Wie man Risikobewertungen im Bereich der Cybersicherheit erfolgreich umsetzt

24.04.2024 10:00 - Von Salomon Häseli

Eine Risikobewertung der Cybersicherheit ist ein wichtiges Instrument zum Schutz Ihrer Vermögenswerte, zur Ermittlung potenzieller Schwachstellen und zur Gewährleistung der Zuverlässigkeit Ihrer Dienste.

Risikobewertungen gelten als Schutzmassnahme und dienen dazu, die Risiken potenzieller Bedrohungen wie auch den Schaden im Worst-Case-Szenario zu minimieren.
Wir geben Ihnen einen fachkundigen Einblick in die Methoden der Cybersicherheits-Risikobewertungen, so dass sie für jede Organisation von Nutzen sein können.


Wann sollte ich meine Cybersicherheitsrisiken bewerten?

Eine Risikobewertung ist am nützlichsten, wenn sie regelmässig aber nur so oft wie nötig durchgeführt wird. Wenn Sie sie zu oft durchführen, verursachen Sie hohe Kosten und Änderungen an Ihren Systemen und Prozessen. Wenn Sie sie zu wenig durchführen, bleibt das Risiko von Cyberbedrohungen bestehen.

Die Bewertung sollte jährlich und immer bei der Einführung von neuen IT-Systemen durchgeführt werden. Besondern bei neuen Systemen sollte die Implementierung überprüft werden. Ziehen Sie ausserdem in Erwägung, die E-Mail-Sicherheit in Ihre regelmässigen Bewertungen aufzunehmen, um die Sicherheit Ihrer Kommunikationskanäle und E-Mail-Systeme zu gewährleisten.


Was sind die Vorteile einer regelmässigen Risikobewertung?

Heutzutage sind Cyber-Risiken eine der Hauptrisiken, wie Unternehmen geschädigt werden können. Die Risikobewertung ist deshalb eine Möglichkeit, um Schwachstellen zu erkennen und Massnahmen zu ergreifen. Ausserdem können Sie sich auf allfällige Kosten und Datenschutz-Fragen im Falle eines Vorfalls vorbereiten.
Eine Risikobewertung kann auch dazu beitragen, das Verständnis über die eigenen Systeme und die Kommunikation innerhalb Ihres Unternehmens zu verbessern. Je besser die Risiken und Lösungen kommuniziert werden, desto besser für alle.

  • Schützen Sie Ihre Daten:
    Die Bewertung kann dazu beitragen, diverse für Missbrauch anfällige Bereiche in Ihrem Unternehmen zu identifizieren. Ziel ist es, den Diebstahl oder Verlust von sensiblen persönlichen Daten, Systeminformationen oder Passwörtern zu verhindern, die Ihrem Unternehmen schaden könnten.
  • Sicherstellung der Systemfunktionalität für Mitarbeitende:
    Ein Cyberangriff kann Sie daran hindern, aktiv am Geschäft teilzunehmen. Wenn bspw. Ihre IT-Plattform beschädigt wird oder nicht mehr erreichbar ist, können Mitarbeitende nicht mehr auf dem System arbeiten und es besteht ein hohes Risiko von Gewinn- und Produktivitätseinbussen. Eine Risikobewertung kann Sie auf solche Fälle vorbereiten.
  • Vorgaben des Regulators einhalten:
    Es muss sichergestellt werden, dass Sie und Dienste die Sie nutzen Ihren gesetzlichen Verpflichtungen nachkommen.
  • Langfristige Kostenwirksamkeit:
    Es ist kaum messbar, wieviel Geld Sie durch das Schliessen von in der Risikobewertung erkannten Sicherheitslücken einsparen. Es wird jedoch davon ausgegangen, dass langfristig damit Geld gespart wird.


Welche Formen der Risikobewertung gibt es?

Es gibt im Wesentlichen zwei Möglichkeiten für die Durchführung von Risikobewertungsprüfungen: Intern und Extern. Je nach Budget ist die eine oder andere Methode sinnvoller. Oft ist es jedoch ratsam eine interne und externe Risikobewertung durchzuführen.

  • Intern:
    Jedes Unternehmen sollte entweder intern oder über den IT-Dienstleister auf geschulte Mitarbeiter zugreifen können, die in der Lage sind, ihre eigene Risikobewertung durchzuführen. Dies ist die kostengünstigere Variante, da diese Mitarbeitenden entweder intern sind oder ihre Infrastruktur bestens kennen. Ein Vorteil: Ein internes Team kennt die Zusammenhänge der einzelnen Systeme und kann so besser über die einzelnen Risiken beurteilen. Jedoch besteht das Risiko der Betriebsblindheit oder im Falle eines IT-Dienstleisters der Gesichtsverlust.
  • Extern:
    Ganz gleich ob Sie einfach nur eine zweite Meinung einholen möchten oder intern nicht auf die notwendigen Ressourcen zugreifen können: Eine externe und unabhängige ist die beste Möglichkeit, eine Risikobewertung der Cybersicherheit durchzuführen. Denn anders als intern, ist ein externer Dienstleister auf solche aufgaben spezialisiert und kann auf Erfahrung zurückgreifen. Ausserdem kann er Systeme in einem anderen Blickwinkel betrachten.


Welche potenziellen Risiken können die Bewertungen aufzeigen?

Risiken werden in folgende drei Kategorien aufgeteilt:

  • Schwachstellen:
    Als Schwachstelle gilt eine Lücke in Ihren Systemen, die dazu genutzt werden könnte, auf Ihre Daten zuzugreifen, Vermögenswerte zu stehlen oder andere Angriffe durchzuführen. Die Schwachstellen werden nach Wahrscheinlichkeit der Ausnutzung sowie Höhe des potenziellen Schadens eingestuft. Zum Schluss werden mögliche Massnahmen zur Reduktion des Risikos aufgezeigt. Es ist wichtig, dass Risikobewertungen auch aktuell bekannte Schwachstellen berücksichtigen.
  • Bedrohungen:
    Damit sind alle potenziellen Bedrohungen gemeint, die für Ihr Unternehmen spezifisch sind. Dazu können unter anderem Malware, Cyberangriffe, Phishing, Insider oder Ransomware gehören.
  • Assets:
    Bei der Bewertung wird die Notwendigkeit über Schutz jedes einzelnen Assets bewertet. Unter Assets wird alles verstanden, was für Ihr Unternehmen von Wert ist, einschliesslich Mitarbeitende, Produkte, Ressourcen, Systeme oder sogar Ethik. Assets können einen Buchwert besitzen oder sonstige Vorteile für Ihr Unternehmen darstellen. Daher ist es von entscheidender Bedeutung diese zu identifizieren, die Wichtigkeit zu bewerten und sie dann entsprechend zu schützen.


Wie wird eine Risikobewertung durchgeführt?

Im Folgenden sind die acht Schritte aufgeführt, aus denen eine Risikobewertung im Bereich der Cybersicherheit besteht:

  1. Die wertvollsten und kritischsten Assets ermitteln:
    In einem ersten Schritt müssen die wichtigsten Assets identifiziert werden. Dazu gehören Mitarbeitende, Büros, IT-Systeme, Daten und Datenbanken uvm... So kann für die restliche Bewertung Zeit und Geld gespart werden. Alles zu schützen ist aufgrund der hohen Kosten oft unmöglich.
  2. Identifizierte Assets bewerten:
    Die im ersten Schritt identifizierten Assets werden auf ihre Wichtigkeit gewichtet und definiert, wie stark sich die Risikobewertung mit den einzelnen Assets befassen soll.
  3. Identifizieren von Bedrohungen:
    Das bringt uns zur Identifizierung von Bedrohungen. Die Kenntnis Ihrer potenziellen Bedrohungen gibt Ihnen Aufschluss darüber, welche Änderungen Sie an Ihren Sicherheitssystemen und -Prozessen vornehmen. Zu den Bedrohungen können menschliches Versagen, Insider, Systemausfälle, kriminelle Bedrohungen - auch im Zusammenhang mit dem Dark Web-, Missbrauch von Informationen und Daten, Unterbrechung von Diensten oder sogar Schäden durch Naturkatastrophen gehören. Diese Bedrohungen werden dann nach dem Ausmass des potenziellen Schadens eingestuft, den sie verursachen können.
  4. Ranking der Bedrohungen:
    Die im vorherigen Schritt identifizierten Bedrohungen werden weiter eingegrenzt und wiederum auf Wahrscheinlichkeit und potenziellen Schaden eingestuft. So können dann entscheiden, wohin das Schutzbudget fliessen soll.
  5. Analyse:
    Als Nächstes müssen wir alle gesammelten Informationen auswerten und herausfinden, welche Massnahmen zur Minderung der Risiken ergriffen werden können. Dies könnten neue Authentifizierungsverfahren, Personalschulungen, Sicherheitssensoren in Gebäuden, physische Schlösser oder Softwarelösungen sein.
  6. Wahrscheinlichkeit und Auswirkungen potenzieller Bedrohungen:
    Auch hier muss die Liste der Bedrohungen auf der Grundlage der Auswirkungen der Bedrohung verfeinert werden. Angenommen es kommt zu einer Datenpanne. Welche Verfahren hat Ihr Unternehmen für solche Fälle vorgesehen? Dies könnte bedeuten, dass Sie eine Versicherung abschliessen und Mittel zur Deckung der Kosten bereitstellen müssen oder Sie können ermitteln, wie viel Geld Sie für präventive Sicherheitsmassnahmen ausgeben sollten.
  7. Risikopriorisierung auf der Grundlage von Kosten und Wert:
    Sie müssen den Wert eines Assets (sowohl in finanzieller Hinsicht als auch in Bezug auf den Ruf) ermitteln und dann die Kosten für seinen Schutz bestimmen. Wenn die Kosten geringer sind als der Wert, sollten Massnahmen ergriffen werden.
  8. Bericht erstellen:
    Der letzte Schritt jeder Risikobewertung besteht darin, einen umfassenden Bericht über die gesammelten Informationen und Einstufungen zu erstellen. Im Bericht werden die Risiken, Schwachstellen und Wertbeurteilungen behandelt und auch die empfohlenen Optionen aufgeführt.


Abschliessende Gedanken zu Risikobewertungen

Die Durchführung einer Risikobewertung im Bereich der Cybersicherheit ist für den Schutz eines jeden Unternehmens von entscheidender Bedeutung. Wenn Sie die grössten Risiken, denen Ihr Unternehmen ausgesetzt ist, nicht erkennen und sich nicht dagegen schützen, kann grosser Schaden entstehen. Deshalb ist es wichtig, die Risiken regelmässig nach Wert und Kosten zu bewerten, anzugehen und zu mindern.

Kostenloses Assessment und Phishing-Simulation

  1. Füllen Sie das Kontaktformular aus.
  2. Wir scannen Ihre Domäne und das Dark Web und starten eine realistische Phishing-Simulation.
  3. Sie erhalten einen einseitigen Human Risk Report über:
    • Human Risk Score Ihres Unternehmens
    • Schätzung „Time-to-breach“
    • Resultate des Phishing-Angriffs
    • Übersicht der Entdeckungen im Dark Web
    • Schritt-für-schritt Verbesserungsplan
Tags :
Kategorien :