Cyber Risk Management

Wie Sie Cyber-Risiken nachhaltig und ganzheitlich managen

Ihr Experte für Fragen

Karsten Wilop - PwC

Karsten Wilop
Partner Financial Services – Technology Trust bei PwC Deutschland
E-Mail

Ihre Informationen im Mittelpunkt. Schützen Sie was Ihnen wichtig ist – mit einem risikobasierten Ansatz.

Informationssysteme in Ihrem Unternehmen wurden mit einer Ransomware infiziert. Geschäftskritische Systeme sind betroffen. Sie haben 36 Stunden Zeit, um ein Lösegeld zur Befreiung der Systeme zu überweisen. Ansonsten droht Ihnen der Verlust von Daten und ein potenziell massiver Imageschaden. Dabei hatten Sie doch die neuesten Anti-Viren-Programme installiert. Zum Glück sind die meisten Sicherheitsvorfälle weniger dramatisch. Einige bleiben jedoch unentdeckt.

Die gegen Sicherheitsvorfälle wirkenden Managementmaßnahmen sind komplex und vielfältig. Dabei hängt deren Auswahl vom Risikoprofil eines Unternehmens ab und muss unter Umständen durch bestehende Regulatorik – zum Beispiel das IT-Sicherheitsgesetz oder die Mindestanforderungen an das Risikomanagement im Bankensektor – oder Standards – wie der ISO27001 – beeinflusst werden. Falsch gesetzte Prioritäten können dazu führen, dass Unternehmen – wie im obigen Beispiel – sich in trügerischer Sicherheit wiegen. Es bedarf einer risikoorientierten Betrachtung, formuliert in der Cyber-Security-Strategie, und umgesetzt in der Security Operations, um dem entgegen zu wirken.

„Nur wer seine Bedrohungslage, Schwachstellen und die sich daraus ergebenden Risiken kennt, kann diese effektiv und effizient managen. Viele Führungskräfte denken beim Cyber-Risikomanagement jedoch zu punktuell und verfolgen keinen weitsichtigen Ansatz. Das kann zu kurzfristigen Erfolgen führen, ist langfristig jedoch potenziell ineffizient.“

Achim Schäfer,Partner Cyber Security & Privacy bei PwC Deutschland

Unser Angebot

Cyber-Risikomanagement ist mehr als die die punktuelle Ausgestaltung von Managementmethoden

Cyber-Risikomanagement umfasst den iterativen Prozess von der Identifikation, über die Quantifizierung und Steuerung bis zur Kontrolle von IT- und Informationssicherheitsrisiken. Unser Ziel ist es, Ihnen zu jeder dieser Managementphasen passgenaue Lösungen anzubieten und diese in Ihren unternehmerischen Gesamtkontext einzubetten.

Unsere Lösungen lassen sich in den klassischen Risikomanagement-Zyklus einordnen:

Ihr Anliegen

Identifikation

Der erste Schritt hin zum Management

Welche Bedrohungen betreffen Ihr Unternehmen? Welche Methoden zur Identifikation des sich aus den Bedrohungen ergebenden Risikos benötigen Sie? Welche Informationen und physische Assets sind schützenswert? Erfüllen Sie die regulatorischen Anforderungen an das Cyber-Risikomanagements Ihres Unternehmens?

Diese Fragen fallen in die Identifikations-Phase des Risikomanagement-Zyklus. Bevor Risiken überhaupt erst mit Managementmethoden gesteuert werden können, sind sie in einem ersten Schritt zu identifizieren. Nur so kann ein Überblick über die aktuelle Bedrohungslage generiert werden, die Ihr Unternehmen betrifft.

Quantifizierung

Priorisierung und Abwägung

Sollten Sie in Informationssicherheit investieren? Wie viel sollten Sie in Informationssicherheit investieren? Welches Sicherheitsniveau besteht in Ihrem Unternehmen? Welche Maßnahmen erhöhen Ihre Sicherheitslage in effektiver und effizienter Weise?

Diese Fragen weisen darauf hin, dass sich Ihr Unternehmen auf dem richtigen Weg befindet, da all diese Fragen strukturierender Natur sind. Am Ende ist es eine Frage der Methode und Objektivierung. Erst durch eine funktionierende Quantifizierung von Cyber-Risiken sind Sie in der Lage, effektive und effiziente Entscheidungen bzgl. Sicherheitsinvestitionen und deren Höhe zu treffen.

Steuerung

Maßnahmen die wirklich helfen

Brauchen Sie zur Risikoverminderung ein Security Information & Event Management (SIEM)? Ist ein Risikotransfer mittels einer Cyber-Versicherung für Ihr Unternehmen relevant? Wie lassen sich einzelne Sicherheitsmaßnahmen abstellen, um sie durch effizientere zu ersetzen? Sollten Sie zur Risikovermeidung auf andere Software umsteigen?

Die Steuerung der Cyber-Risiken setzt direkt auf der Identifikation und Quantifizierung auf und basiert auf den dort getroffenen Entscheidungen hinsichtlich der Priorisierung und Durchführung von Sicherheitsinvestitionen. Von der Implementierung eines Informationssicherheitsmanagementsystems (ISMS), dem Aufsatz eines funktionierenden Cyber-Risikomanagement-Prozesses bis hin zur Implementierung von Verschlüsselungen, eines Security Operations Centers (SOC) sowie der Einführung eines Security Information and Event Managements (SIEM) existieren vielfältige Möglichkeiten, Ihre Cyber-Risiken zu steuern.

Kontrolle

Lagebeurteilung und Review

Welche Kontrollen gegen Cyber-Risiken sind in meinem Unternehmen implementiert? Schützen mich bestehende und umgesetzte Kontrollen effektiv gegen Cyber-Risiken? Durch welche zusätzlichen Kontrollen könnte ich mich meinen Sicherheitslage verbessern? Welchen Reifegrad besitzt mein ISMS?

Das Thema „Kontrollen“ schließt den Zyklus des Cyber-Risikomanagements ab. In dieser Phase werden die in der Steuerungs-Phase etablierten und implementierten Maßnahmen hinsichtlich ihrer Wirksamkeit beurteilt und der Sicherheitsgewinn im Vergleich zu den initial identifizierten und quantifizierten Bedrohungen, als auch der gegebenenfalls geänderten Bedrohungslage erhoben. Wurde etwa zur Einführung einer Maßnahme eine mehrjährige Aktivität beendet, so ist die Kontrolle der Effektivität der Maßnahme im Kontext der gegenwärtigen Bedrohungslage erneut zu beurteilen.

Unsere Leistungen

Unsere Cyber-Security-Experten begleiten Sie in allen Phasen des Cyber Risk Managements

Die Implementierung und nachhaltige Umsetzung des Risikomanagement-Zyklus bedarf unterschiedlichster Kompetenzen und Erfahrungen. Wir stellen Ihnen bei PwC Deutschland genau die Expert:innen zur Seite, die Sie benötigen. Dabei setzen wir auf unsere umfassende Expertise, jahrelange Erfahrung am Markt sowie führende Tools.

Feststellung der Bedrohungslage

Wir unterstützen Sie dabei, die Bedrohungen und Risiken in Ihrem Unternehmen zu erfassen und eine Gesamtsicht herzustellen. Als Partner auf Augenhöhe begleiten wir Sie unter anderem bei:

Durchführung einer Bedrohungsanalyse

Hierbei werden sämtliche Cyber-spezifische Bedrohungen erfasst, die sich in Ihrem Unternehmen materialisieren können. Bedrohungen können dabei aus Standards (bspw. BSI Grundschutzkompendium oder ISO2700x-Reihe) oder aus unternehmensspezifischen Daten wie eingetretenen Schadensfällen oder Threat-Intelligence-Analysen abgeleitet werden.

Vorbereitung & Begleitung von regulatorischen Prüfungen

Viele Branchen (u. a. im Banking) sind geprägt von einer umfänglichen Regulatorik. Diese stellt dabei die Rahmenbedingungen zur Ausgestaltung des Cyber-Security-Umfelds dar. In durchgeführten Prüfungen (bspw. IT-Risk-Prüfungen durch die EZB oder BaFin im Financial Services-Sektor) wird die Risikolage der Unternehmen von einem neutralen Standpunkt aus bewertet.

Zusammen mit Ihnen identifizieren wir bereits vor einer solchen Prüfung Non-Compliances und erarbeiten mögliche Behandlungsmaßnahmen. Zudem stehen wir Ihnen auch während der Prüfung mit unserem bewährten und strukturierten Ansatz zur Seite.

Durch eine gute Vorbereitung, der Beschäftigung mit den Risiken vor einer Prüfung und der strukturierten Beantwortung von Aufsichtsanfragen, können Menge und Schweregrade der Feststellungen aus externen Prüfungen in der Regel reduziert werden. Dies wirkt sich direkt auch auf die Kosten und Aufwände in der Organisation aus.

Aufbau eines Informationsverbunds und Durchführung einer Strukturanalyse

Durch die Aufnahme der bei Ihnen existierenden Informations-Assets (IT- und Non-IT-Assets) und deren Verknüpfung untereinander, wird die Grundlage zur Durchführung einer Strukturanalyse geschaffen. Hierbei unterstützen wir Sie. Gemeinsam mit Ihnen bestimmen wir auf dieser Basis anschließend die Kritikalitäten der Assets – abgeleitet von deren Rolle und Funktion in Ihren Geschäftsprozessen.

Bewertung des Risikoportfolios

Wir unterstützen Sie dabei, eine für Sie passende Metrik der Bewertung von Cyber-Risiken aufzusetzen und die in Ihrem Portfolio befindlichen Risiken zu quantifizieren. Als Partner auf Augenhöhe begleiten wir Sie unter anderem bei:

Erhebung der Kosten eines angemessenen Sicherheitsniveaus

Wir begleiten Sie bei der Ermittlung von durch Investitionen entstehenden Sicherheitskosten mittels einer Security-Kosten-Analyse. Daraufhin ermitteln wir die durch diese Investitionen entstehenden Sicherheitsgewinne. Zuletzt nutzen wir Metriken, um mit Ihnen gemeinsam effektive Sicherheitsinvestitionen zu bestimmen und diesen alternative Investitionsmöglichkeiten gegenüberzustellen.

Ermittlung der Sicherheitseffektivität

Wir unterstützen Sie bei der Ermittlung ihres individuellen Risikoappetits. Zudem helfen wir Ihnen, auf Basis unterschiedlicher Datenquellen ihr Sicherheitsniveau und ihre Sicherheitseffektivität zu bestimmen. Der Risikoappetit und die Sicherheitseffektivität unserer Kunden lassen dann darauf schließen, welchen Nutzen zusätzliche Maßnahmen stiften, die nicht unabhängig voneinander zu betrachten sind. Gegeben dieses Gestaltungsrahmens helfen wir Ihnen, ein für Sie optimales Maß an Investitionen in Informationssicherheit abzuleiten.

Etablierung von Maßnahmen

Wir unterstützen Sie bei der Planung und Durchführung der für Sie effektiven und effizienten Maßnahmen zum Schutz Ihres Unternehmens. Als Partner auf Augenhöhe begleiten wir Sie unter anderem bei:

Erstellung einer Cyber-Security-Strategie

Basierend auf Ihrem individuellen Gefahrenprofil, Ihrem Geschäftsmodell und der relevanten Regulatorik und Standards ​erstellen wir gemeinsam mit Ihnen eine Cyber-Security-Strategie. Dabei achten wir auf die Einbettung in Ihren unternehmenerischen Gesamtkontext und entwickeln das für Sie passende Target Operating Model. Oberstes Ziel bildet dabei die effiziente und effektive Umsetzung des Themas Cybersecurity in Ihrem Unternehmen.

Etablierung eines funktionierenden Risikomanagement-Prozesses

Gemeinsam mit den Risiko-Experten Ihres Unternehmens entwickeln wir einen Risikomanagement-Prozess für IT- und Informationssicherheitsrisiken. Dabei achten wir auf die bereits existenten Prozesse, Modelle und Methoden und etablieren das Informationsrisikomanagement auf dieser Basis.

Adressierung von Einzelrisiken

Abgeleitet von bereits identifizierten Bedrohungen und quantifizierten/qualifizierten Risiken, unterstützen wir Sie bei der Identifikation und der Umsetzung der Maßnahmen, die auf Ihr individuelles Risikoprofil am besten passen. Hierbei beachten wir sowohl deren Effektivität als auch deren Effizienz. Ob Aufbau eines Informationssicherheitsmanagementsystems (ISMS), Etablierung von Kryptographie-Vorgaben oder auch die Implementierung eines Identity & Access Management (IAM) − wir stehen Ihnen bei allen Ihren Themen als Experten zur Seite.

Betrachtung und abschließende Bewertung

Wir unterstützen Sie dabei, die aufgesetzten und durchgeführten Maßnahmen noch einmal in einen Gesamtkontext mit den Risiken und Bedrohungen zu setzen und für Sie die richtigen Handlungsempfehlungen abzuleiten. Dabei vereinen wir fundierte Kenntnisse aus Prüfungserfahrungen (bspw. Jahresabschlussprüfungen) mit praktischer IT- und Cyber Security-Expertise. Als Partner auf Augenhöhe begleiten wir Sie unter anderem bei:

Kontrolle im Cyber Risk Management Prozess

Um die Effektivität des Cyber Risk Managements als Ganzes und die Einhaltung des dafür definierten Prozesses im täglichen Betrieb sicherzustellen, sollten bereits Kontrollen in der Cyber-Risk-Steuerung integriert sein. Hierfür bieten wir Ihnen ISMS-Reifegrad Assessments an.

Kontrolle zur Reduktion der identifizierten Cyber-Risiken

Es werden für die im Cyber Risk Management identifizierten Risiken Kontrollen implementiert, um sie auf einen akzeptablen Restwert zu reduzieren, den ein Unternehmen bereit ist zu tragen. Dabei kann es sich sowohl um technische als auch um prozessual-organisatorische Kontrollen handeln.

Unser Newsletter

Cyber Security & Privacy News

Lesen Sie hier, wie Sie Ihr Unternehmen vor Cyberangriffen schützen können. Wir liefern Ihnen Informationen zu aktuellen Entwicklungen, Studien und geben weitere Insights aus den Bereichen Cybersicherheit und Datenschutz, die Sie bei der Entwicklung von Strategien und Maßnahmen zur Datensicherheit unterstützen sollen.

Zur Registrierung

Weitere Services im Bereich Cyber Security Strategy, Risk & Compliance

Follow us

Contact us

Karsten Wilop

Karsten Wilop

Partner, Cyber FS Lead, PwC Germany

Tel.: +49 170 5278376

Hide