:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Bauchgefühl und IT-Risiko sind eine gefährliche Kombination Bessere Risikoeinschätzung durch semi-quantitatives Risikomanagement
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
In der heutigen Zeit, in der die anhaltenden Krisen und der damit verbundene Kostendruck alle Bereiche eines Unternehmens immer mehr fordern, wird es auch für das IT-Risikomanagement Zeit die Effektivität weiter zu steigern, ohne sich dabei selbst zu Widersprechen und dort Kosten zu sparen, wo sie benötigt werden, in der IT-Sicherheit. Wie schaffen es Unternehmen einen noch besseren Kosten-Nutzen-Faktor für das IT-Risikomanagement zu verwirklichen.
Wer als Informationssicherheitsverantwortlicher dieser Tage sein Planungsbudget für das kommende Jahr nicht verteidigen muss, kann sich glücklich schätzen. Die finanziellen Folgen der anhaltenden Krisen der letzten Jahre, zwingen Unternehmen Einsparungen vorzunehmen, um lieferfähig zu bleiben und die strategischen Ziele weiter im Blick behalten zu können. Auch in der Informationssicherheit werden Ausgaben stärker reduziert. Zugleich steigen jedoch die Bedrohungen durch Cyberangriffe. Dieses diametrale Bild lässt sich in der Regel nur bedingt auflösen, ohne dabei nachvollziehbar auf akute Risiken zu verweisen.
:quality(80)/p7i.vogel.de/wcms/a6/a4/a6a42885a93797b3d0c5d6935a4517e0/0100127717.jpeg "Beim Risikomanagement heißt es: Abschätzen, absichern und begleiten. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 67
So managen Sie das unbekannte Risiko
Wie jedoch einem finanzgetriebenen Vorstand die Dringlichkeit einer Zero-Trust-Infrastruktur und die damit verbunden Kosten erläutern, ohne finanzielle Fakten aufzeigen zu können? Das Risikomanagement ist eine Methodik, um genau dies zu tun. Ein Werkzeug, welches es der Unternehmensleitung ermöglicht, Kosten-Nutzen-Entscheidungen auf Basis ermittelter Prognosen leichter treffen zu können und somit die strategischen Ziele des Unternehmens optimal voranzutreiben. Es ist daher die Aufgabe der Informationssicherheitsverantwortlichen, die Risiken für das Unternehmen transparent und möglichst genau darzustellen. Die Risiken sollten in einer Form kommuniziert werden, welche es der Unternehmensleitung erlaubt, unkompliziert Risiken in einen unternehmerischen Kontext setzten zu können. Hierzu können verschiedene Ansätze gewählt werden. Wir wollen nachfolgend die zwei gängigsten Ansätze darstellen und einen zusätzlichen, ergänzenden Ansatz vorstellen, welcher Informationssicherheitsverantwortlichen bei der Bewältigung ihrer Herausforderungen unterstützen kann.
Qualitatives Risikomanagement
Der erste Ansatz, welcher sich für die meisten Unternehmen bewährt hat, ist der des qualitativen Risikomanagement. Dabei wird die (finanzielle) Auswirkung und die Eintrittswahrscheinlichkeit von Risiken aufgrund von Erfahrung und einem gewissen Bauchgefühl bestimmt. Dieser Ansatz ist am leichtesten umzusetzen jedoch auch mit einer gewissen Unschärfe verbunden.
Quantitatives Risikomanagement
Das zweite Mittel der Wahl kann dabei ein quantitativer Risikomanagementansatz sein, welcher Risiken monetär darstellt. Das Open FAIR Model beschreibt einen solchen Ansatz. Es stellt eine Faktor-Analyse für Informationsrisiken dar und hat sich über die Jahre als eine verlässliche Methode erwiesen, der Komplexität im Bereich Cyber- und Information Security zu begegnen.
Im Gegensatz zum qualitativen Riskmanagement werden dazu jedoch genaue Zahlen und Daten benötigt, die sich grundsätzlich über drei Arten ermitteln lassen:
- 1. Historische Daten: Messen und auswerten von Daten, Systemen oder Prozessen für eine genaue Ermittlung von vergleichbaren Werten.
- 2. Szenarienbasierte Daten: Stehen keine Daten zu Verfügung, kann die Betrachtung von fiktiven Szenarien dabei helfen, Daten zu generieren. Dabei kann anhand von erarbeiteten Modellen vorgegangen werden.
- 3. Externe Quellen: In manchen Fällen können Daten aus Quellen außerhalb der eigenen Organisation verwendet werden.
- 4. Diese Methodik ist sehr ressourcenintensiv und verlangt eine entsprechende Datengrundlage, gewinnt man jedoch den erhoffen Mehrwert, ist eine quantifizierbare Methodik wie Open FAIR ein Instrument, welches Sicherheitsverantwortlichen die Möglichkeit bietet, wirtschaftlicher und transparenter mit Risiken umzugehen.
Gegenüberstellung des qualitativen und quantitativen Ansatzes:
| Qualitativ | Quantitativ | |
|---|---|---|
| Ressourcenaufwand | mittel | hoher bis sehr hoher Aufwand |
| Komplexität | überschaubar | erhöht |
| Chance auf Beibehaltung der Methodik | Hoch | Hoch (da etabliert, jedoch anfälliger bei größeren Umstrukturierungen/Änderungen) |
| Genauigkeit der Risikoermittlung | ungenau (oft Bauchgefühl) | sehr genau (Messungen sind etabliert, wiederholbar und vergleichbar) |
Vergleichen wir das qualitative und quantitative Risikomanagement, so stellen wir fest, dass die qualitative Methode relativ einfach und mit überschaubarem Aufwand verbunden ist, jedoch schwammige Ergebnisse liefert. Dahingegen kann eine quantitative Methode schon fast wissenschaftliche Züge annehmen. Der Aufwand, der mit quantitativen Methoden verbunden ist, muss durch jedes Unternehmen in punkto Kosten/Nutzen genaustens hinterfragt werden. Die Ergebnisse sind monetärer Natur und lassen sich gut weiterverarbeiten, doch ob dies am Ende einen erhöhten Mehrwert bietet, ist offen.
Es stellt sich die Frage: Gibt es nicht etwas zwischen den „Extremen“, einen Mittelweg?
" In Gefahr und größter Not bringt der Mittelweg den Tod“
(Friedrich von Logau)
Semi-Quantitatives Risikomanagement
In diesem Fall ist ein Mittelweg eine sehr gute Lösung, um Problemen der Informationssicherheitsverantwortlichen zu begegnen. Die Lösung ist eine Kombination der Vorteile des qualitativen und quantitativen Risikomanagement. Risiken lassen sich dadurch besser einschätzen und zugleich ist der Mehraufwand überschaubar. Nutzt ein Unternehmen die weit verbreitete qualitative Risikoanalyse können quantitative Analysen teilweise integriert werden. Risikomanagementsysteme bleiben so schlank und überschaubar in ihrer Komplexität. Zugleich könnten jedoch, durch die Verwendung von quantitativen Ansätzen, für Kernfragen präzisere Ergebnisse erzielt werden, welche die Qualität des Risikomanagements beträchtlich erhöhen. Risikomanager können sich auf strategische Risiken fokussieren und Entscheidern in ihrer eigenen “Business Sprache” begegnen, was die Akzeptanz erhöht.
Im Bereich der Informationssicherheit sind Entscheider häufig mit horrenden Summen und unklaren Sicherheitsniveaus konfrontiert und gezwungen qualitative und quantitative Argumente gegenüberzustellen. Besonders herausfordernd ist dies, wenn die beteiligten Entscheider nicht im Bereich des Risikomanagements tätig sind. Das fehlende Fachverständnis führt dazu, dass Entscheidungen zu Freigaben oder Investitionen rein aus einem Bauchgefühl heraus getroffen werden.
Risikomanager können hier unterstützen, indem sie spezifische Risiken einer quantitativen Risikobewertung unterziehen, um den Entscheidern harte Zahlen und vergleichbare Daten zu liefern auf deren Basis nachvollziehbare Argumente abgewogen werden können und somit „bessere“ Entscheidungen getroffen werden können.
Hierbei kann z. B. szenarienbasiert vorgegangen werden. Ein solches Szenario könnte das Risiko eines Ransomware-Angriffs sein. Diese erfreuen sich bei Cyber-Kriminellen seit Jahren steigender Beliebtheit, wodurch sich immer mehr Unternehmen gezwungen sehen, auf dieses Risiko zu reagieren. Damit verbunden können weitreichende Änderungen der Sicherheitsarchitektur und Erweiterungen des Notfallmanagements sein. Um die damit verbundenen hohen Investitionen leichter rechtfertigen zu können, kann ein quantitatives Risiko-Assessment angestrengt werden.
Zur Ermittlung der Eintrittswahrscheinlichkeit und Schadenshöhe können Untersuchungen, Testläufe, Penetrationstests, Phishing Kampanien aber auch Scans auf verschiedensten Ebenen durchgeführt werden. Die erhaltenen Werte können mit Geschäftsprozess- und Service-Verantwortlichen mit Hilfe der Delphi-Methode analysiert und in ihrer Qualität weiter gesteigert werden.
Zusätzlich lässt sich die Methodik wiederverwenden, was den Aufwand reduziert, somit Ressourcen schont und Ergebnisse messbar und vergleichbar macht.
Fazit
Die Fehleinschätzung von Risiken über das Bauchgefühl wird durch die Kombination des qualitativen und quantitativen Risikomanagements deutlich reduziert. Das Informationssicherheits-Risikomanagement sollte nicht als starres Korsett verstanden werden, welches den immer gleichen Regeln folgt, unabhängig vom betrachteten Rahmen oder Ziel. Das Ziel eines Informationssicherheits-Risikomanagements ist es neben der Sicherung des Fortbestands des Unternehmens, auch adäquate Methoden zu verwenden, die es erlauben, je nach gewünschter Transparenz, das Risiko des Unternehmens darzustellen. Abhängig von der eingesetzten Methodik kann dies genauer oder ungenauer erfolgen. Jedoch kann durch eine geschickte Kombination unterschiedlicher Methoden, die zu investierende Zeit verringert werden und die Qualität der Risikoeinschätzungen gesteigert werden.
Über die Autoren
Tim Du ist Experte für Risikomanagement, Informationssicherheit und IT-Governance und berät national, als auch international, privatwirtschaftliche Unternehmen sowie Behörden auf diesen Gebieten. Dabei legt er Wert auf eine nachhaltige Operationalisierung, um Sicherheitselemente kulturell und pragmatisch in bestehenden Strukturen zu verankern. „Sicherheit darf nicht als Last oder Behinderung empfunden werden, sondern muss von jedem Teil der Organisation verstanden, akzeptiert und gelebt werden.“ Als zertifizierter ISO 27001 Lead Auditor und langjähriger Berater im Bereich der Informationssicherheit hat er schon viele Unternehmen bei der Absicherung ihrer Informationswerte unterstützt.
Bernhard Otter beriet in den Themenfeldern IT-Risikomanagement, Informationssicherheit, IT-Governance- und Prozessmanagement. Zu seinen Klienten zählten unter anderem Konzerne aus dem Paketdienstleistungsbereich, privatwirtschaftliche Unternehmen aus der Telekommunikationsbranche und der Industrie, sowie staatliche Behörden und Ministerien. Er sorgte als Projektleiter für die Umsetzung von Maßnahmen, um in privatwirtschaftlichen Unternehmen und Behörden, nach den jeweils geltenden Standards, die Informationssicherheit nachhaltig zu verbessern. Bernhard Otter selbst sagt: „Nur nachhaltige Lösungen können auch in Zukunft die Informationen von Unternehmen schützen. Diese sind unabhängig von Krisenzeiten!“ Mit seiner Erfahrung als zertifizierter ISO 27001 Lead Auditor und zahlreichen Projekten im Bereich der Informationssicherheit beriet er jahrelang eine Vielzahl von Unternehmen.
(ID:49055001)
:quality(80)/images.vogel.de/vogelonline/bdb/1945100/1945176/original.jpg "Das IT-Risikomanagement ist als ein aktiv einzusetzendes Instrumentarium zur Unternehmenssteuerung anzusehen, das Firmen wettbewerbsfähig hält. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930810/original.jpg "Der Cybersecurity Assurance Level (CAL) ist ein Konzept des Automotive-Cybersicherheits-Standards ISO/SAE 21434 zur Klassifizierung von Sicherheitsstufen. (gemeinfrei)")