Top-Down-Quantifizierung von Cyberrisiken
Der Top-Down-Ansatz verfolgt eine übergeordnete organisatorische Perspektive und bewertet die finanziellen Auswirkungen von Cyberszenarien auf der Grundlage des individuellen Geschäftsmodells eines Unternehmens. Dabei betrachtet der Top-Down-Ansatz das Cyberrisikoprofil des Unternehmens innerhalb der gesamten Cyberbedrohungslandschaft. Der Schwerpunkt liegt auf der Ermöglichung strategischer Entscheidungen in einer schnelllebigen Cyberbedrohungslandschaft und der Unterstützung bei der Erzielung zeitnaher Ergebnisse. Die für Top-Down-Modelle erforderlichen Daten umfassen Finanzdaten wie Umsatz, Gewinne oder Produktionskosten, die bestimmen, wie viel ein Cybervorfall das Unternehmen kosten wird, und aufzeigen, wo die größten Cyberrisiken im Unternehmen liegen. Darüber hinaus bestimmen Informationen zur Informationssicherheit, wie wahrscheinlich das Eintreten des Cyberszenarios ist, basierend darauf, wie gut sich das Unternehmen gegen das Cyberszenario schützt.
Der Top-Down-Ansatz zur Quantifizierung von Cyberrisiken stützt sich häufig auf probabilistische Simulationen, wie z. B. Monte-Carlo-Simulationen, um prädiktive Risikobewertungen zu erstellen. Zu den wichtigsten Output-Kennzahlen gehören modellierte Verlustzahlen, die gemeinhin als Value-at-Risk-Zahlen (VaR) bezeichnet werden. Mit diesem Ansatz lässt sich beispielsweise der 2 %ige finanzielle Verlustrisiko von 50 Millionen Euro abschätzen, der durch einen Cybervorfall entsteht.
Diese strategische Top-Down-Methode ist besonders nützlich für die Entscheidungsfindung auf C-Level und anderen Managementebenen und hilft Unternehmen dabei, Cyberrisiken effektiv zu managen. Sie unterstützt eine Reihe von Anwendungsfällen, wie z. B. die Sicherung der Genehmigung von Budgets für die Informationssicherheit durch den Nachweis der Rendite von Sicherheitsinvestitionen oder die Bestimmung der strategischen Risikobereitschaft für den Transfer von Cyberrisiken. Sie ermöglicht einen ganzheitlichen Überblick über die Cyberrisiken eines Unternehmens und gewährleistet so die Entscheidungsfindung auf Unternehmensebene.
Bottom-up-Quantifizierung von Cyberrisiken
Der Bottom-up-Ansatz bietet eine detaillierte Bewertung von Schwachstellen und Risiken, wobei häufig mehrere detaillierte Bedrohungssequenzen quantifiziert werden, was die operative Ebene des Unternehmens unterstützt. Er identifiziert eine Vielzahl von Cyberszenarien für ein Unternehmen und geht dabei individuell auf spezifische Schwachstellen, Angriffsvektoren, Vermögenswerte und Auswirkungswerte ein. Daher erfordert die Datenerfassung für den Bottom-up-Ansatz einen hohen Zeitaufwand, da zunächst eine detaillierte Bewertung der Informationssicherheit auf Asset-Ebene durchgeführt und anschließend die Häufigkeit und die Auswirkungen aller einzelnen Cyberszenarien auf der Grundlage der betroffenen Assets individuell geschätzt werden müssen. So lässt sich ermitteln, welche Kosten ein bestimmtes Cyberszenario verursacht, wenn ein bestimmtes Asset ausfällt.
Der Bottom-up-Ansatz eignet sich zum Testen von Maßnahmen zur Risikominderung auf operativer Ebene, zur Bewertung der Wirksamkeit neuer Technologien und zur Bewertung des Risikos von Vermögenswerten. Er bietet zwar einen detaillierten Überblick über die Vermögenswerte und Informationssicherheitsstandards eines Unternehmens für operative Mitarbeiter, doch die Quantifizierung von Cyberrisiken von unten nach oben und die Aggregation von Cyberrisiken auf Unternehmensebene bleibt eine Herausforderung. Dies liegt vor allem daran, dass je enger Cyber-Szenarien definiert sind, desto höher das Risiko von Überschneidungen zwischen Szenarien und doppelten finanziellen Auswirkungen auf Unternehmensebene ist. Die technische Bewertung ermöglicht somit einen umfassenden Überblick über den Stand der Informationssicherheit, ist jedoch für die Quantifizierung von Cyberrisiken nicht ausreichend.
Fazit: Ein hybrider Ansatz kombiniert das Beste aus beiden Welten
Durch die Kombination einer detaillierten technischen Bottom-up-Bewertung mit einer Top-down-Quantifizierung können Unternehmen ein ganzheitlicheres und genaueres Verständnis ihrer gesamten Cyberrisiken erzielen. Sowohl der Top-down- als auch der Bottom-up-Ansatz sind für eine effektive Quantifizierung von Cyberrisiken nützlich. Während der Top-down-Ansatz eine strategische, finanzielle Sichtweise bietet und eher auf die Quantifizierung von Cyberrisiken ausgerichtet ist, liefert der Bottom-up-Ansatz detaillierte technische Einblicke in die Vermögenswerte. Beide Ansätze haben ihre Stärken und Grenzen, aber durch die Kombination der Stärken wird eine genauere und ganzheitlichere Bewertung der Cyberrisiken gewährleistet.
