Wie erstellt man eine Karte der Cybersicherheitsrisiken?

Was ist Risikokartierung?

In erster Linie besteht die Risikokartierung aus einer Tabelle, die anhand einer Farbklassifizierung („Heatmap“) der Bedrohungen für ein Unternehmen angeordnet ist. Obwohl die Implementierung einfach erscheint, ist die Organisation, die sie umfasst, umständlich und bezieht Interessengruppen auf allen Ebenen eines Unternehmens ein.

Definition der Risikokartierung und Schematisierung

Das französische Medienunternehmen Agefi (eine Wirtschafts- und Finanzagentur) definiert Risikokartierung als „Identifizierung, Bewertung, Priorisierung und Steuerung der Risiken, die mit den Aktivitäten einer Organisation einhergehen“.

Im Rahmen einer Risikomanagementprozess Im Zusammenhang mit Cybersicherheitsverletzungen verfolgt die Risikokartierung zwei Ziele:

• Identifizierung und Verwaltung der wichtigsten Risiken, um sicherzustellen, dass das Unternehmen Onlinesicherheit;
• Gewährung ausreichender Ressourcen für die Geschäftsleitung und die Abteilung Informationssysteme, um erfolgreiche und wirksame Präventionsmaßnahmen ergreifen zu können.

Das Ergebnis dieser Methodik ist eine Landkarte — eine Art grafische Darstellung. Sie fasst die Risiken eines Unternehmens in einer Tabelle mit doppelten Einträgen zusammen:

• Die horizontale Achse steht für den Schweregrad eines Risikos. Er reicht von gering bis schwer oder sogar „katastrophal“, je nachdem, welche Skala Sie wählen möchten.
• Die vertikale Achse zeigt den Grad der Wahrscheinlichkeit des Risikos, der von unwahrscheinlich bis sehr wahrscheinlich/sicher reicht.

Unternehmen kehren diese Achsen bei der Kartierung manchmal um, wobei die Wahrscheinlichkeit dann auf der X-Achse und der Schweregrad auf der Y-Achse liegt. In allen Fällen entspricht die Kritikalität des Risikos dem Verhältnis zwischen seiner Auswirkung und seiner Wahrscheinlichkeit. Die unten links in der Tabelle abgebildeten Risiken stellen also eine geringe Wahrscheinlichkeit und Gefahr dar. Je näher ein Risiko oben rechts in der Tabelle liegt, desto greifbarer und schwerwiegender ist die Bedrohung.

Farbcodes spielen bei der Risikokartierung oft eine wichtige Rolle; die Grafik wechselt von grün nach rot. Grün ist ein akzeptables Risiko und Rot ist ein kritisches Risiko, das sich als mehr herausstellen kann, als Ihr Unternehmen aushalten kann.

Wer sollte an der Risikokartierung beteiligt sein?

Idealerweise sollten bei der Gestaltung der Cyber-Risikokartierung die Leiter aller Hauptabteilungen des Unternehmens einbezogen werden. Jeder Mitarbeiter — vom Geschäftsführer bis zum Rezeptionisten — ist Risikoszenarien ausgesetzt oder aktiv daran beteiligt, die eindeutig identifiziert werden müssen, damit sie bewertet werden können. Es ist wichtig, so viele verschiedene Abteilungen wie möglich einzubeziehen, von allen Ebenen der Organisation bis hin zum Betriebspersonal.

Aus Sicht der Cyberrisikobewertung ist die Leitender Beauftragter für Informationssicherheit (CISO) spielt natürlich eine wichtige Rolle bei der Erstellung der Cyber-Risikokarte. Dennoch müssen sie mit dem Risikomanagement und der internen Kontrolle zusammenarbeiten, falls Ihr Unternehmen zufällig über solche Abteilungen verfügt. Ohne eine einwandfreie Kommunikation zwischen den Abteilungen kann eine Risikobewertung unmöglich effektiv sein.

Warum müssen Sie Risiken kartografieren?

Wie bereits erwähnt, ist die Risikokartierung vor allem ein Risikomanagementinstrument, das für die Entscheidungsträger des Unternehmens bestimmt ist. Es konzentriert sich auf die Auflistung aller Hauptrisiken, denen ein Unternehmen ausgesetzt ist, und deckt Management, Vertrieb, Personalwesen, Cyberrisiken, Korruption und sogar Naturkatastrophen- oder Gesundheitsrisiken ab. Die schematische Darstellung der Wahrscheinlichkeiten und Auswirkungen erleichtert das Verständnis der Risiken, denen Ihr Unternehmen ausgesetzt ist.

Eine Risikokartierung kann auch für jede Abteilung Ihres Unternehmens durchgeführt werden. In diesem Fall führt das Unternehmen seine Risikobewertung nach Gefahrenkategorien durch: eine für Cybersicherheit, eine für das Management und eine weitere für die Personalabteilung usw. Im Bereich Cybersicherheit soll die Risikotabelle sicherstellen, dass jeder in allen Teilen des Unternehmens ein gutes Verständnis der IT-bezogenen Risiken hat, sodass jeder Abteilungsleiter in einer informierten Position ist, um die richtigen Entscheidungen in Bezug auf Cybersicherheit zu treffen.

Die Risikokartierung ist kein obligatorisches Verfahren. Es kann jedoch als Nachweis dafür verwendet werden, dass sich Ihr Unternehmen im Rahmen eines Gerichtsverfahrens um die Wahrung der Cybersicherheit bemüht. Außerdem sind börsennotierte Unternehmen verpflichtet, eine wirksame Risikomanagementstrategie zu verfolgen, indem sie die Hauptrisiken auflisten, denen sie ausgesetzt sind.

‍