Risikomanagement: Wie können wir Cyberangriffe verhindern?

Wie definiert man Cybersicherheitsrisiken?

Der Begriff „Risiko“ wird täglich verwendet, aber es gibt keine eindeutige Definition, insbesondere wenn es um Unternehmen geht. Wenn man jedoch versucht, eine Definition zu finden, wird in der Regel eine Vorstellung davon impliziert, dass man einer Gefahr ausgesetzt ist. Wie kann man diesen Nebel lichten und dem Ganzen einen Sinn geben?

Definition des Risikos aus Unternehmenssicht

Das Norm ISO 31000 enthält die folgende Definition von Risiko: „Auswirkung von Unsicherheit auf Ziele“. Die Norm ISO/IEC Guide 73 spezifiziert diesen Punkt weiter und besagt, dass es bei Risiko um die „Kombination der Wahrscheinlichkeit eines Ereignisses und seiner Folgen“ geht.

Diese offizielle und akademische Definition impliziert daher, dass die Folgen eines Risikos entweder positiv oder negativ, vorteilhaft oder schädlich für ein Unternehmen sein können. Risikomanagement wird daher zum Bedrohungsmanagement, aber auch zum Chancenmanagement.

In Unternehmensfunktionen wird der Begriff „Risiko“ jedoch selten verwendet, um sich auf eine positive Chance zu beziehen. Diese Definition von Risiko scheint im Widerspruch zu bestimmten Geschäftsprinzipien zu stehen. Wie kann man behaupten, dass ein Risiko im Zusammenhang mit der Sicherheit der Mitarbeiter positive Folgen haben kann?

Was ist Cyberrisiko?

Wie in anderen Bereichen eines Unternehmens gibt es auch in der IT mehrere Definitionen von Risiko:

ISO: SO: die Möglichkeit, dass eine bestimmte Bedrohung die Schwachstellen eines Vermögenswerts oder einer Gruppe von Vermögenswerten ausnutzt und dadurch der Organisation Schaden zufügt. Es wird gemessen, indem die Wahrscheinlichkeit des Eintritts eines Ereignisses mit seinen Folgen kombiniert wird.

NIST SP800-30: Das Risiko ist eine Frage der Wahrscheinlichkeit, mit der eine bestimmte Bedrohungsquelle eine bestimmte potenzielle Schwachstelle aufreißt, und der Auswirkungen dieses negativen Ereignisses auf das Unternehmen.

‍
Cyber-Risiken dieser Art können sich aus Cyber-Angriffen ergeben, d.h. Angriffen auf Ihre Informationssysteme mit böswilligen Absichten. Wie in unserem Artikel über Cyber-Angriffe beschrieben, können diese Angriffe in 4 Kategorien eingeteilt werden: Cyberkriminalität, Rufschädigung, Spionage und Sabotage. In den meisten Fällen ist das Cyber-Risiko jedoch auf menschliches oder technisches Versagen zurückzuführen. Diese beiden großen Risikofamilien betreffen Unternehmen jeder Größe.

Um das Risiko zu reduzieren, verwenden wir bei C-Risk die Standarddefinition der Factor Analysis of Information Risk (FAIR™). Diese beschreibt das Cyber-Risiko als die wahrscheinliche Häufigkeit und das Ausmaß eines zukünftigen finanziellen Verlusts infolge eines Cyber-Vorfalls. Ein Cyber-Vorfall ist jedes Ereignis, das die Vertraulichkeit, die Integrität oder sogar die Verfügbarkeit eines Informationssystems oder von Computerdaten beeinträchtigt (Vertraulichkeit, Integrität und Verfügbarkeit: die CIA-Trias).