Enhanced Cyberrisk Reporting: Opening Doors to Risk-Based Cybersecurity

Enhanced Cyberrisk Reporting: Opening Doors to Risk-Based Cybersecurity

MCKinsey & Company

 

Enhanced Cyberrisk Reporting: Opening Doors to Risk-Based Cybersecurity
Die im Januar 2020 veröffentlichte McKinsey-Studie „Enhanced Cyberrisk Reporting: Opening Doors to Risk-Based Cybersecurity“ befasst sich mit der Notwendigkeit, das Cyberrisikomanagement durch bessere Berichtssysteme zu verbessern. Angesichts der zunehmenden Bedrohung durch Cyberangriffe und Datenlecks wird betont, wie wichtig es ist, dass Führungskräfte umfassende Informationen erhalten, um fundierte Entscheidungen treffen zu können. Das Dokument hebt dabei drei wesentliche Probleme hervor und bietet Lösungsvorschläge für ein verbessertes Cyberrisikomanagement.

Mangel an Transparenz im Cyberrisikomanagement

Viele Unternehmen verfügen über ein ineffizientes System zur Berichterstattung von Cyberrisiken. Berichte stammen oft aus unterschiedlichen Quellen und werden hauptsächlich von IT-Spezialisten für andere IT-Spezialisten verfasst. Diese Berichte sind häufig sehr technisch und bieten wenig Einblick für Führungskräfte, die strategische Entscheidungen auf Unternehmensebene treffen müssen. Außerdem mangelt es oft an Informationen zu den größten Risiken, den wichtigsten Unternehmenswerten und der Wirksamkeit der Schutzmaßnahmen.

Ein zentrales Problem ist, dass die Berichterstattung nicht risikobasiert erfolgt. Unternehmen wenden häufig dieselben Sicherheitsmaßnahmen auf alle Vermögenswerte an, unabhängig von deren Wichtigkeit. Das führt dazu, dass unbedeutende Vermögenswerte übermäßig geschützt werden, während die wirklich kritischen Vermögenswerte unzureichend abgesichert bleiben. Diese mangelhafte Differenzierung kann das Unternehmen anfällig für schwere Angriffe machen.

Effektive Cyberrisikoberichterstattung als Lösung

McKinsey betont, dass ein modernes Cyberrisikomanagementsystem (MIS) erforderlich ist, um Führungskräften die nötige Transparenz zu verschaffen. Dieses System sollte alle relevanten Daten an einem Ort zusammenfassen und klare, verständliche Berichte liefern, die auf den spezifischen Bedürfnissen der Entscheidungsträger basieren. Es sollte nicht nur technische Details liefern, sondern auch die Auswirkungen von Cyberrisiken auf Geschäftsprozesse, finanzielle Risiken und die allgemeine Unternehmensstrategie aufzeigen.

Ein solches System ermöglicht es, risikobasierte Entscheidungen zu treffen, indem es die relevantesten Risiken hervorhebt und Maßnahmen vorschlägt, die speziell auf die wichtigsten Bedrohungen und Vermögenswerte abzielen. Es unterstützt auch die Überprüfung der Wirksamkeit von Investitionen in die Cybersicherheit, indem es klare Metriken bietet, die den Return on Investment (ROI) bewerten.

Schritte zur Implementierung eines Cyberrisikoberichtssystems

McKinsey beschreibt drei zentrale Ziele für ein erfolgreiches Cyberrisikomanagementsystem:

  1. Transparenz schaffen: Unternehmen müssen den Status ihrer wertvollsten Vermögenswerte vollständig transparent machen und relevante Daten zu den gefährlichsten Bedrohungen und den wichtigsten Schutzmaßnahmen bereitstellen.
  2. Risikobasierter Überblick: Entscheidungsträger sollten einen umfassenden Überblick über die Risiken des Unternehmens haben, damit Investitionen in Cybersicherheitsmaßnahmen gezielt dort getätigt werden, wo sie den größten Nutzen bringen.
  3. Effizienz der Investitionen: Die Wirksamkeit von Cybersicherheitsmaßnahmen sollte stets im Hinblick auf den Return on Investment bewertet werden, um sicherzustellen, dass Ressourcen sinnvoll eingesetzt werden.

Ein solches Cyberrisikomanagementsystem muss kompatibel mit bestehenden Systemen sein und darf keine isolierte Lösung darstellen. Es sollte bestehende Datenquellen nutzen und auf Geschäftsziele abgestimmt werden. Der Einsatz moderner Analysemethoden und Algorithmen kann dazu beitragen, das System zukunftssicher zu machen.

Implementierung und Auswirkungen

Ein erfolgreiches Cyberrisikomanagementsystem dient nicht nur der Berichterstattung, sondern auch als Entscheidungshilfe. Es sollte die wichtigsten Vermögenswerte und Bedrohungen auf höchster Ebene zusammenfassen, während detailliertere Informationen bei Bedarf bereitgestellt werden. Die Integration eines solchen Systems führt dazu, dass Führungskräfte eine klare Vorstellung davon bekommen, wie viel Risiko das Unternehmen tolerieren kann, welche Bedrohungen die größten sind und welche Schutzmaßnahmen notwendig sind.

McKinsey empfiehlt, das Cyberrisikomanagementsystem schrittweise einzuführen, beginnend mit einem einfachen Top-Down-Ansatz, bei dem die größten Risiken zuerst bewertet werden. Mit der Zeit kann das System durch detailliertere Daten ergänzt werden, was die Risikobewertung auf Unternehmensebene weiter verfeinert.

Fazit

Ein modernes Cyberrisikoberichtssystem verbessert die Transparenz, Effizienz und Widerstandsfähigkeit eines Unternehmens gegenüber Cyberbedrohungen. Es ermöglicht es Führungskräften, fundierte Entscheidungen zu treffen, die Sicherheitsmaßnahmen gezielt auf die wichtigsten Bedrohungen und Vermögenswerte auszurichten und dabei gleichzeitig die Kosten unter Kontrolle zu halten. Unternehmen, die diese Systeme erfolgreich implementieren, können eine deutliche Verbesserung ihrer Cybersicherheitsstrategie und eine Erhöhung ihrer Cyberresilienz erreichen.

 



ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content