RSA stellt Framework für Cyber-Risiken vor

Ein neues Framework soll Unternehmen bei der Erfassung und Bewertung von Cyber-Risiken unterstützen. Das neue Tool der EMC-Tochter RSA bietet Anwendern die Möglichkeit fünf Toleranzschwellen für unterschiedliche IT-Risiken zu definieren.

Unternehmen, die neue Verfahren oder Technologien nutzen, erhöhen damit auch die eigene Anfälligkeit für Cyber-Risiken. Firmen, die Outsourcing betreiben, Partnernetze, oder Public-Cloud-Ressourcen nutzen, brauchen daher auch entsprechende Tools für das Risk-Management.

RSA hat zusammen mit Deloitte Advisory Cyber Risk Services das neue Framework für das Erfassen und Bewerten von Cyber-Risiken entwickelt. Dieses ermöglicht es Anwendern, für verschiedene IT-Risiken Toleranzschwellen zu beschreiben und so eine pragmatische Grundlage für wirksame Risk-Management-Strategien zu schaffen. Das Framework ist aus dem Report “Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise” hervorgegangen.

“Unternehmen müssen Risiken eingehen, um zu expandieren. Dieses Risiko aber muss mit Aktivitäten, die diese Risiken verwalten, ausgeglichen werden und zwar in einem Toleranzwert, der für die Organisation vertretbar ist”, erklärt Steve Schlarman, RSA Archer GRC, in einem Blog. So werden einige Organisationen etwas risikofreudiger sein oder andere mehr in die Minimierung von Risiken investieren. “Wo auch immer die Organisation in diesem Spektrum angesiedelt ist, sollte ein permanenter Dialog innerhalb der Riskmanagement-Strategie stattfinden.”

Das RSA-Framework für die Bewertung von Cyber-Risiken liefert eine konsistente Bewertungsgrundlage für das priorisieren von Risiken im Unternehmen. Vor allem aber sorge es idealerweise für einen fortgesetzten Dialog zwischen sämtlichen Stakeholdern. (Bild: RSA)

Der recht übersichtliche RSA-Report, auf den dieses Framework zurückgeht, setzt vor allem drei Punkte voraus: Das Definieren und Kategorisieren von Risiken, sollte mit klar strukturierten Abläufe durchgeführt werden. Zweitens die Beteiligung der wichtigsten Stakeholder und “Risk-Owner” im Unternehmen. Als dritten Punkt sollten Berechnungsverfahren für Risiko-Toleranzschwellen festgelegt werden.

Schlarman erklärt an anderer Stelle, dass an vielen Stellen bereits ein gutes Gefühl vorhanden ist, welche Bereiche ein annehmbares Risiko darstellen. Durch die Diskussion, lasse sich dieses unbewusste Gefühl mit fundierten Entscheidungen untermauern.

Allerdings sollte auch der Begriff “Cyber-Risiko” nicht mehr nur auf gezielte Hacker-Angriffe auf IT-Umgebungen angewendet werden, sondern vielmehr jede Art von Vorfall umfassen, bei dem der Einsatz von IT-Ressourcen Verlust oder Schaden nach sich ziehen kann.

Das Framework nimmt dafür die Bestimmungsgrößen “Absicht” und “Ausgangspunkt” zur Hilfe. Cyber-Risiken können die Folge böswilliger Angriffe sein, bei denen Hacker gezielt versuchen, Informationen zu entwenden. Sie können aber auch aufgrund unabsichtlichen Handelns entstehen, etwa wenn ein Benutzer einen Fehler macht, der die Verfügbarkeit einer Ressource vorübergehend einschränkt.

Der Ausgangspunkt eines Risikoereignis kann außerhalb eines Unternehmens liegen – etwa bei Hackern oder Geschäftspartnern innerhalb der Supply Chain – oder innerhalb, bei Mitarbeitern oder Sub-Unternehmern.

Um die eigene Risikotoleranz zu bestimmen, empfiehlt der Report Unternehmen, zunächst eine umfassende Bestandsaufnahme der Cyber-Risiken anzufertigen. Im zweiten Schritt sollten dann deren jeweils mögliche Auswirkung quantifiziert und darauf aufbauend eine eine Priorisierung vorgenommen werden.

Unternehmen sollen sich Fragen stellen, wie “Welche Art von Datenverlust wären für das Unternehmen katastrophal?”, oder “Welche weniger kritisch?” oder auch “Welche Informationen dürfen auf keinen Fall in falsche Hände geraten?”.

In manchen fällen kann das Risiko relativ einfach quantifiziert werden, etwa über ein Bußgeld für einen entwendeten Datensatz, Rechtskosten, etwa bei vertraglich festgelegten Haftungsrisiken oder einen Produktivitätsverlust. Andere Risiken lassen sich weniger leicht einordnen. Dazu zählen Image-Schäden, Verlust der Markenreputation oder geistigem Eigentums.

Denoch ließen sich laut RSA die Bewertungen von solchen Risiken auf strukturierte Art vornehmen und dabei können geschäftskritische von weniger geschäftskritischen Ressourcen unterschieden werden. So lassen sich etwa Bereiche als Unternehmenskritisch einstufen und damit einem stärkerem Schutzniveau unterwerfen als andere.

Anwendungen des Supply-Chain-Managements oder Partner-Portale können beispielsweise geringer priorisiert werden. Diese Art der Priorisierung solle aber fortlaufend und auf Grundlage aktueller Bewertungen erfolgen.

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

1 Tag ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

1 Tag ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago