top of page
banner_eigenwerbung_ittbusiness.jpg

Warum Cyber-Risikomodelle ohne externen Realitätscheck nicht überzeugen

  • vor 1 Tag
  • 4 Min. Lesezeit

Asdrúbal Pichardo, CEO von Squalify, ordnet in diesem Gastbeitrag ein, warum belastbare Cyberrisikobewertungen weit mehr benötigen als interne Sicherheitsdaten und technische Kennzahlen. Er zeigt auf, weshalb Unternehmen bei der Quantifizierung von Cyberrisiken häufig in die Falle eines verzerrten Eigenbildes tappen, welche Rolle externe Referenzdaten für eine realistische Einschätzung der Bedrohungslage spielen und warum „Trustworthy Data“ zur entscheidenden Grundlage für fundierte Risikoentscheidungen auf Management- und Vorstandsebene wird.




Asdrúbal Pichardo, CEO von Squalify (Foto: Squalify)
Asdrúbal Pichardo, CEO von Squalify (Foto: Squalify)

Daten sind wie die raue Nordsee an stürmischen Tagen. Es bedarf eines geschulten Auges und eines hochseetauglichen Schiffes, um sich durch die Wellen zu kämpfen. Ähnlich geht es IT-Sicherheitsabteilungen. Diese steuern heute mehr als je zuvor durch Flutwellen an Daten. Endpoint-Telemetrie, Schwachstellen-Scans, Threat-Intelligence-Feeds, Compliance-Scores, Security-Ratings – allein der durchschnittliche CISO eines DAX-Unternehmens verwaltet inzwischen Dutzende parallele Datenquellen. Trotzdem bleibt eine der wichtigsten Fragen häufig unbeantwortet: Wo muss als Nächstes investiert werden, damit das Risiko in Euro messbar sinkt? Genau an dieser Stelle entsteht ein Paradox, das die Branche seit Jahren begleitet. Es wird mehr gemessen als je zuvor, und Entscheidungen werden trotzdem oft so unscharf getroffen wie vor zehn Jahren.


Beobachten ist nicht bewerten


Der Grund dafür liegt selten in der Menge oder Qualität der operativen Daten. Telemetrie zeigt, was passiert. Sie sagt aber wenig darüber aus, was es für ein Unternehmen finanziell bedeutet, wenn ein Cyberangriff erfolgreich ist. Eine kritische Schwachstelle auf einem Produktionsserver wird erst dann zur Priorisierungsfrage, wenn klar ist, mit welcher Eintrittswahrscheinlichkeit sie ausgenutzt wird, welche Geschäftsprozesse betroffen wären, wie lange ein Ausfall andauern würde und welcher finanzielle Schaden daraus entsteht. Das ist keine Frage von reinen technischen Kennzahlen, sondern von belastbaren Annahmen über das eigene Geschäft und die Außenwelt.


Cyber-Risk-Quantification, kurz CRQ, soll genau diese Lücke schließen. „In der Praxis scheitern die meisten Eigenbau-Modelle. Allerdings nicht an der Methodik, sondern an der Datengrundlage. Vertrauen in ein Cyber-Risikomodell entsteht nicht durch mehr Telemetrie, sondern durch externe Kalibrierung”, erklärt Asdrúbal Pichardo, CEO von Squalify, einem auf CRQ spezialisierten Venture Unternehmen der Munich Re.


Zwei Datenebenen, eine gemeinsame Aussage


Ein belastbares Cyber-Risikomodell braucht im Kern zwei Datenebenen. Die erste ist unternehmensspezifisch: Welche Daten, Systeme und Prozesse stehen unter Beschuss, welchen Umsatz- und Ergebnisbeitrag liefern sie, wie systematisch und wirksam ist der eigene Schutz nach gängigen Frameworks wie NIS2 oder ISO? Diese Ebene können Unternehmen mit ausreichend Disziplin aus eigenen Quellen zusammenstellen.


Die zweite Ebene sind Verlustdaten: Wie häufig treten relevante Cyber-Ereignisse tatsächlich auf, und wie hoch fallen die Schäden typischerweise aus, wenn sie eintreten? Diese Daten lassen sich aus internen Vorfallsstatistiken nur sehr begrenzt ableiten. Die meisten Unternehmen haben schlicht zu wenig eigene Cybervorfälle erlebt, um daraus statistisch valide Verteilungen für Häufigkeit und Schweregrad zu bilden. Was im Kern zwar positiv ist, hilft dafür nur bedingt bei der Einordnung der Bedrohungslage.


Drei Fallen interner Datenbrillen


Wer trotzdem versucht, die Bedrohungsebene allein aus internen Quellen zu rekonstruieren, läuft in drei typische Fallen:


Erstens: Optimismus-Bias. Die eigene Sicht auf das Unternehmen ist fast immer geschönter als die externe. Vertrauen in laufende Sicherheitsprogramme, gute Awareness-Quoten und ein ruhiges Vorjahr führen dazu, dass Eintrittswahrscheinlichkeiten und Schadenhöhen systematisch zu niedrig angesetzt werden. Das Resultat ist eine Risikobewertung, die unter dem Branchendurchschnitt liegt. Statistisch unwahrscheinlich, aber in der Praxis weit verbreitet.


Zweitens: Tunnelblick. Wer nur das modelliert, was er bisher erlebt hat, schreibt vor allem die Vergangenheit fort. Cyberangriffe entwickeln sich jedoch über Branchen, Regionen und Angriffsvektoren hinweg. Mit dem Einsatz von KI-Tools werden diese Angriffe zudem schneller, komplexer und häufiger auftreten. Ransomware-as-a-Service, Supply-Chain-Kompromittierungen und identitätsbasierte Angriffe haben in den letzten drei Jahren die Schadenswahrscheinlichkeiten neu sortiert, ohne dass es bei jedem Unternehmen schon einen sichtbaren Einschlag gegeben hätte.


Drittens: Wartungslast. Selbst dort, wo eigene Modelle initial sauber kalibriert sind, verändern sich Bedrohungslage und Schutztechniken kontinuierlich. Ein Modell, das nicht laufend gegen neue Daten neu justiert wird, veraltet schneller, als die meisten Risikoabteilungen Ressourcen haben, um es zu pflegen.


Externe Referenzen sind der Realitätscheck


Externe Daten sind kein Ersatz für interne Substanz, sondern dienen der Kalibrierung. Historische Schadensfälle, öffentlich bekannte Kompromittierungen von Unternehmen, Branchenbenchmarks und, wo verfügbar, anonymisierte Schadenstatistiken aus dem Versicherungssektor liefern den Außenmaßstab, an dem sich interne Annahmen bewerten lassen. Erst dieser Realitätscheck verwandelt ein internes Modell von einer Selbstauskunft in eine verteidigungsfähige Aussage.


„Ohne externen Maßstab ist eine Cyberrisikobewertung kein Risikomodell, sondern eine Selbstauskunft”, bringt es Pichardo auf den Punkt.  Im Fall von Squalify kommt die externe Kalibrierung aus den Schadensfalldaten, die bei der Munich Re seit Jahrzehnten systematisch erfasst werden. Das entscheidende Prinzip: keine Risikobewertung ohne Außenperspektive, um ein breit gefächertes Bild der Risikolage erhalten zu können.


Trust entsteht nicht im Tool


Die Antwort auf die Frage, warum so viele Cyber-Security-Programme trotz wachsender Budgets unter Druck stehen, ist unbequem: Investitionen fließen weiter in das Beobachten und zu wenig in das Bewerten. “Trustworthy Data” ist dabei kein technisches Feature, sondern eine Haltung. Sie verlangt, interne Daten dort zu nutzen, wo sie aussagefähig sind, etwa bei der Bewertung der eigenen Exposure, und sie konsequent mit externen Referenzen abzugleichen. Erst dann werden aus Logfiles, Scores und Berichten Entscheidungen, die ein Vorstand mittragen (und im besten Fall bezahlen) und ein Prüfer nachvollziehen kann.

Wer Cyber-Risiken finanziell quantifizieren will, kauft nicht in erster Linie ein Tool, sondern Vertrauenswürdigkeit. “Trustworthy Data” ist der Maßstab, an dem sich CRQ in den nächsten Jahren messen lassen wird. Ohne sie bleiben Risikoberichte das, was sie heute oft sind: gut gemeinte Schätzungen mit hoher Konfidenz und niedriger Belastbarkeit.


it&d business Redaktion







Kommentare

bottom of page