Risikobewertung

In der Cybersicherheit ist eine Risikobewertung eine umfassende Analyse einer Organisation, um Schwachstellen und Bedrohungen zu identifizieren. Das Ziel einer Risikobewertung ist es, die Risiken einer Organisation zu erkennen und Empfehlungen zur Risikominderung zu geben. Risikobewertungen können nach einem bestimmten Auslöser angefordert werden, um eine Bewertung vor dem weiteren Vorgehen im Rahmen größerer Governance- und Risikoprozesse abzuschließen oder um ein Portfolio regelmäßig zu bewerten, um ein Ziel des unternehmensweiten Risikomanagements oder der Compliance zu erfüllen.

Zwei bekannte Rahmenwerke zur Risikobewertung sind das Cybersecurity Framework des National Institute of Standards and Technology (NIST) und der Standard 27001:2022 der Internationalen Organisation für Normung/Internationalen Elektrotechnischen Kommission (ISO/IEC).

Risikobewertungen können auf unterschiedlichen Methoden basieren: qualitativ, quantitativ oder eine Kombination aus beiden. Eine quantitative Bewertung liefert konkrete Daten, die die Wahrscheinlichkeit und das potenzielle Ausmaß einer Bedrohung auf Grundlage von Datenerhebung und statistischer Analyse beinhalten. Eine qualitative Bewertung bietet eine subjektivere, allgemeinere Sichtweise darauf, was mit den Abläufen und der Produktivität verschiedener interner Teams passieren würde, wenn eines der Risiken eintritt.

Eine Risikobewertung sollte eine aktuelle Bestandsaufnahme der Systeme, Anbieter und Anwendungen enthalten, die im Rahmen der Bewertung berücksichtigt werden. Diese Informationen helfen Führungskräften im Bereich Sicherheits- und Risikomanagement, die mit folgenden Aspekten verbundenen Risiken zu verstehen:

• Die verwendete Technologie
• Wie Geschäftsprozesse von diesen Assets abhängig sind
• Welchen geschäftlichen Mehrwert sie bieten

Eine einzelne Risikobewertung bietet eine Momentaufnahme der aktuellen Risiken und wie diese gemindert werden können. Laufende oder kontinuierliche Risikobewertungen ermöglichen einen ganzheitlicheren Blick auf die sich verändernde Risikolandschaft, die in den meisten Organisationen besteht.

Risikobewertungen helfen Organisationen auch dabei, die Risiken für ihre Informationen zu bewerten und zu priorisieren, einschließlich ihrer Daten und ihrer Informationssysteme. Eine Bewertung unterstützt zudem Sicherheits- und Technologieverantwortliche dabei, Risiken in geschäftlichen Begriffen an interne Stakeholder zu kommunizieren, insbesondere an das Führungsteam und den Vorstand. Diese Informationen helfen ihnen, fundierte Entscheidungen darüber zu treffen, welche Bereiche des Cybersicherheitsprogramms priorisiert werden müssen und wie Ressourcen im Einklang mit den Unternehmenszielen zugewiesen werden sollten.

Das Wachstum digitaler Geschäftsmodelle und damit verbundener Vermögenswerte erfordert ein besseres Management komplexer Technologieumgebungen, die heute Folgendes umfassen:

• Das Internet der Dinge (IoT)
• Künstliche Intelligenz (KI)
• Maschinelles Lernen (ML)
• Cloud-Bereitstellungsmodelle
• As-a-Service-Angebote

>Es entsteht dabei auch eine wachsende Menge an Daten, Datentypen und Technologie-Assets. Eine umfassende Risikobewertung sollte diese Assets einbeziehen, damit eine Organisation einen vollständigen Überblick über all ihre Daten erhält, Einblick bekommt, ob Daten offengelegt sind, und schwerwiegende Sicherheitsprobleme identifizieren kann. Eine Datenrisikobewertung kann einer Organisation helfen, sensible Daten zu schützen und deren Exponierung zu minimieren, indem sie einen ganzheitlichen Überblick über sensible Daten bietet, zu großzügige Zugriffsrechte erkennt und veraltete sowie „Geisterdaten“ aufdeckt.