Die Cyberrisiko-Bewertung (Cyber Risk Scoring) ist eine Methode zur Quantifizierung von Cybersicherheitsrisiken. Ziel ist es, dass Unternehmen objektive, empirisch fundierte Entscheidungen darüber treffen können, wie sie ihre Angriffsfläche verteidigen und verkleinern können.
Die Cyberrisiko-Bewertung (Cyber Risk Scoring) ist ein wichtiger Bestandteil jedes Frameworks für das Cyberrisiko-Management. Sie ermöglicht ein gemeinsames und objektives Bewusstsein für die relativen Risiken, die mit IT-Assets und digitalen Technologien verbunden sind. So lassen sich praktische Entscheidungen darüber treffen, welche Risiken mit höchster Priorität angegangen werden müssen.
Durch die kontinuierliche Erfassung von Cyberrisiko-Werten (Cyber Risk Scores) können Unternehmen ihre allgemeine Cybersicherheitsbereitschaft und die Stärke ihrer Sicherheitsmaßnahmen benchmarken und überwachen.
Die Cyberrisiko-Bewertung gilt für die gesamte Angriffsfläche, einschließlich interner und externer IT-Assets, Daten, Systeme und Ressourcen.
Ähnlich wie die Quantifizierung von Cyberrisiken (Cyber Risk Quantification, CRQ) steht die Cyberrisiko-Bewertung in engem Zusammenhang mit den ersten beiden Phasen des Angriffsflächenmanagements: Erkennung und Bewertung.
Konkret umfasst die Bewertung von Cyberrisiken einen zweistufigen Prozess: Zunächst werden die Risiken profiliert. Das bedeutet, dass ermittelt wird, welche Risiken relevant sind und welche Kontrollen zu ihrem Management erforderlich sind. Anschließend werden jedem Risiko anhand seiner relativen Dringlichkeit und potenziellen Schwere Punkte zugewiesen.
Was sind Cyberrisiken?
Das National Institute of Standards and Technology definiert Cyberrisiken als beides (oder eines von beiden) von Folgendem:
- „Das Risiko, von Cyberressourcen abhängig zu sein (d. h. das Risiko, von Systemen oder Systemelementen abhängig zu sein, die im Cyberspace existieren oder zeitweise dort präsent sind).“
- „Das Risiko finanzieller Verluste, Betriebsunterbrechungen oder Schäden aufgrund des Ausfalls digitaler Technologien, die für Informations- und/oder Betriebsfunktionen eingesetzt werden und über elektronische Mittel in ein Fertigungssystem eingeführt wurden, durch unbefugten Zugriff, unbefugte Nutzung, Offenlegung, Störung, Veränderung oder Zerstörung des Fertigungssystems.“
Beide Definitionen beziehen sich auf die Notwendigkeit für Unternehmen, ein proaktives Framework für das Cyberrisiko-Management einzuführen und umzusetzen.
Warum ist Cyberrisiko-Bewertung wichtig?
Als Bestandteil des Cyber Risk Exposure Managements liefert die Cyberrisiko-Bewertung (Cyber Risk Scoring) messbare, objektive Klarheit darüber, welche Risiken die größte Bedrohung für ein Unternehmen darstellen. Dies hilft bei der Entscheidung über Maßnahmen und Investitionen im Bereich Cybersicherheit.
Wie die Cyberrisiko-Qualifizierung (CRQ) bietet auch die Cyberrisiko-Bewertung eine Möglichkeit, über Risiken zu sprechen, die sowohl für Sicherheitsexperten als auch für Führungskräfte verständlich ist. Auf diese Weise ist sie eine wichtige Unterstützung für die Überwachung und Berichterstattung der Umwelt-, Sozial- und Governance-Leistungen (ESG) und/oder der sozialen Verantwortung von Unternehmen (CSR).
Cyberrisiko-Werte (Cyber Risk Scores) werden zunehmend als Faktor für die Entscheidung herangezogen, ob sich ein Unternehmen für eine Cyberversicherung qualifiziert. Sie können auch zur Bewertung potenzieller Fusionen und Übernahmen verwendet werden, außerdem im Sicherheitsmanagement der Lieferkette und in anderen Bereichen des Geschäftsbetriebs.
Cyberrisiko-Bewertung vs. Cyberrisiko-Qualifizierung (CRQ)
Cyberrisiko-Bewertung und CRQ erfüllen ähnliche Funktionen – vereinfacht ausgedrückt ist die eine qualitativ und die andere quantitativ. Beide beschreiben Cybersicherheitsrisiken in objektiven, empirischen Begriffen, um strategische Entscheidungen zu unterstützen.
Bei der Cyberrisiko-Bewertung wird jedem Risiko eine numerische Punktzahl zugewiesen und daraus eine Gesamtbewertung des Cyberrisikos für das Unternehmen ermittelt. Die Cyberrisko-Qualifizierung berechnet den potenziellen finanziellen Schaden von Cybervorfällen – also die Kosten, die einem Unternehmen durch eine Sicherheitsverletzung, einen Hackerangriff oder Datendiebstahl entstehen könnten. Diese Kosten können finanzielle Verluste (Einnahmen, Ausfallzeiten, Bußgelder, Rechtsstreitigkeiten), Wettbewerbsnachteile (z. B. Marktanteile), Reputationsschäden, Kundenabwanderung und sonstige Schäden umfassen.
Bei der Cyberrisiko-Qualifizierung (CRQ) wird die Wahrscheinlichkeit in Form eines Werts berechnet, der häufig als Prozentsatz ausgedrückt wird. Beispielsweise besteht bei E-Mails des CEO eines Finanzdienstleisters eine Wahrscheinlichkeit von 85 %, dass es sich um einen BEC-Angriff handelt. Geht die E-Mail an den Cafeteria-Manager desselben Unternehmens, liegt dieser Wert dagegen bei 12 %. Diese Wahrscheinlichkeit wird statistisch anhand modellbasierter Simulationen (etwa Monte-Carlo-Simulationen) ermittelt und in der Regel für einen bestimmten Zeitraum berechnet, beispielsweise ein Geschäftsquartal oder ein Kalenderjahr.
Sowohl die Cyberrisiko-Bewertung als auch die -Qualifizierung unterstützen ein gutes Cyberrisiko-Management. Sie umfassen ähnliche Schritte zur Erkennung und Bewertung, um Risiken zu identifizieren, zu bewerten und zu priorisieren.
Funktionsweise der Cyberrisiko-Bewertung
Wie bereits erwähnt, besteht die Cyberrisiko-Bewertung im Wesentlichen aus zwei Teilen:
- Risikoprofilierung
- Risikobewertung
Der Profilierungsschritt basiert auf einem gründlichen Erkennungs- und Bewertungsprozess, der die gesamte Angriffsfläche des Unternehmens definiert und Risiken und Schwachstellen auf dieser Fläche identifiziert. Auf Grundlage dieser Festlegungen kann ein Unternehmen entscheiden, welche Kontrollen implementiert werden müssen.
Im Rahmen der Bewertung werden das potenzielle Risiko und der potenzielle Schaden für jede identifizierte Schwachstelle eingeschätzt. Einbezogen werden dabei die Wahrscheinlichkeit, dass die Schwachstelle ausgenutzt wird, das Ausmaß und die Reichweite der Auswirkungen, die Schwierigkeit, einen erfolgreichen Angriff zu beheben, und vieles mehr.
Cyberrisiko-Werte (Cyber Risk Scores) sollten auch globale Bedrohungsdaten – proprietär oder Open Source – und öffentliche Sicherheitsbewertungen berücksichtigen. Dazu gehören auch Informationen darüber, inwieweit sich böswillige Akteure bestimmter Schwachstellen bewusst sind, wie leicht diese ausgenutzt werden können, wie häufig sie ausgenutzt werden und andere relevante Datenpunkte.
Die einzelnen Cyberrisiko-Werte werden anschließend zusammengerechnet. Ziel ist es, einen Gesamtwert für das Cyberrisiko des Unternehmen zu erhalten.
Wie trägt die Cyberrisiko-Bewertung zum Angriffsflächenmanagement bei?
Angriffsflächenmanagement (Attack Surface Management, ASM) ist ein Ansatz zur Cybersicherheit. Es unterstützt Unternehmen dabei, ihre Daten und Systeme besser zu schützen, indem Bedrohungen besser sichtbar gemacht werden. Es geht darum, zu erkennen, wo Risiken bestehen, deren relative Schwere zu verstehen und Maßnahmen zu ergreifen, um Sicherheitslücken in Bezug auf Personen, Prozesse und Technologien zu schließen.
Die Cyberrisiko-Bewertung ist eng mit den ersten beiden Phasen von ASM verbunden: der Erkennung und der Bewertung.
Der ASM-Erkennungsprozess macht alle potenziellen Cyberrisiken für ein Unternehmen sichtbar. Dieser Kontext ist für eine genaue und vollständige Cyberrisiko-Bewertung unerlässlich, da er ein umfassendes Bild der Angriffsfläche des Unternehmens vermittelt.
Die Cyberrisiko-Bewertung trägt zur ASM-Bewertungsphase bei. Sie zeigt auf empirischer und objektiver Basis auf, welche Risiken und Schwachstellen am kritischsten sind und welche zu einem späteren Zeitpunkt angegangen werden können.
Die Cyberrisiko-Bewertung ist ein kontinuierlicher Prozess. Da die Werte (Scores) regelmäßig aktualisiert werden, können Cybersicherheitsteams und Führungskräfte erkennen, wie sich die allgemeine Risikolandschaft verändert: Welche Risiken gewinnen an Bedeutung und müssen dringend angegangen werden, und welche lassen sich erfolgreich eindämmen?
Methoden zur Berechnung von Cyberrisiko-Werten
Es gibt zahlreiche Frameworks und Methoden für die Cyberrisiko-Bewertung. Am einfachsten ist es, die Wahrscheinlichkeit eines Angriffs einzuschätzen, ihr einen Wert zuzuweisen und diesen mit der potenziellen Schwere des Angriffs zu multiplizieren, um einen numerischen Risikowert zu erhalten.
Framework des National Institute of Standards and Technology (NIST)
Das NIST bietet eine Lösung zur Cyberrisiko-Bewertung an, die allen Komponenten eines Systems Sicherheitskategorien zuordnet und für jede Komponente einen Ausgangswert für die Sicherheitskontrolle festlegt: niedrig, moderat oder hoch. Jeder Kontrollmaßnahme wird eine Gewichtung zwischen 1 und 10 zugewiesen. Diese richtet sich nach ihrer relativen Bedeutung für die allgemeine Sicherheits- und Datenschutzlage des Unternehmens.
Im NIST-Framework hilft die Risikoprofilierung dabei, den erforderlichen Umfang der notwendigen Kontrollen zu bestimmen. Faktoren wie Vertraulichkeit, Integrität und Verfügbarkeit (abgekürzt: CIA) werden auf einer Skala von 1 bis 10 bewertet und entsprechend der Kritikalität der zugehörigen Daten/Informationen auf die verschiedenen Kontrollen angewendet.
Historische Informationen über vergangene Verstöße, bekannte Ereignisse, die sich auf die Branche / den Sektor des Unternehmens auswirken, und andere kontextbezogene Inhalte werden ebenfalls berücksichtigt. Ziel ist es, eine Vorhersage zu erstellen, die das potenzielle Risiko zukünftiger Vorfälle genau angibt.
Andere Ansätze
Weitere Methoden zur Berechnung von Cyberrisiko-Werten (Cyber Risk Scores) sind:
- Factor Analysis of Information Risk (FAIR) – wird in der Regel für die Bewertung finanzieller Risiken verwendet, beispielsweise bei der Cyberrisiko-Qualifizierung (CRQ). Ein Teil der FAIR-Methode besteht darin, Risiken in Teilkomponenten zu zerlegen, um eine hohe Genauigkeit zu erzielen.
- Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) – konzentriert sich, wie der Name schon sagt, auf den Geschäftsbetrieb. Die Risikoberechnungen basieren auf spezifischen Bedrohungen für Vermögenswerte und Schwachstellen in der Infrastruktur.
- ISO/IEC 27005 – bietet Leitlinien zum Management von Informationssicherheitsrisiken. Sie beziehen sich auf die Definition des Risikomanagementkontexts, die Identifizierung und Bewertung von Risiken (einschließlich der Wahrscheinlichkeit eines Angriffs) sowie Maßnahmen zur Eindämmung (Risikobehandlungspläne).
Ein weiterer Faktor für die Risikobewertung ist das Common Vulnerability Scoring System (CVSS). CVSS bietet zwar keine vollständige Risikobewertung, aber eine nützliche Methode zur Einstufung der potenziellen Schwere von in Software identifizierten Schwachstellen. Diese Ranglisten können dann als Teil der Berechnungsformel für die Gesamtrisiko-Bewertung verwendet werden.
Wer kann uns bei der Bewertung von Cybersicherheitsrisiken unterstützen?
Trend Micro hat gemeinsam mit dem Ponemon Institute den Cyber Risk Index (CRI) entwickelt, um Unternehmen dabei zu helfen, ihr Risikoniveau zu bestimmen und mögliche Lücken in ihrer Cybersicherheit zu identifizieren. Der CRI weist Unternehmen auf der Grundlage einer umfassenden Bewertung von Risikokategorien und -faktoren eine Risikobewertung zu. Der Index berücksichtigt Risikoereignisse, die sich auf eine Vielzahl von Ressourcen auswirken. Dazu gehören Benutzer, Geräte, Anwendungen, mit dem Internet verbundene Domänen und IP-Adressen sowie Cloud-basierte Ressourcen.
Die CRI-Bewertung stützt sich auf vernetzte Datenquellen, um zu beurteilen, wie sich Risikofaktoren auf die spezifische Umgebung eines Unternehmens auswirken. Je mehr Datenquellen einbezogen werden können, desto vollständiger und umfassender ist das CRI-Ergebnis.
Der CRI wird alle vier Stunden automatisch aktualisiert. Dabei werden Änderungen am Status von Risikoereignissen innerhalb einer Stunde berücksichtigt. Unternehmen können ihren CRI manuell neu berechnen, indem sie auf die Schaltfläche „Neu berechnen“ klicken. Starten Sie hier den CRI-Rechner, um die Risikobewertung Ihres Unternehmens zu ermitteln.
Trend Vision One™ bietet eine Lösung für Cyber Risk and Exposure Management (CREM), mit der Unternehmen Risiken proaktiv aufdecken, bewerten und eindämmen können, um ihre Cyberrisiken zu reduzieren. CREM verfolgt einen revolutionären Ansatz, der wichtige Funktionen in einer leistungsstarken, benutzerfreundlichen Lösung vereint. Dazu gehören External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Schwachstellenmanagement und Security Posture Management für Cloud, Daten, Identitäten, APIs, KI, Compliance und SaaS-Anwendungen. Dabei geht es nicht nur um das Management von Bedrohungen, sondern um den Aufbau echter Resilienz gegenüber Risiken.
Erfahren Sie mehr darüber, wie Sie mit Cyber Risk Exposure Management echte Resilienz gegenüber Risiken aufbauen können.