Das Cyberrisiko-Management, auch Cybersicherheitsrisiko-Management genannt, ist der Prozess der Erkennung, Priorisierung, Verwaltung und Überwachung von Risiken für Informationssysteme. Unternehmen aller Branchen schützen ihre Informationssysteme mittels Cyberrisiko-Management vor Cyberangriffen und anderen digitalen und physischen Bedrohungen.
Das Cyberrisiko-Management ist zu einem wichtigen Bestandteil des weiter gefassten Risikomanagements von Unternehmen geworden. Unternehmen aller Branchen sind heute zur Ausführung wichtiger Geschäftsfunktionen auf Informationstechnologie angewiesen und sind dadurch Cyberkriminellen, Fehlern von Angestellten, Naturkatastrophen und anderen Cybersecurity-Bedrohungen ausgesetzt. Diese Bedrohungen können kritische Systeme lahmlegen oder auf andere Weise verheerende Schäden anrichten. Das kann Umsatzeinbußen, Datendiebstahl, einen langfristigen Reputationsverlust und ordnungsrechtliche Bußgelder zur Folge haben.
Auch wenn diese Risiken unvermeidlich sind, können die Auswirkungen und die Wahrscheinlichkeit von Bedrohungen mit Cyberrisiko-Managementprogrammen dennoch gemindert werden. Anhand des Cybersicherheitsrisiko-Managementprozesses können Unternehmen ihre kritischsten Bedrohungen ermitteln und entsprechend ihren geschäftlichen Prioritäten, IT-Infrastrukturen und Ressourcenebenen die richtigen IT-Sicherheitsmaßnahmen auswählen.
Das Cyberrisiko lässt sich nur schwer mit absoluter Sicherheit einschätzen. Die Taktiken von Cyberkriminellen, die Sicherheitslücken im eigenen Netz oder schlechter vorhersehbare Risiken wie Unwetter oder Fahrlässigkeit seitens der Mitarbeiter sind den Unternehmen zumeist nicht vollständig bekannt. Darüber hinaus können Cyberangriffe gleicher Art je nach Unternehmen unterschiedliche Folgen haben. Laut dem IBM Bericht über die Kosten einer Datenschutzverletzung liegen die Kosten für Datenschutzverletzungen im Gesundheitswesen bei durchschnittlich 10,10 Millionen US-Dollar und im Gastgewerbe bei 2,9 Millionen US-Dollar.
Aufgrund dessen legen Institutionen wie das National Institute of Standards and Technology (NIST) nahe, das Cyberrisiko-Management als fortlaufenden, iterativen Prozess und nicht als einmaliges Ereignis zu betreiben. Wenn ein Unternehmen den Prozess regelmäßig ausführt, kann es neue Informationen einbeziehen und auf neue Entwicklungen in der weiter gefassten Bedrohungslandschaft und in seinen eigenen IT-Systemen besser reagieren.
Um sicherzustellen, dass Entscheidungen zu Risikofragen den Prioritäten und Erfahrungen des gesamten Unternehmens gerecht werden, sind in der Regel Personen aus unterschiedlichen Bereichen an diesem Prozess beteiligt. Den Teams für das Cyberrisiko-Management können Vorstandsmitglieder, Führungskräfte wie CEO und Chief Information Security Officer (CISO), Mitglieder der IT- und Sicherheitsteams, Vertreter des Rechts- und Personalwesens sowie anderer Geschäftsbereiche angehören.
Es stehen viele Methoden für das Cyber-Risikomanagement zur Verfügung, darunter das NIST Cybersecurity Framework (NIST CSF) und das NIST Risk Management Framework (NIST RMF). Diese Methoden weisen zwar geringfügige Unterschiede auf, bestehen aber doch alle aus ähnlichen Schritten.
Bei der Risikoeinordnung geht es darum, den Kontext zu bestimmen, in dem Risikoentscheidungen getroffen werden. Wenn das Risiko von vornherein richtig eingeordnet wird, können die Risikomanagementstrategien mit den allgemeinen Geschäftsstrategien abgestimmt werden. Dadurch lassen sich ineffektive und kostspielige Fehler vermeiden, wie z. B. Maßnahmen, die wichtige Geschäftsfunktionen behindern.
Zur Einordnung des Risikos werden Punkte festgelegt wie:
Umfang des Prozesses: Welche Systeme und Assets sollen überprüft werden? Auf welche Arten von Bedrohungen sollen sie überprüft werden? Mit welchem zeitlichen Rahmen soll der Prozess arbeiten (z. B. Risiken in den nächsten sechs Monaten, Risiken im nächsten Jahr usw.)?
Bestandsaufnahme und Priorisierung der Assets: Welche Daten, Geräte, Software und anderen Assets sind im Netz vorhanden? Welche dieser Assets sind am kritischsten für das Unternehmen?
Ressourcen und Prioritäten im Unternehmen: Welche IT-Systeme und Geschäftsprozesse sind am wichtigsten? Welche finanziellen und sonstigen Ressourcen wird das Unternehmen für das Cyberrisiko-Management einsetzen?
Gesetzliche und aufsichtsrechtliche Bestimmungen: Welche Gesetze, Normen oder sonstigen Vorgaben müssen eingehalten werden?
Diese und andere Erwägungen dienen dem Unternehmen als allgemeine Richtlinien, wenn Entscheidungen zu Risikofragen zu treffen sind. Sie erleichtern auch das Bestimmen der Risikotoleranz – welche Arten von Risiken akzeptiert werden können und welche nicht.
Anhand von Bewertungen der Cybersicherheitsrisiken können Bedrohungen und Sicherheitslücken erkannt, ihre potenziellen Auswirkungen abgeschätzt und die kritischsten Risiken priorisiert werden.
Wie ein Unternehmen eine Risikobewertung durchführt, hängt von den Prioritäten, dem Umfang und der Risikotoleranz ab, die während der Einordnung festgelegt wurden. Zumeist wird Folgendes bewertet:
Bedrohungen sind Personen und Ereignisse, die Störungen in einem IT-System verursachen, Daten stehlen oder anderweitig die Informationssicherheit gefährden könnten. Zu den Bedrohungen gehören vorsätzliche Cyberangriffe (wie Ransomware oder Phishing) und Fehler seitens der Mitarbeiter (wie das Speichern vertraulicher Informationen in nicht gesicherten Datenbanken). Naturkatastrophen wie Erdbeben und Wirbelstürme können ebenfalls eine Bedrohung für Informationssysteme darstellen.
Sicherheitslücken sind Mängel oder Schwachstellen in Systemen, Prozessen oder Anlagen, die ausgenutzt werden können, um Schaden anzurichten. Sicherheitslücken können technischer Natur sein, wie z. B. eine falsch konfigurierte Firewall, die Malware in ein Netz eindringen lässt, oder ein Fehler im Betriebssystem, durch den Hacker ein Gerät aus der Ferne unter Kontrolle bekommen können. Sicherheitslücken können auch durch unzureichende Richtlinien und Prozesse entstehen, z. B. durch eine nachlässige Zugriffssteuerungsrichtlinie, die Mitarbeitern einen umfangreicheren Ressourcenzugriff gewähren als nötig.
Auswirkungen sind das, was eine Bedrohung in einem Unternehmen anrichten kann. Eine Cyberbedrohung könnte eine Störung kritischer Services verursachen und Ausfallzeiten und Umsatzeinbußen zur Folge haben. Hacker könnten vertrauliche Daten stehlen oder vernichten. Betrüger könnten durch Manipulation geschäftlicher E-Mails Mitarbeiter dazu veranlassen, ihnen Geld zu senden.
Die Auswirkungen einer Bedrohung können über das Unternehmen hinausgehen. Kunden, deren personenbezogene Daten bei einer Datenschutzverletzung gestohlen wurden, sind ebenfalls Opfer des Angriffs.
Da die genauen Auswirkungen einer Cybersecurity-Bedrohung nur schwer quantifiziert werden können, schätzen Unternehmen die Auswirkungen häufig anhand von qualitativen Daten wie historischen Trends und den Geschichten von Angriffen auf andere Unternehmen ab. Auch die Assetkritikalität spielt eine Rolle: Je kritischer ein Asset ist, desto höhere Kosten verursachen die entsprechenden Angriffe.
Das Risiko ist ein Maß für die Wahrscheinlichkeit einer potenziellen Bedrohung und die Höhe des durch sie entstehenden Schadens. Bedrohungen, mit denen mit großer Wahrscheinlichkeit zu rechnen ist und die voraussichtlich einen erheblichen Schaden verursachen würden, stellen das größte Risiko dar, während unwahrscheinliche Bedrohungen, die nur einen geringfügigen Schaden verursachen würden, das geringste Risiko darstellen.
Bei der Risikoanalyse werden zur Einschätzung der Wahrscheinlichkeit einer Bedrohung mehrere Faktoren berücksichtigt. Vorhandene Sicherheitsmaßnahmen, die Art der IT-Sicherheitslücken und die Art der Daten, über die ein Unternehmen verfügt, können sich auf die Wahrscheinlichkeit einer Bedrohung auswirken. Sogar die Branche eines Unternehmens kann eine Rolle spielen: Laut X-Force Threat Intelligence Index sind Unternehmen im Fertigungs- und Finanzsektor mehr Cyberangriffen ausgesetzt als Unternehmen in den Bereichen Transport und Telekommunikation.
Risikobewertungen können auf interne Datenquellen wie SIEM-Systeme (Security Information and Event Management) und externe Threat-Intelligence zurückgreifen. Sie können auch Bedrohungen und Sicherheitslücken in der Lieferkette des Unternehmens einbeziehen, da sich Angriffe auf Lieferanten auch auf das Unternehmen auswirken können.
Durch Abwägen all dieser Faktoren kann das Unternehmen sein Risikoprofil erstellen. Ein Risikoprofil ist ein Katalog der potenziellen Risiken des Unternehmens, priorisiert nach Kritikalität. Je größer das Risiko ist, das eine Bedrohung mit sich bringt, desto kritischer ist sie für das Unternehmen.
Anhand der Ergebnisse der Risikobewertung bestimmt das Unternehmen seine Reaktion auf potenzielle Risiken. Als sehr unwahrscheinlich eingestufte Risiken mit nur geringfügigen Auswirkungen können einfach akzeptiert werden, da Investitionen in Sicherheitsmaßnahmen teurer sein könnten als das Risiko selbst.
Gegen wahrscheinlichere Risiken und Risiken mit umfangreicheren Auswirkungen wird in der Regel etwas unternommen. Mögliche Maßnahmen zur Risikobewältigung:
Unter Minderung ist der Einsatz von Sicherheitsmaßnahmen zu verstehen, die das Ausnutzen einer Sicherheitslücke erschweren oder die Auswirkungen minimieren. Beispiele hierfür sind die Einrichtung eines Intrusion-Prevention-Systems (IPS) um ein wertvolles Asset herum und die Implementierung von Plänen für die Vorfallsreaktion, damit Bedrohungen schnell erkannt und bekämpft werden können.
Bei der Beseitigung werden Sicherheitslücken vollständig ausgemerzt, damit sie nicht mehr ausgenutzt werden können. Beispiele hierfür sind das Patching eines Softwarefehlers oder die Stillsetzung eines anfälligen Assets.
Wenn Minderung und Beseitigung in der Praxis nicht möglich sind, kann ein Unternehmen die Verantwortung für das Risiko auf eine andere Partei übertragen. Der Abschluss einer Cyberversicherung ist die gängigste Art der Risikoübertragung.
Das Unternehmen überwacht seine neuen Sicherheitsmaßnahmen, um sicherzustellen, dass sie bestimmungsgemäß funktionieren und die maßgeblichen gesetzlichen Bestimmungen erfüllen.
Überwacht wird auch die weiter gefasste Bedrohungslandschaft und das eigene IT-Ökosystem. Veränderungen in einem davon – das Aufkommen neuer Bedrohungen, der Zugang neuer IT-Ressourcen – können dazu führen, dass neue Sicherheitslücken entstehen oder bisher wirksame Maßnahmen hinfällig werden. Durch ständige Überwachung kann das Unternehmen sein Cybersicherheitsprogramm und seine Risikomanagementstrategie jederzeit nahezu in Echtzeit anpassen.
Da von Routineabläufen bis hin zu geschäftskritischen Prozessen mehr und mehr Technologie eingesetzt wird, sind die IT-Systeme der Unternehmen immer größer und komplexer geworden. Durch die rasante Verbreitung von Cloud-Services, die Zunahme von Remote-Arbeit und die wachsende Abhängigkeit von externen IT Service Providern wurden immer mehr Menschen, Geräte und Software in das Netz eines durchschnittlichen Unternehmens aufgenommen. Wenn ein IT-System wächst, wächst auch seine Angriffsfläche. Initiativen zum Cyberrisiko-Management bieten Unternehmen eine Möglichkeit, ihre sich verändernden Angriffsflächen einzuordnen und zu verwalten und so ihren Sicherheitsstatus zu verbessern.
Auch die weiter gefasste Bedrohungslandschaft entwickelt sich ständig weiter. Jeden Monat werden etwa 2.000 neue Sicherheitslücken in die National Vulnerability Database des NIST aufgenommen (Link befindet sich außerhalb ibm.com). Tausende von neuen Malware-Varianten werden monatlich erkannt (Link befindet sich außerhalb von ibm.com) – und das ist nur eine Art der Cyberbedrohung.
Es wäre für ein Unternehmen unrealistisch und finanziell unmöglich, jede Sicherheitslücke zu schließen und jede Bedrohung abzuwehren. Das Cyberrisiko-Management ist für Unternehmen besser umsetzbar, weil sich die Bemühungen um Informationssicherheit dabei auf die wahrscheinlichsten Bedrohungen und Sicherheitslücken konzentrieren. Auf diese Weise muss das Unternehmen keine kostenintensiven Maßnahmen für geringwertige und nicht kritische Assets aufwenden.
Initiativen zum Cyberrisiko-Management können Unternehmen auch bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO), des Health Insurance Portability and Accountability Act (HIPAA), des Payment Card Industry Data Security Standard (PCI-DSS) und sonstiger Bestimmungen unterstützen. Während des Cyberrisiko-Managementprozesses berücksichtigen Unternehmen diese Standards bei der Gestaltung ihrer Sicherheitsprogramme. Anhand der Berichte und Daten, die während der Überwachungsphase erstellt wurden, können Unternehmen bei Audits und Untersuchungen nach Sicherheitsverstößen nachweisen, dass sie ihre Sorgfaltspflicht erfüllt haben.
Gegebenenfalls müssen Unternehmen sich an bestimmte Rahmenbestimmungen für das Risikomanagement halten. Die US-Bundesbehörden müssen sowohl das NIST RMF als auch das NIST CSF einhalten. Auch Auftragnehmer des Bundes müssen sich unter Umständen an diese Rahmenbestimmungen halten, da in staatlichen Aufträgen häufig NIST-Standards zur Festlegung von Cybersicherheitsanforderungen verwendet werden.
Angriffe clever verhindern mit einer vernetzten, modernisierten Sicherheitssuite. Das QRadar-Portfolio ist mit auf Unternehmen abgestimmter KI ausgestattet und bietet integrierte Produkte für Endpunktsicherheit, Protokollmanagement, SIEM und SOAR – mit einer gemeinsamen Benutzeroberfläche, gemeinsamen Erkenntnissen und vernetzten Workflows.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Vorfallsreaktionsteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen dabei helfen, sich schneller zu erholen.
Verwaltung von IT-Risiken durch Einrichten von Governance-Strukturen für eine ausgereiftere Cybersicherheit mit integriertem Governance-, Risiko- und Compliance-Konzept (GRC)
Der Bericht über die Kosten einer Datenschutzverletzung enthält die neuesten Erkenntnisse über die immer größer werdende Bedrohungslandschaft und Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
Profitieren Sie von verwertbaren Erkenntnissen, die Ihnen zeigen, welche Strategien Angreifer anwenden und wie Sie Ihr Unternehmen proaktiv schützen können.
Risikomanagement ist der Prozess der Erkennung, Bewertung und Kontrolle finanzieller, rechtlicher, strategischer und sicherheitsrelevanter Risiken für das Kapital und Einkommen eines Unternehmens.