Wenn wir über Cybersicherheit sprechen, denken wir oft darüber nach, wie wir uns gegen Cyber-Bedrohungen und -Angriffe schützen können.

Es geht darum, was zu tun ist, um die Dinge sicher zu halten und was zu tun ist, wenn es schiefgeht. Aber woher weiß man, dass man Ziel eines Angriffs sein wird? Weshalb werden sie angegriffen? Wie viel Geld würde es kosten, das Unternehmen nach einem Cyberangriff wieder auf die Beine zu bringen?

Eine Risikobewertung der Cybersicherheit kann all diese Fragen beantworten. Daher ist die Bewertung einer der wichtigsten Punkte bei der Ausarbeitung einer Cybersicherheitsstrategie.

Was ist eine Cybersicherheitsrisikobewertung?

What-Is-Cybersecurity-Risk-Assessment

Eine Bewertung des Cybersecurity-Risikos ist ein Prozess, der dazu beiträgt, den Cybersecurity-Plan eines Unternehmens mit seinen Geschäftszielen und -vorgaben in Einklang zu bringen. Außerdem hilft sie, die Ziele besser zu verstehen und die verfügbaren/erforderlichen Ressourcen zu bewerten, um die Dinge am Laufen zu halten.

Der Bewertungsbericht deckt technisch gesehen alle möglichen Dinge für die Cybersicherheit ab. Er kann auch die Cyber-Resilienz der Organisation verbessern.

Angefangen bei den Bedrohungen bis hin zum Wert der Vermögenswerte und dem Versicherungsschutz. All diese Informationen sollten den Beteiligten und der Verwaltung dabei helfen, eine fundierte Entscheidung zu treffen, wenn das Risiko eines Cyberangriffs besteht (oder nach einem Vorfall).

Die Bedeutung der Risikobewertung für die Cybersicherheit

Importance-of-Risk-Assessment-in-Cybersecurity

Mit einer Risikobewertung erhalten Sie ein Bedrohungslayout, das Ihnen dabei hilft, die Wahrscheinlichkeit eines Angriffs, das potenzielle Ziel bösartiger Akteure gegen Ihr Unternehmen und den Schaden, der dadurch entsteht, zu ermitteln.

Sie sind nicht nur auf die Arten von Bedrohungen gegen Ihr Unternehmen beschränkt, sondern wissen auch, was diese anrichten können und wie sie sich auf Ihr Unternehmen auswirken.

So erhalten Sie ein umfassendes Bild davon, was Sie im Falle eines erfolgreichen Cyberangriffs auf Ihr Unternehmen tun können.

Mit anderen Worten: Die Bewertung des Cybersecurity-Risikos macht Ihnen das Ausmaß des mit einem Cyberangriff verbundenen Risikos bewusst. Und das hilft dem Unternehmen, seinen Stakeholdern und allen verantwortlichen Mitarbeitern des Unternehmens, sich darauf vorzubereiten, das Risiko zu minimieren und einen soliden Plan für alles zu haben.

Arten von Risikobewertungen

Types-of-Risk-Assessments

Während die Schritte für Cybersecurity-Risikobewertungen größtenteils Standard bleiben, unterscheiden sich die Arten von Bewertungen.

Die Art der Bewertung gibt Aufschluss darüber, worauf genau sich die Organisation bei der Bewertung der Sicherheitsanforderungen ihres Unternehmens konzentriert.

#1. Generische Bewertung

Eine auf einem Fragebogen basierende Bewertung befasst sich mit einfachen, aber effektiven Dingen, die Sicherheitsrisiken verringern.

Zum Beispiel den Stand der Passwortpolitik, die Art der implementierten Firewall, regelmäßige Sicherheits-Patches und Authentifizierungs-/Verschlüsselungsrichtlinien.

Dies kann zwar einfach und problemlos sein, ist aber nicht für alle Arten von Unternehmen geeignet. Dies könnte für eine Organisation mit begrenztem Vermögen und weniger sensiblen Daten geeignet sein.

#2. Qualitative Risikobewertung

Die qualitative Risikobewertung könnte ein wenig spekulativ sein, da sie davon abhängt, wer (eine Einzelperson oder eine Gruppe von Personen) den Hintergrund überprüft und Dinge wie Datenschutzverletzungen und finanzielle Risiken bespricht.

Es handelt sich dabei nicht um einen speziellen Bericht, sondern eher um eine “Brainstorming”-Sitzung für die für das Unternehmen verantwortlichen Personen auf höchster Ebene.

#3. Quantitative Risikobewertung

Bei der quantitativen Bewertung beschäftigen wir uns mit Daten und Erkenntnissen und berechnen das Risiko.

Diese Bewertung hilft bei größeren Organisationen, bei denen das finanzielle Risiko höher ist und die Datenbestände größer und wertvoller sind, eine breite Palette von Dingen abzudecken.

#4. Standortbezogene Risikobewertung

Die standortspezifische Risikobewertung konzentriert sich nur auf einen Anwendungsfall. Ganz gleich, ob es sich um einen Bereich des Unternehmens oder einen bestimmten Standort handelt, Sie könnten diese Art der Bewertung als nischenspezifisch betrachten.

Sie bewertet nur ein bestimmtes Netzwerk, eine Technologie und ähnliche statische Dinge. Sie können nicht erwarten, dass dies für den Rest des Unternehmens hilfreich ist.

#5. Dynamische Risikobewertung

Die dynamische Risikobewertung befasst sich mit den Risiken, die sich in Echtzeit ändern.

Damit sie wirksam ist, muss das Unternehmen die Bedrohungen/Angriffe überwachen und bekämpfen, sobald sie auftreten.

Schritte zur Durchführung einer Cybersecurity-Risikobewertung

cybersecurity evaluation assessment

Die Schritte zur Durchführung der Bewertung hängen von der Organisation und den Ressourcen ab, die sie für die Durchführung zur Verfügung hat.

Sie sind zwar fast identisch, können aber für verschiedene Organisationen ein wenig abgewandelt werden. Zum Beispiel die Anzahl der Schritte und wie sie jeden Schritt kategorisieren und priorisieren.

Im Folgenden erläutern wir die neun Schritte, die es uns ermöglichen, auf alle Details einzugehen, die Ihnen dabei helfen sollten, eine korrekte Bewertung der Cybersicherheitsrisiken vorzunehmen.

#1. Identifizieren Sie Ihre Vermögenswerte

Identify-Your-Assets

Die Identifizierung der Vermögenswerte in Ihrem Unternehmen ist entscheidend und sollte Priorität haben.

Zu den Vermögenswerten können Hardware (Laptops, Telefone, USB-Laufwerke), Software (kostenlos oder lizenziert), Dateien, PDF-Dokumente, die Infrastruktur für die Stromversorgung und andere Dinge wie Papierdokumente gehören.

Gelegentlich müssen Sie vielleicht auch die Online-Dienste, auf die die Organisationen angewiesen sind, zu den Assets zählen, da diese indirekt/direkt einige der Abläufe in der Organisation beeinflussen.

Zum Beispiel die Cloud-Speicherlösung, die Sie zum Speichern von Dokumenten verwenden.

#2. Identifizieren Sie Ihre Bedrohungen

Anhand Ihrer Assets können Sie die potenziellen Bedrohungen identifizieren, die mit diesen Assets verbunden sein könnten.

Aber wie machen Sie das? Am einfachsten ist es, wenn Sie sich über Trends und Nachrichten zu Cyberbedrohungen auf dem Laufenden halten. So kann sich ein Unternehmen über alles informieren, was an der Oberfläche liegt.

Als nächstes können sie Bedrohungsbibliotheken, Wissensdatenbanken und Ressourcen der Regierung oder der Sicherheitsbehörden nutzen, um sich über alle Arten von Cyber-Bedrohungen zu informieren.

Letztendlich können Sie auch die Hilfe von Frameworks wie der Cyber Kill Chain in Anspruch nehmen, um zu bewerten, welche Schritte Sie unternehmen müssen, um Ihre Assets vor diesen Bedrohungen zu schützen.

#3. Bewerten Sie Ihre Schwachstellen

Assess-Your-Vulnerabilities

Da Sie nun Ihre Assets und deren potenzielle Bedrohungen kennen, stellt sich die Frage, wie sich ein Angreifer Zugang zu ihnen verschaffen kann

Wenn Ihre Geräte, Ihr Netzwerk oder andere Ressourcen Schwachstellen aufweisen, könnte ein böswilliger Akteur diese ausnutzen, um sich unbefugt Zugang zu verschaffen.

Die Schwachstellen können im Betriebssystem eines Laptops, eines Telefons, einer Unternehmensportal-Website oder eines Online-Kontos liegen. Alles kann zu Sicherheitslücken führen. Selbst ein einfaches Passwort, das leicht zu knacken ist, zählt als Sicherheitslücke.

Weitere Informationen finden Sie im Katalog der von der Regierung ausgenutzten Sicherheitslücken.

Ganz gleich, ob es sich um etwas innerhalb des Systems oder um etwas von außen handelt, Sicherheitslücken können überall auftreten. Daher sollten Sie Maßnahmen ergreifen, um allgemeine/bekannte Schwachstellen zu beseitigen.

#4. Berechnen Sie Ihr Risiko

Das Risiko wird anhand der Bedrohung, der Anfälligkeit und des Wertes des Assets berechnet.

Risiko = Bedrohung x Anfälligkeit x Wert

Wenn Sie das Risiko bewerten, bezieht es sich auf die Wahrscheinlichkeit, dass eine Bedrohung das Unternehmen betrifft.

Es ist keine Raketenwissenschaft, dass das Risiko umso höher ist, je höher die Wahrscheinlichkeit ist. Es lässt sich jedoch nicht genau vorhersagen, da sich die Bedrohungslandschaft ständig ändert.

Daher sollte stattdessen die Risikostufe berechnet werden, die angibt, wie hoch das Risiko ist, wenn etwas ausgenutzt wird. Das Niveau kann bestimmt werden, indem man erörtert, welcher Vermögenswert wertvoller ist und welche Auswirkungen es für das Unternehmen hätte, wenn derselbe Vermögenswert kompromittiert oder gestohlen wird

Dies kann von Unternehmen zu Unternehmen unterschiedlich sein. So könnte beispielsweise eine PDF-Datei für ein bestimmtes Unternehmen eine öffentlich zugängliche Information sein, während sie für ein anderes Unternehmen höchst vertraulich sein könnte.

#5. Priorisieren Sie Ihre Risiken

Prioritize-Your-Risks

Sobald Sie die Risikostufen eingeschätzt haben, ist es einfach, diese zu priorisieren.

Auf welchen Schutz sollten Sie sich zuerst konzentrieren? Die Art des Angriffs, der am wahrscheinlichsten ist, und der Angriff, der den größten Schaden anrichten kann, richtig?

Wie alles andere auch, kann dies subjektiv sein. Aber wenn Sie die Risiken kategorisieren können, können Sie eine Prioritätenliste erstellen.

Das kann auf eine der folgenden Weisen geschehen:

  • Sie ordnen die Risiken nach dem Wert, der mit ihnen verbunden ist.
  • Filtern Sie die Risiken auf der Grundlage von Hardware, Software und anderen externen Faktoren wie Ihren Lieferanten, Versanddiensten usw.
  • Sie filtern die Risiken, indem Sie vorhersagen, wie Sie vorgehen werden, wenn ein bestimmtes Risiko eintritt.

Erlauben Sie mir, die drei Punkte hier zu verdeutlichen:

Wenn ein Risiko mit 1 Million Dollar bewertet wird, hat ein anderes Risiko einen Wert von 1 Milliarde Dollar. Letzterem wird natürlich mehr Aufmerksamkeit gewidmet.

Wenn Ihre Geschäftsziele von der Hardware und nicht von externen Faktoren abhängen, dann geben Sie ihnen eine höhere Priorität.

Ähnlich verhält es sich, wenn ein bestimmtes Risiko ein großes Unternehmen erfordert, das eine höhere Priorität haben sollte.

#6. Kontrollen implementieren

Wenn wir über die Implementierung von Kontrollen sprechen, sind damit die Sicherheitsmaßnahmen gemeint, die zur Bewältigung der Risiken beitragen.

Die Kontrollen können dazu beitragen, das Risiko zu verringern und manchmal auch zu beseitigen.

Ganz gleich, ob es um die Durchsetzung von Zugriffskontrollen, strenge Passwortrichtlinien oder eine Firewall geht, alle Maßnahmen helfen Ihnen, das Risiko zu verwalten.

#7. Überwachen und Verbessern

Alle Assets, Schwachstellen und potenziellen Risiken müssen überwacht werden, um Verbesserungspotenziale zu identifizieren.

In Anbetracht der Tatsache, dass sich Cybersecurity-Bedrohungen weiterentwickeln und eine solide Sicherheitsstrategie zunichte machen können, ist es wichtig, dass alle Vorkehrungen regelmäßig überprüft werden.

Ja, Sicherheitsaudits sind hilfreich, aber man darf nicht aufhören zu überwachen, nachdem man bei einem Audit gute Ergebnisse erzielt hat.

Wenn Sie nicht überwachen, sind Sie weniger gut gegen Cyber-Bedrohungen gewappnet.

#8. Compliance und Vorschriften

Compliance-and-Regulations

Auch wenn die Durchführung einer Cybersicherheitsbewertung natürlich dazu führt, dass sich Ihr Unternehmen an bestimmte Standards und Gesetze hält, sollten Sie sich darüber genauer informieren.

Sie sollten Ihre Bewertung nicht nach einer Compliance-Anforderung vornehmen, sondern die Bewertung durchführen und dann Anpassungen vornehmen, um die Compliance-Anforderungen zu erfüllen, die es Ihnen ermöglichen, ohne gegen Gesetze oder Standards zu verstoßen.

So ist beispielsweise die Einhaltung des HIPAA erforderlich, wenn Ihr Unternehmen in den Vereinigten Staaten mit Informationen aus dem Gesundheitswesen arbeitet.

Informieren Sie sich über die gesetzlichen Anforderungen in der Region, in der Ihr Unternehmen angesiedelt ist, und arbeiten Sie dann daran.

#9. Kontinuierliche Verbesserung

Ganz gleich, wie gut die Maßnahmen, Kontrollen und die Bedrohungsforschung sind – es läuft immer darauf hinaus, dass man sich ständig bemüht, sie zu verbessern.

Wenn ein Unternehmen nicht bereit ist, Dinge zu überprüfen, zu verbessern oder kleine Änderungen vorzunehmen, um Dinge zu korrigieren/verbessern, kann die Cybersicherheitsstrategie schneller scheitern als erwartet.

Risikobewertung der Cybersicherheit ist unerlässlich

Die Bewertung von Cybersecurity-Risiken ist für alle Arten von Unternehmen wichtig.

Egal, ob sie groß oder klein ist, ob sie sich auf weniger oder mehr Online-Dienste stützt – es ist wichtig. Die Bewertung hilft dem Administrator, den Interessenvertretern oder Anbietern, die mit der Organisation verbunden sind, zu wissen, welche Ressourcen benötigt werden, um die Dinge sicher zu halten und bereit zu sein, den Schaden nach einem Cyberangriff zu minimieren.

Sie können auch die Cybersecurity-Checkliste für kleine und mittlere Unternehmen lesen.