Verfahren und Instrumente zur angemesseneren Bewertung verletzlicher Stellen und zum Schutz von Unternehmensvermögenswerten vor Cyberangriffen
Im Jahr 2018 stiegen die Kosten, die Schätzungen zufolge bei einem Datenleck anfallen, auf einen Wert, der 3,5 Mio. EUR über dem des Vorjahres liegt, was einer Zunahme um 6,8 % entspricht. Die meisten Unternehmen wenden weiterhin eine elementare Behebungsstrategie an, da Datenlecks sie möglicherweise günstiger zu stehen kommen als präventive Sicherheitsmaßnahmen. Darüber hinaus ist das Messen des tatsächlichen Einflusses von Vorfällen unter Berücksichtigung der Kosten, die zur vollen Wiederherstellung anfallen, eine herausfordernde Aufgabe. Insgesamt sind die aktuellen Modelle ungeeignet. Das EU-finanzierte Projekt HERMENEUT erleichtert es Unternehmen zu ermitteln, wie stark sie Cyberrisiken ausgesetzt sind und welche Auswirkungen Cyberangriffe auf ihre Vermögenswerte hätten. Dies geschieht mittels einer Abschätzung möglicher finanzieller Verluste. „Ein besonderes Augenmerk haben wir auf solche Vermögenswerte wie Ansehen, Humanressourcen und Markenname gelegt,“ erläutert Paolo Roccetti, leitender Forscher und Teamchef beim Unternehmen Engineering Ingegneria Informatica, das als Projektkoordinator fungiert. „Wir hielten alles so einfach, dass auch Unternehmen mit wenig Kenntnissen im Bereich Cybersicherheit die angebotene Lösung nutzen können.“ Das Team von HERMENEUT entwickelte eine Methode und ein Instrument zur Unterstützung von Entscheidungen, die eine Bewertung und Quantifizierung der möglichen wirtschaftlichen Auswirkungen von Cyberangriffen auf das Vermögen eines Unternehmens sowie der Verluste im Zusammenhang mit seinen immateriellen Werten erlaubt. In das quelloffene Risikobewertungsinstrument flossen im Laufe des Projektes erarbeitete Modelle und Kenntnisse ein. Es bietet Nutzern neuartige Funktionalitäten, die die Ermittlung materieller wie immaterieller Kosten eines Angriffs und eine risiko- wie auch kostenbasierte Analyse und Bewertung geeigneter Gegenmaßnahmen, die dem Schutz dienen, vereinfachen.
Unterstützung ganzheitlicher und einfacherer Bewertungen zur Cybersicherheit
Ein weiteres innovatives Ergebnis stellten der ganzheitliche Ansatz zur Analyse des Kosten-Nutzen-Verhältnisses von Cybersicherheit und das Erreichen vieler wichtiger Ziele im Kampf gegen Cyberangriffe dar. Dazu zählen die Entwicklung eines verbesserten Bewertungsmodells für verletzliche Stellen bei Unternehmen und Risiken bezüglich materieller und immaterieller Vermögenswerte sowie ein Kostenmodell zur Identifizierung und Messung immaterieller Kosten, die Unternehmen tragen müssen. Die Lösung von HERMENEUT ist darauf ausgelegt, leitende Verantwortliche im Bereich Informationssicherheit, Führungskräfte und Vorstandsmitglieder, die einem breiten Spektrum unterschiedlicher Unternehmen, vom KMU bis hin zu Großunternehmen, angehören, bei der Entscheidungsfindung im Bereich Cybersicherheit zu unterstützen. „Dies ermöglicht es Geschäftseinheiten, bei der Einrichtung eines hervorragenden allgemeinen Zustands hinsichtlich Cybersicherheit autonom zu agieren und die immensen Kosten zu umgehen, die entstehen, wenn eine Risikobewertung durch eine Beraterin oder einen Berater durchgeführt wird. Letztgenannte Risikobewertungen sind überdies oft zu komplex für eine erneute Ausführung und Aktualisierung“, berichtet Roccetti. Der allgemeine Zustand hinsichtlich Cybersicherheit ist ein Maß für die Widerstandsfähigkeit eines Unternehmens gegenüber Cyberangriffen.
Eine Kultur des Risikomanagements fördern
Zuletzt stellten die Projektpartner noch eine Reihe von Empfehlungen an die Politik zusammen, die Wirtschaftsmodelle zu Cyberkosten sowie Lösungen für das Risikomanagement behandeln und erklären, wie bestehende bewährte Verfahren effektiv einzusetzen sind. Ziel ist es, der europäischen Politik sowie weiteren wichtigen Interessengruppen wie Regulierungsbehörden, Marktteilnehmern und Versicherungsgesellschaften zu verdeutlichen, welches die obersten Prioritäten in diesem Bereich sind und wo Europa investieren sollte. Als Schlüsselakteur der digitalen Transformation öffentlicher und privater Unternehmen und Einrichtungen mit etwa 11 000 Fachkräften an 65 Standorten rund um den Globus baut das in Italien ansässige Unternehmen Engineering Ingegneria Informatica auf den im Laufe des Projekts gewonnenen Erkenntnissen auf. Es bemüht sich darum, die Lösung näher an den Markt zu bringen. „Dank HERMENEUT steht einzelnen Unternehmen und verschiedenen Wirtschaftszweigen nun ein Instrumentensatz zur Verfügung, der es ihnen erlaubt, die Anfälligkeit gegenüber Cyberangriffen besser beurteilen zu können sowie einfacher festzustellen, welche materiellen und immateriellen Vermögenswerte gefährdet sind“, schließt Roccetti. „Außerdem hilft dieser Entscheidungstragenden dabei, Cyberrisiken einzuschätzen und zu erkennen, welche Maßnahmen zur Schadensminderung anzuwenden sind.“
Schlüsselbegriffe
HERMENEUT, Cyberangriff, Cybersicherheit, immaterielle Vermögenswerte, verletzliche Stellen, Datenleck, Cyberrisiko, Risikobewertung, Risikomanagement
