Die Cyberrisiko-Quantifizierung (Cyber Risk Quantification, CRQ) ist eine Methode, Cybersicherheitsrisiken in objektive, empirische geschäftliche Begriffe zu fassen mit dem Ziel, strategische Entscheidungen zu unterstützen.
Was ist Cyberrisiko-Quantifizierung?
Unternehmensvorstände und Führungsteams werden zunehmend für Cybersicherheitsverletzungen, Datenverluste, Compliance-Verstöße und andere Auswirkungen verantwortlich gemacht. Dadurch ist Cybersicherheit zu einem strategischen Geschäftsthema geworden, wie es bisher nicht der Fall war. Die Cyberrisiko-Quantifizierung (Cyber Risk Quantification, CRQ) ist eine Methode, Cybersicherheitsrisiken so darzustellen, dass sie für Führungskräfte in Unternehmen aussagekräftig sind.
CRQ ist eine wichtige Säule des Cyberrisiko-Managements und hilft Unternehmen dabei, die potenziellen geschäftlichen Auswirkungen von Sicherheitsrisiken zu ermitteln. Dazu gehören etwa finanzielle Verluste (Umsatz, Ausfallzeiten) und/oder Wettbewerbsnachteile (wie der Marktanteil). Auf diese Weise können Unternehmen ihre Investitionen in Cybersicherheit dort tätigen, wo sie am dringendsten benötigt werden. Sie können den Wert oder den potenziellen Ertrag dieser Investitionen ermitteln – und so die Ausgaben für Cybersicherheit rechtfertigen.
Eine gängige Methode zur Berechnung der CRQ ist das FAIR-Modell. Das vom FAIR Institute entwickelte Modell steht für „Factor Analysis of Information Risk“ (Faktoranalyse von Informationsrisiken). FAIR ist ein offener internationaler Standard für CRQ.
Was sind Cyberrisiken?
Das National Institute of Standards and Technology (NIST) definiert Cyberrisiken als beides (oder eines von beiden) von Folgendem:
- „Das Risiko, von Cyberressourcen abhängig zu sein (d. h. das Risiko, von Systemen oder Systemelementen abhängig zu sein, die im Cyberspace existieren oder zeitweise dort präsent sind).“
- „Das Risiko finanzieller Verluste, Betriebsunterbrechungen oder Schäden aufgrund des Ausfalls digitaler Technologien, die für Informations- und/oder Betriebsfunktionen eingesetzt werden und über elektronische Mittel in ein Fertigungssystem eingeführt wurden, durch unbefugten Zugriff, unbefugte Nutzung, Offenlegung, Störung, Veränderung oder Zerstörung des Fertigungssystems.“
Beide Definitionen beziehen sich auf die Anforderung an Unternehmen, ein proaktives Framework für das Cyberrisiko-Management einzuführen und umzusetzen.
Warum ist Cyberrisiko-Quantifizierung wichtig?
Durch die Einführung eines CRQ-Modells können Unternehmen Entscheidungen zur Cybersicherheit in ihre allgemeine Unternehmensstrategie und -ausrichtung integrieren. Dadurch wird Cybersicherheit zu einem zentralen Bestandteil des Geschäfts und nicht zu einer nachträglichen Überlegung.
Da Cyberrisiko-Quantifizierung (CRQ) Cybersicherheitsteams und Führungskräften eine gemeinsame Sprache für Cyberrisiken bietet, verbessert es die Kommunikation zwischen Sicherheits- und Geschäftsteams. In ähnlicher Weise bietet es auch einen Mechanismus zum Nachweis der Compliance gegenüber Aufsichtsbehörden.
Durch die Verknüpfung mit dem Management von Cyberrisiken unterstützt und ergänzt CRQ die Bemühungen eines Unternehmens, seine gesamten Cyberrisiken und Schwachstellen zu verstehen. Es ermöglicht effektivere und gezieltere Reaktionen sowie eine bessere Nutzung der Ressourcen.
Funktionsweise von Cyberrisiko-Quantifizierung (CRQ)
CRQ umfasst die Identifizierung aller potenziellen Cyberbedrohungen für ein Unternehmen und deren Bewertung und Priorisierung, um die dringendsten und schwerwiegendsten zu ermitteln. Zudem geht es um die Berechnung der möglichen geschäftlichen Auswirkungen einer Sicherheitsverletzung, eines Angriffs oder eines Verlusts in jedem einzelnen Fall.
Dies entspricht weitgehend den ersten beiden Phasen des Angriffsflächenmanagements: Erkennung und Bewertung. Dabei wird das gesamte Spektrum digitaler, physischer und sozialer/menschlicher Risiken abgedeckt. Dieses reicht von Malware, schwachen Passwörtern und Fehlkonfigurationen bis hin zu Diebstahl, böswilligen Handlungen von Insidern, Anfälligkeit für Phishing und Business Email Compromise (BEC).
Erkennung
Der erste Schritt besteht darin, alle potenziellen Bedrohungen zu identifizieren, die dem Unternehmen schaden könnten. Dies erfordert einen vollständigen Überblick über die Angriffsfläche, also die Gesamtheit aller Möglichkeiten, mit denen Angreifer unbefugten Zugriff auf Daten und Systeme erlangen können, um Diebstahl zu begehen oder Angriffe zu starten.
Für diesen Schritt ist eine Cybersicherheitsplattform erforderlich, die automatische und kontinuierliche Scans der gesamten Angriffsfläche durchführen kann. Eine Plattform erfasst alle bekannten und unbekannten Assets, Systeme, Anwendungen und Zugangspunkte. Dazu gehören auch Elemente, die für Sicherheitsteams traditionell nicht sichtbar sind, wie Schatten-IT-Anwendungen, Technologien von Drittanbietern und veraltete oder „vergessene“ Technologien, die in früheren Bestandsaufnahmen nicht berücksichtigt wurden.
Bewertung
Mit einem umfassenden Überblick über die Angriffsfläche können Sicherheitsteams relative Schwachstellen und Sicherheitslücken bewerten, zum Beispiel Fehlkonfigurationen, nicht gepatchte Software und Codierungsfehler. Auf Grundlage dieser Schwachstellen kann die Bewertung auch feststellen, welche Arten von Angriffen derzeit und in Zukunft genutzt werden könnten, um diese Schwachstellen auszunutzen. Außerdem können die Ziele dieser Angriffe ermittelt werden (etwa Datendiebstahl, Betriebsunterbrechung, Lösegeldforderungen und Erpressung).
Einige wichtige Punkte zur Bewertung:
- Im Idealfall werden Risiken für jeden Teil des Unternehmens bewertet, von den internen Abläufen über den Vertrieb und Kundenservice bis hin zur Lieferkette, den Cloud-Ressourcen, den Pipelines für die Softwareentwicklung (DevOps) und mehr.
- Sobald die ersten Bewertungsschritte abgeschlossen sind, können Sicherheitsteams Risiken und Vermögenswerte priorisieren und festlegen, welche davon den höchsten Wert haben – sowohl für das Unternehmen selbst als auch für potenzielle Angreifer. Außerdem können sie ermitteln, welche am anfälligsten für Angriffe sind und – was für CRQ entscheidend ist – wie wahrscheinlich ein Angriff ist.
- Bei der Cyberrisiko-Quantifizierung (CRQ) wird die Wahrscheinlichkeit in Form eines Werts berechnet, der häufig als Prozentsatz ausgedrückt wird. Beispielsweise besteht bei E-Mails des CEO eines Finanzdienstleisters eine Wahrscheinlichkeit von 85 %, dass es sich um einen BEC-Angriff handelt. Geht die E-Mail an den Cafeteria-Manager desselben Unternehmens, liegt dieser Wert dagegen bei 12 %. Diese Wahrscheinlichkeit wird statistisch anhand modellbasierter Simulationen (etwa Monte-Carlo-Simulationen) ermittelt und in der Regel für einen bestimmten Zeitraum berechnet, beispielsweise ein Geschäftsquartal oder ein Kalenderjahr.
Berechnung
Auf Grundlage der Bewertung schätzen die Sicherheitsteams gemeinsam mit Führungskräften aus dem Unternehmen den finanziellen Wert oder die Kosten potenzieller Cyberattacken ab. Dazu gehören Strafen für die Nichteinhaltung von Gesetzen und Vorschriften, finanzielle Verluste aufgrund von Ausfallzeiten, Wiederherstellung, Erpressung oder Diebstahl, Rufschädigung und Verlust der Marktposition, Rechtsstreitigkeiten und vieles mehr. Die spezifischen Faktoren variieren je nach Unternehmen und Branche. Das Endergebnis ist ein konkreter Geldbetrag, der das Geschäftsrisiko einer Cyberattacke ausdrückt.
Wie unterscheidet sich die Cyberrisiko-Quantifizierung von der Cyberrisiko-Bewertung?
Die Quantifizierung von Cyberrisiken und die Cyberrisiko-Bewertung erfüllen ähnliche Funktionen. Beide beschreiben Cybersicherheitsrisiken in objektiven, empirischen Begriffen, um strategische Entscheidungen zu unterstützen.
Bei der Cyberrisiko-Quantifizierung wird der potenzielle finanziellen Schaden von Cybervorfällen berechnet – also die Kosten, die einem Unternehmen durch eine Sicherheitsverletzung, einen Hackerangriff oder Datendiebstahl entstehen können. Dagegen wird bei der Cyberrisiko-Bewertung jedem Risiko eine numerische Punktzahl zugewiesen, aus der sich eine Gesamtpunktzahl für das Cyberrisiko des Unternehmens ergibt.
Konkret umfasst die Bewertung von Cyberrisiken einen zweistufigen Prozess: Zunächst werden die Risiken profiliert. Das bedeutet, dass ermittelt wird, welche Risiken relevant sind und welche Kontrollen zu ihrem Management erforderlich sind. Anschließend werden jedem Risiko anhand seiner relativen Dringlichkeit und potenziellen Schwere Punkte zugewiesen.
- Der Profilierungsschritt basiert auf einem gründlichen Erkennungs- und Bewertungsprozess, der die gesamte Angriffsfläche des Unternehmens definiert und Risiken und Schwachstellen auf dieser Fläche identifiziert. Auf Grundlage dieser Festlegungen kann ein Unternehmen entscheiden, welche Kontrollen implementiert werden müssen.
- Im Rahmen der Bewertung werden das potenzielle Risiko und der potenzielle Schaden für jede identifizierte Schwachstelle eingeschätzt. Einbezogen werden dabei die Wahrscheinlichkeit, dass die Schwachstelle ausgenutzt wird, das Ausmaß und die Reichweite der Auswirkungen, die Schwierigkeit, einen erfolgreichen Angriff zu beheben, und vieles mehr.
- Cyberrisiko-Werte (Cyber Risk Scores) sollten auch globale Bedrohungsdaten – proprietär oder Open Source – und öffentliche Sicherheitsbewertungen berücksichtigen. Dazu gehören auch Informationen darüber, inwieweit sich böswillige Akteure bestimmter Schwachstellen bewusst sind, wie leicht diese ausgenutzt werden können, wie häufig sie ausgenutzt werden und andere relevante Datenpunkte.
Es gibt viele verschiedene Methoden zur Berechnung von Cyberrisiko-Bewertungen, darunter ein vom NIST vorgestelltes Framework und das bereits erwähnte FAIR-Modell.
Cyberrisiko-Bewertung und Cyberrisiko-Quantifizierung unterstützen ein gutes Cyber Risk Exposure Management. Sie umfassen ähnliche Schritte zur Erkennung und Bewertung, um Risiken proaktiv zu identifizieren, zu bewerten und zu priorisieren.
Alternativen zu Cyberrisiko-Quantifizierung (CRQ)
CRQ ist relativ neu. Viele Unternehmen folgen nach wie vor Compliance-basierten Risikomanagementmodellen wie dem NIST Cybersecurity Framework (CSF). Bei einem Compliance-basierten Ansatz liegt der Schwerpunkt auf der Einhaltung gesetzlicher Vorschriften. CRQ-Tools hingegen konzentrieren sich darauf, Cyberrisiken in Zahlen auszudrücken. Die Kombination beider Ansätze führt höchstwahrscheinlich zu den besten Ergebnissen im Bereich Cybersicherheit – im Rahmen einer umfassenden Strategie zum Management der Cyberrisiken, die auf einem sorgfältigen Management der Angriffsflächen basiert.
Wie kann Cyberrisiko-Quantifizierung (CRQ) umgesetzt werden?
Die Quantifizierung von Cyberrisiken ist ein wesentlicher Bestandteil des gesamten Cyber Risk Exposure Managements. Die Implementierung von CRQ erfordert eine gute Zusammenarbeit und Koordination zwischen den Cybersicherheitsteams des Unternehmens und den Führungskräften des Unternehmens. Dazu gehören klare Erwartungen, regelmäßige Kontaktpunkte, offene Kommunikation und klar definierte Prozesse.
Unternehmen müssen ein CRQ-Modell (entweder FAIR oder einen anderen Ansatz) auswählen und CRQ-Tools einführen, um die erforderlichen Simulationen und Berechnungen zu unterstützen. Diese Tools sollten in eine umfassende Cybersicherheitsplattform integriert werden, die alle erforderlichen Kontextinformationen bereitstellt, um fundierte Entscheidungen über Cyberrisiken und deren relative Priorität zu ermöglichen.
Konkret bedeutet dies eine Plattform, die alle Phasen des Managements von Cyberrisiken abdeckt: Erkennung, Bewertung und Eindämmung. Die Plattform sollte Sicherheitstechnologien für eine schnelle und effektive Eindämmung von Bedrohungen umfassen, etwa Security Information and Event Management (SIEM), Extended Detection and Response (EDR) und/oder Extended Detection and Response (XDR). XDR ist auch als Quelle für Daten, Analysen und Integrationen von entscheidender Bedeutung.
Um Risiken langfristig zu minimieren und den Sicherheitsstatus des Unternehmens zu stärken, sind Zero-Trust-Strategien eine wichtige Ergänzung zur Cyberrisiko-Quantifizierung. Zero Trust wendet das Prinzip der geringsten Berechtigungen auf nahezu jeden Aspekt der IT-Umgebung an. Wie der Name sagt, wird Vertrauen niemals vorausgesetzt, und Berechtigungen werden streng kontrolliert. Selbst autorisierte Benutzer können nur dann auf Ressourcen zugreifen, wenn sie diese direkt benötigen.
Wo erhalte ich Unterstützung bei der Cyberrisiko-Quantifizierung?
Trend Vision One™ unterstützt Sie bei der Implementierung von CRQ-Praktiken mit einer Lösung für Cyber Risk Exposure Management, mit der Unternehmen Cyberrisiken auf einfache Weise quantifizieren und in geschäftlicher Sprache kommunizieren können.
Dies wird durch den revolutionären Ansatz von Trend Vision One ermöglicht, der wichtige Funktionen in einer leistungsstarken, benutzerfreundlichen Lösung vereint. Dazu gehören External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Schwachstellenmanagement und Security Posture Management für Cloud, Daten, Identitäten, APIs, KI, Compliance und SaaS-Anwendungen. Das ermöglicht Ihnen, Ihr Unternehmen proaktiv mit Kontrolle, Transparenz und Zuversicht zu schützen.
Cyber Risk Exposure Management Ihnen bei der Quantifizierung von Cyberrisiken helfen kann.