Spätestens mit Inkrafttreten des Cyber Resilience Acts (CRA) braucht jedes neue Produkt mit digitalen Elementen ein Cyber Security Assessment. Denn egal in welcher Branche – moderne Unternehmen bauen zunehmend auf moderne Informationstechnologie. Zusammen mit den Möglichkeiten und der Ausbreitung digitaler und vernetzter Anwendungen und Geräten ist allerdings auch die Gefahr für Cyberangriffe gewachsen. Dementsprechend sollen die Regelungen des CRA die Wirtschaft und Verbraucher schützen.
Denn über gezieltes Cyber Security Risk Assessment lassen sich existierende Risiken bewerten, potenzielle Auswirkungen einschätzen und auf dieser Basis beheben oder minimieren. Lesen Sie hier, warum Cyber Security Risk Assessment so wichtig ist und wie es funktioniert.
Definition: Cyber Security Risk Assessment
Ein Cyber Security Risk Assessment identifiziert, bewertet und priorisiert die Cybersecurity-Risiken einer Organisation und ihre Fähigkeit, ihre Informationen, Geräte und Systeme vor Cyberbedrohungen zu schützen. Cyber Risk Assessment soll also letztendlich Bereiche mit Verbesserungsbedarf in der Cybersicherheit identifizieren und priorisieren. In einem nächsten Schritt können Unternehmen mit Hilfe von Cyber Risk Assessments fundierte Entscheidungen darüber treffen, mit welchen Strategien und Ressourcen sie bestehende Risiken beseitigen oder verringern wollen.
Etablierte Rahmenwerke und Methoden wie beispielsweise das NIST-Framework des National Institute of Standards and Technology (NIST) oder die ISO 27000:2013 dienen dabei als Leitfaden. Alternativ können Unternehmen selbst passgenaue Rahmen und Methoden für das Cyber Security Risk Management entwickeln.
Warum ist Cyber Security Risk Assessment so wichtig?
Nur wer bestehende Risiken kennt, kann ihnen entgegenwirken. Ein Cyber Security Risk Assessment schützt die Informationen, Netzwerke und Systeme Ihres Unternehmens, indem es mögliche Schäden durch Cyberbedrohungen ermittelt, bevor sie eintreten. Dadurch lassen sie sich idealerweise vermeiden oder möglichst minimieren.
Besonders wichtig ist das für Unternehmen, deren Services oder Produktion sich auf das Internet of Things (IoT) stützen: Denn je mehr IoT-Geräte im Einsatz sind, desto größer ist die potenzielle Angriffsfläche für Cyberattacken. Genau an dieser Stelle setzt auch der Cyber Resilience Act an und verpflichtet die Hersteller in Artikel 10 zu Cyber Security Risk Assessments und Produktentwürfen mit Security by Design:
- Bewertung der Cybersicherheitsrisiken für Produkte mit digitalen Elementen
- Berücksichtigung des Ergebnisses der Bewertung in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts mit digitalen Elementen
Der CRA verpflichtet Hersteller also explizit, Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen solcher Vorfälle so gering wie möglich zu halten.
Mit Hilfe einer Risikobewertung können Unternehmen einen Plan dazu entwickeln, wie sie bei einem Cyberangriff reagieren und dessen Auswirkungen möglichst einschränken. Regelmäßige Cyber Risk Assessments verringern also die Risikoprofile und halten diese auf dem neuesten Stand. Wenn eine Organisation oder ein Unternehmen die IoT-Systeme, Computernetzwerke oder -systeme ändert, ist eine neue Risikobewertung sinnvoll.
Wie Sie ein Cyber Security Risk Assessment durchführen
Grundsätzlich ermittelt ein Cyber Security Assessment drei Hauptkomponenten:
- Existierende Bedrohungen
- Anfälligkeit einer Organisation für diese Bedrohungen
- Mögliche Auswirkungen für das Unternehmen
Neben Bedrohungen von außen berücksichtig die Risikobewertung auch potenzielle Schwachstellen, die zu Sicherheitsverletzungen durch Mitarbeitende sowie Prozessen und Technologien innerhalb des Unternehmens führen können.
Umfang der Risikobewertung festlegen
Ein Cyber Security Risk Assessment braucht seine Zeit und hat seine Kosten. Um ihre Ressourcen optimal zu nutzen, müssen Unternehmen also zunächst bestimmen, in welchen Bereichen und in welchem Umfang sie die Risikobewertung durchführen wollen. Nicht alle Vermögenswerte und Daten sind gleich wichtig oder beeinflussen den geschäftlichen Erfolg eines Unternehmens im selben Ausmaß. Identifizieren und klassifizieren Sie also zunächst die für den Geschäftsbetrieb wichtigen und schützenswerten IT-Ressourcen und Assets. Prüfen Sie dabei auch, welche Bereiche für die Compliance mit dem Cyber Resilience Act prüfen müssen. Im nächsten Schritt definieren Sie den Umfang des Cyber Risk Assements.
Bedrohungen und Schwachstellen identifizieren
Der vollständige Überblick über die IT-Ressourcen dient als Basis für das Verständnis der größten potenziellen Bedrohungen. Informationen zu bestehenden Cyberbedrohungen lassen sich dabei aus internen und externen Quellen generieren. Diese wiederum helfen dabei, konkrete Cybersicherheitsrisiken zu identifizieren:
- Die Analyse und Überprüfung der bestehenden Sicherheitsarchitektur sowie Informationen aus vergangenen Cyberangriffen geben Aufschluss über die internen Bedrohungslage.
- Organisationen wie die US-amerikanische Cybersicherheitsbehörden CISA und auf Cybersicherheit spezialisierte Unternehmen bieten Zugriff auf Feeds zu aktuellen Cyberbedrohungen.
Für die interne Bewertung können Unternehmen außerdem:
- Ihre Systeme nach Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) durchscannen.
- Nach ungewöhnlichem Verhalten in Protokolldateien suchen.
- Konfigurationsdateien auf unsichere Einstellungen oder nicht autorisierte Änderungen überprüfen.
Tipp: Wo viele Geräte oder Mitarbeitende mit dem Internet verbunden sind, wächst die Angriffsfläche. IT-Systeme wie eine IoT-Plattform oder Mitarbeiterplattform mit vertrauenswürdigen Identitäten und Zugängen über eine PKI beziehungsweise eine PKI für Unternehmen können wertvolle Assets effektiv schützen.
Risiken analysieren und mögliche Auswirkungen bestimmen
An diesem Punkt des Cyber Security Risk Assessments hat ein Unternehmen in der Regel ein klares Verständnis von den Bedrohungen und Schwachstellen, denen es ausgesetzt ist. Die potenziellen Auswirkungen jeder einzelnen Bedrohung ergänzen die Analyse bestehender Cyberrisiken. Die gesammelten Informationen zu diesen Cyberedrohungen helfen dabei, die Wahrscheinlichkeit verschiedener Cyberangriffe oder interner Sicherheitsverletzungen zu bestimmen. Basierend auf diesen Informationen bestimmt das tatsächlich bestehende Risiko, indem es seine Wahrscheinlichkeit und möglichen Auswirkungen quantifiziert.
Risiken priorisieren und managen
Sobald die Risiken der einzelnen Bedrohungen und Schwachstellen quantifiziert sind, lassen sie sich über eine Liste priorisieren. Diese dient als Grundlage für das konkrete Cyber Risk Management, das bestehende Gefahren verwaltet, überwacht und idealerweise behebt oder vermeidet. Eine effiziente Priorisierung der Sicherheitsrisiken und funktionale Prozesse, die diese beheben, maximieren den ROI eines Cyber Risk Security Assessments.
Alle Risiken dokumentieren
Der letzte Schritt im Cyber Security Risk Assessment dokumentiert alle Ergebnisse über einen Bericht. Dieser unterstützt die Unternehmensleitung bei der Entscheidung über Budgets, Strategien und Verfahren. Idealerweise enthält der Bericht folgende Elemente:
- Risiken
- Schwachstellen
- Wert jeder Bedrohung
- Mögliche Auswirkungen
- Wahrscheinlichkeit des Auftretens
- Empfehlungen zur Kontrolle
Der Risikobericht dient wiederum als Grundlage für eine allgemeine Risikobewertungsrichtlinie. Sie legt fest, wie ein Unternehmen Risiken angeht, mindert und wie nachfolgende Risikobewertungsprozesse durchgeführt werden sollen.
Vorteile der Risikobewertung in der Cybersicherheit
Von der Definition des Umfangs bis zur Dokumentation – ein Cyber Security Risk Assessment schafft mehr Verständnis für die Infrastruktur eines Unternehmens: Es ermittelt seine wertvollsten Daten und gibt Aufschluss darüber, wie sich der Geschäftsbetrieb und Assets besser organisieren und sichern lassen. Dadurch ergeben sich weitere handfeste Vorteile:
- Bewertung von Funktionalität und Verbesserungsbedarf bestehender Abwehrmaßnahmen
- Widerstandsfähigere und effizientere Prozesse in der Informationssicherheit durch die Behebung von Schwachstellen
- Agile, unabhängige und kontinuierlich verbesserte IT-Sicherheit
- Vermeidung unnötiger Kosten durch ineffiziente Protokolle und Systeme oder erfolgreiche Cyberangriffe
- Reduzierung von Risiken für die Reputation Ihres Unternehmens und möglichen Haftungsschäden durch IT-Sicherheitsvorfälle oder mangelnde Complience
- Ermittlung des ROI für Investitionen in die Cybersicherheit
- Senkung der Kosten für Cybersicherheit-Versicherungen
Zusammenfassung
Egal ob kleines Unternehmen oder multinationaler Konzern – die Cybersicherheit bildet längst einen integralen Bestandteil des allgemeinen Risikomanagements und der Datenschutzanforderungen. Das Cyber Security Risk Assessment bildet dabei das Herzstück. Seine Prozesse bestimmen zunächst bestehende Bedrohungen und Schwachstellen. Das wiederum gibt Aufschluss darüber, welche Bedrohungen und Schwachstellen Ihrem Unternehmen finanziellen Schaden zufügen oder seinen Ruf beeinträchtigen können und wie sich negative Auswirkungen abmildern lassen. Deshalb kann ein Cyber Security Risk Assessment die Cybersicherheit eines Unternehmens entscheidend verbessern und dabei helfen, Cyberrisiken besser zu verstehen, zu kontrollieren und zu mindern.
FAQs zu Cyber Security Risk Assessment
Wie werden Cybersicherheitsrisiken gemessen?
Cybersicherheitsrisiken lassen sich durch einen Abgleich der externen Bedrohungslage mit internen Schwachstellen und anhand der Anfälligkeit und möglichen Auswirkungen bestimmen. Die Messung erfolgt in einem mehrstufigen Verfahren, das zunächst die schützenswerten Daten und Assets innerhalb eines Unternehmens ermittelt. Ein Abgleich mit externen Bedrohungsszenarien hilft in einem nächsten Schritt dabei, bestehende Risiken zu priorisieren, zu beheben und zu minimieren.
Welche Methoden gibt es für das Cyber Security Risk Assessment?
Grundsätzlich bestimmt ein Cyber Risk Assessment existierende Bedrohungen, die Anfälligkeit von Unternehmen für diese Bedrohungen und mögliche Auswirkungen auf den Geschäftsbetrieb. Dafür können Unternehmen wahlweise eigene Rahmen und Methoden entwickeln oder auf etablierte Leitfäden wie das NIST-Framework des National Institute of Standards and Technology (NIST) oder die ISO 27000:2013 zurückgreifen.
Was gehört zu einem Cyber Security Risk Assessment?
Eine typische Risikobewertung ermittelt zunächst die Unternehmenswerte, die von einem Cyberangriff betroffen sein könnten. Dazu kann alles von Hardware, Systeme, Laptops, Kundendaten bis zu geistigem Eigentum gehören. Im Anschluss bestimmt sie die aktuelle Bedrohungslage für diese Werte, die Wahrscheinlichkeit, mit der ein Angriff auf diese Werte erfolgen könnte und dessen mögliche Auswirkungen. In der Regel umfasst ein Cyber Security Risk Assessment also zunächst eine Risikoeinschätzung und -bewertung, die als Basis für konkrete Maßnahmen und Prozesse zu deren Minimierung dient.