Die Identifizierung von Risiken ist ein wichtiger erster Schritt zum Verständnis von Cyberrisiken. Es ist leicht, Bedrohungen, Risiken, Sicherheitslücken und Auswirkungen zu verwechseln, und die Begriffe werden häufig synonym verwendet.
In diesem Artikel wird das Squalify-Modell zur Quantifizierung von Cyberrisiken auf einer tieferen Ebene vorgestellt und beschrieben, wie die Ursachen, Folgen und Kosten von Cybervorfällen innerhalb der Squalify-Plattform modelliert werden. Unser Ansatz basiert auf der Methodik und Erfahrung unserer Muttergesellschaft Munich Re, einem weltweit führenden Anbieter von Cyberversicherungen und Rückversicherungen. Dies ermöglicht es Ihnen, Ihre Cyberrisiken konsistent zu definieren und zu identifizieren.
Einführung in die Squalify Risk Taxonomy
Innerhalb der Squalify-Plattform werden Cybervorfälle, ihre Folgen und die damit verbundenen finanziellen Verluste anhand der folgenden Konzepte miteinander verknüpft:
- Das Squalify-Quantifizierungsmodell umfasst eine Reihe vordefinierter Cyber-Bedrohungsszenarien, in denen der Bedrohungsagent, seine Absicht, das kompromittierte Sicherheitseigentum und das betroffene Asset detailliert beschrieben werden.
- Erfolgreiche Cyber-Bedrohungsszenarien sind in Folgenszenarien zusammengefasst. Das Squalify-Quantifizierungsmodell fasst die verschiedenen Ergebnisse von Cybervorfällen in drei Folgenszenarien zusammen: Datenschutzverletzung, Betriebsunterbrechung sowie Finanzieller Diebstahl und Betrug.
- Jedes Konsequenzszenario kann zu finanziellen Verlusten führen. Das Squalify-Modell unterteilt diese Verluste in sieben Verlustkomponenten, in denen die damit verbundenen Kosten, die durch einen Cybervorfall entstehen, zusammengefasst werden. Die Verlustkomponente „Reaktion auf Vorfälle“ umfasst beispielsweise Ausgaben im Zusammenhang mit der Zusammenarbeit mit forensischen Ermittlern, dem Krisenmanagement usw.
Die tatsächlichen Werte für jede einzelne Verlustkomponente werden in Form von finanziellen Verlustwerten quantifiziert. Sie werden im Squalify-Modell berechnet, indem Szenariodetails mit dem Reifegrad der Informationssicherheitskontrollen kombiniert werden. Dieser Teil des Risikobewertungsprozesses von Squalify wird weiter beschrieben hier.
Die Beziehungen zwischen diesen Konzepten sind in der folgenden Abbildung zusammengefasst, und jedes wird in den folgenden Abschnitten näher beschrieben.
Cyber-Bedrohungsszenarien beschreiben, wer ein Unternehmen angreifen kann und wie
Das Squalify-Modell basiert auf vordefinierten Cyber-Bedrohungsszenarien. Diese Szenarien kombinieren die breitere Bedrohungslandschaft (ein Bedrohungsagent, der einen böswilligen oder versehentlichen Vorfall verursacht, der die Vertraulichkeit, Integrität oder Verfügbarkeit von Ressourcen beeinträchtigt) mit unternehmensspezifischen Risikofaktoren.
Diese hochrangigen Bedrohungsszenarien sind so konzipiert, dass sie ein Gleichgewicht herstellen: Sie sind breit genug, dass das Modell alle relevanten böswilligen und zufälligen Cybervorfälle umfasst, und dennoch detailliert genug, um Schwankungen im Auftreten und der Schwere verschiedener potenzieller Bedrohungen zu berücksichtigen.
Jedes Szenario wird durch eine Kombination aus dem Bedrohungsagenten (intern oder extern), der Absicht (böswillig oder versehentlich), der gefährdeten Sicherheitseigenschaft (Vertraulichkeit, Integrität oder Verfügbarkeit) und dem Asset-Typ (Information oder Geschäftsprozess) definiert.
Die Cyber-Bedrohungsszenarien befassen sich mit fast allen finanziellen Verlusten, die in der Regel durch Cyberversicherungen abgedeckt werden. Im Rahmen des Modells werden Cyber-Bedrohungsszenarien von einer Fülle historischer Daten zur Häufigkeit und zum Schweregrad von Vorfällen begleitet, die auf realen Ereignissen und der Erfahrung von Munich Re auf der Cyber-Rückversicherung basieren.
Das bedeutet, dass Sie nicht abschätzen müssen, wie oft verschiedene Bedrohungsereignisse auftreten können und wie viel sie kosten können.
Durch die Bereitstellung vordefinierter Cyber-Bedrohungsszenarien vereinfacht und beschleunigt das Squalify-Modell die Analyse durch ein Unternehmen erheblich. Unternehmen müssen nicht jedes mögliche Szenario aufzählen, das auftreten könnte, und sie müssen auch nicht die Häufigkeit und den Schweregrad dieser Szenarien abschätzen. Dies ermöglicht es Unternehmen auch, unvorhergesehene Risiken zu modellieren.
Konsequenzszenarien beschreiben die geschäftlichen Auswirkungen eines Angriffs
Konsequenzszenarien fassen die verschiedenen Cyber-Bedrohungsszenarien zusammen, die zu demselben Ergebnis oder derselben Konsequenz führen. Die drei von Squalify modellierten Konsequenzszenarien sind Betriebsunterbrechung, Datenschutzverletzung sowie Finanzieller Diebstahl und Betrug:
- Betriebsunterbrechung: Die finanziellen Verluste, die ein Unternehmen aufgrund eines Cybervorfalls erleidet, der seinen Betrieb stört.
- Verletzung des Datenschutzes: Dies deckt die Kosten ab, die entstehen, wenn auf eine Sicherheitsverletzung reagiert wird, bei der sensible, geschützte oder vertrauliche personenbezogene Daten von einer unbefugten Person kopiert, übertragen, eingesehen, gestohlen oder verwendet werden.
- Finanzieller Diebstahl und Betrug: Direkter Gelddiebstahl, den ein Unternehmen aufgrund betrügerischer Cyberaktivitäten erleidet.
Das Szenario mit den Folgen einer Datenschutzverletzung umfasst beispielsweise mehrere Cyber-Bedrohungsszenarien, darunter eines mit einem böswilligen Angreifer und ein anderes, das auf versehentliche Aktionen zurückzuführen ist. Da beide Cyber-Bedrohungsszenarien dasselbe Ergebnis haben können, nämlich eine Datenschutzverletzung, werden beide in diesem Folgen-Szenario berücksichtigt.
Neben den drei oben skizzierten Konsequenzszenarien gibt es noch einen weiteren Cybervorfall, der als Ransomware bezeichnet wird. Bei der Untersuchung der Folgen stellt Ransomware eine Kombination aus einer Betriebsunterbrechung und einer Datenschutzverletzung dar. Diese doppelte Auswirkung ist darauf zurückzuführen, dass ein Ransomware-Vorfall die Geschäftsprozesse des Unternehmens stören und gleichzeitig zur Verschlüsselung oder zum Diebstahl von Daten führen kann.
Bei demselben Vorfall kann mehr als ein Konsequenzszenario auftreten. Ein Szenario, bei dem alle drei Konsequenzszenarien im selben Vorfall oder innerhalb eines kurzen Zeitrahmens (ein modelliertes Jahr) auftreten, wird als Worst-Case-Szenario. Das Worst-Case-Szenario wird nicht mit Wahrscheinlichkeit in Verbindung gebracht; es handelt sich lediglich um den Zeitpunkt, an dem das Unternehmen mit dem höchsten realistischen potenziellen Verlust konfrontiert wird, vorausgesetzt, dass fast alle bestehenden Kontrollen versagen.
Verlustkomponenten fassen die Ausgabenkategorien eines Vorfalls zusammen
Eine Verlustkomponente stellt eine bestimmte Art von finanziellem Verlust dar, den ein Unternehmen im Falle eines Cybervorfalls erleiden könnte. Eine Verlustkomponente fasst die damit verbundenen Ausgaben zusammen, die durch einen Cybervorfall entstehen. Für jede Verlustkomponente bietet die Squalify-Plattform einen strukturierten Fragenkatalog, anhand dessen Sie die potenziellen Kosten für Ihre Szenarien in Ihrem Unternehmen abschätzen können.
Die Verlustkomponenten sind aus der Cambridge Cyber Taxonomy für Schadendeckungen abgeleitet1. Die folgenden 7 ausgewählten Verlustkomponenten stellen die wichtigsten Verlustzahlen dar und sind im Squalify-Modell enthalten:
- Kosten für die Reaktion auf Vorfälle: Direkte Kosten, die für die Untersuchung und Schließung des Vorfalls anfallen, um die Verluste nach dem Vorfall zu minimieren. Gilt für alle anderen Kategorien/Ereignisse.
- Verletzung der Privatsphäre Veranstaltung: Die Kosten für die Reaktion auf ein Ereignis, bei dem Informationen veröffentlicht werden, die zu einer Datenschutzverletzung führen, einschließlich Benachrichtigung, Entschädigung, Kreditüberwachungsdienste und andere Verbindlichkeiten Dritter gegenüber betroffenen Personen, IT-Forensik, externe Dienste und interne Reaktionskosten, Rechtskosten.
- Regulatorische und verteidigungspolitische Berichterstattung: Deckt die rechtlichen, technischen oder forensischen Dienstleistungen ab, die erforderlich sind, um den Versicherungsnehmer bei der Beantwortung behördlicher Anfragen im Zusammenhang mit einem Cybervorfall zu unterstützen, und deckt Bußgelder, Strafen, Verteidigungskosten, Ermittlungen oder andere regulatorische Maßnahmen bei Verstößen gegen das Datenschutzrecht sowie andere Kosten für die Einhaltung von Vorschriften und Branchenverbänden ab.
- Daten- und Softwareverlust: Die Kosten für die Wiederherstellung gelöschter oder beschädigter Daten oder Software.
- Cyber-Erpressung: Die Kosten für die fachkundige Bearbeitung eines Erpressungsvorfalls. Kombiniert mit der Höhe der Lösegeldzahlung.
- Betriebsunterbrechung: Entgangene Gewinne oder zusätzliche Ausgaben, die aufgrund der Nichtverfügbarkeit von IT-Systemen oder Daten infolge von Cybervorfällen oder anderen nicht böswilligen IT-Ausfällen entstehen.
- Finanzieller Diebstahl und Betrug: Der direkte finanzielle Verlust, den eine Organisation durch die Verwendung von Computern zum Begehen von Betrug oder Diebstahl von Geld erleidet.
Die Kombination der Verlustkomponenten, die zu jedem Konsequenzszenario beitragen, ist in der folgenden Abbildung dargestellt:
Letzte Gedanken
Die einzigartige Methode zur Quantifizierung von Cyberrisiken von Squalify konzentriert sich auf die Folgen von Cybervorfällen. Vorgefertigte Bedrohungsszenarien vereinfachen den Teil der Risikoanalyse bei der Risikoanalyse, und die Verwendung historischer Daten der Versicherungsbranche durch Squalify macht das Rätselraten bei der Schätzung der Bedrohungswahrscheinlichkeit überflüssig.
Unser Top-down-Ansatz ermöglicht es Ihnen, sich auf die geschäftlichen Auswirkungen von Cybervorfällen zu konzentrieren. So vermeiden Sie es, sich im Fachjargon zu verzetteln, und Risikobewertungen erstellen, die auf der Realität Ihres Unternehmens basieren.
