Blog

Cyberrisiken als Paradoxon

/ Kategorie: Cybersecurity, CISO

Geschäftsleitungs- und Verwaltungsratssitzungen geben in jüngerer Zeit Cyber-Risiken höhere Priorität und widmen sich diesem wichtigen Thema mit grosser Sorgfalt, um strategisch richtige Entscheide für die Unternehmung zu fällen.

Das Cyber Risk Paradoxon

Meist können jedoch die Cyberrisiken kaum so eingeordnet werden, wie es nötig ist. Klassische Risikomodelle stossen an ihre Grenzen, Cyberbedrohungen scheinen übermächtig und «nicht managebar». Somit sind neue Sichtweisen und Modelle gefordert, um mit Cyberbedrohungen umzugehen.

Die Grenzen etablierter Methoden

Die folgenden zentralen Fragen stehen im Raum: «Wie sicher sind wir?», «Wo liegen unsere Cyberrisiken und wie verändern sie sich?» und «Welche Massnahmen sind zu treffen, damit diese Risiken korrekt adressiert werden?» Für deren richtige Beantwortung sind Cyberrisiken zu qualifizieren und zu quantifizieren. Viele Security-Verantwortliche benützen dabei das etablierte Risikomodell, um in der Sprache von Geschäftsleitungen und Verwaltungsräten Sicherheitsfragen transparent zu machen. Das Modell berücksichtigt zum einen die Eintrittswahrscheinlichkeit eines Risikos und zum anderen seine finanziellen Auswirkungen beim Eintritt. Aufgrund verschiedener Probleme ist es jedoch äusserst schwierig, Cyberrisiken mit den klassischen Risikomodellen korrekt zu erfassen:

Statistische Erfahrungswerte

In der Cybersecurity gibt es keine oder nur wenige Erfahrungswerte, welche ein solches Modell realitätsgerecht abbilden. Kaum ein Unternehmen ist bereit, offen über erfolgte oder erfolgreiche Cyberangriffe zu informieren. Deshalb gibt es hierzu keine fundierten statistischen Erfahrungswerte, welche jedoch zur Anwendung eines klassischen Risikomodells notwendig sind.

Quantifizierung der Eintrittswahrscheinlichkeit und der finanziellen Auswirkungen

Eine Möglichkeit ist, dass man die zu quantifizierenden Szenarien sehr grob auswählt (z.B. Malwarebefall): Dann liegt die Eintrittswahrscheinlichkeit beinahe immer bei 100 Prozent, oder die finanziellen Auswirkungen sind katastrophal – oder beides ist der Fall. Eine andere Möglichkeit ist, stark ins Detail zu gehen und technisch korrekte, detaillierte Szenarien zu erstellen. Dabei ist problematisch, dass Verwaltungsräte oder Geschäftsleitungen damit kaum umgehen können, gleichwohl jedoch fundierte strategische Entscheide zu treffen haben.

Messung von Schutzmassnahmen gegen Cyberbedrohungen

Ob man sich erfolgreich gegen Cyberbedrohungen schützen konnte, lässt sich – wenn überhaupt – immer nur im Nachhinein feststellen. Damit sind Voraussagen, mit welcher Wahrscheinlichkeit Cyberbedrohungen zu erfolgreichen Angriffen werden, beinahe wertlos.


Neues Denken in den Unternehmen

Auf viele Verwaltungsräte und Geschäftsleitungen wirkt deshalb das Cyberthema undurchschaubar. Die Ursache ist, dass sie Cyberangriffe immer noch als «Risiko» betrachten. Ein Risiko, welches im Normalfall nicht eintreten wird. Genau das entspricht jedoch nicht der aktuellen Realität. Es ist also auf höchster Stufe jedes Unternehmens ein Umdenken gefordert: Der Normalfall ist, dass Unternehmen angegriffen werden. Das Ausbleiben eines Angriffes sollte als Sonderfall angeschaut werden.

Sobald diese neue Denkweise greift, erscheint das Thema Cyberbedrohungen in anderem Licht: Wie kann die Unternehmung trotz solch widriger Umstände ihr Geschäft reibungslos betreiben? Diese einfache Umkehr der Denkweise und das Eingehen auf die wichtige Frage nach dem «Trotzdem» führt direkt zur Cyber Risk Resilience ®

Der Resilienz-Gedanke schafft eine neue Dimension. Es geht nicht mehr darum, wie zu verhindern ist, dass ein negatives Ereignis eintritt. Das neue Ziel ist die Klärung, wie man trotz negativer Ereignisse überleben oder möglichst normal seiner Geschäftstätigkeit nachgehen kann. Um resilient gegenüber Cyberbedrohungen zu werden, muss man die folgenden Disziplinen mit angemessener Maturität beherrschen:

  • Protect: Ich schütze mich gegen Bedrohungen, die ich kenne. Je besser ich mich schütze, desto weniger Angriffe sind erfolgreich.
  • Detect: Ich erkenne, wann meine Schutzmassnahmen (Protect) nicht gewirkt haben und ein Angriff trotzdem erfolgreich war. Je besser ich bei dieser Erkennung bin, desto schneller kann ich die nächste Disziplin starten und mit der Aufräumarbeit beginnen. 
  • React: Ich kann adäquat auf erfolgreiche Angriffe reagieren und sorge dafür, dass meine betroffenen Geschäftsprozesse möglichst schnell wieder in den normalen Zustand versetzt werden. Je besser ich bei der Reaktion auf Vorfälle bin, desto schneller kehren betroffene Bereiche in den Normalzustand zurück. 
  • Proact: Ich erkenne Angriffe, bevor sie meine Unternehmung erreichen, und passe meine Schutzmassnahmen (Protect) bereits an, bevor ich angegriffen werde. Je besser ich zukünftige Angriffe erkenne, desto weniger erfolgreich werden sie sein, wenn sie mein Unternehmen zum Ziel haben.

 

Cyber Security Strategie von ISPIN

Einfacher und brauchbar

Diese vier Disziplinen gilt es, mit der an das Unternehmen angepassten Maturität zu beherrschen. Sie sorgen dafür, dass man sich nach jedem erfolgreichen Angriff möglichst schnell wieder in einen Normalzustand zurückbewegen kann. Dies erfolgt, ohne dass die Unternehmung und deren Fortbestand gefährdet werden. 

Das zugrundeliegende Modell vereinfacht wie gewünscht und abstrahiert die dahinterstehenden, sehr technischen Massnahmen. Daher bildet es für Verwaltungsrat und Geschäftsleitung die Basis zum Verständnis, wo was getan werden muss und weshalb. Daraus ergibt sich ein Ergebnis, das sich Sicherheitsverantwortliche und Geschäftsleitung wünschen.

Verwandte Nachrichten

Kategorien:
Cybersecurity (19)
CISO (33)
Governance, Risk & Compliance (8)
Security Awareness (5)
Cloud Security (24)
Detect & Response (22)
Endpoint & Networks (7)
IoT / OT / kritische Infrastrukturen (2)
Identity & Access (1)
ISPIN Viewpoint (13)
Threat Intelligence (21)