Cyber Risk Assessment

So bewerten Sie IT-Risiken richtig

14.04.2019
Von 
Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.
Die Bewertung von Cyber-Risiken gilt als schwierig oder gar unmöglich. Dennoch müssen Unternehmen handeln. Erfahren sie Lösungsansätze sowie Strategievorschläge von Experten.

Cyber-Risiken sind kaum kalkulierbar, da sich die IT-Landschaft und Technologie ständig verändern. Damit bieten sich auch den Angreifern immer neue Möglichkeiten. Auch nimmt der Vernetzungsgrad in und zwischen Unternehmen branchen- und länderübergreifend kontinuierlich zu, so dass die Angriffsflächen größer werden.

Jedes Unternehmen besitzt individuelle Schwachpunkte und Risiken, die im Einzelfall identifiziert und bewertet weden müssen.
Jedes Unternehmen besitzt individuelle Schwachpunkte und Risiken, die im Einzelfall identifiziert und bewertet weden müssen.
Foto: CKA - shutterstock.com

Wie können sich Unternehmen dennoch gegen digitale Angriffe absichern? Diese Frage stand im Zentrum der diesjährigen Cyber Risk Convention in Köln. Wir fassen die Einschätzungen und Lösungsansätze der Experten zusammen.

Unternehmen schätzen Risiken hoch ein

Dass ein gesteigertes Bewusstsein in den Betrieben für Cyber-Risiken existiert, illustrierte Volker Münch von der Allianz anhand einer Analyse des Versicherers. Geht es nach den 1.911 befragten Kunden und Experten im "Risk Barometer 2018", stiegen Cyber-Zwischenfälle in den letzten fünf Jahren vom fünfzehnten auf den zweiten Platz der größten Risiken für das Geschäft weltweit auf. Zudem ist IT der meistgefürchtete Auslöser für den Risiko-Spitzenreiter: Betriebsunterbrechung.

Als Gründe für wirtschaftliche Verluste nach einem Cyber-Zwischenfall nennen die Befragten hauptsächlich Betriebsunterbrechungen gepaart mit Auswirkungen auf die Lieferkette (67 Prozent). Dahinter folgen Image-Schäden (52 Prozent) und Haftungsansprüche nach Datenlecks (45 Prozent).

Zusätzlich zu den Attacken durch Schadcode, Ransomware, Phishing, unautorisierten Zugriff und dergleichen, gibt es noch weitere IT-Gefahren. Technische Mängel wie inkompatible Software und defekte oder unsichere Hardware sind ein Auslöser, ebenso Bedienungs-, Installations- und Programmierfehler.

Risiken definieren

Die Ursachen und Auswirkungen von Cyber-Risiken sind vielschichtig, weitreichend und oft nicht abwägbar. Um dennoch einen Anhaltspunkt für das Schadenspotenzial von Cyber-Vorfällen für Unternehmen zu bekommen, rät Münch dazu, die finanziellen Auswirkungen von neun Risiken zu kalkulieren:

  1. Verlust eigener Daten und Daten Dritter

  2. Verlust von geistigem Eigentum

  3. Finanzieller Verlust

  4. Güterveruntreuung

  5. Kosten für Betriebsunterbrechungen und -Verzögerungen

  6. Kosten für Incident-Response-Maßnahmen

  7. Reputationsschäden

  8. Physische Schäden

  9. Personenschäden

Daran anschließend gingen Philippe Cotelle von Airbus Defence and Space und Michael Rieger-Goroncy vom Frankfurter Industrieversicherungsmakler Marsh GmbH näher auf die Risikoabschätzung ein.

Um Angriffsflächen in Unternehmen zu identifizieren, gelte es, Umfragen zu möglichen Cyber-Risiken in der Belegschaft und vor allem über die gesamte Lieferkette hinweg vorzunehmen. Zudem seien Bewertungen durch externe Beratungsfirmen ein probates Mittel, da diese Fachwissen mitbrächten.

Das Risiko lässt sich nach Einschätzung der Experten grob nach folgenden Fragestellungen bemessen:

  • Welche Informationen über das Unternehmen sind öffentlich zugänglich und damit von Angreifern verwendbar?

  • Wie stark ist die IT des Unternehmens gegen verschiedene Angriffsvektoren aufgestellt?

  • Wie attraktiv ist das Unternehmen und sein Geschäft für Hacker?

  • Wie leicht kann das Unternehmen Risiken ausgesetzt werden?

Airbus-Manager Cotelle betonte die Verbindung zwischen IT- und Geschäftsrisiken. Daher gelte es, Sicherheit, Risikomanagement und das Business eng miteinander zu verzahnen und aneinander auszurichten. Dabei müsse darauf geachtet werden, Grenzen sowohl zwischen den Disziplinen im Unternehmen als auch zwischen geographischen Standorten so zu überbrücken, dass keine neuen Lücken entstehen.

Die passende Sicherheitsstrategie entwickeln

Geht es um die geeignete Strategie, das Unternehmen gegen die identifizierten Risiken abzusichern, ist eine Verteidigungsstrategie nach Ansicht von T-Systems-Manager Thomas Tschersich wenig erfolgversprechend. Angreifer hätten früher oder später immer Erfolg. Daher gehe es darum, sich auf Incident-Response- und Zero-Impact-Maßnahmen zu konzentrieren. Es sei besser, die Auswirkungen von Angriffen zu begrenzen, als sich nur für die Verteidigung von Angriffen zu rüsten.

Im Risiko- und Krisenmanagement gilt es laut Tschersich, sich auf das Schlimmste vorzubereiten. Cyberattacken seien mittlerweile Commodity geworden und von Hackern leicht zu kopieren. Daher müssten Unternehmen davon ausgehen, mit den modernsten und zerstörerischsten Waffen angegriffen zu werden. Es gelte, ein umfassendes Security-by-design-Mindset aufzubauen. Sicherheit dürfe nicht als Kostenfaktor gesehen, sondern müsse als Voraussetzung für Digitalisierung akzeptiert werden.

Michael Bartsch, vom Schulungs- und Beratungshaus Deutor Cyber Security Solutions GmbH, empfiehlt die Sicherheitsstrategie von der Tätermotivation her zu definieren. Standardfragen für eine Risikobewertung abzuarbeiten berücksichtigte individuelle Eigenschaften zu wenig. Jedes Unternehmen habe andere Schwachpunkte.

Bartsch setzt auf einen engen Austausch von IT, Sicherheit und Business, wobei er letzteres als wichtigsten Inputgeber betrachtet. Cyberkriminelle seien profitorientiert und hätten es daher fast immer auf geschäftsrelevante Dinge abgesehen. Die Business-Verantwortlichen müssten IT und Sicherheit auf dem Laufenden halten, was im Geschäft gerade passiert. Stehen beispielsweise wichtige Investitionen, Akquisitionen oder Beteiligungen an? Dabei spielen unter Umständen auch persönliche Details eine Rolle. Hat eine Führungsperson Rivalen oder persönliche Feinde, die ihr schaden wollen?

Auf Basis dieser Informationen gelte es, sich vorzubereiten und Schutzmaßnahmen zu ergreifen. Diese sollten kontinuierlich durch Penetrationstests erprobt und verbessert werden. Bartsch betont, dass Technik nicht ohne Awareness für Sicherheit funktioniere. Daher sei es wichtig, Sicherheit als festen Bestandteil der Qualitätssicherung im Unternehmen zu etablieren.

Die Rolle der Versicherung

Trotz aller Sicherheitsmaßnahmen im Unternehmen besteht immer ein Restrisiko. Dagegen können sich Unternehmen mit speziellen Versicherungen schützen.

Für Wolfgang Klasen, Security-Spezialist bei Siemens, kommt Versicherungen die Rolle zu, nach einem Angriff das Überleben eines Unternehmens zu sichern. Dabei sei es aber niemals möglich, jedes Risiko zu hundert Prozent abzudecken. Kritik an der Deckungssumme kommt von Seiten Airbus und Marsh. Beide betonen, dass die tatsächlichen Schäden in die Milliarden gehen könnten, Versicherungen jedoch nicht mehr als 500 Millionen Euro zahlten. Zudem gibt es laut Cotelle von Airbus nur selten Klarheit darüber, welche Schäden gedeckt sind und welche nicht.

Jürgen Sturm, IT-Chef von ZF Friedrichshafen, hält Cyber-Versicherungen dennoch für einen wichtigen Mosaikstein der proaktiven Absicherung. Am Ende gehe es nach einem erfolgreichen Angriff im Unternehmen darum, schnell aus der Krise herauszukommen. Versicherungen böten dafür einen Anfang.

Für die Zukunft wünscht sich Sturm von den Versicherern, dass sie auch als Know-how-Träger in rechtlichen Angelegenheiten bezüglich Cyber-Risiken mit den Unternehmen auf Augenhöhe zusammenarbeiten. Kein Unternehmen könne das nötige Maß an Wissen intern anhäufen und halten.