Kapitel 4. Risikoinformiertes System

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Zu Beginn dieses Buches haben wir einige noch nie dagewesene und zunehmend unvorhersehbare Risiken erörtert, mit denen Unternehmen in einer Welt konfrontiert sind, die durch digitale Kommunikations- und Kollaborationstechnologien eng miteinander verbunden ist - und wie wichtig es ist, diesen Risiken mit einem formellen Cyber-Risikomanagementprogramm (CRMP) zu begegnen.

Trotz all der Aufmerksamkeit, die wir der Digitalisierung und ihren Auswirkungen widmen, ist es wichtig zu erkennen, dass die Digitalisierung nicht das Problem ist, das ein CRMP angehen soll. Tatsächlich ist sie nicht einmal unbedingt ein Problem. Die Digitalisierung birgt definitiv Risiken, von denen viele noch vor wenigen Jahren unvorstellbar waren, aber sie bietet auch außergewöhnliche neue Geschäftsmöglichkeiten. Das grundlegende Problem, mit dem sich dieses Buch befasst, ist, dass die derzeitigen Sicherheitsansätze und die Unausgereiftheit der derzeitigen Risikomanagementpraktiken eine enorme Lücke in der Fähigkeit der Unternehmen hinterlassen, sich gegen neu entstehende Risiken zu schützen und gleichzeitig die neuen Geschäftsmöglichkeiten schnell und effektiv zu nutzen. Das erfordert einen klar definierten CRMP, der auf vier Schlüsselkomponenten basiert. Im vorangegangenen Kapitel wurde die erste dieser Komponenten, die Agile Governance, behandelt. Jetzt kommen wir zur zweiten: ein risikoinformiertes System.

Bedrohung oder Chance? Die Stilllegung von Toyota

Anfang März 2022 setzte Toyota, der größte Automobilhersteller der Welt, den Betrieb von 28 Produktionslinien in allen 14 japanischen Werken für mehr als einen Tag aus, nachdem ein wichtiger Zulieferer von Automobilkomponenten von einem Ransomware-Angriff betroffen war. Der Angriff - vermutlich eine staatlich geförderte Aktion als Reaktion auf die Unterstützung der japanischen Regierung für die Ukraine nach dem Einmarsch Russlands - richtete sich gegen Kojima Industries, einen wichtigen Zulieferer elektronischer Komponenten und eine Schlüsselfigur in Toyotas eng vernetztem landesweiten Kanban-Just-in-Time-Liefersystem.

Toyota war der Pionier der Just-in-Time-Produktion, einer Technik, bei der genau die richtige Ware in der richtigen Menge zum richtigen Zeitpunkt geliefert wird, Minuten oder sogar Sekunden bevor sie benötigt wird. Das bringt nicht nur finanzielle Vorteile durch Kosteneinsparungen in Bereichen wie Lagerhaltung und Bestandsmanagement, sondern ermöglicht auch eine schnelle und präzise Lieferung von kundenspezifischen Bestellungen. Toyota sieht dieses Betriebsmodell eindeutig als strategischen Vorteil. Deshalb scheint es logisch, die Kojima-Ransomware und die daraus resultierende Unterbrechung der Toyota-Lieferkette als Fehler zu betrachten. Was aber, wenn es sich in Wirklichkeit um eine Erfolgsgeschichte handelt, eine Geschichte über ein risikobewusstes System, das es Toyotaermöglichte - und sogar ermutigte -Risiken einzugehen und einen Wettbewerbsvorteil zu erlangen?

Wir kennen zwar nicht alle Details, aber wir können einige fundierte Annahmen treffen: Toyota betrachtete das Kanban-System als strategische Komponente, ja sogar als kritische Infrastruktur seines Geschäftsmodells, und die Unternehmensleitung wäre über die gesamte Bandbreite der Risiken informiert gewesen, einschließlich der wachsenden Bedrohung durch Ransomware und andere Cyberangriffe. Es wäre keine Frage gewesen, dass Ransomware ein echtes Risiko darstellt, vor allem angesichts der enormen Anzahl von Schwachstellen in einer Lieferkette mit Hunderten von einzelnen Zulieferern. Toyota hätte also zweifellos Maßnahmen zur Minderung des Cyberrisikos ergriffen, z. B. durch Sicherheitskontrollen, Überwachung und Reaktionsmöglichkeiten auf Vorfälle, und hätte wahrscheinlich einige Aspekte der Wahrscheinlichkeit und der Auswirkungen potenzieller Bedrohungen herausgearbeitet.

Trotz der Risiken hat Toyota das Just-in-Time-System beibehalten und war offenbar mit dem Verhältnis von Risiko und Nutzen zufrieden. Bedeutet die Ransomware von 2022, dass dies die falsche Entscheidung war? Vielleicht, vielleicht auch nicht. Wenn die negativen Auswirkungen die Vorteile überwiegen würden, dann ja. Aber es gibt gute Gründe dafür, dass das nicht der Fall war. Toyotas Fabriken wurden für knapp 24 Stunden geschlossen, wodurch sich die Produktion von knapp 13.000 der mehr als 10 Millionen Fahrzeuge, die Toyota jedes Jahr herstellt, verzögerte. Die Vorteile der Just-in-Time-Produktion in Form von Kosteneinsparungen und maßgeschneiderten Liefermöglichkeiten überwiegen mit Sicherheit bei weitem den Schaden, der durch den Angriff entstanden ist. Das Fazit: Es ist sehr wahrscheinlich, dass Toyota eine risikobewusste Entscheidung getroffen hat, um ein ausgewogenes Verhältnis zwischen Risiko und Nutzen zu finden - und die Ergebnisse legen nahe, dass es die richtige Entscheidung war.

Die Risikobedingungen können sich ändern, manchmal sogar sehr abrupt, und veränderte Bedingungen können veränderte Entscheidungen erforderlich machen. Ein Unternehmen, das Risiken eingeht, um der Konkurrenz einen Schritt voraus zu sein, egal ob es sich dabei um einen etablierten multinationalen Konzern wie Toyota oder ein schnell wachsendes Startup-Unternehmen handelt, muss ständig über Veränderungen in der Risikolandschaft im Zusammenhang mit den potenziellen Auswirkungen auf seinen Betrieb und seine Vermögenswerte informiert sein. Ein definiertes und genehmigtes risikoinformiertes System schafft einen Prozess - mit definiertem Umfang, Rhythmus und Berichtswesen -, um die vielen Ebenen von Unternehmensbeteiligten zu informieren, die an Risikoentscheidungen beteiligt sind.

Wir werden uns der vielleicht wichtigsten Programmkomponente zuwenden: den Informationen, die Unternehmen nutzen, um Risikomanagemententscheidungen zu treffen. Wir erläutern, wie diese Informationen in einem systematischen Prozess erfasst, bewertet, verwaltet und weitergegeben werden müssen, damit die Unternehmensleitung rechtzeitig fundierte Entscheidungen treffen kann.

Warum Risikoinformationen wichtig sind - auf höchster Ebene

Eine lange Reihe von Gerichtsentscheidungen - einschließlich, aber keineswegs beschränkt auf die Fälle, die wir bereits erörtert haben - hat festgestellt, dass die Entscheidungsträger in Unternehmen auf höchster Ebene für Risikofehler verantwortlich sind und, was noch wichtiger ist, dafür, dass sie nicht über Risiken informiert sind. Das gilt für alle, die Risikoentscheidungen treffen oder treffen sollten, also auch für Vorstände, Geschäftsführer und leitende Angestellte. Die Gerichte haben deutlich gemacht, dass "Ich wusste es nicht" oder die Behauptung, die Informationen seien sporadisch gewesen, keine ausreichenden Entschuldigungen sind, wenn etwas schief läuft. Das Fehlen eines wirksamen Systems für die Beschaffung, Bewertung, Meldung und Eskalation von Risikoinformationen setzt all diese Rollen einer ernsthaften zivilrechtlichen und (wie im Fall des CSO von Boeing) strafrechtlichen Haftung aus. Und damit enden die Probleme noch nicht. Die Quintessenz ist, dass das Versäumnis, einen systematischen Prozess für die rechtzeitige Weitergabe von Risikoinformationen an die richtigen Personen einzurichten, eine ganze Reihe ernsthafter Risiken mit sich bringt: rechtliche, regulatorische, finanzielle und Reputationsrisiken.

Hinweis

Ein Zitat aus dem Gerichtsurteil im Fall Boeing macht deutlich, dass die Risikoverantwortung für kritische Funktionen, die Rechenschaftspflicht und die Haftung auf den allerhöchsten Ebenen der Entscheidungsfindung im Unternehmen angesiedelt sind: "Für die unternehmenskritische Sicherheit reichen diskretionäre Berichte des Managements, in denen die Sicherheit als Teil der Gesamttätigkeit des Unternehmens erwähnt wird, nicht aus, um die Schlussfolgerung zu stützen, dass der Vorstand regelmäßige Berichte zur Produktsicherheit erwartet und erhalten hat. Der Vorstand von Boeing kann die Einhaltung der Sicherheitsvorschriften nicht dem Ermessen des Managements überlassen, anstatt ein strukturiertes System zur Einhaltung der Vorschriften einzuführen und zu überwachen."¹

Risiko und Risikoinformationen definiert

Auf wollen wir zunächst die Begriffe definieren und darüber sprechen, was Risikoinformationen sind und vor allem, was sie nicht sind. Das National Cyber Security Centre definiert Risikoinformationen als "jede Information, die eine Entscheidung beeinflussen kann".

Die meisten Entscheidungsträger in Unternehmen, die für das Risikomanagement zuständig sind, glauben zu wissen, was ein Risiko ist, aber wenn sie ihre Risikobewertungen nicht nach einem systematischen, anerkannten und formalisierten Prozess vornehmen, ist ihr Risikoverständnis wahrscheinlich unvollständig, inkonsistent und in vielen Fällen schlichtweg falsch. Das gilt vor allem für Sicherheitsexperten - selbst für die erfahrensten und erfahrensten von ihnen. Fangen wir dort an.

Ein Sicherheitsexperte denkt bei Risiken verständlicherweise eher an Bedrohungen und Schwachstellen und an die Kontrollen oder Fähigkeiten, die zu ihrer Beseitigung eingesetzt werden: böswillige Insider, ungepatchte Software-Schwachstellen und Datenschutz. All diese Themen sind natürlich wichtig, und Informationen darüber sind wichtig, ja sogar unerlässlich - aber es sind keine Risikoinformationen. Warum? Weil sie nicht richtig in den Unternehmenskontext eingebettet sind.

Bevor wir uns näher mit Risikoinformationen befassen, sollten wir einen Schritt zurückgehen und definieren, was wir unter Risiko verstehen. Hier ist eine sehr einfache Definition, die in Form einer einfachen Gleichung dargestellt wird:

Risiko = Wahrscheinlichkeit × Auswirkung

Lass uns das noch ein bisschen weiter aufschlüsseln:

Risiko = Wahrscheinlichkeit (dass eine Bedrohung eine Schwachstelle ausnutzt) × Auswirkung (auf einen Unternehmensprozess, einen Vermögenswert oder ein Ziel)

Die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, ist wichtig, denn die Bedrohungen, denen ein Unternehmen ausgesetzt ist, und die daraus resultierenden Schwachstellen (Vulnerabilities) lassen sich unmöglich zählen, geschweige denn vollständig abstellen. Ein Beispiel für das Ausmaß der Cyber-Bedrohungen: Microsoft hat allein im Jahr 2022 1.212 Schwachstellen in seinen Systemen entdeckt. Die meisten Unternehmen betreiben komplexe, heterogene IT-Umgebungen, und für viele wird es immer schwieriger, einen klaren Überblick über die vorhandenen Systeme und Anwendungen zu bekommen. Die Kenntnis der Anlagen ist jedoch entscheidend, um zu verstehen, welche Auswirkungen ein Angriff haben könnte und ob die Wahrscheinlichkeit besteht, dass eine potenzielle Bedrohung eine Schwachstelle (Schwachstelle) ausnutzt.

Hier ist ein einfaches Beispiel. Ein Zero-Day-Exploit, der auf Microsoft SQL Server abzielt, ist ein ernstes Problem für ein Unternehmen, das diese Plattform zur Unterstützung einer kritischen Webanwendung nutzt.

Eine Bedrohung allein ist noch kein Risiko - und Informationen über Bedrohungen selbst sind keine Risikoinformationen.

Und nun zu den Auswirkungen. Am Anfang steht eine Bestandsaufnahme dessen, was für das Unternehmen am wertvollsten ist. Das können Geschäftsgeheimnisse und anderes geistiges Eigentum (IP), sensible Kundendaten oder der Code für die E-Commerce-Plattform sein. Von dort aus werden die potenziellen Auswirkungen einer Bedrohung oder Schwachstelle auf die Systeme, Anwendungen, Abläufe und Prozesse des Unternehmens deutlicher. Ohne ein umfassendes Verständnis der betroffenen Vermögenswerte und der sich daraus ergebenden Konsequenzen oder Auswirkungen ist es unmöglich, das Risiko, dem das Unternehmen ausgesetzt ist, wirklich zu verstehen - und natürlich auch unmöglich, eine angemessene Reaktion festzulegen und durchzuführen.

Dieser Prozess der Bestimmung des Verhältnisses zwischen der Wahrscheinlichkeit einer Bedrohung und ihrer Auswirkung ist natürlich ein wichtiger Bestandteil der Risikoinformationen und ein wichtiger Schritt, um zu verstehen, was Risikoinformationen sind. Das britische National Cyber Security Centre (NCSC) bietet eine einfache, aber nützliche Definition: "Risikoinformationen sind alle Informationen, die eine Entscheidung beeinflussen können." Das NCSC fügt hinzu: "Einige Organisationen neigen dazu, nur bestimmte Arten von Informationen als legitime Risikoinformationen zu akzeptieren. Solche Einschränkungen erhöhen die Wahrscheinlichkeit, dass etwas Wichtiges übersehen wird."² Die klare Botschaft: Ein umfassender Ansatz für Risikoinformationen - und nicht etwa ein enger Fokus auf eine einzelne Bedrohung oder Schwachstelle - ist für ein echtes Risikomanagement unerlässlich.

Ein risikoinformiertes Entscheidungssystem nutzt diese Konzepte und wendet sie systematisch, wiederholbar und konsequent an. Mithilfe einer bewährten und anerkannten Methode können das Unternehmen und seine Führungskräfte den Risikoergebnissen vertrauen und fundierte Entscheidungen treffen, um das richtige Gleichgewicht zwischen Risiko und Ertrag zu finden.

Der CRMP-Rahmen, den wir in diesem Buch vorgestellt haben, wird hier verwendet, um die wichtigsten Grundprinzipien zu ermitteln, die bei der Einrichtung eines effektiven risikoinformierten Systems als Teil des umfassenderen CRMP eine Rolle spielen. Weitere Einzelheiten zu dem umfassenden Rahmenwerk selbst findest du im Anhang. Weitere Informationen zu spezifischen Überlegungen zur Umsetzung findest du in Kapitel 7. Die Einzelheiten zu einem risikobasierten System findest du in Tabelle 4-1.

Tabelle 4-1. CRMP-Rahmen - risikoinformiertes System
CRMP-Komponente	Grundsätze	Informative Referenzen
Agile Governance	Siehe "Sieben Prinzipien der agilen Governance".	SEC Final Cyber Rule NIST CSF 2.0 2023 Handbuch für NACD-Direktoren ISO 27001:2022 NIST 8286 IIA Drei-Linien-Modell SEC-Richtlinien 2018 ISO 31000:2018 AICPA CRMP
Risikoinformiertes System	Siehe "Fünf Grundsätze für ein risikobasiertes System".	SEC Final Cyber Rule NIST CSF 2.0 2023 Handbuch für NACD-Direktoren ISO 27001:2022 IIA Drei-Linien-Modell ISO 31000:2018 AICPA CRMP
Risikobasierte Strategie und Umsetzung	Siehe "Sechs Prinzipien der risikobasierten Strategie und Umsetzung".	SEC Final Cyber Rule NIST CSF 2.0 2023 Handbuch für NACD-Direktoren IIA Drei-Linien-Modell ISO 31000:2018 AICPA CRMP
Risikoeskalation und Offenlegung	Siehe "Fünf Prinzipien der Risikoeskalation und Offenlegung".	SEC Final Cyber Rule NIST CSF 2.0 2023 Handbuch für NACD-Direktoren IIA Drei-Linien-Modell SEC-Richtlinien 2018 AICPA CRMP

Fünf Prinzipien eines risikoinformierten Systems

In diesem Buch wird ein CRMP vorgestellt, ein formales, systematisches, cyberspezifisches Paket von Praktiken zur Bewältigung der Herausforderungen und Chancen eines sich schnell verändernden Risikoumfelds, das mit den Anforderungen der von uns besprochenen maßgeblichen Quellen übereinstimmt. Wir beschreiben bewährte Methoden, um sicherzustellen, dass dieses Programm auf zeitnahen, angemessenen Risikoinformationen beruht. Es gibt fünf Schlüsselprinzipien, die vorhanden sein müssen, damit ein risikoinformierter Entscheidungsprozess effektiv und für die spezifischen Bedürfnisse eines Unternehmens geeignet ist.

Grundsatz 1: Einen Rahmen und eine Methodik für die Risikobewertung festlegen

Ein Risikorahmen und eine Methodik müssen definiert und angewandt werden, um Cyberrisiken im Unternehmenskontext zu identifizieren, zu bewerten und zu messen.

Ein systematischer Ansatz zur Identifizierung, Bewertung und Messung von Cyber-Risiken ist von entscheidender Bedeutung, da er dem Leitungsgremium, das wir im letzten Kapitel besprochen haben, die vertrauenswürdigen und wiederholbaren Informationen liefert, die es braucht, um angemessene risikobasierte Entscheidungen zu treffen. Die Sicherheitsorganisation spielt dabei eine zentrale Rolle, denn sie versorgt das Leitungsorgan und das Unternehmen insgesamt mit den Informationen, die es für seine Risikoentscheidungen braucht.

Die Aufgabe der Sicherheitsorganisation besteht nicht darin, Risikoentscheidungen zu treffen, sondern das Unternehmen durch einen risikobasierten Entscheidungsprozess zu führen.

Die Informationen, die die Sicherheitsorganisation in Zusammenarbeit mit anderen Teilen des Unternehmens bereitstellt, sollten als Teil eines Cyber-Risiko-Informationssystems betrachtet werden, das das Leitungsgremium und die Stakeholder des Unternehmens informiert und leitet. Zu diesen Informationen gehören Informationen über das Unternehmensrisiko, die Identifizierung von IT-, OT- und IoT-Ressourcen, Bedrohungsdaten, die Risikobereitschaft des Unternehmens, Geschäftsprioritäten, künftige Geschäftsstrategien, bestehende Maßnahmen zur Risikominderung und gewonnene Erfahrungen.

Aber warum braucht es einen Rahmen und eine Methodik? Viele Unternehmen - und Sicherheitsorganisationen - verfügen bereits über Praktiken und Prozesse zur Identifizierung von Risiken, aber diese sind meist ad hoc, werden isoliert durchgeführt oder nur in großen Abständen durchgeführt und dann mehr oder weniger vergessen. Außerdem werden sie oft aus vergangenen Vorfällen wie Datenschutzverletzungen, Virenausbrüchen oder Kontrollfehlern abgeleitet. (Und wenn uns die rasanten Veränderungen des digitalen Zeitalters etwas gelehrt haben, dann, dass die Vergangenheit allein nie ein angemessener Leitfaden für die Zukunft ist). Die Verfahren zur Risikoinformation und -ermittlung müssen in einem regelmäßigen Rhythmus durchgeführt werden, der von den Entscheidungsträgern festgelegt und genehmigt wird, denn das Versäumnis, fortlaufende Risikoinformationen zu erhalten, ist selbst ein Risiko.

Ein anerkannter Rahmen und eine anerkannte Methodik ersetzen diesen im Wesentlichen ad hoc oder reaktiven Ansatz durch ein systematisches Mittel zur Sammlung von Daten, um akzeptable Risikoniveaus zu ermitteln, aufkommende und potenzielle Risiken zu identifizieren und tatsächlich auftretende Risiken zu verwalten oder zu mindern. Es ist wichtig zu beachten, dass Kennzahlen in diesem Prozess zwar eine wichtige Rolle spielen, aber es müssen die richtigen Kennzahlen sein - keine Betriebs- oder Compliance-Kennzahlen, sondern Risikokennzahlen, die zugängliche, umsetzbare Informationen liefern, die dem Geschäftskontext angemessen sind.

Eine der häufigsten Herausforderungen, mit denen Unternehmen bei der Implementierung und Umsetzung risikoinformierter Prozesse konfrontiert sind, ist, dass sie zu viele Daten haben - oder die falsche Art von Daten - und dass sie Schwierigkeiten haben, diese Daten so zu kontextualisieren, dass sie verwertbar und für ihre Risikoentscheidungen relevant sind. Eine weitere Herausforderung besteht darin, die Daten in Begriffe und eine Sprache zu übersetzen, die von der vorgesehenen Zielgruppe und dem beabsichtigten Zweck klar verstanden werden. Der Vorstand und die leitenden Angestellten wollen zum Beispiel einen Überblick über die dringendsten Risiken und die damit verbundenen geschäftlichen Belange, die Risikobereitschaft des Unternehmens, die Auswirkungen auf das Budget und andere geschäftliche Belange. Ein Chief Information Officer (CIO) oder eine Führungskraft in einem Unternehmen ist möglicherweise mit detaillierteren Daten besser bedient, die ihren Entscheidungsanforderungen entsprechen. Die Granularität dieses risikoinformierten Systems ist Teil der Definition des risikoinformierten Rahmens, der vom Unternehmen diskutiert, entwickelt und genehmigt werden muss. Dies wird zwangsläufig ein fortlaufender Prozess sein, der eine ständige Überwachung und Berichterstattung über die Ausgangsergebnisse erfordert, damit aufkommende Trends erkannt und darauf reagiert werden kann. (Die Berichterstattung sollte mit dem etablierten Prozess der Budgetierung und Prioritätensetzung übereinstimmen, der im nächsten Kapitel behandelt wird.) Und all diese Maßnahmen haben einen übergeordneten Zweck: die wirksame Integration der Cybersicherheit als Teil eines übergreifenden unternehmensweiten Risikomanagementsystems zu gewährleisten.

Die folgenden Hinweise für die Industrie sind hier besonders wichtig:

SEC Regulation S-K Item 106(b)-Risikomanagement und Strategie: Unter geht es im Wesentlichen darum, dass Unternehmen systematische Prozesse zur Bewertung und Identifizierung von wesentlichen Risiken durch Cybersecurity-Bedrohungen haben. Er unterstreicht den Grundsatz, dass Unternehmen einen etablierten Rahmen benötigen, um die Komplexität von Cyber-Risiken zu bewältigen, insbesondere im Zusammenhang mit der breiteren Geschäftsstrategie und den finanziellen Auswirkungen.
2023 NACD Director's Handbook on Cyber-Risk Oversight Grundsatz 1, 4, 5: Damit Cybersicherheit als "strategisches Risiko" betrachtet werden kann, wie der NACD sagt, müssen Cyberrisiken im Unternehmenskontext und nicht nur durch die IT-Brille betrachtet werden. Dies unterstreicht auch die Bedeutung der vorherigen Komponente "Agile Governance" und die Notwendigkeit, mit dem Unternehmen zusammenzuarbeiten, um dessen Belange zu verstehen und Risiken im Unternehmenskontext zu identifizieren, zu bewerten und zu messen.
2023 Entwurf des NIST CSF 2.0 GV.RM, ID.RA: Das NIST bietet einen Überblick über diese Kategorien, gibt Orientierungshilfen und unterstreicht die Notwendigkeit eines etablierten Rahmens und einer Methodik.
ISO/IEC 27001:2022 6.1.2, 6.1.3: ISO/IEC 27001 verfolgt einen risikobasierten Ansatz. Die oberste Leitung ist dafür verantwortlich, dass die Risiken der Organisation identifiziert, bewertet und angemessen behandelt werden, wozu auch die Festlegung der Risikobewertungsmethode gehört, die dem organisatorischen Kontext entspricht. In den Abschnitten 6.1.2 und 6.1.3 werden Prozesse zur Risikobewertung und Risikobehandlung gefordert. Darüber hinaus bietet die ISO/IEC 27005 eine detailliertere Anleitung zum Risikomanagement in der Informationssicherheit.
2017 AICPA CRMP Beschreibung Kriterien DC11: Dieser Rechnungslegungsstandard fordert ein Verfahren zur Identifizierung von Cybersecurity-Risiken sowie von umweltbezogenen, technologischen, organisatorischen und anderen Veränderungen, die erhebliche Auswirkungen auf das Cybersecurity-Risikomanagementprogramm der Organisation haben könnten, und zur Bewertung der damit verbundenen Risiken für das Erreichen der Ziele der Organisation im Bereich Cybersecurity .

Grundsatz 2: Festlegung einer Methodik für Risikoschwellen

Es muss eine anerkannte und wiederholbare Methode für akzeptable Risikoschwellen - sowohl für die Risikobereitschaft als auch für die Risikotoleranz - festgelegt werden.

Es gibt mehrere Methoden zur Festlegung akzeptabler Risikoniveaus, von denen wir hier drei besprechen werden. Unabhängig davon, welche Methode du verwendest, solltest du eine akzeptable Risikobereitschaft und Risikotoleranz für bestimmte Unternehmensumgebungen finden und vor allem sicherstellen, dass diese Risikoniveaus von den Risikoeignern und anderen leitenden Entscheidungsträgern genehmigt werden. Die gewählte oder entwickelte Methode kann sehr unterschiedlich sein, aber unabhängig davon, welche Methode verwendet wird, sollte sie fünf Funktionen erfüllen:

Festlegung der aktuellen Risikostufen: Das bedeutet, dass die Risiken, mit denen das Unternehmen derzeit konfrontiert ist, und die Wirksamkeit der vorhandenen Maßnahmen zur Risikominderung bewertet werden müssen.
Festlegung und Einigung auf das gewünschte Risikoniveau für den zukünftigen Zustand: Eine Definition akzeptabler zukünftiger Risiken, die in Zusammenarbeit mit dem Leitungsgremium entwickelt wird, ermöglicht es dem Unternehmen, Prioritäten für sein Risikomanagement zu setzen, um mit sich ändernden und neu auftretenden Risiken umzugehen.
Verwendung der akzeptierten Risikostufen für den zukünftigen Zustand zur Entwicklung einer übergreifenden Risikostrategie und eines Ausführungsmodells: Dies ist nicht nur wichtig, weil es die Risikobereitschaft und -toleranz des Unternehmens mit der allgemeinen Geschäftsstrategie in Einklang bringt, sondern auch, weil es dadurch möglich ist, angemessene Budgetzuweisungen zu entwickeln und zu verteidigen. (Dieses Thema wird im nächsten Kapitel ausführlich behandelt.)
Überwachung der Umsetzung der Risikostrategie: Dies muss ein fortlaufender Prozess sein, der vom Leitungsorgan überwacht wird, um seine Wirksamkeit zu bestimmen und um sicherzustellen, dass das Unternehmen innerhalb akzeptabler Risikoparameter bleibt.
Kontinuierliche Überwachung auf der Grundlage der vereinbarten Kadenz: Ein angemessener Rhythmus für die Überprüfung, Bewertung und Überwachung der Risikobereitschaft und der Risikotoleranz in bestimmten Abständen (siehe "Grundsatz 4: Vereinbaren Sie ein Intervall für die Risikobewertung") ermöglicht es, Veränderungen im Risikoumfeld zu antizipieren und sich an sie anzupassen.

Risikoappetit und Risikotoleranz: Der entscheidende Unterschied

Viele Entscheidungsträger in Unternehmen - selbst hochqualifizierte Sicherheitsexperten - sind sich über die Begriffe Risikobereitschaft und Risikotoleranz nicht im Klaren, daher sollten wir uns einen Moment Zeit nehmen, um den Unterschied zu erklären. Die Definitionen von COSO bieten einen nützlichen Überblick:

Risikobereitschaft ist die Höhe des Risikos, das eine Organisation bereit ist, für das Streben nach Wertsteigerung zu akzeptieren. Jede Organisation verfolgt verschiedene Ziele, um einen Mehrwert zu schaffen, und sollte im Großen und Ganzen wissen, welches Risiko sie dabei einzugehen bereit ist.
Risikotoleranzen dienen den operativen Einheiten als Orientierung bei der Umsetzung der Risikobereitschaft in ihrem Tätigkeitsbereich. Risikotoleranzen vermitteln ein gewisses Maß an Flexibilität, während die Risikobereitschaft eine Grenze setzt, über die hinaus keine Risiken eingegangen werden sollten.

Verschiedene Unternehmen haben zweifellos eine unterschiedliche Risikobereitschaft und Risikotoleranz, und es gibt viele verschiedene Ansätze, um sie zu definieren und das gewünschte Gleichgewicht zwischen ihnen herzustellen. Aber egal, welcher Ansatz gewählt wird, die endgültige Entscheidung darüber, was ein akzeptables Risiko ist, muss das Unternehmen treffen, um eine bessere Entscheidungsfindung und Ausführung zu ermöglichen. Es muss eine wiederholbare Methode geben, um das Unternehmen zu informieren und seine Zustimmung zu erhalten.

Die Notwendigkeit einer effektiven und angemessenen Risikomessung wird durch eine breite Palette von Standards und Protokollen gefördert und unterstützt:

Das NIST Cybersecurity Framework 2.0 , in dem betont wird, dass Risikobereitschaft und Risikotoleranz auf der Grundlage des Geschäftsumfelds der Organisation festgelegt und kommuniziert werden sollten.
Das NACD Director's Handbook on Cyber-Risk Oversight Prinzip 1, 5. Prinzip 1 unterstreicht die Notwendigkeit, dass Cyber-Risiko-Diskussionen mit strategischen Zielen und Geschäftsmöglichkeiten in Einklang gebracht werden. Um dies zu erreichen, ist eine solide Methodik erforderlich, die das Engagement des Unternehmens fördert und die Messung der Risikobereitschaft erleichtert, wie sie von der Geschäftsführung festgelegt und vom Vorstand genehmigt wurde. Der Grundsatz 5 des NACD-Handbuchs besagt, dass die Aussagen zur Risikobereitschaft mit größtmöglicher Klarheit, Objektivität und Messbarkeit formuliert werden sollten, wobei auch subjektive Elemente wie das wirtschaftliche Umfeld, das zum Zeitpunkt der Festlegung vorherrscht, berücksichtigt werden sollten.

Welche Methode zur Bewertung von Cybersicherheitsrisiken auch immer gewählt wird, sie hat bestimmte grundlegende gemeinsame Ziele. Sie wird die Risikostufen definieren, sie in Begriffe übersetzen, die die verschiedenen Interessengruppen verstehen, und die Risikostufen mit den verschiedenen Ebenen der Unternehmensführung und, wenn möglich, mit den anderen Risikofunktionen des Unternehmens abstimmen. Es wird es ermöglichen, den Stakeholdern den Weg zu vermitteln, den das Unternehmen beschreitet, um Risikoreife zu erreichen. Und es wird Ergebnisse mit den Governance-Funktionen auf allen Ebenen liefern.

Es ist wichtig zu wissen, dass es Zeit und Mühe kostet, das gewünschte und angemessene Niveau der Risikobewertung zu erreichen. In der Tat ist es wahrscheinlich eine Reise, die mit der Modellierung des Reifegrads beginnt, dann KPIs/Leistungskennzahlen integriert, dann zu einer qualitativen Bewertung übergeht und schließlich eine Risikoquantifizierung vornimmt, wahrscheinlich unter Verwendung automatisierter Tools.

Das Ziel dieses Grundsatzes ist es, sicherzustellen, dass ein Rahmenwerk vorhanden ist, das gewährleistet, dass das Unternehmen und seine Risiko-Entscheidungsträger alle verfügbaren Daten innerhalb des gewählten Rahmenwerks nutzen, um sich auf akzeptable Risikoniveaus zu einigen und die Ergebnisse zu nutzen, um das governance Gremium zu informieren.

Grundsatz 3: Verständnis für risikobasierte Bedürfnisse schaffen

Das Leitungsorgan sollte identifiziert werden und ein umfassendes Verständnis für seine Bedürfnisse in Bezug auf Cyberrisiken entwickeln.

Cyber Sicherheitsrisikomanagement erfordert, wie alle Formen des Risikomanagements, das Engagement und die Mitwirkung eines breiten Spektrums von Interessengruppen im Unternehmen, einschließlich der leitenden Entscheidungsträger (wir haben dies im letzten Kapitel ausführlich besprochen). Dies erfordert eine wirksame Kommunikation, die sich an verschiedene Personen und Zielgruppen richtet, für diese verständlich aufbereitet ist und mit den Anforderungen der Unternehmensführung übereinstimmt.

Die Bedürfnisse der verschiedenen Interessengruppen werden natürlich sehr unterschiedlich sein. Sicherheitsexperten benötigen möglicherweise sehr technische Informationen, die Leiter der Geschäftsbereiche suchen nach Informationen, die sich auf die betriebliche Leistung ihrer Bereiche konzentrieren, und Führungskräfte und Vorstände wollen wahrscheinlich nur die wichtigsten Informationen. Es ist wichtig zu wissen, dass dieser Prozess ein Gespräch sein muss und nicht ein einseitiger Informationsfluss von den Risikofunktionen zu anderen Interessengruppen. Letztlich geht es darum, allen Beteiligten Risikoinformationen und Risikomessungen zur Verfügung zu stellen, die angemessen und ausreichend sind, um risikobasierte Geschäftsentscheidungen zu treffen und ihre Geschäftsaktivitäten innerhalb der festgelegten Risikotoleranzen durchzuführen.

Das NIST hat eine nützliche, auf Cybersicherheit ausgerichtete Methodik zur Identifizierung und Einschätzung von Cybersicherheitsrisiken entwickelt (siehe Abbildung 4-1).

Ein wichtiges Element bei der Entwicklung eines risikoinformierten Systems ist der Aufbau einer Arbeitsbeziehung zwischen den entsprechenden Interessengruppen und den gewünschten Risikoinformationen. Diese Beziehung hilft dabei, den Zweck und die Struktur des Systems zu definieren und sicherzustellen, dass es von den Unternehmensverantwortlichen festgelegt und formell genehmigt wird und nicht einfach nur das Ergebnis von Informationen ist, die präsentiert werden.

NIST illustration of enterprise risk and coordination

Diese Industrienormen sind zusätzliche Referenzen, die dieses Prinzip unterstützen:

2023 Entwurf des NIST CSF 2.0 GV.OC-02: Diese Unterkategorie verdeutlicht, wie wichtig es ist, sowohl interne als auch externe Stakeholder zu identifizieren und ihre Erwartungen in Bezug auf das Management von Cyberrisiken zu verstehen.
2017 AICPA CRMP Beschreibung Kriterien DC13: AICPA legt einen Prozess für die interne Kommunikation relevanter Cybersecurity-Informationen fest, die für das Funktionieren des Cybersecurity-Risikomanagement-Programms der Organisation notwendig sind, einschließlich der Ziele und Verantwortlichkeiten für Cybersecurity und der Schwellenwerte für die Kommunikation identifizierter Sicherheitsvorfälle und ihrer Lösungen.
2020 IIA Drei-Linien-Modell Grundsatz 1: Das IIA Governance Prinzip betont die Rechenschaftspflicht gegenüber den Stakeholdern und den Fokus auf die Identifizierung und Einbeziehung von Stakeholdern, um risikobasierte Bedürfnisse zu verstehen und Transparenz und Kommunikation zu fördern.

Grundsatz 4: Einigung auf ein Intervall für die Risikobewertung

Der Prozess der Risikobewertung sollte in einem vereinbarten Intervall durchgeführt und die Ergebnisse regelmäßig bewertet werden.

Risiko ist nicht statisch - das war es natürlich nie, und die Digitalisierung hat das noch verstärkt - und das bedeutet, dass auch das Risikomanagement nicht statisch sein kann. Aus diesem Grund muss ein risikobasiertes System anerkennen, dass sich Unternehmen verändern und Risiken sich mit ihnen verändern und umgekehrt. Diese Realität erfordert die Einrichtung eines Lebenszyklus für die Risikobewertung und die Festlegung von Schritten, mit denen die Risiken und die Auswirkungen von Risikokontrollen laufend und in bestimmten Abständen bewertet werden.

Unternehmen verwenden häufig Risikoregister - Dokumente, in denen verschiedene Risiken und Risikotypen zu einem bestimmten Zeitpunkt festgehalten werden - um die Risiken zu erfassen, denen sie ausgesetzt sind. Dies ist ein nützliches und sogar notwendiges Instrument, das in der heutigen digitalisierten Geschäftswelt unter hohem Druck in der Regel Teil eines risikobasierten Entscheidungsprozesses ist, da es als Referenzdokument dient. Aber es ist wichtig zu erkennen, dass es nur ein Instrument ist, das konsequent und iterativ eingesetzt werden muss, um die sich verändernde Natur des Unternehmensrisikos widerzuspiegeln. Das Risikoregister muss laufend aktualisiert werden, wenn neue Risiken, ihre Wahrscheinlichkeit und ihre Auswirkungen festgestellt werden, damit das Leitungsorgan neue Risikomaßnahmen beschließen und diese ebenfalls in das Risikoregister eintragen kann. Jedes Mal, wenn eine neue Risikoreaktion auf ein Element im Risikoregister angewendet wird, stellt diese Aktualisierung den neuen Stand im Risikobewertungszyklus dar. Dies ermöglicht eine rechtzeitige, regelmäßige und systematische Aufnahme, Überprüfung und Analyse.

Ein weiterer wichtiger Punkt in Bezug auf die Häufigkeit der Risikobewertung ist, dass sie für jedes Unternehmen anders sein wird. Das Unternehmen muss eine Häufigkeit festlegen, mit der es sich wohlfühlt und die nicht übermäßig zeitaufwendig oder störend ist. Manche Unternehmen halten es für ausreichend, ihre Risikobewertung jährlich zu aktualisieren und ihre KRIs im Laufe des Jahres auf wesentliche Veränderungen zu überprüfen. Für andere (z. B. Unternehmen in stark regulierten Branchen wie dem Finanzsektor) kann es hilfreich sein, über eine automatisierte Cyber-Risikoquantifizierungsmaschine zu verfügen, die laufend aktualisierte Risikowerte präsentiert.

Das Risikomodell des FAIR Instituts

gibt es viele verschiedene Modelle zur Bewertung von Risiken, um die Wahrscheinlichkeit und die Auswirkungen zu bestimmen. Eines der einflussreichsten Modelle stammt vom FAIR (Factor Analysis of Information Risk) Institute, einer gemeinnützigen Organisation, die sich zum Ziel gesetzt hat, "bewährte Methoden für das Risikomanagement zu entwickeln und zu fördern, die es den Risikofachleuten ermöglichen, mit ihren Geschäftspartnern zusammenzuarbeiten, um das richtige Gleichgewicht zwischen dem Schutz des Unternehmens und der Führung des Geschäfts zu finden." (Das ist das Gleichgewicht zwischen Risiko und Belohnung, das wir im ersten Kapitel betont haben). Im Wesentlichen handelt es sich dabei um eine detailliertere Version der Wahrscheinlichkeits-mal-Auswirkungs-Gleichung, die wir bereits erläutert haben, ausgedrückt in der Erwartung eines jährlichen finanziellen Verlusts oder Risikos. Die Wahrscheinlichkeitskomponenten befinden sich auf der linken Seite, während die Auswirkungen auf der rechten Seite zu finden sind, und beide fließen in das Gesamtverständnis des Risikos ein (siehe Abbildung 4-2).

Abbildung 4-2. Quantitatives Standardmodell des FAIR-Instituts für Informationssicherheit und operationelle Risiken⁴

Die Notwendigkeit eines kadenzierten Risikobewertungsprozesses wird hervorgehoben und ist notwendig, um die Vorgaben der folgenden Standards zu erfüllen:

SEC Regulation S-K Item 106(b)-Risikomanagement und Strategie: Indem sich darauf konzentriert, wie sich Cyber-Risiken auf den Geschäftsbetrieb oder die Finanzlage auswirken könnten, fordert dieser Punkt die Organisationen auf, ihre Risikoposition im Kontext der sich entwickelnden Bedrohungen und Geschäftsprioritäten ständig neu zu bewerten. Dadurch wird der Schwerpunkt des Grundsatzes auf einen iterativen Risikobewertungsprozess gelegt.
2023 NACD Director's Handbook on Cyber-Risk Oversight Grundsatz 5: Der Aufruf des NACD für eine einheitliche Messung und Berichterstattung zur Cybersicherheit unterstreicht die Bedeutung eines regelmäßigen, systematischen Risikobewertungsprozesses.
2023 Entwurf des NIST CSF 2.0 ID.RA, ID.IM.01-03: ID.RA betont die Wichtigkeit der Durchführung von Risikobewertungen, und ID.IM betont die regelmäßige Überprüfung und Anpassung der Risikomanagementprozesse der Organisation, um sicherzustellen, dass sie die Anforderungen der Organisation abdecken und die erkannten Risiken angemessen behandeln. Beides unterstreicht die Notwendigkeit eines proaktiven Ansatzes für die Cybersicherheit, wobei der Schwerpunkt auf der kontinuierlichen Anpassung der Strategien an die sich entwickelnde Risikolandschaft liegt. Der NIST-Entwurf geht davon aus, dass ein effektives Cyber-Risikomanagement keine einmalige Angelegenheit ist, sondern ein fortlaufendes Programm darstellt.

Grundsatz 5: Meldeverfahren ermöglichen

Berichtsprozesse sollten dem Leitungsgremium Einblicke in die Auswirkungen von Cyberrisiken auf bestehende Praktiken und strategische Entscheidungen geben.

Ein risikoinformiertes System ist ein System mit definierten Richtlinien und etablierten Prozessen, und diese Prozesse müssen eine Berichterstattung an das Leitungsorgan und alle anderen relevanten Interessengruppen beinhalten. Der Berichtsprozess alarmiert das Leitungsorgan und damit das Unternehmen über Sicherheitsereignisse, d.h. über Risiken, die vereinbarte Schwellenwerte überschreiten und eine Reaktion, Akzeptanz oder eine andere Risikobehandlung erfordern. Dies ist besonders wichtig, da diese Warnungen die Grundlage für die Berichterstattung und, falls erforderlich, für die Eskalation bilden. (Auf die Risikoeskalation gehen wir in einem späteren Kapitel näher ein).

Berichterstattung ist Kommunikation, und wie jede Form der Kommunikation muss sie zugänglich, umsetzbar und spezifisch sein - sowohl inhaltlich als auch stilistisch - für das Zielpublikum. Die Berichterstattung für den Vorstand ist ein gutes Beispiel für die Anforderungen an eine effektive Berichterstattung. Sie kann erfordern, dass du über ein komplexes technisches Thema mit Menschen kommunizierst, die normalerweise keinen technischen Hintergrund oder ein tiefes technisches Verständnis haben. Die Aufgaben des Vorstands sind im Wesentlichen treuhänderischer Natur, d.h. sie konzentrieren sich auf die finanzielle Gesundheit des Unternehmens als Ganzes. Das bedeutet, dass die Berichterstattung des Vorstands Cyberrisiken in geschäftlichen Begriffen kommunizieren sollte, die direkt mit den wichtigsten Geschäftsprozessen und Kennzahlen verknüpft sind. Das ultimative Ziel ist es, dem Vorstand das Vertrauen zu geben, dass das Cyber-Risiko effektiv gemanagt wird.

Erinnere dich daran, dass es bei der Berichterstattung - unabhängig vom Thema und von der Zielgruppe - im Wesentlichen um das Erzählen von Geschichten geht. Ein grundlegender Bestandteil effektiver Berichterstattung ist die Gestaltung einer Geschichte - eine klare, leicht verständliche Erzählung, die das Zielpublikum nicht nur zum Denken, sondern auch zum Fühlen bringt. Zahlreiche Untersuchungen zeigen, dass die meisten Zielgruppen - selbst die anspruchsvollsten - ihre Entscheidungen mindestens genauso stark auf der Grundlage von Gefühlen wie auf der Grundlage von Logik treffen. Viele Beteiligte an Risikomanagementprozessen sind jedoch eher daran gewöhnt, einfach nur Kennzahlen und andere Daten zu vermitteln. Technische Fachleute neigen dazu, mit einer Fülle von Daten zu beginnen, die sie verstehen und von denen sie wissen, dass sie ihre Argumente stützen, die aber für ein größtenteils nicht-technisches Publikum unverständlich und, schlimmer noch, nicht überzeugend sind. Ein weitaus besserer Ansatz ist es, mit einer Geschichte zu beginnen, die emotional berührt - eine Sicherheitslücke, die erfolgreich entschärft wurde - und dann mit unterstützenden Daten nachzuhaken.

Die wichtigsten Industriestandards und -protokolle für die Berichterstattung über die Unternehmensführung sind:

2023 Entwurf des NIST CSF 2.0 GV.OV-01 bis 03: Diese Unterkategorien betonen, dass die Unternehmensleitung die Wirksamkeit und Angemessenheit des Cybersecurity-Risikomanagements und seiner Ergebnisse überprüfen und bewerten sollte, was nur durch systematische und transparente Berichtsprozesse erreicht werden kann. Diese Feedbackschleife ermöglicht es den Führungskräften, ihre Strategien bei Bedarf anzupassen und sicherzustellen, dass die Cybersicherheitslage der Organisation robust bleibt und auf die sich verändernde Bedrohungslandschaft reagiert.
2023 NACD Director's Handbook on Cyber-Risk Oversight Grundsatz 5: Der NACD-Grundsatz 5 unterstreicht die Notwendigkeit einer regelmäßigen Berichterstattung und Messung von Cyber-Risiken, insbesondere als Reaktion auf ein sich veränderndes Geschäftsumfeld. Diese Praxis ermöglicht es Organisationen, sich über ihre Risikolage auf dem Laufenden zu halten und fundierte Entscheidungen zu treffen, was ein wichtiger Bestandteil einer effektiven Agile Governance ist.
2017 AICPA CRMP Beschreibung Kriterien DC13, DC16: Dieser Rechnungslegungsstandard fordert einen Prozess für die interne Kommunikation relevanter Cybersecurity-Informationen, die für das Funktionieren des Cybersecurity-Risikomanagementprogramms des Unternehmens notwendig sind. Dazu gehören auch Ziele und Schwellenwerte für die Mitteilung festgestellter Sicherheitsereignisse an die relevanten Stakeholder, einschließlich der Geschäftsführung und des Vorstands, wie angemessen.

Die Quintessenz

In diesem Kapitel haben wir die Dringlichkeit eines systematischen Ansatzes zur Gestaltung eines risikobasierten Systems unterstrichen - eines Ansatzes, der sowohl programmatisch als auch auf den jeweiligen Kontext abgestimmt ist, in dem er angewendet wird. Dieser Ansatz ist nicht statisch. Er erfordert präzise Ergebnisse wie Risikoberichte und die Fähigkeit, klare Grenzen der Risikobereitschaft und -toleranz festzulegen. Wie in Präzedenzfällen festgelegt, erfordert alles, was als missionskritisch eingestuft wird - eine Kategorie, zu der der Cyberbereich eindeutig gehört - dieses Maß an Kontrolle und strategischer Überwachung.

Das bedeutet, dass ein risikoinformiertes System nicht isoliert funktionieren sollte. Es muss nahtlos in das breitere Cyber-Risikomanagementprogramm integriert werden und die Zusammenarbeit und Koordination mit den anderen Kernkomponenten fördern. Dies erleichtert nicht nur eine fundierte Steuerung, sondern ebnet auch den Weg für die Formulierung und Umsetzung einer risikobasierten Strategie, die im Mittelpunkt des folgenden Kapitels stehen wird.

¹ In re C. A. 2019-0907-MTZ (Del. Ch. Sep. 7, 2021), https://oreil.ly/R_6fF.

² "Risk Management", National Cyber Security Centre, Zugriff am 10. Oktober 2023, S. 7.

³ Quelle: "NISTIR 8286A: Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management", NIST, November 2021, https://oreil.ly/jcUFj.

⁴ Quelle: "Das FAIR-Modell", FAIR-Institut/Risk Lens, 2017.

Get Aufbau eines Cyber Risk Management Programms now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Aufbau eines Cyber Risk Management Programms by Brian Allen, Brandon Bapst, Terry Allan Hicks

Kapitel 4. Risikoinformiertes System

Warum Risikoinformationen wichtig sind - auf höchster Ebene

Hinweis

Risiko und Risikoinformationen definiert

Fünf Prinzipien eines risikoinformierten Systems

Grundsatz 1: Einen Rahmen und eine Methodik für die Risikobewertung festlegen

Grundsatz 2: Festlegung einer Methodik für Risikoschwellen

Grundsatz 3: Verständnis für risikobasierte Bedürfnisse schaffen

Abbildung 4-1. NIST-Darstellung von Unternehmensrisiko und Koordination³

Grundsatz 4: Einigung auf ein Intervall für die Risikobewertung

Grundsatz 5: Meldeverfahren ermöglichen

Die Quintessenz

Don’t leave empty-handed

It’s yours, free.

Check it out now on O’Reilly

Kapitel 4. Risikoinformiertes System

Warum Risikoinformationen wichtig sind - auf höchster Ebene

Hinweis

Risiko und Risikoinformationen definiert

Fünf Prinzipien eines risikoinformierten Systems

Grundsatz 1: Einen Rahmen und eine Methodik für die Risikobewertung festlegen

Grundsatz 2: Festlegung einer Methodik für Risikoschwellen

Grundsatz 3: Verständnis für risikobasierte Bedürfnisse schaffen

Abbildung 4-1. NIST-Darstellung von Unternehmensrisiko und Koordination3

Grundsatz 4: Einigung auf ein Intervall für die Risikobewertung

Grundsatz 5: Meldeverfahren ermöglichen

Die Quintessenz

Don’t leave empty-handed

It’s yours, free.

Check it out now on O’Reilly

Abbildung 4-1. NIST-Darstellung von Unternehmensrisiko und Koordination³