70 % der Organisationen erlebten im vergangenen Jahr mindestens zwei kritische Risikovorfälle. Über 40 % erlebten mindestens drei und fast 20 % litten unter sechs oder mehr Vorfällen, laut einem Bericht von 2023 von Forrester und Dataminr.

Das Management von Cybersicherheitsrisiken besteht nicht nur aus der Implementierung von Firewalls oder starken Passwortpraktiken. Es geht darum, einen umfassenden und proaktiven Ansatz zu verfolgen, um Ihre Informationswerte vor den spezifischen Bedrohungen Ihrer Organisation zu schützen. Genauso wie Meteorologen mit unsicheren Faktoren wie Windmustern, Temperaturschwankungen und atmosphärischen Bedingungen zu kämpfen haben, stehen Risikomanager vor ihren eigenen Herausforderungen, wenn sie versuchen, den numerischen Wert des Risikos festzulegen.

Ein Risikobewertung quantifiziert das Risikoniveau, das mit einer bestimmten Entscheidung, Aktivität oder Bedrohung verbunden ist, damit Organisationen Risiken effektiv priorisieren und mindern können. In diesem Artikel werden wir tiefer in die Komponenten einer Risikobewertung eintauchen und einige beliebte Methoden zur Berechnung des Cybersicherheitsrisikos durchgehen.

Verständnis von Risikobewertungen

Eine Risikobewertung ist ein numerischer Wert, der die potenzielle Schwere und Wahrscheinlichkeit eines negativen Ereignisses darstellt. Dieser Wert hilft Organisationen, Risiken zu priorisieren, damit sie Ressourcen zuweisen und wirksame Kontrollen umsetzen können, um sich vor kritischen Risiken zu schützen.

Im Wesentlichen übersetzt eine Risikobewertung die komplexen Dimensionen des Risikos in eine einfache Zahl, die leicht zu interpretieren ist. Um eine Risikobewertung zu verstehen und zu berechnen, müssen Sie zwei grundlegende Komponenten berücksichtigen: Risiko-Wahrscheinlichkeit und Risiko-Auswirkungen.

• Risiko-Wahrscheinlichkeit: Diese Komponente bewertet die Risikowahrscheinlichkeit. Die Wahrscheinlichkeit kann mit numerischen Werten wie 1-5, Prozentsätzen oder qualitativen Beschreibungen (z.B. selten, wahrscheinlich, fast sicher) gemessen werden. Um die Risiko-Wahrscheinlichkeit zu bestimmen, berücksichtigen Sie historische Daten, konsultieren Sie interne Experten, untersuchen Sie Branchentrends und bewerten Sie die Stärke Ihrer bestehenden Kontrollen.
• Risiko-Auswirkungen: Diese Komponente betrachtet die Folgen des Risikovereins, sollten sie eintreten. Um die Auswirkungen zu bewerten, berücksichtigen Sie potenzielle finanzielle Verluste, Reputationsschäden sowie rechtliche und Compliance-Implikationen. Wie die Wahrscheinlichkeit können die Auswirkungen mit numerischen Werten oder qualitativen Beschreibungen quantifiziert werden, die von minimal bis katastrophal reichen.

Berechnung der Risikobewertung: Die grundlegende Formel

Eine einfache Formel zur Berechnung einer Risikobewertung ist die Kombination der Wahrscheinlichkeit und der Auswirkungen des Risikos:

Diese einfache Berechnung ermöglicht es Organisationen, einen schnellen Überblick über verschiedene Risiken zu erhalten, um diese leicht zu vergleichen und zu priorisieren. Ein höherer Risikowert zeigt natürlich ein höheres Risikoniveau an, mit dringenderen Minderungsmaßnahmen.

Betrachten Sie beispielsweise ein Szenario, in dem die Wahrscheinlichkeit eines Datenverstoßes auf einer Skala von 1 bis 5 mit 4 bewertet wird und die potenziellen Auswirkungen als 5 bewertet werden. Mit der Formel würde die Risikobewertung für einen Datenverstoß wie folgt aussehen:

Risikobewertung = 4 (Wahrscheinlichkeit) × 5 (Auswirkungen) = 20

Inzwischen wird die Wahrscheinlichkeit eines Serverausfalls mit 2 von 5 und die Auswirkungen mit 4 von 5 bewertet. Die Risikobewertung für diese Möglichkeit würde lauten:

Risikobewertung = 2 (Wahrscheinlichkeit) × 4 (Auswirkungen) = 8

Diese Bewertungen helfen Organisationen, Risiken leicht zu vergleichen und zu bestimmen, wie Ressourcen für optimale Risikoreaktionsstrategien zugewiesen werden sollen.

Was ist eine quantitative Risikoanalyse?

Es gibt zwei grundlegende Methoden zur Bewertung von Risiken. Ein qualitativer Ansatz, wie eine Risikoabschätzungsmatrix, stützt sich auf Fachwissen und Erfahrung, um eine Risikobewertung wie „sehr wahrscheinlich“ oder „kritisch“ zuzuweisen. Ein quantitativer Ansatz verwendet mathematische Berechnungen und messbare Daten, um numerische Risikowerte wie „37% Wahrscheinlichkeit“ und „20.000 $ jährlicher Verlust“ zuzuweisen.

Während der durch quantitative Risikoanalysen gebotene Präzisionsgrad den Unternehmen eine klarere und spezifischere Vorstellung ihrer Risikobelastung vermittelt, ist er auch schwieriger und ressourcenintensiver durchzuführen.

Quantitative Risikoanalyse vs. qualitative Risikoanalyse

Basierend auf Faktoren wie strategischen Zielen und verfügbaren Ressourcen können Organisationen eher zu einer Art der Risikoabschätzung neigen als zur anderen.

Wann qualitative Risikoabschätzungen verwendet werden sollten:

• Begrenzte Ressourcen: Quantitative Analysen können ressourcenintensiv sein und den Zugang zu zuverlässigen Daten, analytischen Tools und internem Fachwissen erfordern. Kleinere Unternehmen oder solche mit begrenzten Ressourcen könnten zunächst qualitative Bewertungen bevorzugen.
• Unsichere Cybersicherheitslandschaft: In hochkomplexen Umgebungen oder bei bestimmten Risikotypen können quantitative Daten knapp sein. Qualitative Bewertungen können wertvolle Einblicke bieten, wenn die zur Quantifizierung von Risiken erforderlichen Informationen nicht verfügbar sind.

Wann quantitative Risikoabschätzungen verwendet werden sollten:

• Bedarf an Präzision: Quantitative Bewertungen sind besonders nützlich, wenn genaue finanzielle Entscheidungen getroffen werden müssen, wie z. B. die Rechtfertigung von Investitionen in die Cybersicherheit oder die Bestimmung des Versicherungsschutzes. Sie bieten eine klarere Kosten-Nutzen-Analyse zur Abwägung verschiedener Risikominderungsstrategien.
• Regulatorische und Compliance-Anforderungen: Bestimmte Branchen und regulatorische Rahmenbedingungen können quantitative Risikoabschätzungen erfordern, um die Compliance-Standards und Berichtspflichten zu erfüllen. Beispielsweise beinhaltet die SOX-Compliance quantitative Risikoabschätzungen für Finanzkontrollen. Obwohl NIST 800-53 dies nicht ausdrücklich verlangt, ermutigt das Rahmenwerk doch zur Verwendung quantitativer Methoden, um Risikomanagemententscheidungen zu informieren und zu verbessern.
• Höhere GRC-Reife: Organisationen mit reiferen GRC- und Risikomanagementpraktiken entwickeln sich oft zu quantitativen Methoden weiter, wenn sie historische Daten sammeln und ein tieferes Verständnis ihrer Risikoumgebung entwickeln.

7 beliebte Ansätze zur Berechnung von Cybersicherheitsrisiken

Es gibt mehrere Ansätze und Methoden, um Risiken zu quantifizieren und zu verwalten. Im Folgenden erklären wir 7 gängige Ansätze und Formeln zur Berechnung von Cybersicherheitsrisiken und geben jeweils ein Beispiel.

1. Erwarteter Jahresverlust (ALE)

ALE quantifiziert den potenziellen finanziellen Verlust, den ein Unternehmen in einem Jahr infolge spezifischer Sicherheitsvorfälle oder Bedrohungen erwarten kann. Diese Formel ist besonders wertvoll für Unternehmen, die ihre Investitionen in Cybersicherheit und Strategien priorisieren möchten, indem sie identifizieren, welche Bedrohungen das größte finanzielle Risiko darstellen.

• SLE (Single Loss Expectancy): Der geschätzte monetäre Verlust oder Einfluss durch das einmalige Auftreten einer Bedrohung.
• ARO (Annual Rate of Occurrence): Die erwartete Häufigkeit des Auftretens einer Bedrohung innerhalb eines Jahres.

Durch die Berechnung des ALE für verschiedene Cybersecurity-Bedrohungen können Organisationen fundierte Entscheidungen über die Zuweisung von Ressourcen zu Bedrohungen mit dem höchsten ALE treffen und so eine klarere Begründung für Cybersecurity-Budgets und Investitionen liefern. Durch die Darstellung der potenziellen finanziellen Auswirkungen ungeminderter Risiken können Sicherheitsverantwortliche überzeugend darlegen, welches Budget erforderlich ist, um wirksame Sicherheitsmaßnahmen zu implementieren.

Durch den Vergleich der Kosten für die Implementierung einer Sicherheitskontrolle mit der Verringerung des ALE, die sie bietet, können Risikomanagementverantwortliche auch fundierte Entscheidungen darüber treffen, welche Kontrollen den besten Return on Investment bieten. Für alle Risiken, die durch Kontrollen nicht vollständig gemindert werden können, kann ALE eine wertvolle Kennzahl sein, um den angemessenen Umfang der Cyber-Versicherung festzulegen und sicherzustellen, dass die Organisation angemessen gegen potenzielle finanzielle Verluste geschützt ist.

Beispiel: Wie man ALE zur Risikoberechnung verwendet

1. Risiko identifizieren: Beginnen Sie damit, ein spezifisches Risiko zu identifizieren, dem Ihre Organisation ausgesetzt ist. Dies kann alles Mögliche sein, von einem Social-Engineering-Angriff bis hin zu einem Hardwareausfall.
2. Einzelverlust erwarten:
3. Asset-Wert bewerten: Dies könnte der Wert von Daten, Hardware oder anderen Ressourcen sein.
4. Exposure Factor (EF) bestimmen: Schätzen Sie den prozentualen Verlust, den das identifizierte Risiko im Falle seines Auftretens verursachen würde. Wenn ein Risikoevent beispielsweise den Verlust von 50 % des Wertes eines Assets zur Folge hätte, beträgt der EF 0,5.
5. Einzelverlust erwarten (SLE) berechnen: SLE = Asset-Wert × EF
6. ARO schätzen: Schätzen Sie, wie oft das identifizierte Risiko basierend auf historischen Daten, Branchen-Benchmarks oder Expertenmeinungen voraussichtlich in einem Jahr eintreten wird.
7. Jährlichen Verlust erwarten (ALE) berechnen: Multiplizieren Sie das SLE mit dem ARO, um das ALE zu erhalten.

Angenommen, eine Organisation bewertet das Risiko eines Datenverlustes und bestimmt den SLE auf 400.000 USD unter Berücksichtigung der Incident Response, potenzieller Bußgelder, Benachrichtigungskosten und Reputationsschäden. Basierend auf der Bedrohungslage der Organisation und historischen Daten wird der ARO auf 0,2 geschätzt (was einmal in fünf Jahren bedeutet).

ALE = 400.000 USD × 0,2 = 80.000 USD

Das bedeutet, dass die Organisation aufgrund von Datenverlusten durchschnittlich mit einem jährlichen Verlust von 80.000 USD rechnen kann.

2. Faktor-Analyse von Informationsrisiken (FAIR)

FAIR ist ein Rahmenwerk zur Quantifizierung von Informationsrisiken in finanziellen Begriffen und zerlegt das Risiko in Faktoren wie die Häufigkeit von Bedrohungsereignissen, Verwundbarkeit und Verlusthochrechnung.

FAIR teilt das Risiko in zwei Hauptkategorien, die jeweils mehrere Unterkomponenten haben:

• Häufigkeit von Verlustereignissen (LEF): Die erwartete Häufigkeit, mit der ein spezifisches Verlustereignis auftritt, unter Berücksichtigung von:
• Häufigkeit von Bedrohungsereignissen (TEF): Wie oft ein Bedrohungsereignis wahrscheinlich eintritt
• Verwundbarkeit: Die Wahrscheinlichkeit, dass ein Bedrohungsereignis zu einem Verlustereignis wird
• Wahrscheinliche Verlusthochrechnung (PLM): Die Bandbreite potenzieller Verluste für jedes Ereignis, unter Berücksichtigung von:
• Primärverlust: Direkte finanzielle Verluste durch ein Ereignis.
• Sekundärverlust: Indirekte Verluste, einschließlich Reputationsschäden, Antwortkosten usw.

Beispiel: Wie man FAIR zur Risikoberechnung verwendet

Während FAIR keine spezifischen Formeln für jeden Schritt anbietet, verwenden Organisationen häufig Monte-Carlo-Simulationen oder andere statistische Modelle, um LEF und PLM zu berechnen.

1. Das Risikoszenario abgrenzen: Definieren Sie klar das zu analysierende Risikoszenario, einschließlich der beteiligten Vermögenswerte, potenzieller Bedrohungen und des Kontexts.
2. Relevante Faktoren identifizieren: Zerlegen Sie das Szenario in seine FAIR-Komponenten. Identifizieren Sie die relevanten Bedrohungen, die Schwachstellen der beteiligten Vermögenswerte und die potenziellen Auswirkungen (sowohl primär als auch sekundär).
3. Daten sammeln: Sammeln Sie historische Vorfallsdaten, Branchenbenchmarks, Expertenmeinungen und alle anderen relevanten Informationen für das Risikoszenario.
4. Daten analysieren: Kombinieren Sie für LEF Ihre Daten zur Häufigkeit von Bedrohungsereignissen und zur Verwundbarkeit, um die Anzahl der Verlustereignisse zu schätzen, die wahrscheinlich auftreten werden. Für PLM schätzen Sie die Bandbreite potenzieller Verluste ab und berücksichtigen dabei sowohl primäre als auch sekundäre Auswirkungen.
5. Risiko quantifizieren: Verwenden Sie die gesammelten Daten und Analysen, um das Risiko in finanziellen Begriffen zu schätzen. FAIR drückt das Risiko typischerweise als eine Bandbreite aus, um der inhärenten Unsicherheit der Risikoanalyse Rechnung zu tragen. Dies beinhaltet die Berechnung der wahrscheinlichen Bandbreite der Häufigkeiten von Verlustereignissen und der wahrscheinlichen Verlustmagnituden, um eine Gesamtrisikozahl abzuleiten.

Angenommen, eine Organisation ist besorgt über das Risiko von Phishing-Angriffen. Das spezifische Risikoszenario, das sie definieren, ist eine Datenpanne, die durch einen Mitarbeiter verursacht wird, der unbeabsichtigt sensible Informationen aufgrund eines Phishing-Angriffs preisgibt.

1. TEF schätzen: Die Organisation analysiert frühere Vorfälle und Branchenbenchmarks, um festzustellen, dass Mitarbeiter im Durchschnitt fünf raffinierte Phishing-Versuche pro Jahr erhalten.
2. Verwundbarkeit beurteilen: Basierend auf Schulungen zum Sicherheitsbewusstsein und E-Mail-Filterung schätzt die Organisation, dass die Wahrscheinlichkeit, dass ein Mitarbeiter auf einen Phishing-Versuch hereinfällt, 10 % beträgt.
3. LEF berechnen: LEF = 5 (TEF) × 0,1 (Vuln) = 0,5 Ereignisse pro Jahr. Im Durchschnitt könnte also alle zwei Jahre ein erfolgreicher Phishing-Angriff zu einer Datenpanne führen.
4. Wahrscheinliche Verlustmagnituden (PLM) schätzen: Basierend auf früheren Vorfällen und Branchenbenchmarks könnten die direkten Kosten pro Datenpanne zwischen 50.000 und 200.000 US-Dollar liegen, und die indirekten Kosten werden auf 100.000 bis 500.000 US-Dollar geschätzt. Unter Berücksichtigung direkter und indirekter Kosten könnte die Gesamtschadenshöhe pro Vorfall zwischen 150.000 und 700.000 US-Dollar liegen.
5. Risikoabschätzungen aggregieren: Angesichts der LEF von 0,5 und der PLM-Spanne kann die Organisation mit einem durchschnittlichen jährlichen Verlust (ALE) von 75.000 bis 350.000 US-Dollar aufgrund von Phishing-induzierten Datenpannen rechnen.

3. Das Common Vulnerability Scoring System (CVSS)

Das CVSS bietet einen Rahmen zur Klassifizierung der Schwere von Software-Schwachstellen, bewertet Probleme wie Ausnutzbarkeit und Auswirkungen, um eine Punktzahl von 0 bis 10 zu vergeben.

CVSS-Scores werden unter Verwendung mehrerer Metriken berechnet, die in drei Hauptkategorien unterteilt sind.

1. Basis-Metriken: Diese repräsentieren die intrinsischen Merkmale einer Schwachstelle, die über die Zeit und Benutzerumgebungen hinweg konsistent sind. Dies umfasst:

• Angriffsvektor: Wie die Schwachstelle ausgenutzt wird (z. B. lokaler Zugriff, angrenzendes Netzwerk, Netzwerk).
• Komplexität des Angriffs: Die Komplexität des Angriffs, die erforderlich ist, um die Schwachstelle auszunutzen.
• Erforderliche Privilegien: Das Niveau der Zugriffsprivilegien, die ein Angreifer besitzen muss, um die Schwachstelle erfolgreich auszunutzen.
• Benutzerinteraktion: Ob die Ausnutzung der Schwachstelle eine Aktion eines Benutzers erfordert.
• Geltungsbereich: Ob die Schwachstelle Komponenten außerhalb ihres Sicherheitsbereichs betrifft.
• Auswirkungsmetriken: Die Auswirkung der Ausnutzung der Schwachstelle auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten.

2. Zeitliche Metriken: Diese repräsentieren Aspekte einer Schwachstelle, die sich im Laufe der Zeit ändern können, jedoch nicht über Benutzerumgebungen hinweg. Dies umfasst:

• Reifegrad des Exploit-Codes: Die Verfügbarkeit von Exploit-Code oder -Techniken.
• Reparaturstand: Das Niveau einer verfügbaren Lösung.
• Berichtszuverlässigkeit: Der Grad des Vertrauens in den Schwachstellenbericht.

3. Umweltmetriken: Diese Metriken berücksichtigen die spezifischen Auswirkungen der Schwachstelle auf eine Organisation, wobei Faktoren wie die folgenden berücksichtigt werden:

• Sicherheitsanforderungen: Die Bedeutung der Vertraulichkeit, Integrität und Verfügbarkeit für das betroffene System.
• Modifizierte Basis-Metriken: Anpassungen der Basis-Metriken, um für Minderungen zu berücksichtigen, die die Ausnutzbarkeit oder den Einfluss innerhalb der Benutzerumgebung reduzieren.

Beispiel: Verwendung von CVSS zur Berechnung des Risikos

1. Berechnung der Basisbewertung: Beginnen Sie mit den Basis-Metriken, um eine Basis-Bewertung zwischen 0 und 10 zu berechnen.
2. Berechnung der zeitlichen Bewertung: Passen Sie die Basis-Bewertung basierend auf den zeitlichen Metriken an, falls relevante Daten verfügbar sind. Dies kann die Bewertung basierend auf Faktoren wie dem Reifegrad des Exploit-Codes und dem Reparaturstand erhöhen oder verringern.
3. Berechnung der umweltbezogenen Bewertung: Nehmen Sie zusätzliche Bewertungskorrekturen basierend auf den umweltbezogenen Metriken vor, um die Bewertung an den spezifischen Kontext einer Organisation anzupassen. Dabei wird berücksichtigt, wie kritisch das betroffene System ist und welche Sicherheitskontrollen vorhanden sind, die die Auswirkungen mindern könnten.

NIST stellt einen CVSS-Rechner zur Verfügung, der diesen Prozess automatisiert. Sie geben die Werte für jede Metrik ein, und der Rechner erzeugt die Basis-, Zeit- und umweltbezogenen Bewertungen.

Ein Beispiel: Angenommen, ein Sicherheitsteam entdeckt eine Schwachstelle in einer ihrer Webanwendungen. Diese Schwachstelle ermöglicht es einem Angreifer, beliebigen Code auf dem Server auszuführen, auf dem die Anwendung gehostet wird, was potenziell zu Datendiebstahl, Datenkorruption oder unbefugtem Zugriff auf sensible Systeme führen könnte.

Das Team bewertet die Schwachstelle mithilfe dieser CVSS-Metriken und stellt fest:

• Angriffsvektor: Die Schwachstelle ist remote über das Netzwerk ausnutzbar.
• Komplexität des Angriffs: Der Angriff ist von geringer Komplexität; es sind keine speziellen Zugriffsrechte oder Bedingungen erforderlich.
• Erforderliche Privilegien: Der Angreifer benötigt keine speziellen Zugriffsrechte.
• Benutzerinteraktion: Es ist keine Benutzerinteraktion zur Ausnutzung erforderlich.
• Geltungsbereich: Die Schwachstelle hat keine Auswirkungen auf andere Ressourcen als die verwundbare Komponente.
• Auswirkung: Die Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

Basierend auf diesen Bewertungen weist der CVSS-Rechner die folgenden Bewertungen zu:

• Basisbewertung: 9.8 (Kritisch)
• Zeitliche Bewertung: 8.8
• Umweltbewertung: 7.5

Mit einer kritischen Basisbewertung wird diese Hochrisikoschwachstelle zur sofortigen Behebung priorisiert, und das Unternehmen stellt Ressourcen für einen dringenden Patch oder eine Lösung bereit. Die CVSS-Bewertung wird auch für Compliance-Zwecke dokumentiert und in Risiko- und Berichterstattungen an das Management und andere Stakeholder genutzt.

4. Angriffsbäume Analyse

Diese Methode besteht darin, ein grafisches Modell potenzieller Angriffspfade zu erstellen, die zur Kompromittierung eines Systems verwendet werden könnten. Es hilft den Mitgliedern des Risikoteams, die verschiedenen Möglichkeiten zu visualisieren, wie ein System durch ein baumähnliches Diagramm angegriffen werden könnte, wobei das Hauptziel oder der Angriff als Stamm und die verschiedenen Methoden zur Erreichung dieses Ziels als Zweige dargestellt werden.

• Wurzelknoten: Repräsentiert das Hauptziel des Angriffs oder die primäre Bedrohung, die bewertet wird.
• Zwischenknoten: Repräsentieren die Teilziele oder Zwischenschritte, die ein Angreifer unternehmen könnte, um das Hauptziel zu erreichen. Diese können sich weiter in detailliertere Schritte verzweigen.
• Blattknoten: Dies sind die Endpunkte des Baums, die spezifische Angriffstechniken oder -aktionen repräsentieren, die zur Erreichung der darüber liegenden Teilziele ausgeführt werden können.

Beispiel: Wie man die Angriffsanalyse verwendet, um das Risiko zu berechnen

1. Hauptziel definieren: Beginnen Sie mit der primären Sicherheitsbedrohung oder dem Ziel des potenziellen Angreifers als Wurzel des Baums.
2. Teilziele identifizieren: Brechen Sie das Hauptziel in Zwischenziele oder -schritte herunter, die ein Angreifer erreichen müsste, um das Hauptziel zu erreichen. Diese werden zu den aus der Wurzel stammenden Zweigen.
3. Angriffsmethoden detaillieren: Identifizieren Sie für jeden Zwischenschritt die spezifischen Angriffsmethoden oder -aktionen, die ein Angreifer verwenden könnte. Diese werden zu den Blattknoten des Baums.
4. Werte zuweisen: Weisen Sie jedem Blattknoten Werte zu, die die Kosten, den Schwierigkeitsgrad oder die Wahrscheinlichkeit dieser Angriffsmethode darstellen.
5. Risiko berechnen: Aggregieren Sie die Werte von den Blattknoten durch den Baum, um das Gesamtrisiko in Bezug auf das Hauptziel zu bestimmen.
6. Analysieren und priorisieren: Verwenden Sie den fertigen Angriffsbaum, um zu identifizieren, welche Angriffspfade am wahrscheinlichsten sind oder die größte Auswirkung haben würden, und priorisieren Sie Sicherheitsmaßnahmen, um diese Risiken zu mindern.

Obwohl Angriffsdiagramme eine strukturierte Möglichkeit bieten, potenzielle Angriffspfade zu visualisieren und zu analysieren, kann die Quantifizierung des Risikos durch Angriffsdiagramme so einfach sein wie die Identifizierung des Weges des geringsten Widerstands (niedrigste Kosten oder höchste Wahrscheinlichkeit für den Angreifer) oder so komplex wie die Anwendung probabilistischer Modelle auf jeden Knoten, um das Gesamtrisiko abzuschätzen.

Betrachten Sie als Beispiel eine Organisation, die das Risiko eines unautorisierten Zugriffs auf ihre Systeme bewertet. Das Hauptziel ist "Erlangen von unautorisiertem Zugriff auf das interne Netzwerk."

Zweige könnten "Nutzung einer Software-Schwachstelle", "Social-Engineering-Angriff zur Erlangung von Zugangsdaten" und "Erlangen physischen Zugangs zum Netzwerk" umfassen.

Blattknoten unter "Nutzung einer Software-Schwachstelle" könnten spezifische Schwachstellen in der von der Firma genutzten Software umfassen, jede mit einem numerischen Wert, der den Schwierigkeitsgrad der Ausnutzung darstellt.

Durch die Bewertung der Wahrscheinlichkeit und des potenziellen Einflusses jedes Pfades kann die Organisation priorisieren, welche Schwachstellen zuerst behoben werden sollen, das Mitarbeitersicherheitstraining anpassen oder entscheiden, welche physischen Sicherheitsmaßnahmen verbessert werden sollen.

5. Bayessche Netzwerke

Bayessche Netzwerke sind ein probabilistisches grafisches Modell, das verwendet werden kann, um die Wahrscheinlichkeit bestimmter Cybersecurity-Ereignisse basierend auf verschiedenen Risikofaktoren vorherzusagen. Bayessche Netzwerke basieren auf:

• Knoten: Diese repräsentieren Variablen wie Systemschwachstellen, Bedrohungsereignisse oder Sicherheitskontrollen.
• Kanten: Gerichtete Kanten (Pfeile) verbinden Knoten, um die Beziehungen zwischen den Variablen darzustellen. Die Richtung des Pfeils zeigt die Richtung des Einflusses an.
• Wahrscheinlichkeitstabellen: Jeder Knoten ist mit einer Wahrscheinlichkeitstabelle verbunden, die die Wahrscheinlichkeit der Ergebnisse des Knotens quantifiziert.

Beispiel: Wie man Bayessche Netzwerke verwendet, um das Risiko zu berechnen

1. Definieren Sie das Problem und die Variablen: Beginnen Sie damit, das Risikoszenario, das Sie analysieren, klar zu definieren. Identifizieren Sie alle relevanten Variablen, die das Ergebnis beeinflussen könnten, einschließlich Bedrohungen, Schwachstellen, Kontrollen, Auswirkungen und anderen relevanten Faktoren.
2. Strukturieren Sie das Bayes'sche Netzwerk: Ordnen Sie die Variablen als Knoten an und verwenden Sie Pfeile, um die Beziehungen zwischen ihnen darzustellen.
3. Weisen Sie Wahrscheinlichkeiten zu: Erstellen Sie für jeden Knoten eine bedingte Wahrscheinlichkeitstabelle, die die Wahrscheinlichkeit jedes möglichen Ergebnisses quantifiziert.
4. Führen Sie eine Inferenz durch: Sobald das Netzwerk aufgebaut ist und Wahrscheinlichkeiten zugewiesen wurden, verwenden Sie einen Bayes'schen Inferenzrechner, um die Wahrscheinlichkeiten im gesamten Netzwerk auf der Grundlage bekannter Zustände bestimmter Knoten zu bestimmen (z.B. wenn eine bestimmte Schwachstelle vorhanden ist oder eine Sicherheitskontrolle implementiert wurde).
5. Analysieren: Diese aktualisierten Wahrscheinlichkeiten können Ihnen helfen, die Wahrscheinlichkeit verschiedener Risikoszenarien zu bewerten und die Wirksamkeit verschiedener Minderungsstrategien zu evaluieren. Indem Sie die Auswirkungen der Änderung bestimmter Variablen beobachten (z.B. das Hinzufügen von Sicherheitskontrollen), können Sie fundierte Entscheidungen darüber treffen, wie Sie Risiken effektiv verwalten und mindern können.

Als Beispiel stellen Sie sich ein Unternehmen vor, das das Risiko eines Datenlecks bewertet. Das Bayes'sche Netzwerk könnte Knoten für Faktoren wie "Firewall-Integrität", "Mitarbeiterschulung zur Sicherheit", "Wahrscheinlichkeit von Phishing-Angriffen", "Datenverschlüsselung" und "Auswirkungen eines Lecks" enthalten. Kanten würden den Einfluss dieser Faktoren aufeinander darstellen, und Wahrscheinlichkeitsmatrizen würden diese Beziehungen quantifizieren.

Bayesianische Netzwerke können auch mit neuen Informationen aktualisiert werden, um das Modell relevant zu halten. Wenn das Unternehmen Anzeichen eines Phishing-Angriffs beobachtet, kann es das Netzwerk aktualisieren, um Wahrscheinlichkeiten neu zu berechnen. Diese aktualisierte Wahrscheinlichkeit kann dem Unternehmen helfen zu entscheiden, ob seine aktuellen Sicherheitsmaßnahmen ausreichen oder ob zusätzliche Maßnahmen, wie die Verbesserung der Mitarbeiterschulung oder die Verstärkung der Verschlüsselungsprotokolle, notwendig sind, um das Risiko zu mindern.

6. ISACA-Risikogleichung

Die Information Systems Audit and Control Association (ISACA) definiert eine Risikogleichung als Teil ihres Risk IT Framework.

• Bedrohungshäufigkeit: Wie oft eine bestimmte Bedrohung innerhalb eines bestimmten Zeitrahmens erwartet wird. Dies könnte eine Schätzung basierend auf früheren Vorfällen, Branchenbenchmarks oder Bedrohungsnachrichtenberichten sein.
• Schwachstelle: Die Wahrscheinlichkeit, dass eine Schwachstelle ausgenutzt wird, basierend auf vorhandenen Sicherheitskontrollen.
• Asset-Wert: Die Bedeutung oder der Wert der Vermögenswerte, die von der Bedrohung betroffen sein könnten. Dies kann greifbare Vermögenswerte wie Hardware und immaterielle Vermögenswerte wie Daten und Ruf umfassen. Der Wert kann in Bezug auf Ersatzkosten, Auswirkungen auf den Betrieb oder sogar rechtliche und regulatorische Implikationen bewertet werden.

Beispiel: Wie man die ISACA-Risikogleichung zur Berechnung des Risikos verwendet

1. Identifizieren Sie Assets: Listen Sie alle Vermögenswerte auf, die für den Betrieb Ihrer Organisation entscheidend sind.
2. Bewerten Sie den Asset-Wert: Definieren Sie den Wert jedes Vermögenswertes. Dies kann finanzielle Bewertungen, Auswirkungen des Verlusts auf den Betrieb oder den Ruf sowie rechtliche oder regulatorische Konsequenzen umfassen.
3. Identifizieren Sie Bedrohungen: Identifizieren Sie für jedes Asset potenzielle Bedrohungen, die Schaden oder Verlust verursachen könnten. Dies könnte von Cyberangriffen bis hin zu Naturkatastrophen reichen, abhängig von der Art des Assets.
4. Bewerten Sie die Bedrohungshäufigkeit: Schätzen Sie, wie oft jede identifizierte Bedrohung auftreten könnte. Dies könnte auf historischen Daten, Branchenberichten oder Expertengutachten basieren.
5. Bewerten Sie Schwachstellen: Bewerten Sie, wie anfällig jedes Asset für die identifizierten Bedrohungen ist. Berücksichtigen Sie bestehende Sicherheitsmaßnahmen und deren Wirksamkeit bei der Minderung dieser Bedrohungen.
6. Risiko berechnen: Für jede Bedrohung jedes Vermögenswerts multiplizieren Sie die Häufigkeit der Bedrohung mit der Anfälligkeit und dem Wert des Vermögenswerts, um den Risikowert zu erhalten.

Beispielsweise hat eine Organisation Phishing-Angriffe als erhebliche Bedrohung für ihre Informationssicherheit identifiziert. Das Risikomanagement-Team muss die potenziellen Auswirkungen von Phishing-Angriffen bewerten und das Risiko quantifizieren, damit sie Prioritäten für Minderungsmaßnahmen festlegen können.

• Häufigkeit der Bedrohung: Basierend auf Branchenberichten und historischen Daten schätzt das Team, dass Mitarbeiter durchschnittlich 50 Phishing-Versuche pro Jahr erleben werden.
• Anfälligkeit: Angesichts der aktuellen E-Mail-Filter und Mitarbeitersicherheitsschulungen schätzt das Team, dass die Wahrscheinlichkeit, dass ein Phishing-Versuch erfolgreich ist, 5% beträgt.
• Wert des Vermögenswertes: Die über die E-Mail-Konten der Mitarbeiter zugänglichen Daten sind äußerst wertvoll und enthalten proprietäre Informationen und persönliche Daten von Kunden. Das Team schätzt den Wert dieser Vermögenswerte auf 2.000.000 US-Dollar.

Sie verwenden die ISACA-Formel und berechnen:

50 (Häufigkeit der Bedrohung) × 0,05 (Anfälligkeit) × 2.000.000 US-Dollar (Wert des Vermögenswertes) = 5.000.000 US-Dollar (Risiko)

Basierend auf dieser Risikoberechnung entscheidet das Unternehmen, die Sicherheitsschulung der Mitarbeiter halbjährlich statt jährlich durchzuführen, um die Anfälligkeit und potenzielle Auswirkungen zu reduzieren.

7. Secureframe Comply AI für Risiko

Anstatt das Risiko manuell mit diesen verschiedenen Formeln zu berechnen, können Risikoteams auch Tools nutzen, um die schwere Arbeit und das Potenzial für menschliche Fehler zu eliminieren. Die Sicherheits- und Compliance-Plattform von Secureframe automatisiert den Risiko bewertungsprozess und liefert eine inhärente Risikobewertung, einen vorgeschlagenen Behandlungsplan und eine verbleibende Risikobewertung.

Comply AI für Risiko nutzt künstliche Intelligenz, um Risiken in Ihrer spezifischen Umgebung zu bewerten. Fügen Sie eine Risikobeschreibung und einen Verantwortlichen hinzu oder importieren Sie eine Risikobeschreibung aus der Secureframe-Risiko-Bibliothek und verwenden Sie dann Comply AI, um inhärente Risikobewertungen, vorgeschlagene Behandlungsmaßnahmen und verbleibende Risikobewertungen zu berechnen.

Sobald Sie Risikobewertungen berechnet haben, können Sie Dashboards nutzen, um die Risiken Ihrer Organisation anzuzeigen und zu verfolgen. Visualisieren Sie Ihre Risikodaten als Heatmaps, Zusammenfassungstabellen, Trendcharts und mehr, um die allgemeine Gesundheit Ihres Risikomanagement-Programms zu überwachen und einfach den Führungskräften, Prüfern und anderen Stakeholdern zu berichten.