Cyberrisiken gehören inzwischen zu den Top-Drei der gefährlichsten Unternehmensrisiken. An Investitionen in Cybersicherheit mangelt es nicht. Was läuft trotzdem schief?
Das Budget ist meist nicht das Problem, sondern die Steuerung. Viele Unternehmen arbeiten noch ausschließlich mit Risikomatrizen und qualitativen Bewertungen, die keine finanziellen Aussagen liefern. Dabei ist Cyberrisiko längst kein reines IT-Thema mehr. Es ist in der Vorstandsebene angekommen und dort gelten andere Maßstäbe: Ein CFO vergleicht Kreditrisiken, Lieferkettenrisiken und Marktrisiken anhand finanzieller Kennzahlen. Bei Cyberrisiken fehlt dieses gemeinsame Vokabular oft noch.
Wie lässt sich Cyberrisiko dann in Euro und Cent übersetzen?
Lange war die sogenannte Asset-basierte Quantifizierung die einzige Option: Man hat für einzelne Systeme das Verlustpotenzial und die Eintrittswahrscheinlichkeit geschätzt. Das klingt erstmal vernünftig, bringt der Geschäftsführung aber wenig, weil sich die Ergebnisse nicht auf Unternehmensebene aggregieren und mit anderen Risikokennzahlen vergleichen lassen. Wir gehen den umgekehrten Weg: Das Risiko wird auf Basis historischer Verlustdaten berechnet und dann auf das jeweilige Unternehmen angepasst.
Wie funktioniert das?
Man braucht zwei Dinge: eine breite Datenbasis und ein belastbares Modell. Beides kommt bei uns von Munich Re, einem der führenden Cyber-Rückversicherer weltweit. Wir können dadurch mit Schadensdaten aus mehr als 100.000 Unternehmen in über 130 Branchen arbeiten. Mit dieser Grundlage lässt sich Cyberrisiko so berechnen, wie man es von anderen Unternehmensrisiken gewohnt ist.
Was verändert sich konkret in der Praxis, wenn Unternehmen Cyberrisiken quantifizieren?
Die Gespräche verändern sich. Ob es um Budgets geht, um den Einkauf von Cyber-Versicherungen oder um regulatorisch konformes Risikomanagement: Sobald alle Beteiligten auf dieselben Zahlen schauen, werden Entscheidungen nachvollziehbar. Und sie lassen sich gegenüber Aufsichtsgremien vertreten.
squalify.io
Asdrúbal Pichardo, CEO von Squalify, einer Plattform zur finanziellen Bewertung von Cyberrisiken
