Führungsteams müssen sich mit einer immer komplexeren Bedrohungslandschaft und einer schnell wachsenden Angriffsfläche auseinandersetzen, denn moderne Unternehmen sind dadurch einem größeren Sicherheitsrisiko ausgesetzt.
Nicht nur in wichtiger erster Schritt, sondern ein notwendiger, kontinuierlicher Prozess, um das Unternehmen vor bösartigen Bedrohungen zu schützen, besteht für Sicherheitsverantwortliche im Verständnis des einzigartigen Risikoprofils des Unternehmens - ganz gleich, ob die Bedrohungen in Form einer einfachen Phishing-E-Mail, eines Datendiebstahls oder eines koordinierten, mehrstufigen Ransomware-Angriffs auftreten. Die Lösung: zeitpunktbezogene Risikobewertungen, auch bekannt als Quantifizierung von Cyberrisiken.
Quantifizierung von Cyberrisiken
Die Quantifizierung von Cyberrisiken bezeichnet den Prozess der Überwachung von Cyber-Ressourcen und der Analyse von Schwachstellen, Gefährdungen und vorhandenen Sicherheitskontrolldaten, um eine dynamische Risikobewertung zu entwickeln.
Die Bewertung und das Benchmarking von Cyberrisiken bringen viele Vorteile und verwertbare Erkenntnisse. Die Wahrscheinlichkeit, dass ein Bedrohungsakteur Zugang zur Unternehmensumgebung erhält, und die potenziellen Auswirkungen dieses Ereignisses werden dabei quantifiziert und bewertet. Cyberrisiko-Ratings können als numerische oder alphabetische Einheit angezeigt werden und bieten einen Mechanismus zur Nachverfolgung und Kommunikation der Sicherheitseffizienz und des Fortschritts über die Zeit hinweg.
Sicherheitsverantwortliche können diese Ergebnisse nutzen, um Cyberrisiken zu priorisieren, sie mit anderen Risikopraktiken abzustimmen und die Wirksamkeit der Cybersicherheit außerhalb der Security-Organisation zu erhöhen und zu kommunizieren. Laut Gartner sind drei der fünf wichtigsten Anwendungsfälle für die Quantifizierung von Cyberrisiken die Kommunikation Gefährdungspotenzials an verschiedene Stakeholder, darunter Risikoverantwortliche, Führungskräfte und Vorstand.
Die Entwicklung der Quantifizierung von Cyberrisiken
Früher wurde die Risikobewertung wegen der Kosten, der Komplexität und der begrenzten Verfügbarkeit von Daten über zeitpunktbezogene Prüfungen durchgeführt und stützte sich auf weniger ausgefeilte Erkenntnisse wie etwa die Komplexität von Passwörtern oder die Verwendung von Datenverschlüsselung.
Im Zuge der Weiterentwicklung der Bewertungsmethoden, Vorschriften und Frameworks (z. B. NIST Cybersecurity Framework) haben technologische Lösungen die Genauigkeit verbessert, indem die Anzahl der Sicherheitsvektoren und Dateneingaben in einer Bewertung erhöht wurde, und Bewertungen kontinuierlich und auf Abruf bereitstehen. Damit ging jedoch auch eine Ära proprietärer Formeln einher, die Anbieter jeweils nutzten.
Somit hatten es Anwender mit „Black Box“-Produkten zu tun, die ihnen nur begrenzten Einblick in die mathematischen Formeln und gewichteten Faktoren für die Risikobewertung für einzelne Cyber-Assets und für das gesamte Unternehmen boten. Dies erschwerte es Sicherheitsanalysten zu bestimmen, welche Hebel sie zur Verbesserung ihrer Sicherheitslage und zur Umsetzung laufender risikobezogener Entscheidungen ansetzen müssen.
Kriterien für eine genaue Risikobewertung
Um den Wert der Bewertung von Cyberrisiken zu maximieren, sollten sechs Schlüsselfaktoren in Betracht gezogen werden:
- Die Anzahl und Qualität der Datenquellen
- Verfügbarkeit und Transparenz der Methodik
- Anpassungsfähigkeit
- Häufigkeit der Bewertung
- Benchmarking
- Verwertbare Erkenntnisse zur Abhilfe.
Risikobewertung und -quantifizierung können in Silos nicht effektiv sein. Cyberrisikobewertungen werden exakter, wenn Sicherheitsorganisationen mehr Datenquellen aus dem gesamten Unternehmen miteinander verbinden können. Vertrauenswürdige Risikobewertungen bieten eine transparente Erklärung der Methodik und der Formel, die zur Entwicklung der Bewertung verwendet wurden. Diese Offenlegung kann das Vertrauen in den Ansatz stärken, aber noch wichtiger ist, dass man weiß, welche Hebel man ansetzen muss, um die Sicherheitslage zu verbessern, die Risikoschwellenwerte anzupassen und Abhilfemaßnahmen für Hochrisikoanlagen einzuleiten.
Die Aufnahme und Normalisierung von Daten aus verschiedenen Arten von Cyber-Assets wie Endgeräten, Servern, Workloads, E-Mails, Netzwerken und Identitäten sowie Cloud-Diensten, Identitäts- und Zugriffsmanagement, Schwachstellenmanagement, Threat Intelligence Feeds und Tools zur Erkennung von Angriffsflächen ergibt ein genaueres Bild des Gesamtrisikos eines Unternehmens.
Risikobewertungen zur Entwicklung fundierter Sicherheitsstrategien
Die Korrelation der Daten aus Tools wie Attack Surface Management, Vulnerability Management und Extended Detection and Response (XDR) kann ein umfassendes Verständnis der Angriffsintensität oder des Drucks auf das Unternehmen vermitteln. Auch zeigt sich, wo digitale Assets verwundbar oder ungeschützt sind und wo Sicherheitskonfigurationen (z. B. Endpunktschutz oder aktivierte Verhaltensüberwachung) verbessert werden können.
Die Entwicklung risikobasierter Sicherheitsstrategien bringt nicht nur dem Sicherheitsteam Vorteile. Wenn beispielsweise Risikodaten und Abhilfemaßnahmen leicht verfügbar sind, lässt sich auch die Prämie der Cyber-Versicherung auf der Grundlage der Wahrscheinlichkeit und der potenziellen Kosten eines Angriffs oder Vorfalls entsprechend anpassen.
Sicherheitsverantwortliche können die Risikobewertung auch nutzen, um handlungsorientierte Ergebnisse zu erzielen, darunter Kosteneinsparungen, eine verbesserte Priorisierung von Sicherheitsprojekten und einen Mehrwert für die strategische Entscheidungsfindung.
Risiken kommunizieren und Vertrauen aufbauen
Die Rolle der Cybersecurity-Führungskräfte erfordert auch den Aufbau von Vertrauen sowohl bei internen als auch bei externen Interessengruppen. Verständliche Berichte und Datenvisualisierungen helfen dabei, Sicherheitsergebnisse und Risikomanagementstrategien mit den Unternehmenszielen zu verbinden. Durch eine regelmäßige, offene und transparente Kommunikation mit den Führungskräften und dem Vorstand wird die Sicherheitsfunktion besser als Enabler und strategischer Berater positioniert.
Wie geht es weiter?
Da sowohl Sicherheits- als auch Führungsteams von den Erkenntnissen profitieren, die die Risikobewertung liefert, können wir mit mehr Nachfrage, Investitionen und Innovationen in diesem Bereich rechnen. Mögliche Trends:
- Verbesserung der Korrelation: Bessere Einblicke durch Korrelation und Kontextualisierung von Dateneingaben einschließlich Identität.
- Mehr Flexibilität: Möglichkeit der Anpassung von Risikoschwellenwerten und -toleranzen an das jeweilige Unternehmen und die Integration weiterer Technologien von Drittanbietern, um Änderungen des Risikos automatisch zu melden.
- Mehrschichtige Cyber-Bedrohungsdaten: Verstärkte Nutzung von Bedrohungsdaten, um die Telemetrie der Angriffsintensität zu verbessern und Risikobewertungsmodelle mit den neuesten Informationen über bestehende oder neue Angriffsgruppen zu versorgen.
- Künstliche Intelligenz und maschinelles Lernen: Vorausschauende und ständig aktualisierte Modellierung zur Erkennung von Mustern und zur besseren Vorhersage von Risiken.
- Compliance und Regulierung: Mit zunehmender Transparenz bei den Risikobewertungsformeln werden die Aufsichtsbehörden möglicherweise eine kontinuierliche Risikobewertung und die Verfügbarkeit von Risikodaten für Unternehmen in bestimmten Branchen verlangen, um die Vorschriften einzuhalten.
Um zu erfahren, wie Trend Micro Vision One™ das Cyberrisiko berechnet, lesen Sie unseren Bericht dazu.