Von Subjektivität zu Objektivität: Warum die Quantifizierung von Cyber-Risiken wesentlich ist

Was sind die Beschränkungen qualitativer Risikomanagement-Methoden?

Sowohl qualitative als auch quantitative Risikomanagement-Praktiken unterstützen die Entscheidungsfindung. Aber die Reduzierung von Subjektivität ist wesentlich für vertretbare, wiederholbare und strategisch ausgerichtete Sicherheitsentscheidungen.

Kognitive Verzerrung und Rauschen

In Organisationen, die sich auf qualitative Bewertungen stützen, werden Stakeholder oft für Investitionen eintreten, die ihrem Team helfen, voranzukommen, ohne die breiteren Geschäftsauswirkungen zu berücksichtigen. Dies führt zu isolierten Strategien, bei denen verschiedene Teams um Ressourcen konkurrieren, ohne ein gemeinsames Framework für Vergleiche.

Kognitive Verzerrungen verzerren das Urteilsvermögen auf subtile, aber wirkungsvolle Weise. Häufige Beispiele umfassen:

Verfügbarkeits-Verzerrung – ein Urteil basierend auf unmittelbar verfügbaren Beispielen fällen (z.B. hochkarätiger Ransomware-Angriff in den Nachrichten)

Bestätigungs-Verzerrung – nach Beweisen suchen oder sie so interpretieren, dass sie die eigenen stark vertretenen Überzeugungen oder Erwartungen stützen (z.B. Compliance-Teams konzentrieren sich auf Kontrollücken, während sie Geschäftsziele übersehen)

Framing-Effekt – Entscheidungen basierend darauf ändern, wie Wahlmöglichkeiten präsentiert werden (z.B. eine Sicherheitsinitiative als Kosten vs. Spargelgenheit darstellen, auch wenn beide Optionen finanziell gleichwertig sind)

Diese Verzerrungen und das Rauschen, das sie erzeugen, können zu ineffizienter Risikopriorisierung führen und das Vertrauen in Cybersecurity-Programme untergraben. Ein quantitativer, datengestützter Ansatz minimiert diese Verzerrungen, indem er Risikoentscheidungen in messbarer, wiederholbarer Analyse begründet.

Inkonsistenz zwischen Teams

Ohne eine Standardsprache für Risiko oder eine datengestützte quantifizierte Messung von Risiko werden zwei Teams, die dasselbe Risikoszenario bewerten, wahrscheinlich zu völlig unterschiedlichen Schlussfolgerungen kommen. Diese Inkonsistenz wird während Audits und Vorstandsüberprüfungen sichtbar. Und sie kann das Vertrauen in die Sicherheitsfunktion untergraben.

Inkonsistente Risikowahrnehmung zwischen Funktionen:

• IT-Sicherheit bewertet ungepatchte Systeme als „hoch" basierend auf technischer Schwachstelle

• Business Continuity bewertet dieselben Systeme als „mittel" basierend auf Umgehungsverfahren

• Finanzen bewerten das Risiko als „niedrig" basierend auf Umsatzauswirkungen

• Operations bewerten als „hoch" basierend auf Produktivitätssorgen

Verpasste Gelegenheiten

Qualitative Bewertungen verhindern, dass Organisationen die Entwicklung ihrer Sicherheitslage demonstrieren. Wenn Risiken Quartal für Quartal als „mittel" oder „hoch" kategorisiert bleiben, geht bedeutsamer Fortschritt in semantischer Bedeutung verloren. Diese Inkonsistenz manifestiert sich auf verschiedene Weise:

• Unfähigkeit, ROI zu demonstrieren – Kann nicht zeigen, wie viel Risiko durch Sicherheitsinvestitionen in finanziellen Begriffen eliminiert wurde

• Schlechte Trendanalyse – Keine numerischen Baselines zur Messung von Änderungen der Risikolage

• Ineffektive Priorisierung – Entscheidungen basieren auf Faustregeln oder Compliance-Anforderungen

• Statische Risikoregister – Gleiche Risikoverteilung trotz erheblicher Sicherheitsinvestitionen

• Stakeholder-Verwirrung – Vorstandsmitglieder sehen konsistente Risikoniveaus trotz Budgetgenehmigungen

Die Vorteile eines objektiven, quantitativen Ansatzes

Der Übergang von subjektiven Bewertungen zu quantitativen Methoden transformiert grundlegend, wie Organisationen Cyber-Risiken verstehen und managen. Während traditionelle Ansätze Sicherheitsführer kämpfen lassen, Investitionen zu rechtfertigen oder Fortschritte zu demonstrieren, bieten datengestützte Methodologien die Präzision und Glaubwürdigkeit, die moderne Unternehmen fordern.

Die Transformation liefert messbare Vorteile in vier kritischen Bereichen:

Größere Präzision und Zuverlässigkeit – ein quantitativer Ansatz identifiziert messbare Faktoren, die Organisationen ermöglichen, Risikoreduktion über die Zeit zu verfolgen, Risiko in finanziellen Begriffen statt perpetuell beschreibenden Begriffen für Risiko auszudrücken.

Der CISO eines Fortune 500 Finanzdienstleistungsunternehmens konnte dem Vorstand sicher berichten, dass Sicherheitsaktivitäten „die jährliche Verlustexposition von 2,3 Millionen $ auf 1,8 Millionen $ durch gezielte Sicherheitskontrollen reduzierten".

Klare Priorisierung und strategische Ausrichtung – Zahlen ermöglichen direkten Vergleich zwischen verschiedenen Risikoarten und unterstützen vertretbare Ressourcenallokationsentscheidungen.

Führungskommunikation – Sicherheitsführer können mit Führungskräften in ROI-Begriffen kommunizieren, die sie verstehen, spezifische Investitionsrechtfertigungen mit messbaren Renditen bereitstellen, die umfassende Kosten-Nutzen-Analysen unterstützen.

Regulatorische Compliance und Auditierbarkeit – Sich entwickelnde Cybersecurity-Vorschriften (DORA, NIS2, SEC) fordern zunehmend risikobasierte Ansätze mit dokumentierten risikobasierten Methodologien.

Häufige Missverständnisse über Cyber-Risiko-Quantifizierung

„Quantitative Ansätze sind zu komplex."

Viele Sicherheitsführer nehmen an, dass quantitative Risikoanalyse fortgeschrittene Mathematik oder dedizierte Data Scientists erfordert. In der Realität sind Frameworks wie FAIR für praktische Geschäftsanwendung konzipiert. Die Komplexität liegt nicht in den Berechnungen, sondern im strategischen Denken über Risikoszenarien.

„Wir haben nicht genug Daten."

Ihre Organisation hat bereits große Mengen an Daten. Es geht darum, jede Menge von Daten für das Problem zu kontextualisieren, das Sie zu lösen versuchen. Douglas Hubbard, Autor von „How to Measure Anything", schrieb: „Wenn Sie fast nichts wissen, wird Ihnen fast alles etwas sagen."

„Was wir tun, ist schneller."

Während anfängliche qualitative Bewertungen schneller erscheinen mögen, verschwindet dieser Geschwindigkeitsvorteil über die Zeit. Quantitative Frameworks helfen Ihnen, wiederverwendbare Modelle zu erstellen, die zukünftige Bewertungen beschleunigen.

„Während die Vorteile der Cyber-Risiko-Quantifizierung überzeugend sind, liegt die Herausforderung in der Implementierung."

Hier glänzt der internationale Standard für quantitative Modelle Factor Analysis of Information Risk (FAIR). Es ist ein Modell, das beschreibt, was Risiko ist und wie man es quantifiziert. Der Standard etabliert eine Taxonomie und Methodik, die von Risiko- und Sicherheitsteams angepasst werden kann, um Cyber-Risiko parallel zu ihrem aktuellen Risikomanagement-Programm zu messen und zu managen.

Anpassung der Cyber-Risiko-Quantifizierung an Ihre Branche

Während die Prinzipien quantitativer Risikobewertung konsistent bleiben, können verschiedene Branchen von maßgeschneiderten Ansätzen profitieren. Das Verständnis dieser sektorspezifischen Überlegungen hilft Organisationen, Frameworks zu implementieren, die ihre kritischsten Geschäftsrisiken addressieren.

Finanzdienstleistungen

Hacktivisten beanspruchten die Verantwortung für über 15.000 DDoS-Angriffe auf Finanzinstitutionen im Jahr 2024, was eine 20%ige Steigerung gegenüber dem Vorjahr markiert. Banken und Finanzdienstleister müssen ihre Zahlungsdienste am Laufen halten. Schlüssel-Quantifizierungsfokusse umfassen:

• Regulatorische Anforderungen und Stresstesting-Szenarien

• Kontrollücken für Transaktionsverarbeitungsstörungen

• Regulatorische Strafen wie DORA- oder GDPR-Bußgelder

• Drittanbieter-Risiko in Zahlungsverarbeitungsketten

Gesundheitswesen

Der Gesundheitssektor sieht sich weiterhin steigenden Risiken von Cyber-Bedrohungen gegenüber, besonders in Form von Ransomware und Hacking-Vorfällen, berichtet der HIPAA Journal's 2024 Healthcare Data Breach Report. Allein 2024 wurden über 275 Millionen Gesundheitsdatensätze in den USA exponiert, gestohlen oder unsachgemäß offengelegt.

Gesundheitsunternehmen können von Risikoquantifizierung profitieren bei der Bewertung von:

• Patientenversorgungsstörungskosten und potenzielle Sicherheitsvorfälle

• HIPAA-Verletzungsstrafen und rechtliche Exposition

• Medizingerätesicherheit und FDA-Compliance-Anforderungen

• Drittanbieter- und Lieferantenrisiko

Einzelhandel und E-Commerce

Einzelhändler und ECommerce-Plattformen stehen vor steigenden Cyber-Risiken, die direkt Umsatz, Kundenvertrauen und operative Kontinuität bedrohen. Im April 2025 verlor Marks & Spencer fast sechs Wochen Online-Verkäufe aufgrund eines Ransomware-Angriffs, mit einem resultierenden Gewinnrückgang von 300 Millionen £.

Einzelhandelsunternehmen können von Risikoquantifizierung profitieren bei der Bewertung von:

• Kosten von E-Commerce-Plattform-Ausfallzeiten während Spitzen-Einkaufsperioden

• Payment Card Industry (PCI) Compliance-Verletzungen

• Kundendaten-Verletzungen und Markenreputationsschäden

• Drittanbieter- und Bestandsmanagementsystem-Störungen

Diese branchenspezifischen Ansätze stellen sicher, dass quantitative Modelle die tatsächlichen Geschäftskonsequenzen widerspiegeln, die wichtig sind, und machen Risikokommunikation relevanter und umsetzbarer für Entscheidungsträger.

Aufbau eines ganzheitlichen Ansatzes mit Cyber-Risiko-Quantifizierung

Methoden wie FAIR ergänzen die Arbeit, die Sicherheitsteams bereits tun. Der Zweck der Quantifizierung ist es, Entscheidungsfindung zu helfen, indem Unsicherheit über Risiko reduziert wird.

Zum Beispiel, wenn ein Sicherheitsarchitekt versteht, dass eine bestimmte Schwachstelle zu einer Datenpanne führen könnte, hilft quantitative Analyse, dieses technische Wissen in spezifische finanzielle Projektionen zu übersetzen, die Geschäftsführer neben anderen Investitionsmöglichkeiten bewerten können. Die Expertise bleibt zentral, während sie von messbaren Daten und einer strukturierten Methodik unterstützt wird.

Was ist FAIR?

Das Factor Analysis of Information Risk (FAIR)-Framework wurde in den frühen 2000er Jahren von Jack Jones entwickelt, der zu der Zeit CISO für Nationwide Insurance war. FAIR wurde geschaffen, um die Beschränkungen zu addressieren, denen sich Sicherheitsfachleute gegenübersahen, wenn sie versuchten, effektiv mit Entscheidungsträgern zu kommunizieren.

Heute wird FAIR global von Unternehmen aller Größen und in allen Branchen implementiert. Es ergänzt die wichtigsten Cybersecurity- und Compliance-Frameworks wie ISO 27005, NIST CSF, EBIOS RM, SOC 2 und NIS2. Und hilft Organisationen, doppelte Compliance-Bemühungen zu vermeiden.

Entscheidungen mit dateninformiertem Risikomanagement unterstützen

Quantitative Methoden ignorieren nicht die Expertise, die qualitative Cyber-Risikobewertungen antreibt. Vielmehr bieten Methoden wie Cyber-Risiko-Quantifizierung mit FAIR eine Standardsprache, um die Vorteile des Wissens eines Sachverständigen innerhalb einer strukturierten Methodik zu maximieren, die Verzerrungen reduziert und das Vertrauen in Cybersecurity-Entscheidungen erhöht.