Cyber-Risikoappetit definieren und kommunizieren

Cyber-Risikoappetit definieren

Der Risikoappetit bezeichnet die Menge und Art von Cyber-Risiken, die eine Organisation bereit ist einzugehen oder beizubehalten, um ihre Ziele zu erreichen. Er wird nicht allein vom CISO oder der Sicherheitsfunktion definiert, sondern von der Geschäftsführung als unternehmerische Entscheidung.

Im Wesentlichen beantwortet der Risikoappetit eine einfache Governance-Frage: „Welches Verlustniveau sind wir bereit zu tolerieren im Austausch für Wachstum, Innovation oder operative Kontinuität?"

Der Risikoappetit ist nicht starr. Er kann je nach Risikokategorie variieren:

• Eine Organisation kann regulatorischen Verstößen gegenüber ablehnend eingestellt sein
• Vorsichtig gegenüber Reputationsrisiken
• Offen für bestimmte finanzielle Expositionen, wo das Gewinnpotenzial das Verlustrisiko überwiegt
• Risikofreudig bei Innovationsrisiken, wenn Experimentieren einen Wettbewerbsvorteil verschafft

Diese Unterscheidungen müssen klar festgelegt werden, damit Aufsichtsräte wissen, wo das Unternehmen innovieren und Grenzen verschieben kann – und wo ein vorsichtigerer Ansatz geboten ist.

Risikoappetit in finanziellen Begriffen ausdrücken

Die effektivste Art, den Risikoappetit zu definieren, ist seine Ausdrückung in finanziellen Begriffen. Anstatt auf qualitative Bewertungen wie hoch, mittel oder niedrig zurückzugreifen, sollten Organisationen Cyber-Vorfälle in potenzielle monetäre Auswirkungen übersetzen. Dies ermöglicht einen direkten Vergleich mit anderen Unternehmensinitiativen.

Beispiel: Ein Einzelhändler, der einen neuen E-Commerce-Kanal einführt, erwartet 10 Millionen Dollar an neuen Einnahmen über drei Jahre. Neben diesem positiven Potenzial besteht ein glaubwürdiges Risiko: Eine Kundendatenverletzung könnte 1 Million Dollar an Bußgeldern, Schadensbehebung und Reputationsschäden kosten. Diese Risikoexposition zu akzeptieren ist nicht unverantwortlich – es ist eine bewusste unternehmerische Entscheidung zur Abwägung von Risiko und Nutzen.

Praktische Schritte umfassen:

• Plausible Cyber-Risikoszenarien quantifizieren wie Ransomware, Datenverletzungen oder Ausfälle
• Potenzielle Verluste im Verhältnis zum Umsatz ausdrücken, um Vergleichbarkeit mit Wesentlichkeitsschwellen zu gewährleisten
• Den Risikoappetit auf Niveaus festsetzen, die die Strategie unterstützen und gleichzeitig Expositionen vermeiden, die die finanzielle Stabilität gefährden

Risikoappetit mit operativen Hebeln verknüpfen

Das finanzielle Framing muss durch operative Hebel gestützt werden, die den Risikoappetit messbar und handlungsfähig machen. Aufsichtsräte und Prüfungsausschüsse müssen verstehen, welche Faktoren die Exposition erhöhen oder verringern und wie Sicherheitsteams diese managen.

Beispiele für operative Hebel:

• Datenexposition: Volumen der gespeicherten Kundendaten und ob diese verschlüsselt sind
• Zugriffsmanagement: Anzahl der Administratoren oder Dritten mit privilegierten Zugriffsrechten
• Resilienzmaßnahmen: Systemredundanz, Wiederherstellungsbereitschaft und Vorfallsreaktionsfähigkeit

Durch die Überwachung dieser Hebel können Organisationen nachweisen, wie der Risikoappetit in der Praxis eingehalten wird. Key Risk Indicators (KRI) werden zur Brücke zwischen der Strategie an der Spitze und den Abläufen im operativen Bereich.

Risikoappetit durch Szenarien messen

Die praktischste Methode, den Cyber-Risikoappetit in die Governance zu integrieren, ist der Einsatz von Szenarien. Ein Szenario greift eine reale Initiative auf und stellt sowohl ihr positives als auch ihr negatives Potenzial dar, indem es die Frage stellt: „Ist dieses Verlustniveau angesichts der erwarteten Vorteile akzeptabel?"

• Ein E-Commerce-Unternehmen akzeptiert das Risiko, bis zu 1 Million persönliche Datensätze zu verlieren, im Austausch für den Start einer neuen Website mit 10 Millionen Dollar projiziertem Umsatz an einem Feiertagswochenende.
• Ein nationaler Notfalldienst hingegen kann eine Nulltoleranz gegenüber Ausfallzeiten haben. Unterbrechungen von wenigen Sekunden sind inakzeptabel. Hier sind Personalstärke, technische Redundanz und Resilienz der Callcenter kritische KRIs.

Szenarien stellen sicher, dass der Risikoappetit kein vages Statement bleibt, sondern ein Entscheidungswerkzeug ist. Sie ermöglichen es zudem, den Risikoappetit nach Geschäftsbereichen, Initiativen oder Risikokategorien zu variieren – genau die Herausforderung, die das NCSC aufzeigt.

Risikoappetit handlungsfähig machen: die FAIR-Perspektive

Jack Jones, Präsident des FAIR Institute und Schöpfer des FAIR-Modells (Factor Analysis of Information Risk), schlägt eine klare Methode vor, um Risikoappetit-Erklärungen zu verfeinern und handlungsfähiger zu machen. In seiner Präsentation auf der RSA Conference betonte er die Notwendigkeit, einen „operativen" Risikoappetit zu schaffen, der sich direkt in Verlustszenarien, Schwellenwerte und Governance-Entscheidungen übersetzt.

Er präsentiert fünf Merkmale relevanter Risikoappetit-Erklärungen, damit diese Entscheidungen unterstützen können:

• Realistisch und handlungsfähig sein
• Klarheit in den Erwartungen schaffen
• Risikomanagementbemühungen besser ausrichten
• Die Kommunikation mit Stakeholdern verbessern
• Potenzielle inakzeptable Verluste reduzieren

Gemäß FAIR wird Risiko als die wahrscheinliche Häufigkeit und das wahrscheinliche Ausmaß zukünftiger Verluste definiert. Auf dieser Grundlage muss ein nützlicher Risikoappetit-Rahmen spezifisch, messbar und mit den kritischsten Assets der Organisation verknüpft sein.

Von vagen Aussagen zu handlungsfähigen Grenzen

Laut Jones scheitern viele Risikoappetit-Erklärungen, weil sie weder handlungsfähig noch klar in Bezug auf Schwellenwerte sind. Einige Beispiele für Risikoappetit-Erklärungen, die trotz ihres Wertes weder Entscheidungsfindung unterstützen noch klare Grenzen definieren:

• „Wir haben einen geringen Appetit auf den Verlust von Kundendaten." — signalisiert eine Absicht, bleibt aber mehrdeutig
• „Wir wollen Verluste von 10 Millionen Dollar nicht überschreiten." — klarer, aber immer noch unvollständig ohne Kenntnis der Verlustart, der betroffenen Assets oder des Zeitraums

Was benötigt wird, ist eine Risikoappetit-Erklärung, die Entscheidungsgrenzen liefert. Zum Beispiel: „Wir akzeptieren nicht mehr als 5 % Wahrscheinlichkeit von Verlusten über 5 Millionen Dollar durch die Offenlegung persönlicher Kundendaten in einem beliebigen 12-Monats-Zeitraum." Dies setzt einen messbaren Schwellenwert, den Führungskräfte und Sicherheitsverantwortliche zur Steuerung der Ressourcenallokation und Risikobehandlung nutzen können.

Szenariobasierter Risikoappetit

In FAIR-Begriffen muss der Risikoappetit stets mit spezifischen Verlustszenarien verknüpft sein. Dies gewährleistet Klarheit und Ausrichtung zwischen dem Risikoappetit und den tatsächlichen Risiken, denen die Organisation ausgesetzt ist. Szenarien könnten umfassen:

• Offenlegung persönlicher Kundendaten
• Ausfall eines kritischen Geschäftsprozesses
• Nichteinhaltung regulatorischer Verpflichtungen

Durch die Verankerung des Risikoappetits in Szenarien können Organisationen unterschiedliche Appetite für unterschiedliche Kontexte ausdrücken. Ein Unternehmen kann beispielsweise einen höheren Risikoappetit für Innovationsrisiken akzeptieren, aber einen Nullappetit für den längeren Ausfall eines Zahlungsverarbeitungssystems.

Fokus auf die wertvollsten Assets

Nicht alle Risiken sind gleich. Der Risikoappetit muss für die strategisch wichtigsten Assets rigoroser definiert werden – die Ressourcen und Prozesse, die für die Mission, den Betrieb oder die finanzielle Stabilität der Organisation am kritischsten sind. Alles, was diese wesentlichen Assets über den definierten Schwellenwert hinaus bedroht, muss vorrangig zur Behebung priorisiert werden. Die Art und Weise, wie eine Organisation ihre strategischen Assets definiert und schützt, spiegelt sowohl ihren Risikoappetit wider als auch signalisiert ihre Risikoreife.

Risikoappetit durch Governance stärken

Der Risikoappetit muss durch Governance-Prozesse aufrechterhalten werden, die eine dauerhafte Ausrichtung gewährleisten. Dies umfasst:

• Richtlinien und Standards – z.B. Asset-Inventare pflegen, Sensibilisierungsschulungen für privilegierte Nutzer vorschreiben
• Prozesse und Kontrollen – Kontrollleistung bewerten und Szenarien innerhalb der Risikoschwelle managen
• KRIs und KPIs – messbare Indikatoren zur Erkennung, wenn Bedingungen außerhalb des Risikoappetits driften, zur Auslösung korrektiver Maßnahmen und zur Demonstration von Verbesserungen

Durch diese Mechanismen wird der Cyber-Risikoappetit mehr als nur eine schriftliche Erklärung. Er entwickelt sich zu einem operativen Rahmenwerk, das Entscheidungsgrenzen definiert, Investitionen steuert und die Wahrscheinlichkeit inakzeptabler Verluste reduziert.

Risikoappetit, Toleranz und Kapazität

Es ist wesentlich, zwischen Risikoappetit, Toleranz und Kapazität zu unterscheiden. Der Risikoappetit spiegelt das Verlustniveau wider, das das Unternehmen zu akzeptieren wählt. Risikoappetit wird auch als Risikotoleranz bezeichnet – der Schwellenwert, ab dem eine Organisation Risiken akzeptiert. Die Risikokapazität entspricht dem absoluten Maximum, das ein Unternehmen tragen kann, ohne seine Lebensfähigkeit zu gefährden.

Eine anschauliche Möglichkeit, den Unterschied zwischen Risikoappetit und Kapazität zu veranschaulichen, ist das Bild einer Person am Rand einer Klippe. Der Klifpenrand symbolisiert die maximale Toleranz: die absolute Grenze, die nicht überschritten werden darf. Der Risikoappetit bedeutet nicht, ständig am Rand zu leben, sondern zu entscheiden, welchen Abstand man halten möchte. Eine vorsichtige Person bleibt mehrere Schritte vom Rand entfernt, während eine andere, die mit einem fest verankerten Seil und Gurt ausgestattet ist, näher herantreten kann. In dieser Analogie repräsentieren Seil und Gurt die Kontrollen, Redundanzen und Sicherheitsmechanismen, die das nötige Vertrauen bieten, um näher an die Grenze heranzutreten, ohne sie zu überschreiten.

Risikoappetit überprüfen und kommunizieren

Der Risikoappetit muss regelmäßig überprüft werden. Eine jährliche Neubewertung ist das Minimum. Er sollte auch immer dann neu bewertet werden, wenn sich strategische Ziele ändern, wesentliche Initiativen gestartet werden, finanzielle Bedingungen sich entwickeln oder die Bedrohungslandschaft sich erheblich verändert.

Klare Kommunikation ist unerlässlich. Risikoappetit-Erklärungen müssen von der Geschäftsführung definiert und klar an Geschäftsbereichsleiter sowie Sicherheits- und Risikoteams kommuniziert werden. Diese können dann Szenarien entwickeln und KRIs überwachen, um handlungsfähige Berichte zu erstellen.

Risikoappetit zur Stärkung der Unternehmensresilienz umsetzen

Die Beobachtung des NCSC, dass die meisten Organisationen ihre Risikoappetit-Erklärungen nicht operationalisieren, verweist auf eine grundlegende Herausforderung: die Lücke zwischen den Absichten des Aufsichtsrats und der operativen Realität zu schließen. Diese Lücke schließt sich, wenn finanzielle Quantifizierung auf szenariobasierten Risikoappetiten trifft.

Der eigentliche Test kommt, wenn die nächste wesentliche Initiative auf die Tagesordnung des Aufsichtsrats gesetzt wird. Wird der Risikoappetit-Rahmen ihre Entscheidung leiten oder vom Wachstumsreiz verdrängt werden? Alles hängt davon ab, ob die Organisation den Reflex verinnerlicht hat, die richtigen Fragen zu stellen: Was ist der potenzielle Verlust? Liegt er innerhalb unseres erklärten Risikoappetits? Verfügen wir über die notwendigen Kontrollen, um auf diesem Expositionsniveau zu operieren?

Wenn diese Fragen zur Routine werden, wird der Cyber-Risikoappetit zum Mechanismus, durch den Aufsichtsräte Innovation und Resilienz in Einklang bringen. Sicherheitsteams können ihre Bemühungen an der Unternehmensstrategie ausrichten. Die Herausforderung liegt nun in der Umsetzung: den Risikoappetit von einem einfachen Governance-Prozess zu einem echten Wettbewerbsvorteil weiterzuentwickeln.