Die Risiken im Kontext der Cybersicherheit rücken zunehmend in den Fokus. Die Häufigkeit und Schwere von Cyberangriffen nimmt zu und setzt Unternehmen dem Risiko finanzieller und markenbezogener Schäden, des Verlusts von Kunden und der Überprüfung durch die Aufsichtsbehörden aus. Sicherheitsvorfälle aus der jüngeren Vergangenheit zeigen, dass sich diese Fälle durch eine fundierte Entscheidungsfindung zur effektiven Risiko-Mitigation vermeiden ließen. Dies betrifft alle Unternehmen, bei denen informationsverarbeitende Technologien innerhalb der Wertschöpfungskette zum Einsatz kommen. Viele Unternehmen haben jedoch Schwierigkeiten, ihr Cyberrisiko zu quantifizieren und zu verstehen, wie sie ihre Cybersicherheitskontrollen am besten verbessern und das Risiko im Rahmen der Risikobereitschaft des Unternehmens verwalten können.
Nur wenige Unternehmen haben genug Ressourcen, um alle Kontrollen überall zu verstärken. Sie brauchen ein Modell, das ihnen hilft, ihre Investitionen dort einzusetzen, wo sie die größte Wirkung erzielen. Dies erfordert eine skalierbare und datengestützte Risikobewertung, die auf einem bewährten Ansatz und objektiven Messgrößen beruht.
KPMG-Ansatz
Der KPMG-Ansatz zur Quantifizierung von Risiken basiert auf drei Säulen:
- Threat Actor Modeling
- Technology Landscape
- Control Effectiveness
Jede dieser Säulen wird durch einen quantitativen Ansatz behandelt und fließt bei der Berechnung des Gesamtrisikos mit ein. Zum Einsatz kommen hierbei Monte-Carlo-Simulationen, die es ermöglichen, eine Loss Exceedance Curce (LEC) daraus abzuleiten. Das Modell ist in Szenarien unterteilt, mit denen sich spezifische Angriffsmuster abbilden lassen. Somit ist es nicht erforderlich, in jedem Fall die gesamte Bedrohungslandschaft eines Unternehmens zu betrachten. Stattdessen kann gezielt auf die besonders relevanten Szenarien eingegangen werden.
Der Vorteil: Die Entscheidungen zur Mitigation von Risiken beruhen auf einer quantitativen Basis und sind damit tendenziell effektiver.
Dr. Michael Falk
Partner, Consulting, Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft
Vorteile
Durch die Verwendung von CRQ entstehen die nachfolgenden Vorteile für Ihr Unternehmen:
- Führen Sie systematische, konsistente und datengestützte Bewertungen durch: Unser Ansatz erleichtert die schnelle Einführung quantitativer Techniken und verbessert die Objektivität von Risikobewertungen, indem er konsistente, datengestützte Ergebnisse liefert.
- Quantifizierung von Wahrscheinlichkeit und Auswirkungen: Die Nutzenden können die Wahrscheinlichkeit des Eintretens von Cyberrisikoszenarien und die Wahrscheinlichkeit erfolgreicher Angriffe über alle Verteidigungsebenen hinweg bestimmen. Außerdem können sie für jedes Szenario potenzielle finanzielle Verluste modellieren.
- Gezielte Ausgaben zur Verringerung des Risikos: Durch die grafische Modellierung von Risikoszenarien können die Nutzenden erkennen, wie ihre Cyberfähigkeiten zur Risikoverringerung über die verschiedenen Verteidigungsebenen hinweg beitragen und welche Bereiche am meisten von Investitionen profitieren würden.
- Investitionen testen: Die Nutzenden können Simulationen durchführen, um herauszufinden, welche Fähigkeiten am besten gestärkt werden sollten, um Cyberrisiken zu verringern, und die Amortisationsdauer für eine Investition oder ein Investitionsportfolio auf der Grundlage einer Kosten-Nutzen-Analyse der Ausgaben im Vergleich zur Verringerung der Cyberverluste abschätzen.
- Optimieren von Investitionen: Die Nutzenden können optimierte Investitionsportfolios von Cyberfähigkeiten bestimmen, um die bestmögliche Rendite für die Risikominderung zu erzielen.
- Begründbarkeit von Entscheidungen: Unser logischer und transparenter Ansatz hilft den Anwendenden, den Führungskräften Cyberrisiken zu vermitteln, die geschäftlichen Vorteile von Cyberfunktionen aufzuzeigen und überzeugende Investitionsargumente zu liefern.
Häufige Fragen / Bedenken zu CRQ
- Ist die Quantifizierung den Aufwand wert?
CRQ erfordert weniger Arbeit, als Sie vielleicht denken. Unsere Expertinnen und Experten helfen Ihnen bei der Identifizierung vorhandener Dateneingaben. Der Katalog von Szenariomodellen (die den Kontrollen zugeordnet sind) und Datensätzen ermöglicht, dass die Lösung relativ schnell implementiert und skaliert werden kann - mit verhältnismäßig geringem Aufwand. Wir empfehlen, mit einem Proof-of-Concept zu beginnen und einen bewährten Ansatz für die Umsetzung zu haben. Das Ergebnis ist ein Bericht mit einer Quantifizierung des Cyberrisikos, den Sie bewerten können, bevor Sie entscheiden, ob Sie die Lösung in Ihr Unternehmen einbinden möchten. - Warum sollte KPMG dabei helfen können?
Wir haben praktische Erfahrung in der Entwicklung und Umsetzung quantitativer Ansätze zur Bewertung von Cyberrisiken sowie zur Erstellung von Berichten und haben nachhaltige Lösungen für zahlreiche Organisationen in verschiedenen Branchen geliefert. - Es gibt nicht genug Daten, um Cyberrisiken zu quantifizieren.
Kurz gesagt: Es gibt sie - - eine wachsende Zahl hochwertiger externer Datenfeeds und wir pflegen eigene Datensätze. Außerdem verfügen Unternehmen in der Regel über mehr Daten, als ihnen bewusst ist. Ihr Security Operations Center (SOC), die Bedrohungsanalyse und verwandte Funktionen können wertvolle Informationen liefern, ebenso wie die Beteiligten in den Bereichen Finanzen und Betrieb. - Die Lösung muss sich in unser unternehmensweites Risikomanagement-Framework integrieren lassen.
Wir helfen Ihnen dabei, Ihre Risikotaxonomie, Ihre Unternehmens- und Betriebsrisikobewertung sowie Ihre Risikobereitschaft mit den entsprechenden Methoden abzustimmen. Möglicherweise müssen Sie KPMG's CRQ auch in Ihr bestehendes Cyber-Kontrollsystem integrieren. Aus diesem Grund haben wir die in der Szenariomodellierung verwendete Taxonomie der Cyberfähigkeiten auf gängige Branchen-Frameworks abgebildet, darunter:
- ISO27001
- NIST CSF
Wir können die Erfassung der Eingaben, die Ergebnisse und die Berichterstattung anpassen, um dafür zu sorgen, dass wir Ihre Anforderungen erfüllen.