Mit der fortschreitenden Digitalisierung nehmen auch die Cyberbedrohungen zu. Das erfordert von Unternehmen vermehrte Investitionen in Cybersicherheit, um die Gefahren erfolgreich abzuwehren. Dabei stellt sich die Frage, ob Unternehmen ihre Ressourcen so effektiv und effizient wie möglich einsetzen. 

Traditionelle Verfahren weisen Schwächen auf

Viele Unternehmen bewerten ihre Cyberrisiken mit traditionellen qualitativen Methoden. Diese liefern oftmals wenig genaue und nicht vergleichbare Ergebnisse, die sich zudem nicht aggregieren lassen (z. B. auf der Unternehmens- oder Konzernebene). Sie sind außerdem häufig nur für Menschen mit technischem Wissen verständlich. Das behindert eine effektive Kommunikation zwischen den Experten für Cybersicherheit und anderen Funktionen im Unternehmen, etwa mit CFO und CEO.

Eine Quantifizierung von Cyberrisiken kann die beschriebenen Schwächen lösen. Sie beruht auf einer einheitlichen Risikotaxonomie und einer statistisch belastbaren Modellierung von Risikoszenarien, die empirische Daten und nachvollziehbare Schätzungen heranzieht. 

Im englischsprachigen Whitepaper „Cyber risk modelling and quantification“ stellen wir diesen Ansatz vor. Er liefert den Entscheidungsträgern in verständlicher Form die notwendigen Informationen, um bessere Entscheidungen für Cyberinvestitionen zu treffen.

Den Weg des Feindes kennen - den wirksamsten Schutz wählen

Unser Konzept beruht auf drei entscheidenden Schritten, die wir im Whitepaper darstellen: 

  • Die Risikokontrollen in drei Kategorien unterteilen
  • Für jede Kontrolle die Wirksamkeit quantitativ bewerten (in Prozent)
  • Bedrohungsszenarien modellieren 

An einem Beispiel zeigen wir auf, wie sich Cyberrisiken quantifizieren und mögliche Angriffspfade modellieren lassen. Damit kann ermittelt werden, in welchem Umfang unterschiedliche Kontrollen jeweils die Wahrscheinlichkeit reduzieren, dass ein bestimmtes Bedrohungsszenario eintritt.

Auf dieser Grundlage können Unternehmen ihre Cyberinvestitionen nach einem Return-on-Investment-Ansatz planen, optimieren und messen. Damit soll das Ziel erreicht werden, Bedrohungen schnell zu beseitigen und Auswirkungen auf Kunden und den Geschäftsbetrieb möglichst gering zu halten

Sie können „Cyber risk modelling and quantification“ hier herunterladen.