Im Vergleich zum Vorjahr wurden laut Check Point Research Unternehmensnetzwerke 2021 wöchentlich um 50 Prozent häufiger angegriffen. Folgen wir einer aktuellen Bitkom-Studie, waren in den letzten zwei Jahren fast neun von zehn Unternehmen von Spionage, Datenklau respektive Sabotage betroffen. Bekanntester Fall war 2021 sicherlich der Twitch Hack, bei dem das interaktive Live-Streaming-Portal zahlreiche sensible Daten an eine anonyme Hackergruppe verlor. In Deutschland traf es im selben Jahr unter anderem Raison DS aus Berlin – Bank- und Personenstammdaten sollen gestohlen worden sein. Kurz zuvor traf ein Cyberangriff auch die Haftpflichtkasse in Roßdorf. Zahlreiche persönliche Daten von Kunden waren vom bisher schwersten Hackerangriff auf die deutsche Assekuranz betroffen. Weitere Beispiele für Cyberangriffe auf KMU oder für Datendiebstahl sind leicht zu finden. Bis Oktober 2021 wurden zudem bereits mehr Cyberbedrohungen gemeldet als im gesamten Jahr 2020.

Sie sehen: Cyberbedrohungen treten immer engmaschiger auf und stellen teils existenzielle Unternehmensbedrohungen dar. Seit Jahren drängt daher die Cybersicherheitsbranche, diese unternehmerischen Bedrohungen auch wirklich adäquat anzuerkennen. Und die Appelle scheinen immer besser zu wirken. Woran Sie das ablesen können? Etwa am Data Breach Report 2021 von IBM. Der zeigt, dass die durchschnittlichen Gesamtkosten einer Datenschutzverletzung deutlich gestiegen sind – und zwar auf über 4,2 Millionen US-Dollar. Die Folgen sind ein globaler Anstieg der Cybersicherheits-Ausgaben, die spätestens 2025 wohl bei mehr als 1,75 Billionen US-Dollar liegen werden. Obwohl die Cybersicherheits-Investitionen laufend zunehmen, steigt allerdings wie geschildert auch die Anzahl der Cyberangriffe sowie die finanziellen Auswirkungen der Sicherheitsverletzungen.

Was helfen kann? Eine klare Kommunikation der Cyberrisiken. Dies stellt Unternehmen vor Herausforderungen, müssen diese doch die Bedrohungen intern und extern an verschiedene Entscheidungsträger klar kommunizieren, sodass alle an den Sicherheitsprozessen beteiligte Personen die akuten Bedrohungsszenarien umfassend verstehen. Im Endeffekt müssen in der Regel die Entscheider in IT- oder OT-Abteilungen, CEOs, (externe) Stakeholder und der Vorstand sowie Finanzentscheider die potentiellen Auswirkungen kennen, um die richtigen Schritte einzuleiten oder abzusegnen. Dafür braucht es klare Kriterien, die auch die Wirksamkeit der Cybersicherheits-Initiativen umfassen. Das maximiert nicht nur den Faktor „Sicherheit“, sondern bringt auch mehr finanziellen Überblick über die erforderlichen Maßnahmen.

Da Cyberbedrohungen engmaschiger erfolgen und immer raffinierter werden, ist das Management der Cyberrisiken zentral. Eine strukturierte Bewertung, Priorisierung und Verwaltung im Vorfeld sind wichtig, um die immer größer werdende Anzahl von Angriffen gegen die Cyber- und Datensicherheit effizient und nahtlos zu bewältigen. Alles andere kann nicht nur teuer werden, sondern auch zu Umsatzverlusten führen. Vorsicht wird also auch in Zukunft nicht nur besser als Nachsicht sein, Cyberrisiken sollten im Zuge der Bedrohungen auch intelligent gemessen, verwaltet und minimiert werden. Mit einer umfassenden Quantifizierung von Cyberrisiken gibt es heute dafür Mittel, den Wert unterschiedlicher Initiativen im Bereich „Cybersicherheit“ so aufzuschlüsseln, dass die potentiellen (finanziellen) Auswirkungen von Datenverletzungen allen Beteiligten effizient und stringent vermittelt sowie überblickt werden können.

Komplexität in Unternehmensnetzwerken und Datenvielfalt nimmt zu

Ob Künstliche Intelligenz (KI), cload-basiertes Arbeiten oder Software-as-a-Service (SaaS): Die Geschwindigkeit, mit der Unternehmen weltweit digitale Technologien einsetzen, nimmt rasant zu. Das sorgt für eine zunehmende Komplexität in den Unternehmensnetzwerken und damit für neue Sicherheitsherausforderungen, die von allen beteiligten Interessensgruppen im Unternehmen effizient bewältigt werden sollten. Während sich auf der einen Seite Cybersicherheitsteams früher lediglich um die Sicherheit ihrer Organisation kümmerten, wandelte sich das in den letzten Jahren. Vielmehr befähigen Unternehmen heute die Teams, sich für ein noch sichereres digitales Unternehmensklima einzusetzen. Auch Mitarbeiter werden dabei zur Mitwirkung verpflichtet und sollen für das Thema „Cybersicherheit“ im Gesamtunternehmen Verantwortung übernehmen. Die Arbeit ist also umfassender geworden.

Auf der anderen Seite kommt es zwischenzeitlich zu Produkthäufungen im Bereich „Cybersecurity“. Wenn man eine Sicherheitslücke entdeckt, kommt es im Regelfall zum Kauf einer neuen Sicherheitslösung. Das hat dazu geführt, das Unternehmen je nach Größe oder Anfälligkeit bis zu 20, 50 oder sogar 130 Cybersicherheitsprodukte sowie -dienste nutzen. Die Folge: Die Anzahl an Daten in diesem Bereich explodiert förmlich. Das führt häufig zu Problemen, da gerade belastbare und qualitativ hochwertige Daten für eine effektive Cybersicherheit elementar sind – in der schieren Datenflut nun aber untergehen. Diese potentielle Überforderung macht es nun schwieriger, Prioritäten für das Risikomanagement zu setzen. Wird nun versucht, aus den teils isolierten, sicherheitsspezifischen Daten, eine für alle beteiligten Entscheider eingängige – und vor allem verständliche – Struktur zu entwickeln, kann das schwierig bis unmöglich sein.

Eine Quantifizierung von Cyberrisiken ist für alle Beteiligten im Unternehmen zugänglich

Die Lösung kann in einer Quantifizierung der Cyberrisiken liegen. Dabei bewegen sich Unternehmen von einer isolierten Sicherheitsstrategie zu einer unternehmensweiten Denkweise. Das Modell zieht zahlreiche Datenpunkte wie Menschen, Produkte, Verfahren, Technologie oder Dritte heran und ermittelt darauf basierend ein Ergebnis. Die gründliche Informations-Analyse mündet anschließend in einem Wert für die Wahrscheinlichkeit von Sicherheitsverstößen. Der Wert kann ganz einfach in einen Euro-Wert umgerechnet werden – und ist somit für jeden im Unternehmen auf jeder Ebene und in jeder Abteilung präzise verständlich.

Dank der Quantifizierung des Risikos kennt das Unternehmen nun den Wert des finanziellen Schadens, der pro Einrichtung oder Gerät im Falle einer Sicherheitsverletzung entsteht. Der Clou: Je nach Faktoren wie Branche, geografischer Lage und Größe des Unternehmens kann die Cybersicherheit nicht nur interpretiert und bewertet werden. Es ist auch möglich, den Wert mit aktuellen Echtzeit-Bedrohungsdaten zu verknüpfen. Das bringt einen exakten Überblick über den Zustand der Cybersicherheit des Unternehmens.

Je nach ermitteltem Ergebnis können die Teams der Unternehmen jetzt handeln – wissen sie doch, welcher Bereich vorrangig behandelt werden sollte. So kann man sich etwa auf Server oder Mitarbeiter konzentrieren, von denen im Falle eines Cybereinbruchs das größte Risiko ausgeht. Das können etwa Angestellt sein, die nachweislich auf Phishing-Links klickten. Ebenso kann man als Unternehmen Kampagnen aufsetzen, um individuelle Sicherheitsbereiche effektiv zu stärken. Dasselbe gilt für Schulungen oder die Richtlinien-Überprüfung. Zusätzlich besteht die Möglichkeit, die Sicherheitstechnologie auf Drittanbieter auszuweiten – sind die doch häufig ein großes Sicherheitsrisiko für Unternehmen. Dies gelingt, indem in das System einfach neue Domänen eingegeben werden. Potentielle Lücken und Schwachstellen können so erkannt und aufgespürt werden. Ein weiterer Vorteil der Quantifizierung der Cyberrisiken.