Cyber Risiken quantifizieren ft. Michael Falk
E43

Cyber Risiken quantifizieren ft. Michael Falk

Herzlich willkommen zu einer neuen Folge Breach FM. Ich hatte heute den ganzen

Tag über ziemlich große technische Probleme mit meinem Internetanschluss,

der mich irgendwie ein bisschen nervt. Ich habe es dem Gast gerade schon erzählt.

Deswegen bin ich jetzt über den mobilen Hotspot drin. Ich hoffe, dass das gut geht.

Aber wie gesagt, davon lassen wir uns jetzt nicht unterdrücken.

Mir wurde mal wieder gesagt, wenn du Werbung machst für den Podcast,

dann machst bitte am Anfang, dass die Leute, die irgendwann einschlafen,

das auch wirklich hören.

Und ja, ich kann es immer wieder betonen, mich freut es unglaublich über die Hörerschaft.

Wir haben vierstellige Hörerzahlen mittlerweile, die aktiv teilhaben an diesem Projekt.

Wir kriegen ganz viel tolles Feedback. Ich kriege ganz viele Wünsche nach Gästen, nach Themen.

Also wie gesagt, es macht mir weiterhin unglaublichen Spaß. Spaß.

Ich wurde auch immer wieder gefragt, wie ihr das ganze Projekt unterstützen könnt.

Ja, drückt auf gefällt mir, drückt fünf Sterne, je nachdem, auf welcher Plattform ihr unterwegs seid.

Verbreitet das vielleicht auch mal, teilt auch mal einen Beitrag,

wenn es euch wirklich gefällt natürlich.

Und ja, seid weiterhin einfach dabei.

Das ist in dem Sinne ein Privatprojekt. Das wird von niemand anderem als mir

finanziert. Ich bin auch wieder relativ viel für den Podcast jetzt unterwegs.

Deswegen, es würde mich einfach freuen, wenn ihr dranbleibt,

wenn ihr diese Message auch weiter nach außen gebt und damit habt ihr eigentlich

auch den Podcast schon sehr, sehr, sehr gut supportet.

Ja, heute eine Folge, auf die ich mich auch mal wieder sehr freue.

Es ist ein Thema, was ich, ich glaube, wir hatten neulich erst so ein Thema

mit dem Max Imbiel, da haben wir über ganz viele Governance-Themen gesprochen,

teilweise aber auch über Regulatorik.

Und heute werden wir so ein bisschen über das ganze Thema Risiko,

Risikomanagement und anliegende Themen sprechen.

Ein Thema, mit dem man mich wahrscheinlich auch wiederum vor Jahren hätte jagen

können, als ich noch selbst teilweise in den Socks unterwegs war und eigentlich,

ich sag's mal so, einfach meinen Job machen wollte und dann teilweise von derartigen

Dingen genervt wurde tagsüber.

Ich sehe das mittlerweile anders.

Ich sehe auch, dass sich die Beratungsdienstleistungen in diesem Bereich weiterentwickelt

haben und dass es, ich sage es mal gleich ganz ehrlich, nicht mehr so viel Bullshit

ist, wie es vielleicht auch manchmal war.

Und da ich trotzdem in diesem Thema wahrscheinlich mitreden kann,

aber es beim Mitreden aufhört, habe ich mir jemanden dazugeholt,

der das mehr als gut beherrscht.

Und ja, du kannst dich jetzt einfach mal selbst vorstellen.

Wer bist du? Was machst du? Und freust du dich auf heute?

Robert, vielen Dank für das Intro. Mein Name ist Michael Falk.

Ich bin der angekündigte Gast, der sich seit vielen Jahren mit dem Thema Risikomanagement,

Cyberrisk auseinandersetzt.

Ich mache das als Berater.

Mein Arbeitgeber ist die KPMG AG und dort bin ich als Partner verantwortlich

für den Bereich Cyberrisk und Security Governance.

Du hast eben schon angesprochen, häufig sprechen wir im Security-Bereich über

auch regulatorische Anforderungen und da wird man im europäischen Kontext sehr,

sehr häufig risikoorientierte Vorgehensweisen als Forderung hören.

Und deswegen trenne ich das Thema

Regulatorik und unternehmerische Risikoentscheidungen gar nicht so sehr.

Vielleicht noch zwei, drei Worte zu meinem Background. Ich komme genau aus der anderen Richtung.

Also ich habe nie in einem SOC oder in der IT gearbeitet. Auch vom Ausbildungshintergrund

bin ich Diplom-Kaufmann,

habe also ein betriebswirtschaftliches Studium mal gemacht und komme noch aus einer Zeit,

wo wir Cyber-Risiken sehr,

sehr hemmsärmlich überhaupt den Geschäftsführungen und den Boards schmackhaft

machen mussten und dann kompliziert argumentiert haben mit Risiken für den Fortbestand des Unternehmens.

Sowas steht dann im Aktiengesetz drin und Risikofrüherkennungssysteme.

Und als ich damit angefangen habe, das war so in der Zeit direkt nach meinem

Studium und ich habe mich da in meiner Dissertation auch mit beschäftigt,

war das immer so der Punkt, wo man noch dafür sensibilisieren musste,

dass Cyberrisiken tatsächlich...

Monetär ein wesentliches Risiko für Unternehmen sind, bis hin zu dem Fall,

dass sie für den Fortbestand eines Unternehmens ein echtes Risiko sein können.

Und deshalb hat sich da, glaube ich, die Wahrnehmung deutlich weiterentwickelt,

positiv weiterentwickelt in den Top-Management-Bereichen der Unternehmen.

Die Regulatorik hat sich total weiterentwickelt und auch die Methoden haben

sich weiterentwickelt. weiterentwickelt und deshalb bin ich ganz happy,

dass wir heute darüber sprechen können, was da heute gemacht wird.

Und wenn ich darüber rede, ich hoffe, ich bringe so ein bisschen die Leidenschaft

dafür auch rüber, weil ich mache das aus Überzeugung.

Ich bin totaler Digitalisierungsfreund und Technologiefreund und ich bin immer

dann eigentlich ganz vorne dabei in den Kundendiskussionen,

wenn wir sehr nah am eigentlichen Geschäft des Unternehmens dran sind und sagen

können, naja, was hat das denn jetzt für einen Einfluss auf eure Produktion, auf eure Sales,

auf operative Betriebsabläufe, sei es in der Logistik, sei es in der Fertigung,

sei es in vor- oder nachgelagerten Prozessen in der Supply Chain und da sprechen

wir aus meiner Sicht wirklich über Cyber-Risikomanagement und das ist dann auch das,

wo es methodisch, glaube ich, sehr, sehr viel Spaß macht.

Ja, also da sprichst du mir erstmal aus dem Herzen. Ich kann vielleicht damit

eine kleine Anekdote anknüpfen.

Da war ich noch in rein beratender Funktion tätig, also auch nicht wie jetzt bei einem Hersteller.

Und da war ich mal in einem Termin, da war auch ein anderer Hersteller vor Ort

und der hat dann für seine, ich glaube es war damals eine SIEM-Plattform,

das war auch nicht Schuld des Herstellers für mich, sondern eher Schuld des

Individuums, das da vor Ort war.

Der hat dann den Kalkulator ausgepackt, weil der Kunde war jetzt nicht sofort bereit,

einen siebenstelligen Betrag in diese Plattform zu investieren,

hat auch gesagt, er muss oder möchte das Ganze zumindest erstmal ausschreiben,

er möchte erstmal einen sauberen Vergleich machen, weil es eben ein langjähriges Commitment ist.

Und natürlich, und das war jetzt nicht völlig unberechtigt, hat dann auch dieser

Ansprechpartner der Firma gesagt, naja, eigentlich haben sie ja gar nicht mehr so viel Zeit.

Also es wäre ja gut, wenn sie mal irgendwas zumindest machen würden.

Sein Fehler war dann, er hat dann sein Notebook aufgeklappt und hat dann einen

Risikokalkulator ausgepackt und hat dann inklusive dem CIO,

der auch Mitglied zumindest mehrerer Beiräte in diesem Unternehmen ist,

das heißt auch wirklich eine sehr hohe Stellung hat und auch ziemlich stark

in die Finanzen mit eingebunden ist, hat er dann so ein paar Sachen gemacht.

Der hat zum Beispiel von der Website den Jahresumsatz hergenommen und hat es

in ein Feld in seinem Kalkulator eingetragen, hat dann noch die Branche ausgewählt

und zwei, drei andere Sachen und dann kam da ein Schadenswert raus,

ein potenzieller Schadenswert.

Und hat dann gesagt, das ist übrigens ihr potenzieller Schadenswert.

Und dieser Mann hat, glaube ich, nie wieder diese Firma von innen gesehen.

Das Gespräch war, glaube ich, zu dem Zeitpunkt auch beendet.

Und ich habe mir auch gedacht, es kann nicht sein.

Also wenn es so einfach wäre, dann müssten wir, glaube ich, nicht so lange über diese Themen sprechen.

Und da ging es nämlich um ein produzierendes Unternehmen. Weil er hat seine

ganze Aussage wahr, wenn ihr angegriffen werdet, läuft bei euch nichts mehr.

Ja, dann hat mir eben auch nochmal der IT-Leiter erklärt, naja,

so ist es dann auch nicht.

Also A, wir haben Konzepte dafür, dass wir schon noch weiter agieren können.

Ja, das ist in einem eingegrenzten Rahmen und wir haben bestimmte Verfahren,

die funktionieren nicht mehr,

aber wir können sicherstellen, dass wir mindestens sieben Tage unsere Hauptprodukte

weiter produzieren können und wir können mindestens sieben Tage auch die Logistik

aufrechterhalten mit einem immensen manuellen Aufwand, aber das können wir.

Und das möchte ich nun mal gleich so zu Beginn sagen, dass das ja eben auch

Teil eines Risikomanagements ist, sich zu überlegen, was wäre denn wenn und

wie kann ich darauf reagieren.

Und ich glaube, diese Grundlagen, da möchte ich dann eben gleich so das als

erste Thema machen, die führen wahrscheinlich am Ende auch dann überhaupt erst

zu einer möglichen Quantifizierung von Risiken.

Wie siehst du denn das Risikomanagement derzeit überhaupt in der Breite der

Firmen, vielleicht auch im gehobenen Mittelstand?

Für mich fehlt es da oft an den grundlegenden Themen.

Man ist sich oft nicht so ganz bewusst über die Verfahren in der Firma.

Man weiß gar nicht genau, was wäre, wenn.

Man ist zwar technisch und operativ vielleicht ganz okay aufgestellt,

man hat aber nicht diese tiefe Verfahrenseinsicht.

Was sind da so für dich die grundlegenden Sachen, um überhaupt Risikomanagement leben zu können?

Ja, also ich fange mal total trivial an und sage, lass es mal beim Begriff bleiben.

Erstmal beim Begriff Risiko. Und wenn du da ganz einfach anfängst,

dann kann man sagen, ein Risiko ist jede negative Abweichung von einem erwarteten Wert.

Und wenn man sich das dann mal auf der Zunge zergehen lässt,

ein bisschen drüber nachdenkt, dann ist es in deinem Beispiel,

wo man über Produktionsoutput spricht, gibt es einen erwarteten Wert,

die normal geplante Produktionskapazität.

Und dann versus im Falle eines Angriffes eine Produktionskapazität,

die ich über x Tage, du hattest jetzt im Beispiel gesagt sieben Tage.

Die ich aufrechterhalten kann.

Da habe ich zusätzliche Kosten, weil vielleicht manche Prozesse manuell sind.

Oder ich habe letztens mit einem Unternehmen gesprochen, auch produzierend.

Die haben gesagt, ja, wir produzieren hier sehr, sehr stark auf Basis unserer

Bedarfsplanung, haben einige Produkte, die sind sehr, sehr schnell drehend.

Wir gucken aber, dass wir das auch maximal optimieren, weil wir Rüstzeiten minimieren

wollen und deswegen ist unser Notfallplan ziemlich simpel.

Wenn alles das zusammenbrechen sollte, dann würden wir die Verbindung zu den

zentralen Planungssystemen, in dem Fall SAP-Systemen, kappen und wir haben so

ein dickes Daumen-Bauch-Gefühl.

Unsere großen Dinger, die wir im Handel eben vertreiben, da würden wir dann

einfach mal Aufhalte produzieren.

Und das würde funktionieren und dann gibt es halt vielleicht einige kleinere

Produktgruppen, gibt es nicht mehr.

Aber insofern ist das jetzt überhaupt kein Cyber-Risikomanagement,

sondern ein kaufmännisches Risikomanagement, was schon in Richtung.

Ja, Notfallplan, Business Continuity irgendwie in den Übergang geht.

Und so muss man es meines Erachtens auch denken und mit den entsprechenden Leuten dann sprechen.

Also Risiko, irgendwie Abweichung, negative Abweichung von dem,

was ich erwarte und das kannst du natürlich auch in die IT transformieren, kannst sagen,

ja, meine Erwartung wäre, dass jetzt alle Server auf dem latest Security Patch

sind, das wäre ja schön oder spätestens x Tage, nachdem Microsoft das veröffentlicht hat,

müssen wir irgendwie Patch Window planen, egal ob im Client- oder im Serverbereich.

Und dann ist das dein Erwartungswert.

Die Abweichung, könnte man sagen, ist irgendwie ein Risiko.

Und der zweite Teil, und den finde ich fast noch spannender und den vergessen

ganz, ganz viele Unternehmen.

Management ist ja irgendwie entscheiden.

Entscheidung unter Unsicherheit. und ganz, ganz viele Risikomanagement-Modelle

haben das, glaube ich, aus den Augen verloren, dass sie am Ende dazu da sind,

Entscheidungen zu unterstützen.

Also eine Analyse zu liefern, klar zu machen,

okay, was sind die Parameter, die in der Risikoanalyse eingeflossen sind,

was sind vielleicht auch Annahmen, also Annahmen explizit zu machen,

sowohl über Strukturen von Angreifern, wenn man klassische Cyber-Risiken sich anschaut,

als auch Annahmen über die Effektivität von bestehenden Security-Maßnahmen und

diverse Annahmen, das kann ja alles Mögliche sein,

was als Annahmen da ist, um dann am Ende zu sagen,

okay, wir haben jetzt verschiedene Handlungsoptionen zur Optimierung unserer

Risikoposition oder am Ende auch die

Handlungsoption, das Risiko so zu akzeptieren, wie es denn da ist. Ähm,

Und da, du hattest ja gesagt, wie sind die Unternehmen da aufgestellt?

Ich beobachte so einen Teil, die machen methodisch irgendetwas und das mag auch

Hand und Fuß haben inhaltlich,

das connectet aber nicht so richtig mit den Entscheidungsträgern und die sagen

dann am Ende, ja, jetzt habe ich hier einen Risikobericht und der hat auch seine

Länglichkeit und vielleicht fachlich einige Punkte,

die ich nicht verstehe, deshalb kann ich auf der Basis nicht entscheiden.

Und auf der anderen Seite gibt es Erwartungshaltungen,

die dann häufig über Quantifizierung oder tatsächlichen Business Impact gehen,

die diese Methoden gar nicht erfüllen,

weil sie diese Dimensionen nicht befriedigen und sehr, sehr stark bottom-up

aus IT-infrastrukturellen Abweichungen, also Server ist nicht gepatcht als Beispiel,

anfangen zu argumentieren.

Und wenn du von dem Punkt Server ist nicht gepatcht bis zu der Fragestellung

kommst, kann ich meine Produktion aufrechterhalten, ja oder nein?

Das ist ein relativ weiter Weg. Und deshalb sind das aus meiner Sicht so die

zwei auf der einen Seite Begriffsbestandteile, die man wirklich immer im Kopf

haben sollte, wenn man über Risikomanagement spricht.

Und auf der anderen Seite dann sich auch methodisch überlegen,

welche Entscheidungen will ich denn von meinem Management haben?

Sind das Investitionsentscheidungen zur Optimierung der Position?

Will ich etwas transparent machen, einfach zur Kenntnisnahme, das kann passieren? Ja.

Genau.

Im Risikomanagement noch stärker

an die Adressaten und an das Ziel der Risikomanagementaufgabe zu denken.

Und wenn man sich das vor Augen führt, was soll da am Ende rauskommen,

wer soll was entscheiden, wer soll eine Verantwortung übernehmen,

vielleicht für die Entwicklung von risikomitigierenden oder risikooptimierenden

Maßnahmen, dann werden die Methoden üblicherweise sinnstiftender,

werthaltig fürs Unternehmen.

Und dann kommt man aber auch schnell dazu, dass das gerade im Mittelstand manchmal

gar nicht so kompliziert sein darf und braucht.

Ja, du hast ein paar sehr wichtige Punkte genannt, die ich auch immer wieder in der Praxis erlebe.

Also eine Sache beispielsweise, die ich immer wieder sehe, ist,

wenn Risiken dargestellt werden in Firmen, die in der Hinsicht vielleicht noch

nicht so weit sind, dann werden die teilweise, wie du vielleicht auch gesagt

hast, sehr kleinteilig dargestellt.

Hier eine Software-Vulnerability, da irgendwo mal eine Misskonfiguration,

hier vielleicht ein Stück zu wenig

Sichtbarkeit, wir haben im Netzwerk ein bisschen zu wenig Sichtbarkeit.

Ich merke halt immer wieder, das wird dann auch in der Beschreibung,

wie es dargestellt wird, oftmals so dargestellt, dass halt in der Chefriege

und ich glaube, ich würde mich da nicht anders sehen, mit den Schultern gezuckt

wird und gesagt wird, ja gut.

Gut, was ich dann immer versuche, in diesen eher technisch aufgestellten Firmen

als ersten Schritt sind, immer Risikopfade mal aufzustellen.

Also ich fange wirklich an, das ist das kleinste Risiko, auf das wir runtergehen

können oder auf das wir es runterbrechen können, das ist eben die Software Vulnerability

und wir malen jetzt mal den Pfad auf, der zum schlimmsten möglichen Outcome führen könnte.

Ohne da jetzt irgendwie schlimme Bilder zu malen, aber wirklich mal zu sagen,

da könnte sowas hinführen und hier gibt es fünf, sechs Sollbruchstellen,

wo wir wirklich mal reinhauen könnten mit irgendeiner Art von Maßnahme.

Mal früher, mal später, mal kleinteiliger, mal größer.

Das ist das eine. Und das andere, was ich auch sehe, ist, dass viele Menschen,

mit denen ich rede, die scheuen sich auch so ein bisschen Risiken nach oben zu kommunizieren.

Wieso? Und das ist leider oft auch ein Teil von der Unternehmenskultur,

die wahrscheinlich nicht ganz in Ordnung ist, weil sie wissen,

dass wenn sie diese Risiken kommunizieren, die zweite Frage ist,

wieso macht ihr die dann nicht weg?

Und dieses Thema Risk Acceptance, aber auch Risk Appetite ist,

glaube ich, ein ganz, ganz wichtiges, was hoffentlich mehr und mehr eine Rolle einnehmen wird,

weil ich auch ein großer Verfechter, selbst als am Ende Vertreter von einem Softwarehersteller,

der natürlich daran interessiert ist, möglichst viel Ware zu verkaufen,

das gehört zur Wahrheit dazu, das würde ich auch nicht verschweigen,

der aber trotzdem sagt, es gibt für mich einen bestimmten Grundsatz,

den brauche ich mittlerweile einfach in Sachen Visibilität,

in Sachen Proaktivität, da sage ich immer, da komme ich nicht mehr drum herum,

egal ob ich Large Enterprise oder SMB bin,

aber danach wird es irgendwann eine Sache von Risk Appetite und ich muss mir

irgendwann genau überlegen, will ich nochmal zwei Prozent weniger theoretisches

Risk haben, das kostet dann aber Summe X und diese Summe steigt natürlich,

exorbitant an, ab irgendeinem bestimmten Punkt.

00:18:01.576 --> 00:18:07.136