Large Scale Cyber Risk Management

IT-Risikomanagement skalieren und automatisieren

| Autor / Redakteur: Heiko Kropf / Peter Schmitz

Automatisiertes Large Scale Cyber Risk Management ersetzt keine individuellen Audits oder Risikobewertungen, aber es ergänzt sie vielversprechend.
Automatisiertes Large Scale Cyber Risk Management ersetzt keine individuellen Audits oder Risikobewertungen, aber es ergänzt sie vielversprechend. (Bild: Pixabay / CC0)

Es ist noch nicht allzu lange her, da wurde die Zuverlässigkeit eines Geschäftspartners allein über eine Bonitätsauskunft beurteilt – das reicht heute nicht mehr! Durch die stetig steigende Vernetzung sehen sich Unternehmen neuen, größeren Risiken gegenüber, die auch neue Ansätze für das Risikomanagement erfordert. Risk Management ist nicht mehr länger nur ein Thema für die ganz großen Unternehmen.

Datendiebstähle haben in den letzten Jahren beständig neue Rekordzahlen erreicht. Der Datenverlust von 47.000 Dokumenten durch einen Automobilzulieferer in Kanada zeigte beispielsweise gut, welche Risiken durch den laxen Umgang mit IT-Security bei Geschäftspartnern für ein Unternehmen entstehen können. Aber nicht nur Datenverluste, sondern auch Ausfälle in der komplexen Lieferkette können unabsehbare Folgen haben.

Zunehmende Spezialisierung, schnelle Produktentwicklungen und flexible Anpassungen an den Markt lassen sich heute nur durch eine hochkomplexe, oft internationale, Lieferantenstruktur realisieren. Vorprodukte werden Just-in-time geliefert um eine schlanke Lagerhaltung zu ermöglichen, gemeinsame Produktentwicklungen senken Kosten, Industrie 4.0 schafft neue Geschäftsfelder - all dies erfordert neue und komplexe IT-Vernetzungen.

Industrie

Nicht nur Streiks, hohe IT-Komplexität oder der Ausfall eines Lieferanten durch Insolvenz, sondern auch die immer stärker steigenden Risiken durch Cyber-Attacken gefährden heute die Produktion. Eine erfolgreiche Cyber-Attacke kann einen Lieferanten für Tage außer Gefecht setzten. Noch viel schwerwiegender kann der Verlust von unternehmenseigenen, vertraulichen Informationen sein.

Erst wenige Unternehmen haben dies erkannt. Sie haben die IT-Sicherheit bereits heute neben der Bonitätsprüfung in ihr Vendor-Risk- oder Supply-Chain-Management integriert. Üblicherweise erfolgt das – abhängig von der strategischen Wichtigkeit des Geschäftspartners – durch das Einfordern von Zertifizierungen (z.B. ISO / IEC 27001 bzw. TISAX), Fragebögen oder durch Risiko-Assessments oder Audits.

Aber alle diese Verfahren haben auch typische Nachteile. So ist das Auditieren von Lieferanten teuer, zeitaufwändig und skaliert nicht. Zudem erfordert es eine rege Mitwirkung des Partners. Die Aussagekraft von Fragebögen ist oft „fragwürdig“ und ob das angeforderte Zertifikat tatsächlich wirkt, stellt sich oft erst zu spät heraus. Somit stehen selbst Unternehmen die das IT Risiko im B2B Umfeld bewerten möchten vor einem Dilemma. Hohe Kosten, fehlende Skalierung oder geringe Aussagekraft. In der Folge wird das IT-Risk-Management oft nur bei einem Bruchteil der Lieferanten angewendet.

Versicherungen

Auch Versicherer haben das Risiko erkannt und bieten entsprechende Produkte an. Cyber-Versicherungen helfen Schäden durch IT-Sicherheitsvorfälle zu begrenzen, stellen aber die Versicherung vor die gleiche Herausforderung.

  • Wie geht mein Kunde mit IT-Sicherheit um?
  • Welches Risiko hat die Versicheeinenrung zu tragen?

Bei großen Versicherungskunden kann ein Risiko-Assessment wirtschaftlich durchaus sinnvoll sein, aber der Zielmarkt der Versicherer ist viel größer. Von den ca. 3,5 Mio Unternehmen in Deutschland haben nur knapp 15.000 mehr als 250 sozialversicherungspflichtige Mitarbeiter. Wie kann ein wirtschaftliches und sinnvolles IT-Risikomanagement auch für kleine Kunden erfolgen?

Angepasstes Risikomanagement

Large Scale Cyber Risk Management bietet hier einen Lösungsansatz. Bei dieser Technik wird eine Vielzahl öffentlich verfügbarer Informationen über Unternehmen gesammelt, verdichtet und bewertet.

Als Bewertungsgrundlage für Large Scale Cyber Risk Management dienen zum einen technische Daten, beispielsweise ob die Internetseiten eines Unternehmens verschlüsselt sind und ob diese Verschlüsselung den Vorgaben des BSI entspricht. Ähnliche Bewertungen finden auch für E-Mails sowie für andere extern erreichbare Dienste (VPNs, VoIP usw.) statt. Deutliche Mängel wie der Einsatz von unsicheren Verschlüsselungen oder angreifbare Systeme werden hierbei erkannt und schlagen sich entsprechend negativ in der Risikobewertung nieder. Zum anderen werden neben technischen Informationen oft auch andere, nicht technische Faktoren, wie die Mitgliedschaft in entsprechenden Verbänden oder relevante Zertifizierungen berücksichtigt.

Aus dieser Vielzahl von einzelnen Informationen ergibt sich dann durch den individuellen Scoring-Algorithmus des Anbieters ein Scoringwert. Dieser Scoringwert ist ein starker Indikator für den Umgang mit IT-Sicherheit der einzelnen Unternehmen. Abweichungen können leicht erkannt und entsprechend überprüft und gegebenenfalls korrigiert werden. Durch den vollautomatischen Ansatz ist diese Lösung sowohl preiswert als auch skalierend.

Grenzen des Scoring

Systembedingt hat auch diese Technik ihre Grenzen. Das vollautomatische Bewerten ersetzt keine individuellen Audits oder Risikobewertungen, es ergänzt sie vielmehr. Cyber Scoring liefert die Grundlage für methodisches IT-Risikomanagement in großen Umgebungen mit mehreren hunderten oder gar tausenden Lieferanten oder Kunden.

Die Zukunft

Sowohl Cyber Risiken als auch die IT gestützten Abhängigkeiten im B2B Umfeld steigen in Zukunft an. Ein rein bonitätsgetriebenes Risikomanagement wird diesen Anforderungen nicht gerecht. Ein Cyber Scoring als Grundlage für eine IT Risikobewertung wird sich somit bald als zusätzliches Instrument in der Risikobewertung etablieren. Insbesondere dann, wenn Cyber Scorings einfach und preiswert verfügbar sind.

Über den Autor: Heiko Kropf ist Geschäftsführer der CyDIS Cyber Defense und Information Security GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45607706 / Risk Management)