Skip to content

CyberSecurity

Cyber Versicherung

Sofortiger Versicherungsschutz
Cyber-Training
99% Kundenzufriedenheit

CyberVersicherungSExperte

Haben Sie Fragen? Wünschen Sie eine individuelle Beratung oder möchten Sie sich über die Cyber-Versicherung informieren?

Christian Domke ist für Sie da!

christian-domke

Christian Domke

Ihr Experte für Cyber-Versicherungen
5/5

RISIKOBEWERTUNG

Cyber-Services-Netzwerk

Dieser umfassende Ansatz bietet Zugang zu Cyber-Experten, die Kunden bei der Identifizierung von Risiken und der Entwicklung von Sicherheitsmaßnahmen helfen, um ihr Unternehmen zu schützen und potenzielle Cyber-Angriffe zu entschärfen.

CyberSecurity

BEWERTUNG DER UNTERNEHMENSBEREICHE

Beseitigung von Deckungslücken und Überschneidungen

Das Cyber-Risiko nimmt viele Formen an, ebenso wie die Versicherungsverträge für einen Cyber-Vorfall. Nur weil Sie andere Versicherungen haben, die bei einem Cybervorfall aktiviert werden können, haben Sie wahrscheinlich Lücken, welche Schäden diese tatsächlich zahlen, und möglicherweise gibt es auch Überschneidungen in der Deckung. Als Makler, die sich auf Cyber-Versicherungen spezialisiert haben, erklären wir Ihnen, welche Deckungen Sie wirklich benötigen und wie Ihre anderen Policen auf Cyber-Vorfälle reagieren – und in welchen Fällen sie es nicht tun.

RISIKOTRANSFER

Cyber-Versicherung

Um sich gegen diese komplexe Welt der Risiken abzusichern, können Sie sich vorstellen, dass Cyber-Versicherungen komplex sind, mit neuen und sich ständig weiterentwickelnden Versicherungsprodukten. Unser Team bewertet und verhandelt in Ihrem Auftrag ständig die Versicherungsdeckung, um Verbesserungen bei diesen Produkten umzusetzen.

REAKTION AUF VORFÄLLE

Kompetenz bei der Reaktion auf Angriffe und Schadensfälle

Es ist oft eine Frage des „wann“ und nicht des „ob“ ein Cyber-Angriff stattfinden wird. Der beste Weg, die Kosten und Auswirkungen eines Cyber-Angriffs zu mindern, besteht darin, schnell und effizient zu reagieren. Wir haben spezielle Cyber-Schadenexperten, die Sie bei der Abwehr eines Cyber-Angriffs unterstützen, um eine schnelle Wiederherstellung zu gewährleisten und Ihre Rechte unter allen verfügbaren Versicherungen zu bewahren.

Möchten Sie mehr über den Schutz Ihres Unternehmens mit einer Cyber-Versicherung und anderen damit verbundenen Cyber-Services erfahren?

Senden Sie eine E-Mail an unseren Cyber Versicherung Experten, Christian Domke.

CyberBlog

Cloud Access Security Broker

Was ist ein CASB? (Cloud Access Security Broker)

Definition von CASB, Cloud Access Security Broker CASBs oder Cloud Access Security Broker wurden 2012 von der Firma
Mehr lesen
Bring Your Own Device

Was ist Bring Your Own Device (BYOD)?

Definitionen von BYOD Bring Your Own Device (BYOD) bezieht sich auf den Standard, dass Mitarbeiter persönliche Geräte verwenden,
Mehr lesen
Sicherheitsingenieur

Wie wird man ein Sicherheitsingenieur?

Sicherheitsingenieur: Ein kompletter Karriere Guide Sicherheitsingenieure, oder Informationssicherheitsingenieure, besetzen eine technische Rolle innerhalb eines Unternehmens oder einer Organisation.
Mehr lesen
Datenschutzverletzungen
Datenschutzprobleme
Cyber-Störungen
Betriebsstörungen
Cyber-Erpressung
GDPR
CCPA
Cyber-Terrorismus

Ratgeber zur Cyber-Versicherung

Nahezu täglich tauchen neue Cyber-Bedrohungen auf, die alle Unternehmensgrößen – von kleinen Unternehmen bis hin zur Bundesregierung – betreffen. Diejenigen, die sich keine Gedanken über die Cyber-Versicherung machen und nicht wissen, wie sie dagegen vorgehen sollen, können gezwungen sein, sich mit einem Problem zu befassen, wenn sie es am wenigsten erwarten. Für einen neuen Versicherten, der eine Cyber-Versicherung abschließt, kann der Bewertungs- und Entscheidungsprozess schwer zu verstehen sein. Um Ihnen zu helfen, haben wir einen Ratgeber für den Abschluss einer Cyber-Versicherung erstellt.

Eine Cyber-Versicherung ist unerlässlich

Die Chancen stehen gut, dass Ihr Unternehmen eine große Menge personenbezogener Daten speichert oder damit arbeitet und dabei auf moderne Technologien angewiesen ist. Wenn Sie in einer stark regulierten Branche wie dem Gesundheits- oder Finanzwesen tätig sind, müssen Sie die Datensicherheitsbestimmungen einhalten oder mit Strafen rechnen. Unabhängig von Ihrer Branche ist eine Cyber-Versicherung oft eine vertragliche Anforderung und ein wichtiger Teil der Sorgfaltspflicht Ihres Unternehmens. Aus all diesen Gründen (und mehr) ist eine Cyber-Versicherung ein notwendiger Bestandteil der heutigen Versicherungsstrategie.

8 Gründe für den Abschluss einer Cyber-Versicherung

1. Sie sind beim Geschäftsbetrieb auf moderne Technologien angewiesen: Da Unternehmen immer mehr Technologie einsetzen, um ihren Geschäftsbetrieb aufrechtzuerhalten, schafft diese Abhängigkeit ein Cyber-Risiko. Sollte die Technologie nicht mehr verfügbar sein, können die daraus resultierenden geschäftlichen Auswirkungen mit einer Cyber-Versicherung gemildert werden.

2. Sie müssen gesetzliche Vorschriften einhalten: Weltweit gibt es eine Reihe von Vorschriften zum Schutz der Privatsphäre von Verbrauchern, wie z. B. die GDPR in Europa und die CCPA in Kalifornien. Stark regulierte Branchen wie das Gesundheitswesen und das Finanzwesen sind nicht mehr die einzigen Branchen, die mit dem Risiko von Strafen für Versäumnisse bei der Einhaltung von CyberSecurity und Datenschutz konfrontiert sind. Die Cyber-Versicherung deckt behördliche Strafen und Bußgelder ab.

3. Ihr Unternehmen verfügt über eine große Menge an personenbezogenen Daten: Das Sammeln, Verarbeiten und Speichern großer Mengen personenbezogener Daten von Kunden oder Mitarbeitern unterliegt bei vielen Unternehmen den landesspezifischen Gesetzen für Datenschutzverletzungen. Eine Cyber-Versicherung kann dabei helfen, die Kosten für die Einhaltung von Landes-, Bundes- und internationalen Gesetzen zu decken.

4. Es ist ein Teil der Sorgfaltspflicht Ihres Aufsichtsrates: Viele Aufsichtsräte haben ein starkes Interesse an der CyberSecurity als Teil ihrer Aufsichtsfunktion über das Unternehmen entwickelt. Eine Cyber-Versicherung ist für einen sorgfältigen Vorstand von höchster Bedeutung.

5. Es ist ein Schutz, wenn die CyberSecurity versagt: Jeder CISO wird Ihnen sagen, dass Netzwerksicherheit wichtig ist, aber keiner wird sagen, dass seine Netzwerksicherheit unangreifbar ist. Wenn die Sicherheit versagt, ist eine Cyber-Versicherung ein wichtiger Rückhalt, den man haben sollte.

6. Es ist eine vertragliche Anforderung: In vielen Verträgen mit Anbietern oder Kunden wird der Abschluss einer Cyber-Versicherung verlangt, bevor der Vertrag ausgeführt wird.

7. Sie beinhaltet einen schlüsselfertigen Reaktionsplan für Vorfälle: Cyber-Versicherungen werden mit einem Team von Anbietern geliefert, die sich auf die Reaktion auf einen Vorfall spezialisiert haben – von der Rechtsberatung bis hin zu IT-Forensik, Verbraucherbenachrichtigung, On-Demand-Call-Centern und Spezialisten für die Öffentlichkeitsarbeit.

8. Serviceleistungen vor dem Schadensfall sind Teil der Versicherung: Viele Cyber-Versicherungen bieten Serviceleistungen zur Risikominderung vor einem Schadensfall, die in der Prämie enthalten sind oder mit einem Rabatt angeboten werden. Diese Sicherheitsinstrumente und Best Practices können die Ausgaben für Sicherheit kompensieren und bieten einen erheblichen Wert, insbesondere für kleine und mittlere Unternehmen.

So führen Sie eine IT-Risikobewertung zur Cybersicherheit durch: Schritt-für-Schritt-Anleitung

Bei einer Cybersicherheits-Risikobewertung geht es darum, Cyber-Risiken in Ihrem Unternehmen zu verstehen, zu verwalten, zu kontrollieren und zu mindern. Sie ist ein entscheidender Teil der Risikomanagement-Strategie und der Datenschutzbemühungen eines jeden Unternehmens.

Risikobewertungen sind nichts Neues, und ob Sie es wollen oder nicht, wenn Sie im Bereich der Informationssicherheit arbeiten, sind Sie im Bereich des Risikomanagements tätig. In dem Maße, in dem sich Unternehmen bei ihrer Geschäftstätigkeit auf Informationstechnologie und Informationssysteme verlassen, steigen auch die damit verbundenen Risiken, die es früher nicht gab.

Das National Institute of Standards and Technology (NIST) hat ein CyberSecurity Framework entwickelt, um eine Basis für Best Practices zu schaffen.

Was ist ein Cyber-Risiko?

Das Risiko ist die Wahrscheinlichkeit eines Reputations- oder finanziellen Verlustes und kann von null, niedrig, mittel bis hoch gemessen werden. Die drei Faktoren, die in eine Risiko-Schwachstellenbewertung einfließen, sind:
 
  • Was ist die Bedrohung? 
  • Wie verwundbar ist das System?
  • Wie hoch ist der Reputations- oder finanzielle Schaden, wenn das System verletzt wird oder nicht mehr verfügbar ist?

Daraus ergibt sich ein Cyber-Risiko wie folgt: Cyber-Risiko = Bedrohung x Verwundbarkeit x Informationswert

Stellen Sie sich vor, Sie müssten das Risiko eines Cyber-Angriffs auf ein bestimmtes Betriebssystem bewerten. Dieses Betriebssystem hat eine bekannte Hintertür in der Version 1.7 seiner Software, die leicht mit physischen Mitteln ausgenutzt werden kann, und speichert darauf Informationen von hohem Wert. Wenn Ihr Büro keine physischen Sicherheitsvorkehrungen hat, wäre das Risiko hoch. 
 
Wenn Sie jedoch über gute IT-Mitarbeiter verfügen, die Schwachstellen erkennen können, und diese das Betriebssystem auf Version 1.8 aktualisieren, ist Ihr Risiko gering, obwohl der Informationswert immer noch hoch ist, da die Hintertür in Version 1.8 gepatcht wurde.
 
Ein paar Dinge sollten Sie bedenken: Es gibt nur sehr wenige Dinge, bei denen das Risiko für einen Geschäftsprozess oder ein Informationssystem gleich null ist, und Risiko impliziert Unsicherheit. Wenn etwas garantiert eintreten wird, ist es kein Risiko. Es ist ein Teil des allgemeinen Geschäftsbetriebs.
 

Was ist eine Cyber-Risikobewertung?

 
Cyber-Risikobewertungen werden von der NIST als Risikobewertungen definiert, die dazu dienen, Risiken für organisatorische Abläufe, organisatorische Vermögenswerte, Einzelpersonen, andere Organisationen und die Nation zu identifizieren, abzuschätzen und zu priorisieren, die sich aus dem Betrieb und der Nutzung von Informationssystemen ergeben. 
 
Der Hauptzweck einer Cyber-Risikobewertung besteht darin, die Entscheidungsträger zu informieren und angemessene Risikoreaktionen zu unterstützen. Sie liefern auch eine Zusammenfassung, die Führungskräften und Geschäftsführern hilft, fundierte Entscheidungen über die Sicherheit zu treffen. Der Prozess der Risikobewertung der Informationssicherheit befasst sich mit der Beantwortung der folgenden Fragen:
 
Was sind die wichtigsten informationstechnischen Vermögenswerte unseres Unternehmens?
  • Welche Datenverletzungen hätten einen großen Einfluss auf unser Unternehmen, sei es durch Malware, Cyberangriffe oder menschliches Versagen? Denken Sie an Kundeninformationen.
  • Was sind die relevanten Bedrohungen und die Bedrohungsquellen für unser Unternehmen?
  • Welches sind die internen und externen Schwachstellen?
  • Was sind die Auswirkungen, wenn diese Schwachstellen ausgenutzt werden?
  • Wie hoch ist die Wahrscheinlichkeit einer Ausnutzung?
  • Welche Cyber-Angriffe, Cyber-Bedrohungen oder Sicherheitsvorfälle könnten sich auf die Funktionsfähigkeit des Unternehmens auswirken?
  • Wie hoch ist das Risiko, das mein Unternehmen bereit ist einzugehen?
Wenn Sie diese Fragen beantworten können, sind Sie in der Lage zu bestimmen, was Sie schützen müssen. Das bedeutet, dass Sie IT-Sicherheitskontrollen und Datensicherheitsstrategien entwickeln können, um das Risiko zu mindern. Bevor Sie das jedoch tun können, müssen Sie die folgenden Fragen beantworten:
 
  • Was ist das Risiko, das ich reduzieren möchte?
  • Ist dies das Sicherheitsrisiko mit der höchsten Priorität?
  • Reduziere ich das Risiko auf die kosteneffektivste Weise?
 
Dies hilft Ihnen, den Informationswert der Daten zu verstehen, die Sie zu schützen versuchen, und ermöglicht es Ihnen, Ihren Informations- Risikomanagementprozess im Rahmen des Schutzes von Geschäftsanforderungen besser zu verstehen.
 

Wozu eine Cyber-Risikobewertung durchführen?

Es gibt mehrere Gründe, warum Sie eine Cyber-Risikobewertung durchführen möchten und einige Gründe, warum Sie dies tun müssen. Gehen wir sie kurz durch:
 
  • Reduzierung langfristiger Kosten: Die Identifizierung potenzieller Bedrohungen und Schwachstellen und die anschließende Arbeit an deren Minderung hat das Potenzial, Sicherheitsvorfälle zu verhindern oder zu reduzieren, was Ihrem Unternehmen langfristig Geld und/oder Reputationsschäden erspart
  • Bietet eine Vorlage für die Bewertung von Cyber-Sicherheitsrisiken für zukünftige Bewertungen: Cyber-Risiko-Bewertungen sind kein einmaliger Prozess, sondern müssen ständig aktualisiert werden; ein guter erster Durchlauf sorgt für wiederholbare Prozesse, auch bei Personalwechsel
  • Besseres organisatorisches Wissen: Die Kenntnis der organisatorischen Schwachstellen gibt Ihnen eine klare Vorstellung davon, wo sich Ihr Unternehmen verbessern muss
  • Vermeiden Sie Datenverletzungen: Datenschutzverletzungen können enorme finanzielle und rufschädigende Auswirkungen auf jedes Unternehmen haben
  • Vermeiden Sie regulatorische Probleme: Kundendaten, die gestohlen werden, weil Sie HIPAA, PCI DSS oder APRA CPS 234 nicht eingehalten haben
  • Vermeiden Sie Anwendungsausfallzeiten: Interne oder kundenorientierte Systeme müssen verfügbar und funktionsfähig sein, damit Mitarbeiter und Kunden ihre Aufgaben erledigen können
  • Datenverlust: Der Diebstahl von Geschäftsgeheimnissen, Code oder anderen wichtigen Informationen könnte bedeuten, dass Sie Ihr Geschäft an Wettbewerber verlieren
Darüber hinaus sind Cyber-Risikobewertungen integraler Bestandteil des Informationsrisikomanagements und der umfassenderen Risikomanagementstrategie eines jeden Unternehmens. 
 

Wer sollte eine Cyber-Risikobewertung durchführen?

Idealerweise hat Ihr Unternehmen internes Personal, das damit umgehen kann. Das bedeutet, dass Sie über IT-Mitarbeiter verfügen, die verstehen, wie Ihre digitale und Netzwerkinfrastruktur funktioniert, sowie über Führungskräfte, die wissen, wie Informationen fließen, und über jegliches firmeneigenes Wissen, das bei der Bewertung nützlich sein könnte. Organisatorische Transparenz ist der Schlüssel zu einer gründlichen Cyber-Risikobewertung.
 
Kleine Unternehmen verfügen möglicherweise nicht über die richtigen Mitarbeiter, um eine gründliche Bewertung durchzuführen, und müssen die Bewertung an einen Dritten auslagern. Unternehmen wenden sich auch an Cybersecurity-Software, um ihren Cybersecurity-Score zu überwachen, Verstöße zu verhindern, Sicherheitsfragebögen zu versenden und das Risiko von Dritten zu reduzieren.
 

Wie man eine Cyber-Risikobewertung durchführt

Wir beginnen mit einem Überblick auf hoher Ebene und gehen in den nächsten Abschnitten auf die einzelnen Schritte ein. Bevor Sie mit der Risikobewertung und -minderung beginnen, müssen Sie verstehen, welche Daten Sie haben, über welche Infrastruktur Sie verfügen und welchen Wert die Daten haben, die Sie zu schützen versuchen. Sie können damit beginnen, Ihre Daten zu überprüfen, um die folgenden Fragen zu beantworten:
 
  • Welche Daten sammeln wir?
  • Wie und wo speichern wir diese Daten?
  • Wie schützen und dokumentieren wir die Daten?
  • Wie lange bewahren wir die Daten auf?
  • Wer hat intern und extern Zugriff auf die Daten?
Ist der Ort, an dem wir die Daten speichern, richtig gesichert? Viele Sicherheitsverletzungen kommen von schlecht konfigurierten S3-Buckets, überprüfen Sie Ihre S3-Berechtigungen oder jemand anderes wird es tun.
 
Als Nächstes sollten Sie die Parameter für Ihre Bewertung festlegen. Hier sind ein paar gute Einstiegsfragen, um den Anfang zu machen:
 
  • Was ist der Zweck der Bewertung?
  • Welchen Umfang hat die Bewertung?
  • Gibt es Prioritäten oder Einschränkungen, die ich beachten sollte und die die Bewertung beeinflussen könnten?
  • Zu wem muss ich im Unternehmen Zugang haben, um alle benötigten Informationen zu erhalten?
  • Welches Risikomodell verwendet die Organisation für die Risikoanalyse?
Viele dieser Fragen sind selbsterklärend. Was Sie wirklich wissen wollen, ist, was Sie analysieren werden, wer über das nötige Fachwissen verfügt, um eine ordnungsgemäße Bewertung durchzuführen, und ob es gesetzliche Anforderungen oder Budgetbeschränkungen gibt, die Sie beachten müssen.
 
Lassen Sie uns nun einen Blick darauf werfen, welche Schritte unternommen werden müssen, um eine gründliche Cyber-Risikobewertung durchzuführen, und Ihnen eine Vorlage für eine Risikobewertung zur Verfügung stellen.
 

Schritt 1: Bestimmen Sie den Informationswert

Die meisten Unternehmen verfügen nicht über ein unbegrenztes Budget für das Informationsrisikomanagement, daher ist es am besten, den Umfang auf die geschäftskritischsten Assets zu beschränken.

Um später Zeit und Geld zu sparen, sollten Sie einige Zeit damit verbringen, einen Standard für die Bestimmung der Wichtigkeit eines Assets zu definieren. Die meisten Unternehmen berücksichtigen den Wert des Assets, die rechtliche Stellung und die geschäftliche Bedeutung. Sobald der Standard formell in die Informationsrisikomanagement-Richtlinie des Unternehmens aufgenommen wurde, verwenden Sie ihn, um jedes Asset als kritisch, wichtig oder unwichtig einzustufen.

Es gibt viele Fragen, die Sie stellen können, um den Wert zu bestimmen:

  • Gibt es finanzielle oder rechtliche Strafen, die mit der Offenlegung oder dem Verlust dieser Informationen verbunden sind?
  • Wie wertvoll ist diese Information für einen Konkurrenten?
  • Könnten wir diese Informationen von Grund auf neu erstellen? Wie lange würde das dauern und welche Kosten wären damit verbunden?
  • Würde sich der Verlust dieser Informationen auf den Umsatz oder die Rentabilität auswirken?
  • Würde sich der Verlust dieser Daten auf das Tagesgeschäft auswirken? Könnten unsere Mitarbeiter ohne sie arbeiten?
  • Wie groß wäre der Reputationsschaden, wenn diese Informationen an die Öffentlichkeit gelangen würden?

Schritt 2: Identifizieren und Priorisieren von Assets

Der erste Schritt besteht darin, die zu bewertenden Assets zu identifizieren und den Umfang der Bewertung zu bestimmen. So können Sie Prioritäten für die zu bewertenden Assets setzen. Sie möchten vielleicht nicht jedes Gebäude, jeden Mitarbeiter, jede elektronische Datei, jedes Geschäftsgeheimnis, jedes Fahrzeug und jedes Stück Büroausstattung bewerten. Denken Sie daran, dass nicht alle Assets den gleichen Wert haben.
 
Sie müssen mit den Mitarbeitern und der Geschäftsleitung zusammenarbeiten, um eine Liste aller wertvollen Assets zu erstellen. Sammeln Sie für jeden Vermögenswert die folgenden Informationen, sofern zutreffend:
 
  • Software
  • Hardware
  • Daten
  • Schnittstelle
  • Endbenutzer
  • Persönliche Unterstützung
  • Verwendungszweck
  • Wichtigkeit
  • Funktionale Anforderungen
  • IT-Sicherheitsrichtlinien
  • IT-Sicherheitsarchitektur
  • Netzwerk-Topologie
  • Schutz der Informationsspeicherung
  • Informationsfluss
  • Technische Sicherheitskontrollen
  • Physische Sicherheitskontrollen
  • Sicherheit in der Umgebung

Schritt 3: Identifizieren von Cyber-Bedrohungen

 
Eine Cyber-Bedrohung ist jede Schwachstelle, die ausgenutzt werden könnte, um die Sicherheit zu verletzen und Ihrem Unternehmen Schaden zuzufügen oder Daten zu stehlen. Während Hacker, Malware und andere IT-Sicherheitsrisiken sofort ins Auge springen, gibt es viele andere Bedrohungen:
 
  • Naturkatastrophen: Überschwemmungen, Wirbelstürme, Erdbeben, Blitzschlag und Feuer können genauso viel zerstören wie jeder Cyber-Angreifer. Sie können nicht nur Daten, sondern auch Server verlieren. Denken Sie bei der Entscheidung zwischen Servern vor Ort und cloudbasierten Servern an die Möglichkeit von Naturkatastrophen.
  • Systemausfälle: Laufen Ihre kritischsten Systeme auf hochwertigen Geräten? Haben sie einen guten Support?
  • Menschliches Versagen: Sind Ihre S3-Buckets mit sensiblen Daten richtig konfiguriert? Verfügt Ihre Organisation über eine angemessene Ausbildung in Bezug auf Malware, Phishing und Social Engineering? Jeder kann versehentlich auf einen Malware-Link klicken oder seine Anmeldedaten in einen Phishing-Betrug eingeben. Sie müssen über starke IT-Sicherheitskontrollen verfügen, einschließlich regelmäßiger Datensicherungen, Passwort-Manager usw.
  • Gegnerische Bedrohungen: Drittanbieter, Insider, vertrauenswürdige Insider, privilegierte Insider, etablierte Hackerkollektive, Ad-hoc-Gruppen, Unternehmensspionage, Lieferanten, Nationalstaaten
Einige häufige Bedrohungen, die jedes Unternehmen betreffen, sind:
 
  • Unbefugter Zugriff: sowohl von Angreifern, Malware als auch durch Mitarbeiterfehler
  • Missbrauch von Informationen durch autorisierte Benutzer: typischerweise eine Insider-Bedrohung, bei der Daten ohne Genehmigung geändert, gelöscht oder verwendet werden
  • Datenlecks: Persönlich identifizierbare Informationen (PII) und andere sensible Daten, durch Angreifer oder durch schlechte Konfiguration von Cloud-Diensten
  • Datenverlust: Unternehmen verliert oder löscht versehentlich Daten im Rahmen eines schlechten Backups oder einer schlechten Replikation
  • Serviceunterbrechung: Umsatzverluste oder Reputationsschäden aufgrund von Ausfallzeiten
Nachdem Sie die Bedrohungen für Ihr Unternehmen identifiziert haben, müssen Sie deren Auswirkungen abschätzen.
 

Schritt 4: Identifizieren von Schwachstellen

Jetzt ist es an der Zeit, von dem, was „passieren könnte“, zu dem überzugehen, was eine Chance ist, zu passieren. Eine Schwachstelle ist eine Schwachstelle, die eine Bedrohung ausnutzen kann, um die Sicherheit zu verletzen, Ihr Unternehmen zu schädigen oder sensible Daten zu stehlen. Schwachstellen werden durch Schwachstellenanalysen, Audit-Berichte, die Schwachstellendatenbank des National Institute for Standards and Technology (NIST), Herstellerdaten, Incident Response Teams und Software-Sicherheitsanalysen gefunden.
 
Sie können organisatorische softwarebasierte Schwachstellen mit einem ordnungsgemäßen Patch-Management durch automatische Zwangsupdates reduzieren. Vergessen Sie aber nicht die physischen Schwachstellen. Die Chance, dass sich jemand Zugang zum Computersystem eines Unternehmens verschafft, wird durch einen Schlüsselkartenzugang reduziert. 
 

Schritt 5: Analysieren Sie die Kontrollen und implementieren Sie neue Kontrollen

Analysieren Sie die vorhandenen Kontrollen, um die Wahrscheinlichkeit einer Bedrohung oder Schwachstelle zu minimieren oder zu beseitigen. Kontrollen können durch technische Mittel wie Hardware oder Software, Verschlüsselung, Mechanismen zur Erkennung von Eindringlingen, Zwei-Faktor-Authentifizierung, automatische Updates, kontinuierliche Erkennung von Datenlecks oder durch nichttechnische Mittel wie Sicherheitsrichtlinien und physische Mechanismen wie Schlösser oder Schlüsselkartenzugang implementiert werden.
 
Kontrollen sollten als präventive oder detektive Kontrollen klassifiziert werden. Präventive Kontrollen versuchen, Angriffe zu stoppen, wie z. B. Verschlüsselung, Virenschutz oder kontinuierliche Sicherheitsüberwachung, während detektivische Kontrollen versuchen, festzustellen, wann ein Angriff stattgefunden hat, wie z. B. kontinuierliche Erkennung von Datenlecks.
 

Schritt 6: Berechnen Sie die Wahrscheinlichkeit und die Auswirkungen verschiedener Szenarien auf Jahresbasis

Jetzt, da Sie den Informationswert, die Bedrohungen, Schwachstellen und Kontrollen kennen, besteht der nächste Schritt darin, zu ermitteln, wie wahrscheinlich es ist, dass diese Cyber-Risiken eintreten und welche Auswirkungen sie haben, wenn sie eintreten. Es geht nicht nur darum, ob Sie irgendwann mit einem dieser Ereignisse konfrontiert werden könnten, sondern auch darum, wie groß das Erfolgspotenzial ist. Anhand dieser Daten können Sie dann bestimmen, wie viel Sie ausgeben müssen, um jedes Ihrer identifizierten Cyber-Risiken abzumildern.
 
Stellen Sie sich vor, Sie haben eine Datenbank, in der alle sensiblen Informationen Ihres Unternehmens gespeichert sind, und diese Informationen haben nach Ihren Schätzungen einen Wert von 100 Millionen Euro.
 
Sie schätzen, dass im Falle einer Sicherheitsverletzung mindestens die Hälfte Ihrer Daten preisgegeben würde, bevor sie eingedämmt werden könnte. Daraus ergibt sich ein geschätzter Verlust von 50 Millionen Euro. Sie gehen jedoch davon aus, dass dieser Fall unwahrscheinlich ist, d. h. dass er nur einmal in fünfzig Jahren eintritt. Daraus ergibt sich ein geschätzter Verlust von 50 Mio. € alle 50 Jahre oder, umgerechnet auf ein Jahr, 1 Mio. € jedes Jahr.
 
Somit ist ein Budget von 1 Mio. € pro Jahr zu rechtfertigen, um dies zu verhindern.
 

Schritt 7: Priorisierung der Risiken auf der Grundlage der Kosten für die Vermeidung gegenüber dem Informationswert

 
Verwenden Sie die Risikostufe als Grundlage und legen Sie Maßnahmen für die Geschäftsleitung oder andere verantwortliche Personen fest, um das Risiko zu mindern. Hier sind einige allgemeine Richtlinien:
 
  • Hoch – korrigierende Maßnahmen müssen so schnell wie möglich entwickelt werden
  • Mittel – Korrekturmaßnahmen innerhalb einer angemessenen Zeitspanne entwickeln
  • Niedrig – Entscheidung, ob das Risiko akzeptiert oder gemindert werden soll
 
Denken Sie daran, dass Sie jetzt den Wert des Assets bestimmt haben und wie viel Sie ausgeben könnten, um es zu schützen. Der nächste Schritt ist einfach: 
 
Wenn es mehr kostet, das Asset zu schützen, als es wert ist, macht es möglicherweise keinen Sinn, es mit einer präventiven Kontrolle zu schützen. Denken Sie daran, dass es nicht nur finanzielle Auswirkungen, sondern auch Auswirkungen auf den geschäftlichen Ruf geben kann, was ebenfalls zu berücksichtigen ist.
 
Berücksichtigen Sie auch: 
 
  • Organisatorische Richtlinien
  • Reputationsschaden
  • Durchführbarkeit
  • Vorschriften
  • Effektivität der Kontrollen
  • Sicherheit
  • Verlässlichkeit
  • Organisatorische Einstellung zum Risiko
  • Toleranz für Unsicherheit bezüglich der Risikofaktoren
  • Organisatorische Gewichtung von Risikofaktoren 

Schritt 8: Ergebnisse im Risikobewertungsbericht dokumentieren

Der letzte Schritt besteht darin, einen Risikobewertungsbericht zu erstellen, der das Management bei der Entscheidung über Budget, Richtlinien und Verfahren unterstützt. Für jede Bedrohung sollte der Bericht das Risiko, die Schwachstellen und den Wert beschreiben. Zusammen mit den Auswirkungen und der Wahrscheinlichkeit des Auftretens sowie Empfehlungen zur Kontrolle.
 
Während Sie diesen Prozess durcharbeiten, werden Sie verstehen, welche Infrastruktur Ihr Unternehmen betreibt, was Ihre wertvollsten Daten sind und wie Sie Ihr Unternehmen besser verwalten und sichern können. Anschließend können Sie eine Richtlinie zur Risikobewertung erstellen, die festlegt, was Ihr Unternehmen regelmäßig tun muss, um seine Sicherheitslage zu überwachen, wie Risiken angegangen und gemindert werden und wie Sie den nächsten Risikobewertungsprozess durchführen werden.
 
Unabhängig davon, ob Sie ein kleines Unternehmen oder ein multinationaler Konzern sind, ist das Informationsrisikomanagement das Herzstück der CyberSecurity.  Diese Prozesse helfen dabei, Regeln und Richtlinien festzulegen, die Antworten darauf geben, welche Bedrohungen und Schwachstellen Ihrem Unternehmen finanziellen und rufschädigenden Schaden zufügen können und wie diese abgemildert werden.
 
Im Idealfall sollte sich Ihr CyberSecurity-Score verbessern, wenn sich Ihre Sicherheitsimplementierungen verbessern und Sie auf die Inhalte Ihrer aktuellen Bewertung reagieren.