Als Jaguar Land Rover (JLR) im September dieses Jahres aufgrund eines Cyberangriffs gezwungen war, die Produktion an mehreren Standorten weltweit einzustellen, berichteten die Medien umgehend über diese Störung. Die sechswöchige Stilllegung von JLR führte zu einem Rückgang der Quartalsumsätze um 24 %, die Produktionslinien in Großbritannien, Brasilien, Indien und der Slowakei standen still, und Tausende von Arbeitsplätzen in der Lieferkette von JLR waren von der Zukunft ungewiss. Die Verluste werden auf 50 Millionen Pfund pro Woche geschätzt.
Das Ausmaß des Ausfalls und die deutlich sichtbaren Auswirkungen auf das Geschäft erregten die Aufmerksamkeit von Cybersicherheitsverantwortlichen und Führungskräften gleichermaßen und warfen die Frage auf: Könnte ein solcher Vorfall auch in meinem Unternehmen passieren, und wenn ja, wie hoch wären unsere Verluste?
Ändern Sie die Art und Weise, wie Sie über Ihre Cyber-Risikobewertungen sprechen
Cyberrisiken werden seit langem anhand subjektiver Skalen gemessen, die Unternehmensleitern Unklarheit darüber lassen, welche Maßnahmen zu ergreifen sind. Das Risiko eines Ausfalls der Produktionslinie kann als hohes Risiko, rotes Risiko oder kritisches Risiko bezeichnet werden, aber solche Begriffe erleichtern die Entscheidungsfindung nicht. Wie viel Geld könnte das Unternehmen verlieren, wenn ein rotes Risiko eintritt? Wie viel sollte investiert werden, um die Abwehrmaßnahmen zu verstärken und das Risiko von hoch auf mittel zu senken?
Diese qualitativen Ansätze können dabei helfen, Risiken gegeneinander zu priorisieren, sind jedoch für finanzielle Entscheidungen wenig hilfreich. Hier kommt der Ansatz der Cyber-Risikoquantifizierung (CRQ) zum Tragen.
CRQ ist die Praxis, technische Risiken in finanzielle Begriffe zu übersetzen. Damit können Sie Szenarien wie Produktionsstillstände, Verletzungen des Datenschutzes oder Unterbrechungen der Lieferkette modellieren und die potenziellen Verluste in Dollar, Euro oder Pfund schätzen. Die Beschreibung von Risiken in finanziellen Begriffen erleichtert die Risiko- und Investitionsentscheidungen erheblich.
(Nebenbei bemerkt: Wenn Sie eine ausführlichere Diskussion über die Vor- und Nachteile der beiden Ansätze wünschen, habe ich hier mehr darüber geschrieben: Qualitative vs. quantitative Cyber-Risikobewertung: Wann ist der beste Zeitpunkt für die Verwendung des jeweiligen Ansatzes?)
Warum dies jetzt wichtig ist
Der Vorfall bei JLR ist ein Paradebeispiel dafür, wie ein operatives Risiko zu finanziellen Verlusten führen kann. Fahrzeuge wurden nicht hergestellt. Händler konnten nicht liefern. Zulieferer benötigten finanzielle Soforthilfe. Der Angriff fiel sogar mit dem „New Plate Day” in Großbritannien zusammen (dem zweimal jährlich stattfindenden Tag, an dem die Kfz-Kennzeichen auf eine neue Nummer umgestellt werden), was die Auswirkungen auf den Umsatz noch verstärkte.
Wenn Ihr Unternehmen auf physische Produktion, Logistik oder Just-in-time-Lieferungen angewiesen ist, sind die Parallelen offensichtlich. Aber auch in digital orientierten Unternehmen verursachen Ausfallzeiten, Datenverluste und Reputationsschäden reale Kosten.
Der Ansatz von Squalify zur Quantifizierung von Cyberrisiken
Als schnellen, einfachen (und kostenlosen) ersten Schritt in Richtung CRQ können Sie unseren kostenlosen Online-Rechner für Worst-Case-Verluste nutzen. Er gibt Ihnen einen Eindruck von der finanziellen Tragweite, die Sie bei schweren Cybervorfällen erwarten können. Nutzen Sie diesen als Ausgangspunkt für eine tiefergehende und präzisere Bewertung, die Ihnen hilft, datengestützte Entscheidungen zu treffen.
Worst-Case-Cyberverlustrechner von Squalify
Unser Worst-Case-Verlustrechner liefert Ihnen einen schnellen Richtwert, der auf unserer einzigartigen Datenbank mit Cybervorfällen und -verlusten basiert. Squalify lizenziert diesen Datensatz von unserer Muttergesellschaft Munich Re, dem weltweit größten Rückversicherer mit über einem Jahrzehnt Erfahrung auf dem Cyberversicherungsmarkt.
Unser Worst-Case-Verlustrechner ist jedoch nur der Anfang Ihrer Quantifizierungsreise.
Unser Komplettprodukt liefert eine präzisere und realistischere Einschätzung sowohl der Schadenshöhe als auch der Wahrscheinlichkeiten. Sie können weitere Kontextinformationen zu Ihrem Unternehmen hinzufügen, darunter eine Beschreibung der für Sie relevanten spezifischen Cyberszenarien und Details zu Ihrem eigenen Reifegrad im Bereich Cybersicherheit.
