Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Security ConceptRSA, die IT-Sicherheits-Tochter von EMC, hat mit Unterstützung von Deloitte Advisory Cyber Risk Services ein neues Framework für das Erfassen und Bewerten von Cyber-Risiken entwickelt.

Dieses ermöglicht es Anwendern, für verschiedene IT-Risiken Toleranzschwellen zu beschreiben und so eine pragmatische Grundlage für wirksame Risk-Management-Strategien zu schaffen. Das Framework ist Bestandteil eines Reports, den Experten der beiden Firmen gemeinsam verfasst haben.

Wenn Unternehmen neue Verfahren oder Technologien nutzen, um die eigene Wettbewerbsfähigkeit zu steigern, erhöhen sie zumeist auch die eigene Anfälligkeit für Cyber-Risiken. Deshalb brauchen Firmen, die etwa Outsourcing betreiben, die Netzwerke Dritter nutzen oder IT-Ressourcen aus der Cloud beziehen, neue und pragmatische Risk-Management-Ansätze.

Wie es im RSA-Report heißt, benötigten die Organisationen vor allem dreierlei: Erstens strukturierte Abläufe für das Definieren und Kategorisieren von Risiken, zweitens die Beteiligung der wichtigsten Stakeholder und „Risk-Owner“ im Unternehmen sowie drittens Berechnungsverfahren für Risiko-Toleranzschwellen.

Zuvor aber bräuchten sie vor allem ein neues Verständnis des Begriffs „Cyber-Risiko“. Der Ausdruck bezeichne nicht nur gezielte Hacker-Angriffe auf IT-Umgebungen. Vielmehr schließe er jede Art von Vorfall ein, bei dem der Einsatz von IT-Ressourcen einen möglichen Verlust oder Schaden nach sich ziehen könne.

Der Report enthält ein praxistaugliches Framework zur Kategorisierung solcher Cyber-Risiken auf Grund der zwei Bestimmungsgrößen „Absicht“ und „Ausgangspunkt“: Cyber-Risiken können die Folge böswilliger Angriffe sein, bei denen Hacker gezielt versuchen, Informationen zu entwenden. Sie können aber auch aufgrund unabsichtlichen Handelns entstehen, etwa wenn ein Benutzer einen Fehler macht, der die Verfügbarkeit einer Ressource vorübergehend einschränkt. Der Ausgangspunkt eines Risikoereignis kann außerhalb eines Unternehmens liegen – etwa bei Hackern oder Geschäftspartnern innerhalb der Supply Chain – oder innerhalb, bei Mitarbeitern oder Sub-Unternehmern.

Um die eigene Risikotoleranz zu bestimmen, empfiehlt der Report, dass Unternehmen zunächst eine umfassende Bestandsaufnahme der Cyber-Risiken anfertigen, dann deren jeweils mögliche Auswirkung quantifizieren und schließlich eine Priorisierung vornehmen. Dabei gelte es, die richtigen Fragen zu stellen: Welche Art von Datenverlust wären für das Unternehmen katastrophal? Welche weniger kritisch? Welche Informationen dürften auf keinen Fall in falsche Hände geraten?

Viele Risiko-Auswirkungen könnten einfach beziffert werden – etwa mittels Bußgeld- und Rechtskostenschätzungen oder per Berechnung von Produktivitätsverlusten. Andere seien dagegen schwerer zu berechnen – der Verlust geistigen Eigentums etwa, Schäden der Unternehmens- oder Markenreputation oder ein verringerter Firmenwert.

Wer die entsprechenden Bewertungen dennoch auf strukturierte Art vornähme, könne geschäftskritische von weniger geschäftskritischen Ressourcen unterscheiden. Das wiederum erlaube dann das Priorisieren der eigenen Sicherheitsbemühungen: „Mission-critical“-Umgebungen könnten dann stärker geschützt werden als „normale“ Kernbestandteile der IT-Infrastruktur, die wiederum stärker gesichert würden als beispielsweise Teile der erweiterten IT-Umgebung (etwa Supply-Chain-Management-Anwendungen oder Partner-Portale). Diese Art der Priorisierung solle fortlaufend und auf Grundlage immer neuer Bewertungen und Neu-Bewertungen erfolgen, heißt es in dem Bericht.

Die Verfasser kommen zu dem Schluss: Unternehmen, die Cyber-Risiken quantifizieren und entsprechende Risiko-Toleranzschwellen festlegen, verschaffen sich klare Wettbewerbsvorteile. Oberstes Ziel solle stets sein, sicher zu stellen, dass die Investitionen in IT-Sicherheit zu den ermittelten Risiko-Toleranzen passten.

Weitere Informationen:

Laden Sie den RSA-Report „Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise“ hier herunter.

www.rsa.com/de-de

GRID LIST
Homeoffice

Vier von zehn Unternehmen setzen auf Homeoffice

Auf dem Sofa, im Gartenstuhl oder in der Bahn: Homeoffice ist bei vielen Unternehmen…
Analytics

Advanced-Analytics-Initiativen verbreiten sich nur langsam

Fortgeschrittenen Datenanalysen und Vorhersagen wohnt das Versprechen inne, den Ertrag…
Geld Verlust

Eine erfolgreiche Cyberattacke kostet über 1 Million Euro

Erfolgreiche Cyberattacken auf Unternehmen richten im Durchschnitt einen Schaden in Höhe…
Tb W190 H80 Crop Int 7281cf7b7caeee4715bdfdec93c51c33

Sicherheitsrisiken bei vernetzten Industrieanlagen aufgedeckt

Ein neuer Forschungsbericht deckt gravierende Sicherheitslücken bei industriellen…
E-Commerce Concept

Mehrheit meint: Von digitalen Plattformen profitieren alle

Digitale Plattformen bringen verschiedene Anbieter, Partner und Kunden auf den…
KI

Europäischer KI-Markt verfünffacht sich binnen fünf Jahren

Der europäische Markt für Künstliche Intelligenz wird von rund drei Milliarden Euro in…
Smarte News aus der IT-Welt