Risikomanagement gegen Cyberangriffe

Inhaltsverzeichnis

1 Einleitung

2 Der Risikomanagementprozess
2.1 Risiken analysieren
2.2 Risikobewältigung

3 Cyberrisiken
3.1 Definition von Cyberrisiko
3.2 Fallbeispiele

4 Cyberrisiken im Risikomanagementprozess
4.1 Analyse von Cyberrisiken
4.2 Bewältigung von Cyberrisiken

5 Fazit

Anhang

Literaturverzeichnis

1 Einleitung

Das Fortschreiten der Digitalisierung und die sich dadurch immer weiter ausbreitende Vernetzung von Maschinen mit diversen Netzwerken führt zur Leistungssteigerung von Prozessen und besserer Kontrolle.^[1] Gleichzeitig nimmt der Missbrauch der neuartigen Technologien zu.^[2] Die Gefahr, dass ganze Produktionsketten durch gezielte Angriffe auf die Informationstechnologien zum Stoppen gebracht oder unternehmensinterne Daten und Informationen durch Hacker abgefangen werden erscheint immer realistischer.^[3] Eine Studie des Softwareunternehmens McAffee schätzt den durch Cyberrisiken verursachten weltweiten Gesamtschaden auf 375 bis 575 Milliarden USD.^[4] Das Bewusstsein über Cyberrisiken in den letzten Jahren immer mehr gewachsen. Ebenso wächst der Bedarf nach Sicherheit.^[5] Die vorliegende Arbeit soll die Frage klären, wie Unternehmen die neuartigen Cyberrisiken systematisch analysieren und bewältigen können.

Im ersten Teil der vorliegenden Arbeit werden die Prozessstufen des Risikomanagementprozesses im Allgemeinen erläutert. Daran angeschlossen folgt im zweiten Teil eine Definition über Cyberrisiko inklusive einiger aktueller Beispiele, welche die Relevanz des Themas aufzeigen. Im dritten Teil werden die Erkenntnisse aus dem ersten und zweiten Teil zusammengeführt und der Risikomanagementprozess auf Cyberrisiken angewandt. Dazu werden einige für Cyberrisiken spezielle Methoden aufgezeigt, welche mit Beispielen verdeutlicht werden. Zum Schluss wird im Fazit die Bedeutung des Risikomanagements im Bereich der Cyberrisiken dargestellt.

2 Der Risikomanagementprozess

Das „Risikomanagement ist ein System zur Handhabung von Risiken.“^[6] Dabei kann das Risiko im weiteren Sinne als positive und negative Abweichung vom Erwartungswert des Jahresergebnisses eines Unternehmens gesehen werden.^[7] Im Rahmen des Risikomanagements sollen unternehmensweit alle Risiken unter Berücksichtigung von Verbundeffekten gemessen und gesteuert werden. Ein Ergebnis des Risikomanagements kann sein, die unternehmensspezifischen Risiken so kontrollieren zu können, dass das Unternehmensziel bestmöglich mit geringer Abweichung erreicht werden kann.^[8]

Der Risikomanagementprozess beschreibt die Aufgaben des Risikomanagements.^[9] Dieser ist als ein laufender Prozess zu sehen, wobei die Grenzen der unterschiedlichen Phasen fließend sind und in der Wissenschaft unterschiedlich abgegrenzt werden. Wesentlicher Unterschied bei den verschiedenen Darstellungen des Risikomanagementprozesses ist, dass innerhalb der Literatur verschiedene Dimensionsbezeichnungen genutzt werden und die Abläufe im Risikomanagementprozess unterschiedlich angesetzt werden.^[10] Die folgende Abbildung stellt die wichtigsten Schritte des Risikomanagementprozesses grafisch dar. Darauffolgend werden diese genauer erläutert.

Abbildung 1 veranschaulicht, wie die verschiedenen Stufen der Risikobewältigung ineinandergreifen und wie diese im Ablauf des Risikomanagementprozesses das Gesamtrisiko minimieren. Die Reihenfolge der verschiedenen Stufen kann dabei in der Praxis variieren und unterschiedliche Auswirkungen auf das Restrisiko haben.

Abbildung 1: Prozessstufen des Risikomanagements

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung in Anlehnung an: Romeike, Frank / Müller-Reichart, Matthias (2008), S. 82 und Bourauel, Corinna / Sartor, Franz (2013), S. 84

2.1 Risiken analysieren

Im Rahmen der Risikoanalyse werden alle das Unternehmen betreffenden einzelnen Risiken strukturiert identifiziert und nach Größenordnungen beschrieben. Hierfür werden die Auswirkungen eines Risikoeintritts auf z.B. den Gewinn oder Umsatz und die Eintrittswahrscheinlichkeit bewertet. Dazu ist es notwendig diese beiden Größen zu definieren und nach Möglichkeit auf Grundlage von vergangenheitsbezogenen Daten zu approximieren.^[11]

Identifikation

Im ersten Schritt erfolgt die Risikoidentifikation. Also das systematische Finden, Erkennen und Beschreiben von Risiken, die das Unternehmensziel gefährden.^[12] Doch nicht nur die unmittelbar gefährdenden Risiken, sondern auch potenzielle künftige Risiken müssen identifiziert werden, um auf diese nach der Bewertung reagieren zu können.^[13] Das Ziel ist daher, möglichst alle Risikoquellen und Schadensursachen zu erfassen, da alle nachgelagerten Prozesse von der Identifikation der Risiken abhängig sind.^[14]

Bewertung

Die Risiken werden üblicherweise ausgehend von den betriebswirtschaftlichen Auswirkungen und der Eintrittswahrscheinlichkeit bewertet.^[15] Dabei müssen auch solche Risiken bewertet werden, die nicht quantitativ messbar sind. Daher werden auch diese Risiken erfasst und subjektiv z.B. nach den Kriterien existenzbedrohend, schwerwiegend, mittel, gering und unbedeutend bewertet.^[16] Eine zusätzliche Hürde stellt die Ermittlung der Eintrittswahrscheinlichkeit dar, da diese anhand vergangenheitsbezogener Daten ermittelt wird.^[17]

Aus der Zusammenführung aller Risiken ergibt sich dann das Gesamtrisiko, welches sich auch auf die Gewinn- und Ertragslage des Unternehmens auswirkt.^[18] Damit gibt das Gesamtrisiko Aufschluss über die Risikotragfähigkeit des Unternehmens.^[19] Dies wiederum ermöglicht Rückschlüsse auf den Eigenkapitalbedarf, um risikobedingte Verluste durch Eigenkapital oder Versicherungen zu decken.^[20]

2.2 Risikobewältigung

Durch die Risikobewältigung sollen die identifizierten und bewerteten Risiken unter Wirtschaftlichkeitsaspekten in Blick auf die Unternehmensziele bewältigt werden. Alle getroffenen Maßnahmen können Einfluss auf das Schadensausmaß und auf die Schadenseintrittswahrscheinlichkeit haben.^[21]

Grundsätzlich kann zwischen aktiven und passiven Maßnahmen unterschieden werden. Die aktiven Maßnahmen beeinflussen die Eintrittswahrscheinlichkeit und das Ausmaß der Risiken und können dadurch direkten Einfluss nehmen. Hingegen bleiben bei den passiven Maßnahmen diese Stellgrößen unverändert. Hier wird mehr darauf abgezielt, die Konsequenzen abzuwälzen und ausreichende Risikovorsorge zu betreiben.^[22]

Aktive Risikobewältigung

I Vermeiden des Risikos durch Unterlassen einer Tätigkeit

- schließt das Risiko präventiv aus
- kann die Unternehmensziele auf Kosten der Gewinnziele negativ beeinflussen, wenn z.B. ein Geschäft eingestellt wird und dadurch das potenzielle Geschäftsvolumen verloren geht^[23]

II Verminderung des Risikos durch Einsatz von Maßnahmen, welche sowohl Schadeneintrittswahrscheinlichkeit, als auch das Schadenausmaß senken^[24]

- Streuung des Risikos auf mehrere unabhängige Risiken im Unternehmen, bzw. durch Produktdiversifikation^[25]
- durch Streuung oder auch Risikodiversifikation kann die Volatilität gesenkt werden^[26]

Passive Risikobewältigung

III Überwälzung des Risikos durch Überwälzung des Risikos auf Vertragspartner oder durch Risikotransfer an Versicherungen^[27]

IV Übernehmen des Risikos durch Bildung von Reserven und Eigenkapital als Risikovorsorge^[28]

Das vom Unternehmen übernommene Risiko stellt auch gleichzeitig das Restrisiko dar. Sind alle Schritte der Risikobewältigung durchlaufen, erfolgt eine Kontrolle der Ergebnisse. Anschließend wird der Risikomanagementprozess erneut durchlaufen, um kontinuierlich bekannte Risiken zu steuern und neue Risiken frühzeitig zu erkennen.

3 Cyberrisiken

Das folgende Kapitel gibt Auskunft über gängige Definitionen des Cyberrisikos und gibt darüber hinaus einige Beispiele, welche die Relevanz des Themas unterstreichen sollen.

3.1 Definition von Cyberrisiko

In der Literatur finden sich viele verschiedene Definitionen über Cyberrisiko. Einige nehmen einen engeren, andere eine breiteren Rahmen ein. Die folgende Tabelle soll einen Überblick über Definitionen geben, die in der Literatur verwendet werden.

Table 1 : Definitionen zu Cyberrisiko

Abbildung in dieser Leseprobe nicht enthalten

Da Cyberrisiken nicht nur durch Hackerangriffe oder kriminelle Handlungen entstehen, sondern auch durch technisches oder menschliches Versagen oder auch durch Naturgefahren hervorgerufen werden,^[29] wird für den weiteren Verlauf dieser Arbeit die breitere Definition von Biener, Christian gewählt. Dadurch sollen auch die physischen Gefahren mit einbezogen werden.

3.2 Fallbeispiele

Als typische Beispiele für Cyberrisiken kann der Diebstahl von sensiblen und wertvollen Daten und deren Weitergabe an unbekannte Dritte gesehen werden. Auch denkbar sind Angriffe auf technische Systeme, welche zu einer Betriebsunterbrechung führen. Dabei können einerseits direkte Kosten durch Schadenersatzforderungen von Kunden oder durch eine Betriebsunterbrechung entstehen. Anderseits können auch indirekte Kosten durch Reputationsverlust anfallen. Die direkten Kosten können monetär ermittelt werden. Hingegen lassen sich die indirekten Kosten nur schwer ermitteln.^[30]

[...]

^[1] Vgl. Bundeskriminalamt (2015), S. 18.

^[2] Vgl. Ponemon Institute (2015), S. 5.

^[3] Vgl. Flagmeier, Wilfried (2015), S. 43f.

^[4] Der Grund für die große Spreizung der Schätzung liegt darin, dass nicht nur unmittelbare Auswirkungen der Schäden ermittelt wurden, sondern auch die Verluste durch Produktpiraterie mit einbezogen wurden. Vgl. McAfee (2014), S. 6.

^[5] Vgl. Choudhry, Umar (2014), S. 8.

^[6] Siehe Nguyen, Tristan (2013), S. 28.

^[7] Vgl. Bourauel, Corinna / Sartor, Franz (2013), S. 7.

^[8] Vgl. Kagermeier, Thomas (2004), S. 24.

^[9] Vgl. Gleißner, Werner; Berger, Thomas (Organisation, 2010), S. 18.

^[10] Vgl. Kagermeier, Thomas (2004), S. 26.

^[11] Gleißner, Werner (2008), S. 45.

^[12] Vgl. Bourauel, Corinna / Sartor, Franz (2013), S. 40 und vgl. Romeike, Frank / Müller-Reichart, Matthias (2008), S: 74.

^[13] Vgl. Giebel, Stefan (2011), S. 33.

^[14] Vgl. Romeike, Frank / Müller-Reichart, Matthias (2008), S. 74.

^[15] Vgl. Gleißner, Werner (2008), S. 101.

^[16] Vgl. Romeike, Frank / Müller-Reichart, Matthias (2008), S. 78.

^[17] Vgl. Bourauel, Corinna / Sartor, Franz (2013), S. 47 und vgl. Giebel, Stefan (2011), S. 36f.

^[18] Vgl. Gleißner, Werner (2008), S. 135.

^[19] Vgl. Bourauel, Corinna / Sartor, Franz (2013), S. 57.

^[20] Vgl. Romeike, Frank / Müller-Reichart, Matthias (2008), S. 80.

^[21] Vgl. Gleißner, Werner (2008), S. 159.

^[22] Vgl. Bourauel, Corinna / Sartor, Franz (2013), S. 82f.

^[23] Vgl. Nguyen, Tristan (2013), S. 31.

^[24] Vgl. Gleißner, Werner (2008), S: 160.

^[25] Vgl. Bourauel, Corinna / Sartor, Franz (2013), S. 83 und vgl. Nguyen, Tristan (2013), S. 33.

^[26] Vgl. Romeike, Frank / Müller-Reichart, Matthias (2008), S. 82.

^[27] Vgl. Giebel, Stefan (2011), S. 56f und vgl. Nguyen, Tristan (2013), S. 34.

^[28] Vgl. Bourauel, Corinna / Sartor, Franz (2013), S. 84.

^[29] Vgl. Biener, Christian (2015), S: 4.

^[30] Vgl. Biener, Christian (2015), S. 4.