Risiko, Wahrscheinlichkeit und Auswirkungen im Risikomanagement

Warum effektives Risikomanagement unterschiedliche Perspektiven erfordert

Stellen Sie sich zwei Personen vor, die auf einem Rundweg in entgegengesetzte Richtungen gehen. Irgendwann werden sie sich treffen – denn egal, wo sie beginnen, der Weg führt zum selben Punkt.

Diese Metapher passt perfekt, wenn wir über Cybersicherheit in IT- und OT-Umgebungen sprechen. Auf den ersten Blick scheinen diese beiden Welten sehr unterschiedliche Prioritäten und Ansätze zu haben. Aber wenn es um Cybersicherheit geht, streben sie dasselbe an: effektives Cyber-Risikomanagement.

Der Unterschied liegt darin, wie die Risiken in jedem Bereich bewertet und priorisiert werden.

Gleiche Formel – andere Variablen

Risikomatrix mit Wärmekarte

Vereinfachte Risikomatrix zur Darstellung von Cyberrisiken im Rahmen einer Risikobewertung.

Ob in der IT oder in der OT:
Risiko wird oft mit der Formel berechnet

Risiko = Auswirkung × Eintrittswahrscheinlichkeit

Aber hier ist der Haken an der Sache: Die Art und Weise, wie wir Auswirkungen und Wahrscheinlichkeiten in IT-Umgebungen bewerten, unterscheidet sich erheblich von OT-Systemen.

OT: Physikalische Prozesse, lange Lebenszyklen, hohe Verfügbarkeit

In OT-Umgebungen (Operational Technology) müssen bei der Bewertung von Cyberrisiken besondere Faktoren berücksichtigt werden:

Auswirkungen im OT

  • Physische Sicherheit & Prozesskontinuität
    Sicherheitsvorfälle können sich direkt auf physische Prozesse auswirken und zu Produktionsausfällen führen oder sogar Menschenleben gefährden.

  • Kritische Systeme
    Der Ausfall wichtiger Komponenten kann massive finanzielle, ökologische oder infrastrukturelle Schäden verursachen.

  • Veraltete Technologien
    Lange Lebenszyklen im OT-Bereich bedeuten veraltete Systeme, die schwieriger zu patchen und anfälliger sind.

  • IT/OT-Konvergenz
    Die Verschmelzung von IT und OT erhöht die Angriffsfläche und die Komplexität.

  • Anfällige Industrieprotokolle
    Vielen weit verbreiteten Protokollen (wie Modbus) mangelt es an Verschlüsselung oder Authentifizierung, was sie zu leichten Zielen macht.

IT: Datenschutz, Reputation und Compliance

In IT-Umgebungen verschiebt sich der Schwerpunkt erheblich:

Auswirkungen in der IT

  • Finanzielle Verluste
    Datenschutzverletzungen und Ransomware-Angriffe können zu direkten und indirekten Kosten führen.

  • Reputationsschaden
    Der Vertrauensverlust bei Kunden und Partnern kann den langfristigen Markenwert beeinträchtigen.

  • Regulatorische Konsequenzen
    Die Nichteinhaltung von GDPR oder NIS2 kann zu schweren Strafen führen.

  • Betriebsunterbrechung
    Ausfallzeiten aufgrund von Malware oder DDoS-Angriffen beeinträchtigen die Produktivität.

  • Datenverlust
    Der Verlust sensibler Daten kann den Betrieb lähmen und das Vertrauen der Kunden untergraben.

Wahrscheinlichkeit in OT

  • Netzwerkexposition & Digitalisierung

    Der Anschluss von OT-Systemen an Ethernet, das Internet oder 5G erhöht die Wahrscheinlichkeit von Cyberangriffen.

  • Fehlende Segmentierung
    Ohne eine ordnungsgemäße Trennung des Netzwerks können sich Angreifer leicht seitlich zwischen den Systemen bewegen.

  • Ungesicherter Fernzugriff
    Fernzugriffspunkte sind oft unzureichend geschützt.

  • Insider-Bedrohungen
    Erweiterte Lieferketten erhöhen das Risiko interner Sabotage oder unbeabsichtigter Kompromittierung.

  • Phishing & Social Engineering
    Wartungspersonal und Techniker sind häufig Ziel von gezielten Angriffen.

Wahrscheinlichkeiten in IT

  • Häufigkeit von Bedrohungen
    Das Volumen der Angriffe – Phishing, Malware usw. – hilft bei der Einschätzung der Risikowahrscheinlichkeit.

  • Schwachstellenmanagement

    Je mehr ungelöste Schwachstellen, desto höher das Risiko eines erfolgreichen Angriffs.

  • Sicherheitsbewusstsein
    Gut geschulte Mitarbeiter können das Risiko erheblich reduzieren.

  • Sicherheitsarchitektur
    Moderne, aktualisierte Systeme sind weniger anfällig für Kompromisse.

  • Externe Bedrohungen
    Trends in der Cyberkriminalität, geopolitische Spannungen oder Naturkatastrophen beeinflussen alle IT-Risikobewertungen.

Fazit:

Eine Formel, zwei Realitäten
Die Herausforderung liegt nicht in der Risikoformel selbst, sondern darin, sie für jede Umgebung anders zu interpretieren.
Während OT sich auf Verfügbarkeit und physische Folgen konzentriert, wird IT von Datenschutz, Compliance und Reputationsbedenken angetrieben.
Um die beiden Welten zu überbrücken, ist eine gemeinsame Risikosprache erforderlich – ohne dabei die notwendigen Nuancen zu verlieren.

IT und OT – Zwei Welten, eine Lösung
Ein effektives Cyber-Risikomanagement muss abteilungs- und disziplinübergreifend verständlich sein.

Mit Risk By Context™ bietet asvin eine gemeinsame Plattform, die Klarheit in die Risikopriorisierung in IT- und OT-Umgebungen bringt – damit Sicherheitsentscheidungen immer auf dem basieren, was am wichtigsten ist.