CyberSec Consulting

Modernes Risikomanagement bedarf quantitativen Metriken

In diesem Beitrag möchte ich ein wenig auf Risikomanagement eingehen.
Risikomanagement ist ein umfangreiches und komplexes Thema. Daher besteht bei diesem Beitrag kein Anspruch auf Vollständigkeit.
Viel mehr soll er dazu dienen, darzulegen, wie ein modernes Risikomanagement grob aussehen sollte.

Als erstes müssen wir Quantitative und Qualitative Analysen definieren.

Eine Qualitative Risikoanalyse ist eine subjektive Einschätzung von einem Risiko. Bedeutet: Sie haben 20 Domain Admins. Das ist ein erhöhtes Risiko, wenn man von der offiziellen Empfehlung von Microsoft ausgeht, maximal 5 Domänen Admins zu haben. Wie hoch ist dieses Risiko genau? Nun ja, erhöht.

Eine Quantitative Risikoanalyse ist die Art von Analyse, um die es in diesem Beitrag primär gehen soll. Sie lässt sich quantifizieren, also mit einem Betrag X versehen. z.B.: Sie haben ein Risiko von 2000€ im Jahr bezüglich des Eintreffens eines gewissen Events.

Erst einmal sei gesagt, dass nicht alle Risiken quantifiziert werden können, und qualitative Analysen daher notwendig sind. Dennoch wird in den meisten Organisationen ausschließlich qualitative Risikoanalyse betrieben. Dabei hat quantitative Risikoanalyse entscheidende Vorteile, die Sie sich zu nutze machen sollten!

Schauen wir uns erst einmal die Metriken an, die für eine quantitative Risikoanalyse erforderlich sind:

Single Loss Expectancy (SLE) – Der Betrag, der bei einem einmaligen Auftreten des Risikofaktors verloren gehen würde. Er wird durch Multiplikation des Werts des Vermögenswerts mit einem Exposure Factor (EF) ermittelt. EF ist der Prozentsatz des Vermögenswertes, der verloren gehen würde. So kann beispielsweise festgestellt werden, dass ein Tornado 40 % des Gebäudes beschädigt. Der Expositionsfaktor beträgt in diesem Fall 40 %, da nur ein Teil des Vermögenswerts verloren geht. Wenn das Gebäude 200.000€ wert ist, beträgt die SLE für dieses Ereignis 200.000*0,4 oder 80.000€.

Annualized Rate of Occurrence (ARO) – Die ARO beschreibt, wie oft in einem Jahr ein Ereignis eintritt.

Annualized Loss Expectancy (ALE) – Der Betrag, der im Laufe eines Jahres verloren gehen würde. Er wird durch Multiplikation der SLE mit der ARO berechnet. Wenn in unserem vorherigen (stark vereinfachten) Beispiel davon ausgegangen wird, dass ein Tornado zweimal pro Jahr einen Schaden verursacht, dann ist die ARO einfach „2“. „Die ALE sind die Kosten des SLE multipliziert mit der Anzahl der Ereignisse pro Jahr. Im Tornado-Beispiel betragen die SLE 80.000€ und die ARO 2, so dass die ALE 160.000€ beträgt. Diese Zahl ist nützlich, wenn man verschiedene Möglichkeiten zum Schutz des Gebäudes vor Tornados in Betracht zieht. Wenn bekannt ist, dass Tornados durchschnittliche Kosten in Höhe von 160.000€ pro Jahr verursachen, kann diese Zahl als Vergleich herangezogen werden, wenn man die Kosten verschiedener Schutzmaßnahmen betrachtet.

Sicherlich haben Sie bereits bemerkt, wie Ihnen quantitative Risikoanalyse helfen kann.
Das größte Problem aus der Sicht von CEOs oder CFOs ist, dass CISOs immer nach mehr Geld und Ressourcen für Sicherheitsthemen fragen, jedoch nicht garantieren oder gar artikulieren können, was diese bewirken oder was überhaupt gekauft wird.
Dieser Umstand sollte Sicherheitsverantwortliche jedoch unter keinen Umständen dazu verleiten, die Risikoeignerschaft über dieses Geschäftsrisiko zu vermuten oder anzunehmen.
Informationssicherheit ist ein Geschäftsrisiko wie jedes andere (Relevanz am Markt, Mitbewerber, Naturkatastrophen etc.) und liegt daher bei der geldgebenden Instanz. Also entweder dem CEO oder CFO.
Denn ohne Budget kann nichts existieren.
Wenn Ihr Kollege aus der Produktion zur Geschäftsführung geht und argumentiert, dass man eine neue Presse kaufen sollte, da diese 50% schneller ist, und einmalig 200.000€ kostet, kann man recht schnell errechnen, ob und wann sich diese Investition auszahlt.
Da Sie einzig durch Ihr Security-Budget begrenzt sind, gibt Ihnen die ALE eine Metrik, die es Ihnen erlaubt dem Risikoeigner (der Geschäftsführung), Metriken bereit zu stellen, mit der Sie fundierte Entscheidungen treffen kann.

Sie konzentrieren sich also darauf, dem Risikoeigner Daten bereit zu stellen, die für eine Risikoanalyse benötigt werden, statt dies selbst in die Hand zu nehmen. Dies wird schon lange unter anderem von Gartner empfohlen (Quelle)

Wenn nun z.B, die ALE bezüglich nicht Ransomwaregeschützer Backups 70.000€ beträgt und ein Ransomwareschutz Sie 3.000€ pro Jahr kosten würde, werden Sie deutlich mehr Erfolg mit Ihrem Anliegen haben, als wenn Sie versuchen zu erklären, dass man das nun mal haben sollte, und man sich einem sehr hohen Risiko aussetzt (qualitative Risikoanalyse).

Das klingt natürlich gut auf dem Papier, aber Sie benötigen verlässliche Daten, die Ihnen eine solche Analyse erlauben. Also wie oft gewisse Risiken eintreten und wie viel Ihre Assets wert sind. Und hier liegt das große Problem.
Diese Daten sind oft sehr schwer zu bekommen, unterliegen großen Dunkelziffern und unterscheiden sich auch massiv je Branche, Geografie und Unternehmensgröße.
Es gibt hier also einen unter Sicherheitsexperten verbreiteten Konsens, was das Ziel angeht, jedoch fehlen aktuell verlässliche und normalisierte Daten, dieses zu erreichen.

Wir arbeiten trotz dieser Herausforderungen daran, ein Produkt zu entwickeln, um möglichst viele Risiken nach Branche, Geografie und Unternehmensgröße, nachvollziehbar und so verlässlich wie möglich quantifizieren zu können.
Zugegeben sind wir jedoch noch weit davon entfernt, dieses Ziel zu erreichen. Dies betrifft jedoch die gesamte Cybersecurity Branche.
Besonders bei Cyberversicherungen, ist dies eindrucksvoll ersichtlich. In 2021 haben diese Ihre Beiträge verdoppelt und es wird erwartet, dass sich diese bis 2025 nochmals mehr als verdoppeln.
Das liegt unter anderem daran, dass sich die Angreifer professionalisiert haben, aber auch daran, dass die Versicherer die Risiken von Unternehmen mangels Daten nicht verlässlich einschätzen konnten und können.
Die Quantifizierung von Risiken ist ein ambitioniertes und schwieriges Unterfangen, jedoch auch ein notwendiger Schritt auf dem Weg zu moderner Risikoanalyse.
Denn das Problem ist nicht, dass es keine Lösungen für die Herausforderungen in der Cybersicherheit gibt, sondern dass nicht genug Geld in Cybersicherheit fließt, mangels Argumenten, die eine Geschäftsführung oder ein CFO versteht und nachvollziehen kann.

In diesem Zusammenhang empfehlen wir unter anderem die folgenden Projekte/Datenquellen:
CISSM CYBER ATTACKS DATABASE
ADVISEN CYBER LOSS DATA
FAIR INSTITUTE

by
in Allgemein
3
Share:

Post a Comment

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..