Jetzt beginnen: Risikoquantifizierung für Banken und Versicherungen

„Low, Medium, High“: Ungenaue Risikobewertung und mangelnde Vergleichbarkeit

Cyber Security Risikomanagement
veröffentlicht am 07.12.2021 | Lesezeit: ca. 9 Minuten

Die Bedrohung durch Cyberangriffe auf Unternehmen nimmt rasant zu. Vor allem Banken und Versicherungen sind stark betroffen. Daher hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im August 2021 eine neue Version ihrer „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT) veröffentlicht und damit die bestehenden Anforderungen weiter konkretisiert. Ähnliche Anpassungen sind bei den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) zu erwarten, die bereits in Konsultation vorliegen, sowie bei den „Kapitalverwaltungsaufsichtlichen Anforderungen an die IT“ (KAIT).

Im Kern beziehen sich die neuen Anforderungen auf zwei Aspekte: die Bedrohungsanalyse und die Risikoanalyse. Beispielsweise wird bei der Analyse nun eine fortlaufende Bewertung der Bedrohungslage in Bezug auf das jeweils eigene Haus gefordert, die einem etablierten Prozess folgt. Aufgrund der immer komplexer werdenden Angriffe ist eine einmalige Durchführung nicht mehr ausreichend.

Risikoanalyse „Low, Medium und High“ sorgt für Ungenauigkeiten und eine mangelnde Vergleichbarkeit

Solche qualitativen Methoden mögen formal zur Compliance führen. Ihre Ergebnisse bleiben aber oft ungenau und lassen sich zudem strategisch kaum verwerten. Daher ist ein weitergehendes strategisches Vorgehen empfehlenswert.

Ein Beispiel: Aus den gebildeten Risiko-Buckets lassen sich Investitionsentscheidungen nur schlecht ableiten. Denn Kosten und Nutzen können nicht genau genug gegenübergestellt werden. Wurden beispielsweise mehrere Risiken mit „High“ eingestuft, ist es bei dieser Methode unmöglich, sie zu priorisieren und ressourceneffizient zu steuern. Schon heute unwirtschaftlich, wäre das Gießkannen-Prinzip über alle identifizierten Risiken hinweg in Zukunft sicherlich der falsche Weg.

Deshalb ist das Update der BaFin trotz seiner geringen Auswirkungen ein guter Anlass, sich grundsätzlich über die eigene Bedrohungs- und Risikoanalyse Gedanken zu machen. Die erste Erkenntnis lautet: „Low, Medium und High“ passen weder aktuell noch zukünftig zur Analyse von Bedrohung und Risiko. Es genügt auch nicht mehr, diese Analyse einmal jährlich vorzunehmen.

Nötig ist eine fortlaufende Bedrohungsanalyse, die in der Lage ist, ad hoc auftretende Bedrohungen zu erkennen, zu bewerten und schnell darauf zu reagieren. Dieser Weg weist über standardisierte Bedrohungsszenarien – beispielsweise vom Bundesamt für Sicherheit in der Informationstechnik (BSI) – hinaus und ermöglicht es, die Relevanz für das eigene Unternehmen und die Eintrittswahrscheinlichkeit konkret zu prüfen.

Weniger regulatorische Zwänge, mehr strategisches Risikomanagement

Besser wäre es also, die aufgrund der Bedrohungs- und Risikoanalyse anstehenden Investitionen mit quantifizierenden Methoden zu ermitteln und zu steuern. Allein der daraus resultierende zielgerichtete Einsatz von Ressourcen wäre schon ein Gewinn.

Doch wie kann eine Quantifizierung des Risikos aussehen? Auch wenn die eine Methode der Wahl dafür noch nicht existiert, zeigt sich am Markt, dass die ersten Unternehmen semiquantitative Methoden einsetzen, indem sie die Risiko-Buckets weiter ausdifferenzieren. Wie lässt sich hier vorgehen?

Sowohl die einzelnen Bedrohungen als auch die möglichen Kontrollmaßnahmen werden jeweils mit einem Score versehen und diese dann miteinander multipliziert. Das Resultat dieser Rechnung wird mit einem potenziellen Schadensausmaß kombiniert. So lassen sich identifizierte Risiken mittels eines errechneten Risiko Scores priorisieren.

So vorzugehen, kann ein erster Schritt sein, ist aber noch keine echte Risikoquantifizierung. Um sie zu erzielen, müssten zunächst das mögliche Schadensausmaß monetär geschätzt und dann mit einer statistischen Modellierung – wozu meist eine sogenannte Monte-Carlo-Simulation verwendet wird – die wahrscheinlichsten Szenarien ermittelt werden. Dies erlaubt, die einzelnen Risiken mit validen Zahlen zu versehen und den nötigen Kontrollen sowie deren Kosten gegenüberzustellen.

Risikoquantifizierung benötigt detaillierte Bedrohungs- und Kontrolldaten

Für einen ersten Ausblick auf die nötigen Bedrohungs- und Kontrolldaten sind drei Aspekte zentral:

  1. Wie sieht das Profil der Bedrohung aus (Bedrohungspotenzial)?

    Hier wird das wahrscheinliche Ausmaß an Gewalt bestimmt, das von einer Bedrohung ausgeht: Wie oft trifft das Bedrohungsszenario zu, wie wahrscheinlich ist es, dass auf den Server zugegriffen wird und dort tatsächlich Schäden entstehen? Wie fähig ist der mögliche Bedrohungsakteur? Dafür nützliche Informationen könnten aus strategischen Bedrohungsanalysen, der Prüfung neuer Bedrohungsquellen, Open-Source-Forschung und Fachexpertise stammen.

  2. Wie oft erfolgt ein Angriff (Häufigkeit von Bedrohungsereignissen)?

    Dieser Faktor zeigt die Häufigkeit an, mit der ein:e Bedrohungsakteur:in innerhalb eines definierten Zeitraums einen Schaden verursachen wird. Strategische Berichte, abonnierte Quellen, offene Recherchen und fachkundige Expert:innen sind Beispiele für relevante Datenlieferanten.

  3. Welche Schwachstellen hat die eigene Organisation (Widerstandsfähigkeit)?

    Eine Analyse der eigenen Kontrollen zeigt den Schwierigkeitsgrad, mit dem der oder die Bedrohungsakteur:in bei den Angriffsversuchen konfrontiert ist. Beispiele für Datenquellen sind: Übersicht über eingeführte Kontrollen und deren Wirksamkeit, Erfahrungen und Probleme mit diesen Kontrollen, Leistungsindikatoren oder Audit-Ergebnisse.

Alle drei Aspekte miteinander kombiniert führen zu einem aussagekräftigen Resultat. Ein Beispiel: Bieten Passwörter mit einer Länge von acht Zeichen einen Schutz von 80 Prozent – Schwachstelle 20 Prozent – und wird genau diese Schwachstelle zehnmal angegriffen, wird das Ereignis im Schnitt zwei Mal auftreten.

Auch fehlende Daten sind ein Ausgangspunkt für die Risikoquantifizierung

Wer sich mit dieser – zugegeben – relativ komplexen Methode auf die Risikoquantifizierung einlässt, wird mit einer Vielzahl von präzisen Hinweisen auf mögliche Optimierungen sowie deren Kosten und Nutzen belohnt. Natürlich hat jedes Modell seine Schwächen und stößt bei der Umsetzung in den Unternehmen oft auf einen Mangel an Daten. Doch auch diese Erkenntnis ist bereits eine wertvolle. Außerdem bildet ein Modell nie die Realität ab, aber allein die Annäherung daran – über eine Schätzung – ist ein weiterer Schritt. Schließlich darf die Risikoquantifizierung an dieser Stelle nicht stehen bleiben, sondern muss über viele Wiederholungen immer weiter präzisiert werden, beispielsweise indem fehlende Daten erhoben oder geschätzt werden.

 

Weiterlesen

IT-Compliance und Cyber Security

Thema vertiefen

IT-Compliance und Cyber Security

Enorme Chancen – und gewaltige Risiken: Die digitale Transformation eröffnet Unternehmen des Finanzsektors gänzlich neue Perspektiven, Möglichkeiten und Geschäftsmodelle. Doch sie birgt auch erhebliche Gefahren – in Form einer immer stärker werdenden Cyber-Kriminalität.

Dass die Bedrohung durch Cyber-Angriffe in den letzten Jahren deutlich zugenommen hat, belegen zahlreiche Analysen, Studien und Umfragen. So gaben beispielsweise 84 Prozent aller befragten Unternehmen in der Lünendonk-Studie „Von Cyber Security zu Cyber Resilience“ an, dass sich 2023 die Bedrohungslage erneut verschärft hat. Als Gründe wurden insbesondere die zunehmende Digitalisierung von Prozessen, die steigende Professionalisierung von Hackerorganisationen und die veränderte geopolitische Lage genannt.

Thema vertiefen
Vaike Metzger Partnerin, Financial Services
Vaike Metzger

Gerade gelesen

Risikoquantifizierung jetzt starten

„Low, Medium, High“: Ungenaue Risikobewertung und mangelnde Vergleichbarkeit

Weitere Artikel zum Thema

KI und IT-Sicherheit

Kontrollen müssen mit dem zunehmenden Einsatz von KI im Finanzunternehmen Schritt halten.

CMDB – Grundlage der Cybersicherheit

So setzen Banken & Co. die DORA-Anforderungen an den Informationsverbund effizient um.

Lehren aus dem EZB-Cyber-Stresstest

Auch national beaufsichtigte Institute sollten sich auf Angriffs-Simulationen vorbereiten.

Cybersecurity: Schwachstellen managen

Generative KI ermöglicht neue Angriffsmethoden, aber auch verbesserte Abwehrmechanismen

FAQ zum Cyber-Stresstest der EZB

Viele Details sind noch offen – hier kommen die Einschätzungen unserer Expert:innen.

Der Cyber-Stresstest der EZB

Die Aufsicht testet die Banken auf Resilienz – zum ersten Mal in Sachen Cyberangriffe

Suche
Schliessen
© {{year}} KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.