Startseite » Top-News » News & Produkte »

Studie: Cyber-Risiken sind weit mehr als IT-Risiken

Dachzeile SEO
Studie: Cyber-Risiken sind weit mehr als IT-Risiken

AdobeStock__hearty__cyber-risiken.jpg
Ein Verständnis über die Zusammenhänge und Abhängigkeiten zwischen Organisationszielen, Organisationsbereichen, kritischen Geschäftsprozessen, kritischen Assets und der IT ist eine zentrale Voraussetzung für ein effektives Cyber Risk Management. Bild: hearty/stock.adobe.com
Cyber-Risiken werden von vielen Organisationen zu wenig ins unternehmensweite Risikomanagement integriert, zeigt eine Umfrage der Hochschule Luzern unter Schweizer Unternehmen. Ein risikoorientierter Ansatz etwa nach ISO 27001/27005 könnte für Abhilfe sorgen, so die Empfehlung.

» Sabine Koll

Bei vielen Unternehmen scheint ein zentrales Fundament zum Managen von Cyber-Risiken grundsätzlich zu fehlen: Keine der von der Hochschule Luzern für ihre aktuelle Cyber-Risk-Management-Studie befragten 18 Schweizer Organisationen hat explizit definiert, in welchem Ausmaß Cyber-Risiken bewusst eingegangen werden sollen, um die Geschäftsziele zu erreichen. „Aus der Sicht des Risikomanagements ist das vergleichbar mit einem Schiff, das keinen Kapitän hat“, sagt Professor Stefan Hunziker, Studienautor und Leiter des Kompetenzzentrums Risk & Compliance Management an der Hochschule Luzern.

Offenbar bereitet das Entwickeln von sogenannten Risikoappetit-Aussagen in der Praxis große Mühe. Risikoappetit meint die Gesamtheit der Risiken, die eine Organisation jederzeit bereit ist einzugehen, um ihre Organisationsziele zu verfolgen. Bezogen auf Cyber-Risiken bedeutet dies, dass das Aufsichtsorgan explizite Aussagen zum akzeptierbaren Risikoumfang hinsichtlich Cyber-Risiken trifft.

Die Studie, für die 33 Interviews mit Risk-Management-Verantwortlichen und Chief Information Security Officers (CISO) in 18 größeren Schweizer Unternehmen aus unterschiedlichen Branchen geführt wurden, zeigt: Im Umgang mit Cyber-Risiken herrscht eine Lücke zwischen der technischen IT-Infrastruktur-Ebene und der organisatorischen Ebene.

„Cyber-Risiken werden noch zu stark als reines IT-Thema verstanden. Entsprechend werden sie dezentral und operativ gesteuert und zu wenig in das unternehmensweite Risk Management integriert“, so Hunziker. Hier ist eine Diskrepanz der Relevanz des Risikos (Awareness) und der Risk Governance feststellbar. „Dieser Umstand verhindert einen konsistenten Vergleich – und damit auch eine sinnvolle Priorisierung – von Cyber-Risiken und anderen Risikokategorien auf oberster Führungsebene“, sagt der Experte.

CISO und Risk Manager müssen enger zusammenarbeiten

Als ersten Schritt in die richtige Richtung empfiehlt er, die Zusammenarbeit zwischen Chief Information Security Officer (CISO) und Risk Manager zu fördern. „Denn hier wird primär die Brücke zwischen der technischen Cybersicherheit und dem betriebswirtschaftlichen Risk Management geschlagen“, so Hunziker. In kleineren Organisationen halten es die Autoren der Studie für grundsätzlich problematisch, dass die Verantwortung über Cyber Risiken „extern vergeben“ wird, das heißt auf externe Audits und Dienstleister verwiesen wird. „Cyber Risiken müssen methodisch so beurteilt und beschrieben werden, dass sie anschlussfähig an das Enterprise Risk Management (ERM) sind. Deshalb ist es von zentraler Bedeutung, dass der Cyber-Risk-Management‐Prozess eng mit dem ERM verzahnt ist. Die Bedeutung des CISOs in der Schnittstelle Cyber-Risiken und ERM ist absolut zentral und muss in der Praxis stärker verankert werden“, mahnt Hunziker.

Risiko‐ versus
kontrollorientierter Ansatz

Um Cyber-Risiken besser in das Risikomanagement zu integrieren, empfehlen die Autoren Organisationen einen risikoorientierten Ansatz zum Beispiel nach ISO 27001/27005 zu verfolgen. Da es sich um einen Top-Down‐Ansatz handelt, sind sie in der Lage, explizite Bezüge zu den Geschäftsrisiken herzustellen – eine Voraussetzung, um Cyber-Risiken via Szenarioanalysen ins ERM zu überführen. Im Gegensatz dazu greife ein kontrollbasierter Ansatz zu kurz – also ein Grundschutzansatz etwa nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die beiden Ansätze unterscheiden sich in der Art und Weise wie die Maßnahmen zum Schutz vor Cyber-Risiken ermittelt werden. Beim kontrollbasierten Ansatz werden Maßnahmen aus einem vorgegebenen Maßnahmenkatalog – also zum Beispiel dem IT‐Grundschutz‐Kompendium des BSI – ausgewählt. Die Auswahl orientiert sich an der zu schützenden Systemlandschaft: Fileserver, Webserver, Virtualisierungsumgebungen, Client‐Computer, mobile Geräte etc.. Die implementierten Maßnahmen haben somit keinen direkten Bezug zur Risikosituation, der eine Organisation gegenübersteht. Dies führt dazu, dass es in bestimmten Bereichen zu einem „Über‐Schutz“ (zu viele Maßnahmen) und in anderen Bereichen zu einem „Unter‐Schutz“ (zu wenige Maßnahmen) kommen kann. Der risikoorientierte Ansatz setzt genau an diesem Punkt an. Er geht von den Risiken aus, mit denen eine Organisation und damit ihre IT‐Landschaft konfrontiert ist und leitet davon die notwendigen Maßnahmen ab, um die Risiken auf das akzeptierte Niveau zu senken.

In der Studie geben acht Organisationen an, dass sie einen risikoorientierten Ansatz verfolgen. Zwei Organisationen verfolgen einen kontrollbasierten Ansatz. Eine dieser beiden Organisationen ist von einem anfänglich risikoorientierten Ansatz mit dem Wachstum der Unternehmung zu einem kontrollbasierten Ansatz übergegangen. Grundsätzlich sind Zertifizierungen in beiden „Welten“ möglich: entweder als klassische ISO-27001‐Zertifizierung beim risikoorientierten Ansatz oder als „ISO-27001-Zertifizierung auf der Basis von IT‐Grundschutz“ beim kontrollbasierten Ansatz.

Hunziker: „Organisationen, die den Weg eines risikoorientierten Ansatzes gehen, erreichen in der Regel ein effektiveres und mit den Organisationszielen abgestimmtes Cyber Risk Management.“

Hochschule Luzerm
Informatik
Campus Zug-Rotkreuz
Suurstoffi 1
CH-6343 Rotkreuz
www.hslu.ch/informatik


Eine gemeinsame Sprache fehlt

Bei der Abstimmung des Cyber Risk Management mit den Prozessen des Enterprise Risk Management (ERM) gibt es laut der Studie allerdings noch Herausforderungen: So existiert grundsätzlich keine kompatible Sprache beziehungsweise Terminologie zwischen Cyber Risk Management und ERM. Das heißt, CISO und Risk Manager „verstehen“ sich oft nicht. Auch sind Abhängigkeitsanalysen zwischen Cyber Risiken und anderen Risiken zu wenig vorhanden. So hat zum Beispiel die Pandemie Cyber-Risiken verursacht, welche wiederum ökonomische Folgen haben. Außerdem, so die Autoren, folge die Bewertung der Cyber-Risiken einer anderen methodischen Vorgehensweise als bei anderen Risikokategorien: „Sie sind oft nicht quantifiziert, berücksichtigen nur das negative Risiko, weisen eine schwache Datengrundlage auf, sind hochdynamisch und lassen sich kaum über Erwartungswerte sinnvoll bewerten.“

Newsletter

Jetzt unseren Newsletter abonnieren

Quality Engineering
Titelbild QUALITY ENGINEERING 3
Ausgabe
3.2022
LESEN
ABO
Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Whitepaper zum Thema QS

Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de