • Entwickeln Sie ein Verständnis für die Cyberszenarien, die für das Unternehmen im schlimmsten Fall finanziell am schlimmsten sind.
  • Vermitteln Sie dem Sitzungssaal eine umfassende Geschichte und ein Bewusstsein für Cyberrisiken.
  • Leiten Sie einen strategischen Aktionsplan ab und konzentrieren Sie die Ressourcen auf der Grundlage der Szenarien.

Dieser Ansatz unterstützt den Übergang von reaktivem Schutz zu strategisches Cyberrisikomanagement - Wir geben Ihnen die Möglichkeit, sich einen transparenten Überblick über Cyberrisiken zu verschaffen und den Unternehmenswert zu schützen.

Abonnieren Sie unseren Newsletter.

Expertenwissen zum Cyberrisikomanagement
Updates zur der Squalify-Plattform
Aktuelles über Squalify
Du bist startklar. Danke, dass du dich angemeldet hast.
Etwas ist schief gelaufen. Bitte überprüfen Sie Ihre Eingaben und versuchen Sie es erneut.

Machen Sie Cyber-Risikomanagement zu Ihrem Wettbewerbsvorteil

Quantifizieren Sie Risiken, optimieren Sie Sicherheitsinvestitionen und stimmen Sie Cybersicherheit mit den Unternehmenszielen ab — gestützt auf reale Cyber-Verlustdaten.
Termin vereinbaren