Modernes Risikomanagement in Unternehmen Quantifizierbare Cyberrisiken und der Wert von IT

Von Saket Modi

Modernes IT-Risikomanagement ist heute Teil der strategischen Unternehmensführung. Unternehmen müssen sich Unternehmen über die Risiken der Vernetzung aller Systeme exakt bewusst sein. Verschiedene Bedrohungen und die daraus resultierenden Risiken über Unternehmensbereiche, Verantwortlichkeiten und Aggregationsebenen hinweg müssen unabhängig von Unternehmensgröße oder der Branche berücksichtigt werden.

Anbieter zum Thema

Das IT-Risikomanagement ist als ein aktiv einzusetzendes Instrumentarium zur Unternehmenssteuerung anzusehen, das Firmen wettbewerbsfähig hält.
Das IT-Risikomanagement ist als ein aktiv einzusetzendes Instrumentarium zur Unternehmenssteuerung anzusehen, das Firmen wettbewerbsfähig hält.
(© peshkov - stock.adobe.com)

Die Aufgabe des Risikomanagements besteht in der Existenz- und Zukunftssicherung des Unternehmens. Es geht um die Absicherung der Unternehmensziele unter wirtschaftlichen, finanziellen und sozialen Aspekten. Die Betriebssicherheit der IT ist nur ein Teilbereich des unternehmerischen Risikos, insbesondere mit den zunehmenden Hackerangriffen. Während die anderen Risiken schon immer bestehen, rückt die IT mit ihrem Risikopotenzial zunehmend in unser Bewusstsein. Die Frage, die man sich aktuell stellen sollte, ist also: Wie kann IT-Risikomanagement modernisiert und automatisiert werden, um den neuen Herausforderungen gewachsen zu sein.

Moderne Lösungen fußen auf Automatismen

Um erfolgreiches Risikomanagement vornehmen zu können, muss das bestehende System zunächst analysiert werden. Das geschieht mit Hilfe von Security Audits. Hierbei wird eine systematische Bewertung der Sicherheit des Informationssystems einer Firma in seiner ganzen Breite ermittelt, um die Schwachstellen im IT-Netzwerk zu finden. Zu solchen Prüfungen gehören normalerweise klassische Sicherheitsscans (die Konfigurationen und Umgebung analysieren), die Überprüfung der Zugangsprotokolle bei Betriebssystemen und Applikationen, sowie die Analyse des physikalischen Zugangs zum Netzwerk und die Verfahren zur Informationsverarbeitung.

Einige Unternehmen nutzen jedoch eher veraltete Systeme, um das Risiko von Cyberattacken zu bewerten und diese vernachlässigen oftmals die externen Faktoren in ihrer Analyse – ein potentiell fataler Fehler. Denn die Gefahr in Form von Schwachstellen kann auch von Partnern und Schnittstellen außerhalb des eigenen Netzwerks kommen.

Künstliche Intelligenz (KI) hält immer mehr Einzug in alle (alltäglichen) Bereiche der IT und auch Unternehmensstruktur, daher ist es nicht verwunderlich, dass auch im Rahmen der Automatisierung dieser Security Audits einige Fortschritte gemacht werden. Jedoch haben es noch nicht alle Anbieter in diesem Sektor geschafft diese Resultate quantifizierbar zu machen. Zudem ist ein Problem dieser Analysen, dass das Managementlevel oft nichts mit den Ergebnissen anzufangen weiß.

Doch der Sektor beginnt sich dahingehend anzupassen. Ein Unternehmen, das sich hierzu Gedanken gemacht hat, ist der US-amerikanische Hersteller SAFE Security. Die Firma hat sich darauf spezialisiert das Risiko auf der Basis eines quantifizierbaren Scores (Cyber Risk Quantification) darzustellen und einen Realitätsbezug durch den monetären Wert des Risikos, dem das Unternehmen durch Sicherheitsschwachstellen ausgesetzt ist, zu schaffen.

Dieser sogenannte Safe Score wird nicht nur auf Basis moderner Machine Learning Technologie berechnet, sondern bezieht deutlich mehr Level ein als herkömmliche Security Audits. Die Schwachstellen werden firmenweit und in Echtzeit analysiert. Dabei werden verschiedenste firmeninterne sowie externe Arbeitsmethoden und Einstellung berücksichtigt, die die Sicherheit betreffen. Zudem wird bei der Erstellung die gesamte Supply-Chain berücksichtigt, also die Praktiken und Schwachstellen von Partnern und Personen, die extern mit dem Unternehmen (oder seinen Mitarbeitern) interagieren. Außerdem werden die jeweils geltenden Policen bzw. Regularien und der bestehende Cybersecurity Stack miteinbezogen.

Risiko in monetäre Wertigkeit ableiten

Eine Art Score, wie der Safe Score von Safe Security, hilft dabei diese Bandbreite an Faktoren zu vereinheitlichen. Dieses Bewertungssystem, das für die Wahrscheinlichkeit eines Sicherheitsverstoßes im Unternehmen steht, hat eine Skala von 0 (schlechtester Wert) bis 5 (höchster Wert und Sicherheitsstandard). Dieser Score wird sowohl auf der Makroebene für das gesamte Unternehmen, als auch auf der Mikroebene für einzelne Personen, Geräte und Applikationen, IP-Adressen, Server oder Cybersicherheitsprodukte entwickelt.

Machine Learning Algorithmen zusammen mit Lösungen, wie der auf dem Bayes’sche Netz (dazu später mehr) basierende Risikoanalysemaschine, helfen dabei die Risikowahrscheinlichkeit genaustens zu berechnen und damit auf einen quantifizierbaren Score zu schließen.

Von dem Score kann wiederum der monetäre Wert abgeleitet werden, den ein Sicherheitsverstoß das Unternehmen kosten würde. Auf dieser Basis, die auch für das Management nachvollziehbar ist Dank der quantifizierbaren Resultate, können IT Sicherheitsteams fundierte Entscheidungen für die nächsten Investments treffen. Zudem zeigt es damit auch welche Maßnahmen priorisiert getroffen werden müssen, um das Netzwerk zu sichern und wo die größten Schwachpunkte liegen.

Hierbei wurden alle Kontrollen dieser Standards kodifiziert und dadurch ein unglaubliches Maß an Automatisierung eingeführt in der Art und Weise, wie all diese Kontrollen auf Menschen und verschiedene Vermögenswerte in der Organisation angewendet werden. Durch die Kodifizierung können auch die verschiedenen „Sprachen“, die die jeweiligen Tools „sprechen“ zusammengebracht und weiterverarbeitet werden. So kommt man letztlich auf die präskriptive und quantitative Bewertung in Form des Scores. All das fließt in das das gesamte organisatorische Risiko.

Was verbirgt sich hinter dem Bayes‘sche Netz?

Der auf dem Bayes‘schen Netz basierende Risikoanalyse-Engine von SAFE Security wurde zusammen mit dem MIT in Boston entwickelt und hilft nun dabei die Wahrscheinlichkeit des Risikos für eine Sicherheitsverletzungen von Unternehmen zu ermitteln.

Das Bayes’sche Netz (auch bayessches Netz), das nach dem Mathematiker Thomas Bayes benannt wurde, ist ein statistischer Ansatz. Dieser ermöglicht es auf der Basis von Daten quantitative und inhaltliche Erkenntnisse über den Zusammenhang und die Abhängigkeit von verschiedenen Variablen zu gewinnen. Letztlich erhält man damit ein Wahrscheinlichkeitsmodell.

Hierbei werden Variablen, oft auch als Knoten bezeichnet, in einem Datenset positioniert, die wiederum mit Kanten (auch Pfeile/arcs) verbunden werden, um so die bedingte Unabhängigkeit zwischen den Variablen aufzuzeigen. Diese Art von antizyklischem Graph erlaubt tiefere Einsichten der Zusammenhänge in multivariaten Daten als andere klassische Modelle.

Die Methode wird häufig in empirischen Untersuchungen verwendet und kann beispielsweise den Zeitpunkt für Wartungsarbeiten für ein Gerät oder potentielle Risiken/Nutzen von Forschungsprojekten ermitteln und abschätzen. In den 90er Jahren entwickelte sich das Modell zu einem der wichtigsten Ansätze der Künstlichen Intelligenz (KI).

Risiko visualisieren

Modernes Risikomanagement ermöglicht CISOs, CIOs und andere Risiko- und Compliance-Beauftragte ihr Cyber-Risiko zu verbildlichen, zu quantifizieren und zu verstehen. Lösungen wie der Safe Score bringen verschiedene Teams und Ebenen, aber auch Applikationen und Regularien in einem Unternehmen auf einen Nenner. Vorstandsverhandlungen und Entscheidungen, die sich mit Prioritätensetzung für wichtige Cyber-Risiko-Initiativen, Sicherheitsbudgetzuweisung und Cyberrisiko und deren Versicherungen drehen, können somit rationalisiert werden.

Über den Autor: Saket Modi ist Mitbegründer und CEO von Safe Security, einer Plattform für Cybersicherheit und die Quantifizierung von digitalen Geschäftsrisiken. Der studierte Informatik-Ingenieur gründete Safe Security im Jahr 2012, als er sich in seinem letzten Jahr des Ingenieurstudiums befand. Safe Security wurde am IIT Bombay gegründet und wird vom ehemaligen Vorstandsvorsitzenden und CEO von Cisco, John Chambers, unterstützt. Das Unternehmen schützt die digitale Infrastruktur mehrerer Fortune-500-Unternehmen auf der ganzen Welt mit seiner Plattform zur Messung und Minderung von Cyberrisiken namens SAFE. Saket ist unter anderem in den Listen der 40-unter-40 des Fortune Magazine, der 35-unter-35 des Entrepreneur Magazine und der 30-unter-30 des Forbes Magazine vertreten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48111972)