Eine Risikobewertung der Cybersicherheit in fünf Schritten

Was beinhaltet eine Risikobewertung im Bereich der Cybersicherheit?

Eine Risikobewertung der Cybersicherheit setzt voraus, dass ein Unternehmen seine wichtigsten Geschäftsziele festlegt und die IT-Ressourcen identifiziert, die für die Verwirklichung dieser Ziele wichtig sind. Dann gilt es, Cyberangriffe zu identifizieren, die sich negativ auf diese Vermögenswerte auswirken könnten, die Wahrscheinlichkeit des Auftretens dieser Angriffe zu bestimmen und die möglichen Auswirkungen zu ermitteln. Auf diese Weise können die Beteiligten und die Sicherheitsteams fundierte Entscheidungen darüber treffen, wie und wo Sicherheitskontrollen zu implementieren sind, um das Gesamtrisiko auf ein Niveau zu senken, das für das Unternehmen akzeptabel ist.

Eine Risikobewertung der Cybersicherheit in fünf Schritten durchführen

Eine Risikobewertung im Bereich der Cybersicherheit kann in viele Teile unterteilt werden, aber die fünf wichtigsten Schritte sind Bestandsaufnahme, Risikoidentifizierung, Risikoanalyse, Risikobewertung und Dokumentation.

Schritt 1: Bestimmen des Umfangs der Risikobewertung

Am Anfang einer Risikobewertung steht die Entscheidung darüber, was in den Anwendungsbereich der Bewertung fällt. Es könnte das gesamte Unternehmen sein, aber das ist in der Regel ein zu großes Unterfangen, so dass es sich eher um eine Geschäftseinheit, einen Standort oder einen bestimmten Aspekt des Unternehmens handelt, zum Beispiel die Zahlungsabwicklung oder eine Webanwendung. Es ist von entscheidender Bedeutung, dass alle Interessengruppen, deren Aktivitäten in den Anwendungsbereich der Bewertung fallen, ihre volle Unterstützung erhalten, da ihre Beiträge für das Verständnis der wichtigsten Vermögenswerte und Prozesse, die Identifizierung von Risiken, die Bewertung der Auswirkungen und die Festlegung von Risikotoleranzniveaus unerlässlich sind. Möglicherweise wird ein Dritter, der auf Risikobewertungen spezialisiert ist, benötigt, um sie bei dieser ressourcenintensiven Aufgabe zu unterstützen.

Alle Beteiligten sollten mit der in einer Risikobewertung verwendeten Terminologie vertraut sein, zum Beispiel mit den Begriffen Wahrscheinlichkeit und Auswirkung, so dass ein gemeinsames Verständnis der Risikobewertung besteht. Vor der Durchführung einer Risikobewertung lohnt es sich, Normen wie ISO/IEC 27001 und Rahmenwerke wie die Empfehlungen des BSI zur Risikoanalyse oder des IT-Grundschutz zu lesen. Diese Informationen können Unternehmen dabei helfen können, ihre Informationssicherheitsrisiken auf strukturierte Weise zu bewerten und sicherzustellen, dass die Kontrollmaßnahmen zur Risikominderung angemessen und wirksam sind.

Verschiedene Standards und Gesetze wie EU-DSGVO, HIPAA, Sarbanes-Oxley und PCI DSS verlangen von oder empfehlen Unternehmen die Durchführung einer formalisierten Risikobewertung und enthalten häufig Richtlinien und Empfehlungen für die Durchführung dieser Bewertungen. Vermeiden Sie jedoch bei der Durchführung einer Bewertung einen auf die Einhaltung von Vorschriften ausgerichteten Ansatz mit Checklisten, da die bloße Erfüllung von Vorschriften nicht unbedingt bedeutet, dass eine Organisation keinen Risiken ausgesetzt ist.

Schritt 2: Cybersicherheitsrisiken erkennen

2.1 Vermögenswerte identifizieren

Man kann nicht schützen, was man nicht kennt. Daher besteht die nächste Aufgabe darin, alle physischen und logischen Vermögenswerte, die in den Anwendungsbereich der Risikobewertung fallen, zu identifizieren und zu inventarisieren. Bei der Identifizierung der Vermögenswerte ist es wichtig, nicht nur die Kronjuwelen des Unternehmens zu ermitteln, das heißt Assets, die für das Unternehmen von entscheidender Bedeutung sind und wahrscheinlich das Hauptziel von Angreifern darstellen. Es gilt auch für Vermögenswerte, über die Angreifer die Kontrolle erlangen möchten, wie zum Beispiel einen Active-Directory-Server oder Bildarchiv- und Kommunikationssysteme, um sie als Dreh- und Angelpunkt für die Ausweitung eines Angriffs zu nutzen. Die Erstellung eines Diagramms der Netzwerkarchitektur auf der Grundlage der Bestandsliste ist eine gute Möglichkeit, die Verbindungen und Kommunikationswege zwischen den Anlagen und Prozessen sowie die Eintrittspunkte in das Netzwerk zu visualisieren, was die nächste Aufgabe der Identifizierung von Bedrohungen erleichtert.

2.2 Bedrohungen identifizieren

Bedrohungen sind die Taktiken, Techniken und Methoden, die von Bedrohungsakteuren eingesetzt werden und die das Potenzial haben, den Vermögenswerten einer Organisation Schaden zuzufügen. Um potenzielle Bedrohungen für die einzelnen Anlagen zu identifizieren, verwenden Sie eine Bedrohungsbibliothek wie die MITRE ATT&CK Knowledge Base und überlegen Sie, wo sich die einzelnen Anlagen in der Cyber-Kill-Chain von Lockheed Martin befinden, da dies dabei hilft, die Art des erforderlichen Schutzes zu bestimmen. Die Cyber-Kill-Chain zeigt die Phasen und Ziele eines typischen Angriffs in der realen Welt auf.

2.3 Ermitteln, was schief gehen könnte

Bei dieser Aufgabe geht es darum, die Folgen einer identifizierten Bedrohung zu spezifizieren, die eine Schwachstelle ausnutzt, um einen Vermögenswert im Geltungsbereich anzugreifen. Zum Beispiel:

Bedrohung: Ein Angreifer führt eine SQL-Injektion aus

Schwachstelle: ungepatched

Vermögenswert: Webserver

Konsequenz: Diebstahl sensibler Kundendaten

Die Zusammenfassung dieser Informationen in einfachen Szenarien wie diesem macht es für alle Beteiligten einfacher, die Risiken zu verstehen, denen sie in Bezug auf die wichtigsten Unternehmensziele ausgesetzt sind. Sicherheitsteams können geeignete Maßnahmen und bewährte Verfahren zur Bewältigung des Risikos ermitteln.

Schritt 3: Risiken analysieren und Auswirkungen bestimmen

Nun gilt es, die Wahrscheinlichkeit zu bestimmen, mit der die in Schritt 2 dokumentierten Risikoszenarien tatsächlich eintreten. Ebenso müssen die Auswirkungen auf die Organisation ermittelt werden, wenn dies der Fall ist. Bei einer Bewertung des Cybersecurity-Risikos sollte die Risikowahrscheinlichkeit - die Wahrscheinlichkeit, dass eine bestimmte Bedrohung eine bestimmte Schwachstelle ausnutzen kann - auf der Grundlage der Entdeckbarkeit, Ausnutzbarkeit und Reproduzierbarkeit von Bedrohungen und Schwachstellen bestimmt werden und nicht auf der Grundlage historischer Vorkommnisse. Dies liegt daran, dass die Wahrscheinlichkeit aufgrund des dynamischen Charakters von Cybersicherheitsbedrohungen nicht so eng mit der Häufigkeit vergangener Ereignisse verknüpft ist, wie dies beispielsweise bei Überschwemmungen und Erdbeben der Fall ist.

Die Einstufung der Wahrscheinlichkeit auf einer Skala von 1: selten bis 5: sehr wahrscheinlich und der Auswirkungen auf einer Skala von 1: vernachlässigbar bis 5: sehr ernst macht es einfach, die unten dargestellte Risikomatrix zu erstellen.

Die Auswirkung bezieht sich auf das Ausmaß des Schadens für die Organisation, der sich aus den Folgen der Ausnutzung einer Schwachstelle durch eine Bedrohung ergibt. Die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit sollten in jedem Szenario bewertet werden, wobei die höchste Auswirkung als endgültige Punktzahl verwendet wird. Dieser Aspekt der Bewertung ist naturgemäß subjektiv, weshalb der Beitrag von Interessengruppen und Sicherheitsexperten so wichtig ist. Bei der oben beschriebenen SQL-Injektion würden die Auswirkungen auf die Vertraulichkeit wahrscheinlich als sehr ernst eingestuft werden.

Schritt 4: Risiken ermitteln und priorisieren

Anhand einer Risikomatrix wie der folgenden, bei der die Risikostufe „Wahrscheinlichkeit mal Auswirkung“ ist, kann jedes Risikoszenario klassifiziert werden. Wenn das Risiko eines SQL-Injection-Angriffs als „wahrscheinlich" oder „sehr wahrscheinlich“ eingestuft würde, würde unser Beispiel-Risikoszenario als „sehr hoch“ eingestuft werden.

Jedes Szenario, das über der vereinbarten Toleranzschwelle liegt, sollte vorrangig behandelt werden, um es in den Bereich der Risikotoleranz des Unternehmens zu bringen. Es gibt drei Möglichkeiten, dies zu tun:

Vermeiden. Wenn das Risiko den Nutzen überwiegt, kann es die beste Lösung sein, eine Aktivität zu unterlassen, wenn dies bedeutet, ihr nicht mehr ausgesetzt zu sein.

Übertragung. Teilen Sie einen Teil des Risikos mit anderen Parteien durch eine Cyberversicherung oder die Auslagerung bestimmter Tätigkeiten an Dritte.

Abschwächen. Einsatz von Sicherheitskontrollen und anderen Maßnahmen zur Verringerung der Wahrscheinlichkeit und/oder der Auswirkungen und damit des Risikoniveaus.

Kein System und keine Umgebung können jedoch zu 100 Prozent sicher gemacht werden, so dass immer ein gewisses Risiko verbleibt. Dies wird als Restrisiko bezeichnet und muss von den leitenden Akteuren als Teil der Cybersicherheitsstrategie des Unternehmens formell akzeptiert werden.

Schritt 5: Alle Risiken dokumentieren

Es ist wichtig, alle identifizierten Risikoszenarien in einem Risikoregister zu dokumentieren. Dieses sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass die Geschäftsleitung stets über einen aktuellen Überblick über ihre Cybersicherheitsrisiken verfügt. Es sollte Folgendes enthalten:

• Risikoszenario
• Datum der Identifizierung
• Vorhandene Sicherheitskontrollen
• Aktuelles Risikoniveau
• Maßnahmenplan - die geplanten Aktivitäten und der Zeitplan, um das Risiko auf ein akzeptables Risikotoleranzniveau zu bringen.
• Fortschrittsstatus - der Stand der Umsetzung des Maßnahmenplans.
• Restrisiko - das Risikoniveau nach Umsetzung des Maßnahmenplans.
• Risikoeigner oder Risk Owner- die Person oder Gruppe, die dafür verantwortlich ist, dass die Restrisiken innerhalb der Toleranzschwelle bleiben.

Eine Risikobewertung der Cybersicherheit ist ein umfangreiches und fortlaufendes Unterfangen. Daher müssen Zeit und Ressourcen zur Verfügung gestellt werden, wenn sie die künftige Sicherheit des Unternehmens verbessern soll. Sie muss wiederholt werden, wenn neue Bedrohungen auftauchen und neue Systeme oder Aktivitäten eingeführt werden. Wenn sie jedoch beim ersten Mal gut durchgeführt wird, bietet sie einen wiederholbaren Prozess und eine Vorlage für künftige Bewertungen und verringert gleichzeitig die Wahrscheinlichkeit, dass ein Cyberangriff die Geschäftsziele beeinträchtigt.