10.02.2020 / Kategorie: Cybersecurity, CISO
Geschäftsleitungs- und Verwaltungsratssitzungen geben in jüngerer Zeit Cyber-Risiken höhere Priorität und widmen sich diesem wichtigen Thema mit grosser Sorgfalt, um strategisch richtige Entscheide für die Unternehmung zu fällen.
Meist können jedoch die Cyberrisiken kaum so eingeordnet werden, wie es nötig ist. Klassische Risikomodelle stossen an ihre Grenzen, Cyberbedrohungen scheinen übermächtig und «nicht managebar». Somit sind neue Sichtweisen und Modelle gefordert, um mit Cyberbedrohungen umzugehen.
Die folgenden zentralen Fragen stehen im Raum: «Wie sicher sind wir?», «Wo liegen unsere Cyberrisiken und wie verändern sie sich?» und «Welche Massnahmen sind zu treffen, damit diese Risiken korrekt adressiert werden?» Für deren richtige Beantwortung sind Cyberrisiken zu qualifizieren und zu quantifizieren. Viele Security-Verantwortliche benützen dabei das etablierte Risikomodell, um in der Sprache von Geschäftsleitungen und Verwaltungsräten Sicherheitsfragen transparent zu machen. Das Modell berücksichtigt zum einen die Eintrittswahrscheinlichkeit eines Risikos und zum anderen seine finanziellen Auswirkungen beim Eintritt. Aufgrund verschiedener Probleme ist es jedoch äusserst schwierig, Cyberrisiken mit den klassischen Risikomodellen korrekt zu erfassen:
In der Cybersecurity gibt es keine oder nur wenige Erfahrungswerte, welche ein solches Modell realitätsgerecht abbilden. Kaum ein Unternehmen ist bereit, offen über erfolgte oder erfolgreiche Cyberangriffe zu informieren. Deshalb gibt es hierzu keine fundierten statistischen Erfahrungswerte, welche jedoch zur Anwendung eines klassischen Risikomodells notwendig sind.
Eine Möglichkeit ist, dass man die zu quantifizierenden Szenarien sehr grob auswählt (z.B. Malwarebefall): Dann liegt die Eintrittswahrscheinlichkeit beinahe immer bei 100 Prozent, oder die finanziellen Auswirkungen sind katastrophal – oder beides ist der Fall. Eine andere Möglichkeit ist, stark ins Detail zu gehen und technisch korrekte, detaillierte Szenarien zu erstellen. Dabei ist problematisch, dass Verwaltungsräte oder Geschäftsleitungen damit kaum umgehen können, gleichwohl jedoch fundierte strategische Entscheide zu treffen haben.
Ob man sich erfolgreich gegen Cyberbedrohungen schützen konnte, lässt sich – wenn überhaupt – immer nur im Nachhinein feststellen. Damit sind Voraussagen, mit welcher Wahrscheinlichkeit Cyberbedrohungen zu erfolgreichen Angriffen werden, beinahe wertlos.
Auf viele Verwaltungsräte und Geschäftsleitungen wirkt deshalb das Cyberthema undurchschaubar. Die Ursache ist, dass sie Cyberangriffe immer noch als «Risiko» betrachten. Ein Risiko, welches im Normalfall nicht eintreten wird. Genau das entspricht jedoch nicht der aktuellen Realität. Es ist also auf höchster Stufe jedes Unternehmens ein Umdenken gefordert: Der Normalfall ist, dass Unternehmen angegriffen werden. Das Ausbleiben eines Angriffes sollte als Sonderfall angeschaut werden.
Sobald diese neue Denkweise greift, erscheint das Thema Cyberbedrohungen in anderem Licht: Wie kann die Unternehmung trotz solch widriger Umstände ihr Geschäft reibungslos betreiben? Diese einfache Umkehr der Denkweise und das Eingehen auf die wichtige Frage nach dem «Trotzdem» führt direkt zur Cyber Risk Resilience ®.
Der Resilienz-Gedanke schafft eine neue Dimension. Es geht nicht mehr darum, wie zu verhindern ist, dass ein negatives Ereignis eintritt. Das neue Ziel ist die Klärung, wie man trotz negativer Ereignisse überleben oder möglichst normal seiner Geschäftstätigkeit nachgehen kann. Um resilient gegenüber Cyberbedrohungen zu werden, muss man die folgenden Disziplinen mit angemessener Maturität beherrschen:
Diese vier Disziplinen gilt es, mit der an das Unternehmen angepassten Maturität zu beherrschen. Sie sorgen dafür, dass man sich nach jedem erfolgreichen Angriff möglichst schnell wieder in einen Normalzustand zurückbewegen kann. Dies erfolgt, ohne dass die Unternehmung und deren Fortbestand gefährdet werden.
Das zugrundeliegende Modell vereinfacht wie gewünscht und abstrahiert die dahinterstehenden, sehr technischen Massnahmen. Daher bildet es für Verwaltungsrat und Geschäftsleitung die Basis zum Verständnis, wo was getan werden muss und weshalb. Daraus ergibt sich ein Ergebnis, das sich Sicherheitsverantwortliche und Geschäftsleitung wünschen.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications