Security und Risiken

Ein kleines Beispiel, wie du aus deine Geschäftsrisiken, die Risiken für deine Cybersecurity ableiten kannst: Ein Schweizer Handelsunternehmen hat viele internationale Geschäftsbeziehungen, oft auch in sogenannten Risikoländern wie Venezuela, Iran, China oder Russland. Daraus lassen sich Cybersecurity Risiken wie Cyberkriminalität, Supply Chain Issues oder geopolitische Instabilität ableiten.

Deswegen die Grundaussage: Zuerst Risiken verstehen (identifizieren), diese dann bewerten und dann migrieren. Dabei ist die Priorisierung besonders wichtig. Konkret bedeutet dies, sich gegen die höchstwahrscheinlichen Risiken zu schützen, die Top-10 Risiken gut verstehen.

Risiken erkennen

Unternehmen erkennen ein Risiko oft erst, wenn es eintritt

Risiken werden jeweils unterschiedlich eingeschätzt. Menschen beurteilen Gefahren unter Berücksichtigung vieler verschiedener psychologischer Faktoren, vor allem aus dem eigenen Blickwinkel. Wenn man ein gewisses Risiko noch nicht angetroffen hat, dann ist die Gefahr gross, dass man es unterschätzt.

Genauso werden andere Risiken auch gerne überschätzt, vielleicht weil sie gerade viel in der Presse erwähnt wurden, oder weil sie allgemein gehypt sind. Es ist einfacher ein Risiko zu sehen, wenn dieses einerseits sinnvoll tönt und in den aktuellen Berichterstattungen auch gerade oft auftaucht.

Aber Menschen schätzen Risiken allgemein falsch ein. Wir sehen die Welt oft durch eine rosarote Brille, vor allem wenn es uns gut gelegen kommt. Und Menschen können Risiken sehr gut wegargumentieren, vor allem, wenn es uns gut passt. Das Bauchgefühl ist eben schnell, einfach und sehr intuitiv.

Wenn man sich in Börsenforen tummelt (oder heutzutage eher in Crypto-Foren), dann wird folgendes Muster einfach zu erkennen sein: Nach einem unerwarteten Preisanstieg oder -abstieg, erfinden die Experten fadenscheinig rückwirkende Argumente, um von ihrer Unwissenheit abzulenken.

Damit wir uns eben nicht auf unser Bauchgefühl verlassen müssen, gibt es Risiko und Cybersecurity Frameworks. Denken scheint einen grossen Teil unseres Arbeitsspeichers in Anspruch zu nehmen, Intuition liefert ohne grossen Aufwand eine Sofort-Lösung. Ein ungenauer Umgang mit Gefahr und Risiko kann Konsequenzen für die gesamte Organisation haben.

«Der ganze Krieg setzt menschliche Schwäche voraus, und gegen sie ist er gerichtet.» - Carl von Clausewitz

Aber fast genauso gefährlich, wie eine post-facto Begründung ist die Anmassung der Genauigkeit. Oder besser, der falschen Genauigkeit. Wenn man z.B. aus aktuellem Anlass liest, dass die Temperaturen in Europa bis zum Ende des Jahrhunderts um 2.6°C steigen werden, dann fragt man sich, ob wir das wirklich auf die letzten Kommastellen genau auf ca. 80 Jahre hinaus berechnen können. Offensichtlich ist das ein Mittelwert und wenn man dem Asterisk nachgeht, dann findet man wahrscheinlich auch die wissenschaftliche Studie hinter dieser Aussage, die mit statistischen Modellen, Wahrscheinlichkeitskurven und Temperaturkurven arbeitet. Aber was findet man dann auf der Webseite oder im Zeitungsartikel? Eine scheinbar genaue Zahl von 2.6°C.

Wenn man sich Methodologien zur Bewertung von Cybersecurity-Risk anschaut, dann gibt es oft Formeln und mathematische Modelle zur Berechnung des finanziellen Impacts eines Risikos. Dies ist enorm hilfreich, denn es ermöglicht eine Rechtfertigung des beantragten Cybersecurity Budgets. Dabei sollte man aber nicht einer falschen Genauigkeit verfallen, sondern immer sehr stark mit Wahrscheinlichkeiten und Annäherungen arbeiten. Nur schon in der Risikoidentifikation ist viel Ungenauigkeit vorhanden, und bei der Priorisierung und den Migrationsszenarien ist daraus ableitend viel bis sehr viel Ungenauigkeit unabdingbar.

«History doesn't repeat itself, but it does rhyme. » - Mark Twain

Nassim Nicholas Taleb hat in seinem Buch «The Black Swan» kritisiert, dass die Gesellschaft extreme Ereignisse nicht erwartet und sich dementsprechend auch nicht genügend darauf vorbereitet. Menschen unterschätzen genau diese Ausreisser, deswegen versuchen wir, wenn wir über Cyberrisiken reden, immer von Szenarien auszugehen. Diese werden dann nach Wahrscheinlichkeiten bewertet, aber wir dürfen die Vergangenheit nicht als Modell für die Zukunft nehmen und sollten dementsprechend auch oberflächlich unwahrscheinliche Szenarien besprechen.

«Don't Panic. » - Douglas Adams

Ganz im Sinne von Douglas Adams möchte ich dennoch auf einer positiven Note abschliessen:
Wenn Unternehmensrisiken und Cyberrisken konsequent abgeglichen werden und wenn diese kontinuierlich auf ihre Wahrscheinlichkeit hin priorisiert und damit konkrete umsetzbare Szenarien für die Mitigation erstellt werden, dann bildet das eine sehr starke Basis für eine effektive und pragmatische Cybersecurity. Dann muss man es nur noch effizient umsetzen und ausführen und dabei unterstützen wir dein Unternehmen sehr gerne.