Startseite > Security > Der Mensch als zentraler Faktor

Quantifizierung von Cyberrisiken

Der Mensch als zentraler Faktor

15. November 2024, 7:25 Uhr | Autorin: Jennifer Cheng / Redaktion: Diana Künstler

IT-Sicherheitsverantwortliche hatten es in der Vergangenheit nicht immer leicht, ihren Mehrwert zu beweisen. Cyberrisiken genauer zu beziffern, kann ihnen helfen, sich in ihrer Organisation mehr Gehör zu verschaffen. Aus diesem Grund gewinnt die Quantifizierung von Cyberrisiken an Bedeutung.

In seinem Benchmarking Cyber Risk Quantification¹ definiert Gartner Cyber Risk Quantifications als „eine Methode, um das Risiko in geschäftlichen Begriffen auszudrücken, dem ein Unternehmen durch vernetzte digitale Umgebungen ausgesetzt ist. Das Risiko kann in Kosten, Marktanteil, Kunden- und Nutzerbindung und Störungen bei Produkten oder Dienstleistungen über einen bestimmten Zeitraum ausgedrückt werden.“

Zwar sind die Kosten das entscheidende Maß im Geschäftsleben, allerdings kann es schwierig sein, Cyberereignissen (geringe Wahrscheinlichkeit, große Auswirkungen) einen genauen Wert beizumessen oder weiche Opportunitätskosten zu bestimmen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Cyberrisiken im menschlichen Kontext

Cyberrisiken anhand menschlicher Kategorien zu erläutern, ist der beste Weg, sie für die Stakeholder des Unternehmens relevant und verständlich zu kommunizieren. Dies beginnt oft mit realen Vorfällen, die Menschen im Unternehmen betreffen. Diese Form der Szenarioanalyse ist eine der überzeugendsten Methoden, um greifbare Auswirkungen aufzuzeigen. In der Sprache der FAIR-Methode (Factor Analysis of Information Risk) erzählt dieser Ansatz jedoch nur einen Teil der Geschichte, da das Ausmaß und die Häufigkeit von monetären Verlusten nur auf den Bereich des jeweiligen Vorfalls oder der jeweiligen Person beschränkt sind.

Eine universellere Cyber-Erzählung macht es erforderlich, die Menschen, um die es geht, in den Mittelpunkt zu rücken. Auf diese Weise trägt ein Risikomodell den menschlichen Risiken und Schwachstellen Rechnung, die ein Spektrum von Verhaltensweisen, Ereignissen und Handlungen umfassen, durch die Einzelpersonen, Unternehmen oder Institutionen Cyberbedrohungen ausgesetzt werden können. Hier gibt es wichtige Aspekte, die bei einer umfassenderen Betrachtung des menschlichen Risikos zu berücksichtigen sind.

Der wichtigste Aspekt sind die mangelnden Cybersecurity-Kenntnisse vieler Menschen. Obwohl die meisten zumindest über grundlegende IT-Sicherheitskenntnisse verfügen, können Unwissenheit und Nachlässigkeit im Umgang mit sensiblen Daten zu Sicherheitslücken führen. So zeigen Phishing-Angriffe, die auf menschliche Schwächen abzielen, wie wichtig es ist, sich der Risiken bewusst zu sein und Best Practices zu befolgen.

Schon kleine Unachtsamkeiten, wie das ungesicherte Abstellen von Geräten oder die Nutzung öffentlicher WLANs, können schwerwiegende Folgen haben. Hinzu kommt die Gefahr von Insider-Bedrohungen, bei denen Mitarbeiter – absichtlich oder unabsichtlich – die Sicherheit sensibler Daten gefährden. Auch entwickelt sich die Bedrohungslandschaft ständig weiter und stellt Unternehmen vor neue Herausforderungen. Umso wichtiger ist es, die menschliche Komponente in Sicherheitsstrategien einzubeziehen.

Obwohl viele Unternehmen bereits in Sicherheitsmaßnahmen und -technologien investiert haben, wird der Faktor Mensch oft vernachlässigt. Schulungen zum Sicherheitsbewusstsein sind wichtig, reichen aber allein nicht aus. Umfassende Sicherheitskonzepte müssen menschliches Verhalten verstehen und berücksichtigen, wann und wie es zu Risiken führt.

Die Herausforderung besteht darin, dieses Risiko zu quantifizieren und mit Hilfe von Datenanalysen konkrete Handlungsempfehlungen abzuleiten. Im Idealfall liefern Sicherheitslösungen präzise und zeitnahe Informationen, die Entscheidungsträgern helfen, fundierte Entscheidungen zu treffen und die Sicherheit ihrer Organisation zu gewährleisten.

Der Mensch im Zentrum der Betrachtung

Anstatt sich nur auf technische Schwachstellen zu konzentrieren, betrachten fortschrittliche Ansätze den Menschen als integralen Bestandteil der IT-Sicherheitsinfrastruktur. Durch die Analyse von Nutzerverhalten, Bedrohungsinteraktionen und Telemetriedaten entsteht ein ganzheitliches Bild des Risikos.

Dabei werden folgende Aspekte beleuchtet:

Verwundbarkeit: Wie anfällig sind Nutzer für Angriffe aufgrund ihres Verhaltens oder ihrer Interaktion mit Bedrohungen?
Angriffsfläche: Wie wahrscheinlich ist es, dass Nutzer ins Visier von Cyberkriminellen geraten oder schwerwiegenden Bedrohungen ausgesetzt sind?
Privilegien: Welche Auswirkungen hätte ein erfolgreicher Angriff auf die Organisation, insbesondere bei Nutzern mit Administrator-Rechten?

Jeder Mensch hat individuelle digitale Gewohnheiten, Schwachstellen und Zugriffsberechtigungen. Diese Faktoren bestimmen das individuelle Risikoprofil eines Nutzers und müssen ganzheitlich betrachtet werden.

Branchen- und Unternehmens-Benchmarks

Um Risiken realistisch einschätzen zu können, ist ein Vergleich mit anderen Unternehmen und Branchen unerlässlich. Moderne Ansätze nutzen statistische Modelle und maschinelles Lernen, um auf Basis großer Datensätze Risikowahrscheinlichkeiten zu berechnen. So lassen sich individuelle Risikoprofile mit anderen Unternehmen, Branchen oder spezifisch definierten Gruppen vergleichen.

Anpassung an die Sicherheitskultur

Sicherheitsmaßnahmen sind nur dann effektiv, wenn sie auf die jeweilige Organisation und ihre Sicherheitskultur abgestimmt sind. Fortschrittliche Systeme bieten anpassbare Risikoschwellenwerte, um kritische Bereiche zu priorisieren. Die Integration von Metriken zum Sicherheitsbewusstsein und zur Nutzerinteraktion ermöglicht eine kontinuierliche Anpassung an die spezifische Sicherheitskultur eines Unternehmens.

Die fortschreitende Digitalisierung und der Einsatz neuer Technologien wie künstlicher Intelligenz verändern die Bedrohungslandschaft stetig. Der Mensch bleibt jedoch ein zentraler Faktor im Cyberrisiko. Ein ganzheitlicher Ansatz, der menschliches Verhalten, Datenanalyse und adaptive Sicherheitsmaßnahmen vereint, ist entscheidend, um eine widerstandsfähige und sichere digitale Zukunft zu gestalten.

Jennifer Cheng ist Cybersecurity Strategy Director bei Proofpoint.

^{1 https://www.gartner.com/en/cybersecurity/topics/cybersecurity-trends}