Risikobewertungen in der Vergangenheit: Einfach anzuwenden, aber mit begrenztem Nutzen
Ausgangspunkt für die Bewertung von Cyberrisiken ist in der Regel ein „qualitativer“ Ansatz. Bei diesem Ansatz werden Risiken anhand ihrer Auswirkungen und Wahrscheinlichkeit in relative Stufen eingeteilt, beispielsweise „hoch“, „mittel“ oder „niedrig“ oder „rot“, „gelb“ und „grün“. Die Bewertung von Risiken anhand eines qualitativen Ansatzes basiert in der Regel eher auf einer fachlichen Beurteilung dieser Kategorien als auf Berechnungen.
Qualitative Ansätze für die Bewertung von Cyberrisiken werden seit vielen Jahren verwendet, da sie einfach einzurichten und zu erklären, kostengünstig zu implementieren (in der Regel in einer einfachen Tabelle) sind und einen Überblick über die Risiken bieten, der es Entscheidungsträgern ermöglicht, Prioritäten zu setzen.
Ein solcher grundlegender qualitativer Ansatz weist jedoch zwei wesentliche Einschränkungen auf:
- Inkonsistenz: Unterschiedliche Interessengruppen können „hoch“, „mittel“ und „niedrig“ unterschiedlich interpretieren, was bedeutet, dass verschiedene Personen dasselbe Risiko unterschiedlich bewerten.
- Ungenau: Es ist nicht immer klar, was „hohe” Auswirkungen oder ein „rotes” Risiko in geschäftlicher Hinsicht bedeuten.
Im Laufe der Zeit haben Praktiker Maßnahmen ergriffen, um diese Einschränkungen zu beheben und gleichzeitig die Vorteile qualitativer Ansätze zu erhalten.
Risikobewertungen heute: Konsistente Durchführung, aber noch Verbesserungspotenzial
Der grundlegende qualitative Ansatz kann durch die Zuweisung von Bereichen zu den verschiedenen Kategorien verbessert werden. Dies wird manchmal als „semiquantitativer” Ansatz bezeichnet. Beispielsweise könnte man sagen, dass eine geringe Auswirkung weniger als 100.000 US-Dollar, eine mittlere Auswirkung weniger als 1 Million US-Dollar und eine hohe Auswirkung mehr als 1 Million US-Dollar entspricht. Risikobewerter können dann anhand dieser Auswirkungsstufen konsistente Schätzungen vornehmen. Ähnliche Referenzwerte können für die Eintrittswahrscheinlichkeit definiert werden (z. B. entspricht eine geringe Wahrscheinlichkeit einem Ereignis, das weniger als einmal pro Jahr eintritt, eine mittlere Wahrscheinlichkeit einem Ereignis, das einmal pro Jahr eintritt, und eine hohe Wahrscheinlichkeit mehreren Ereignissen pro Jahr).
Diese Referenztabellen erleichtern es Risikobewertern auch, ihre Risikobewertungen objektiver zu gestalten – es kann nachgewiesen werden, dass ein Vorfall bestimmte Kosten verursacht, oder die Häufigkeit von Vorfällen kann anhand historischer Daten geschätzt werden. Dies ist jedoch nicht narrensicher, da möglicherweise nur wenige Daten für die Analyse zur Verfügung stehen. Diese semiquantitativen Ansätze sind zwar ein großer Schritt in Richtung konsistenter und datengestützter Risikobewertungen, weisen jedoch noch Schwächen auf:
- Bereiche verbergen Einzelheiten: Der Vergleich zweier Risiken derselben Kategorie kann schwierig sein. In unserem obigen Beispiel könnte die Auswirkung eines Risikos mit hoher Auswirkung 1,5 Millionen Dollar betragen, die eines zweiten Risikos hingegen 500 Millionen Dollar, aber beide würden gleich bewertet werden.
- Herausforderung für strategische Entscheidungen: Risiken können zwar verglichen und priorisiert werden, aber es ist schwierig, Investitionen in Risikominderung und -überwachung strategisch zu steuern. Die Definition der Risikotoleranz in Form der „Anzahl roter Risiken“ oder ähnlicher Kennzahlen bietet nur begrenzte Orientierungshilfen für den Vorstand (wie viele rote Risiken sollten wir tolerieren?) und für den CISO, um Investitionen zu begründen. Auf strategischer Ebene ist die Darstellung von Risiken in finanzieller Form von entscheidender Bedeutung.
Die Zukunft der Cyber-Risikobewertung: Quantitative Ansätze (wo sie sinnvoll sind)
Im Gegensatz zu qualitativen Ansätzen liefert eine quantitative Cyber-Risikobewertung die finanziellen Werte der Risikoauswirkungen und statistischen Wahrscheinlichkeiten unter Verwendung objektiver, quantifizierbarer Eingaben und statistischer Berechnungen.
Quantitative Bewertungen können erhebliche Vorteile bieten:
- Geschäftssprache: Die finanziellen Details helfen dabei, technische Cyberrisiken in eine geschäftsfreundliche Sprache zu übersetzen, wodurch Cyberrisiken leichter mit anderen Risikokategorien verglichen werden können.
- Risikomanagement auf strategischer Ebene: Finanzielle Ergebnisse ermöglichen es der Geschäftsleitung und dem Vorstand, die Risiken des Unternehmens besser zu verstehen und Investitionsentscheidungen in einen Risikomanagementkontext zu stellen.
Quantitative Ansätze zur Risikobewertung sind jedoch nicht ohne Herausforderungen. Sie können als zeitaufwändig angesehen werden, erfordern zusätzliche mathematische Fachkenntnisse, und die für die Eingabe und Ausgabe verwendeten Daten können sowohl schwer zu beschaffen sein als auch, sobald sie vorliegen, auf Skepsis stoßen. Das Verständnis der Vor- und Nachteile qualitativer und quantitativer Ansätze ermöglicht es Risikomanagement-Experten, den besten Ansatz für den jeweiligen Anwendungsfall der Risikobewertung auszuwählen.
Häufige Anwendungsfälle für die Bewertung von Cyberrisiken und wann ein quantitativer Ansatz am besten geeignet ist
Cyberrisikobewertungen können für verschiedene Zwecke und für unterschiedliche Zielgruppen eingesetzt werden. Diese reichen von unternehmensweiten Bewertungen der Gesamtrisikoposition bis hin zu detaillierten Risikobewertungen, die bestimmte Veränderungen innerhalb eines einzelnen Systems untersuchen.
Die folgende Tabelle enthält einige Beispiele und zeigt, wie gut qualitative und quantitative Ansätze für die einzelnen Fälle geeignet sind:
Einführung quantitativer Risikobewertungsansätze neben bestehenden qualitativen Rahmenwerken
Wenn Sie bereits über ein unternehmensweites Risikobewertungsrahmenwerk verfügen, kann es schwierig sein, Argumente für eine Änderung zu finden. Das Risikobewertungsrahmenwerk ist wahrscheinlich ein zentraler Bestandteil des Informationssicherheits-Managementsystems und möglicherweise Teil der regulatorischen Berichterstattung. Die Einführung eines neuen Ansatzes ist ein großer Schritt.
Unternehmen, die sich in einer solchen Situation befinden und dennoch die Quantifizierung von Cyberrisiken untersuchen möchten, empfehlen wir Folgendes:
- Beginnen Sie klein und von oben nach unten: Wählen Sie einen Geschäftsbereich oder ein einzelnes Unternehmen innerhalb einer Unternehmensgruppe aus und erstellen Sie eine quantifizierte Bewertung für den gesamten Geschäftsbereich/das gesamte Unternehmen. So können Sie den Führungskräften die Stärken von CRQ aufzeigen und Begeisterung und Engagement für eine breitere Nutzung wecken. Vermeiden Sie es, bottom-up mit einzelnen Systemen zu beginnen, da dies zu Schwierigkeiten bei der Erfassung geeigneter Daten für die Quantifizierung führen kann.
- Quantifizieren Sie parallel zu Ihrem aktuellen Ansatz: Das bestehende Risikobewertungsrahmenwerk kann während der Erprobung von CRQ und auch danach weiter genutzt werden. Die Ergebnisse von CRQ können mit bestehenden Risikobewertungen verglichen und hinsichtlich ihrer Nützlichkeit und des Aufwands bewertet werden.
- Bauen Sie auf ersten CRQ-Ergebnissen mit weiteren Einheiten auf: Die für die erste CRQ gesammelten Daten werden wahrscheinlich für spätere Bewertungen in anderen Geschäftsbereichen oder Unternehmen nützlich sein. Wenn möglich, sollte ein Kernteam auf Gruppen-/Zentralebene arbeiten, damit die Fähigkeiten und das Fachwissen in spätere Projekte einfließen können.
- Entscheiden Sie, wie weit Sie gehen möchten: In der obigen Tabelle sind verschiedene Anwendungsfälle für die Risikobewertung aufgeführt. Anhand dieser Tabelle können Sie entscheiden, welche Risikobewertungsprozesse in Ihrem Unternehmen für eine Quantifizierung geeignet sind. Es wird wahrscheinlich Anwendungsfälle geben, in denen Sie sich für einen qualitativen Ansatz entscheiden werden.
Abschließende Gedanken: Der richtige Ansatz zur Risikobewertung hängt von Ihren Anforderungen ab
Die Bewertung von Cyberrisiken kann komplex erscheinen, muss es aber nicht sein! In diesem Blogbeitrag wurden die beiden wichtigsten Ansätze vorgestellt: die qualitative und die quantitative Bewertung. Qualitative Bewertungen sind einfach und verwenden Kategorien wie „hoch“, „mittel“ und „niedrig“. Sie eignen sich hervorragend für einen schnellen Überblick, können jedoch inkonsistent und ungenau sein. Um diese Einschränkungen zu beheben, werden bei einem semi-quantitativen Ansatz diesen Kategorien numerische Bereiche hinzugefügt. Allerdings liefern sie immer noch nicht die Finanzzahlen, die Sie für strategische Entscheidungen benötigen.
Hier kommen quantitative Risikobewertungen ins Spiel, die finanzielle Werte und statistische Wahrscheinlichkeiten liefern. Sie sind zwar etwas zeitaufwändiger und hängen von den verwendeten Daten ab, bieten aber erhebliche Vorteile wie eine geschäftsfreundliche Sprache und ein Risikomanagement auf strategischer Ebene.
Der für Sie beste Ansatz hängt von Ihren spezifischen Anforderungen ab. Berücksichtigen Sie daher die Zielgruppe Ihrer Risikobewertung und die Fragen, die sie beantworten soll. Sie können sogar eine quantitative Methode neben Ihrem bestehenden Rahmenwerk einführen. Auf diese Weise profitieren Sie von den Vorteilen beider Ansätze!
