5 Beispiele für Key Risk Indicators (KRIs)

Was ist ein Key Risk Indicator in der Cybersicherheit?

Schlüsselrisikoindikatoren (KRIs) sind entscheidende Kennzahlen, die von Sicherheitsverantwortlichen und Risikomanagement-Teams genutzt werden, um die Exposition gegenüber Cyberrisiken zu überwachen und zu messen.

KRIs können verwendet werden, um Änderungen im Risikoprofil Ihres Unternehmens zu überwachen, Einblicke in Schwachstellen in Ihrer Sicherheitsinfrastruktur oder digitalen Umgebung zu gewinnen und die kontinuierliche Risikobewertung zwischen Sicherheitsaudits zu unterstützen.

KRIs werden oft mit Schlüsselkennzahlen (KPIs) verwechselt, aber es gibt einen Unterschied: KRIs ermöglichen es, Cyberrisiken zu überwachen und zu quantifizieren, damit schnell Gegenmaßnahmen ergriffen werden können. Ein KPI hingegen misst die Sicherheitsleistung, den Fortschritt gegenüber Zielen und Trends über die Zeit.

Betrachten wir fünf KRIs, die Sie überwachen sollten, um die potenziellen Risiken für Ihre Organisation zu verstehen.

KRI #1: Umfang Ihrer Angriffsfläche

Ein wichtiger KPI ist das Wissen, wo Risiken in Ihrer digitalen Umgebung verborgen sind. Doch während Ihr Unternehmen sich in die Cloud, über Geschäftseinheiten, geografische Regionen und Remote-Standorte ausdehnt, kann es schwierig sein, Ihren digitalen Fußabdruck zu entdecken und zu validieren, potenzielle Risiken zu identifizieren und Abhilfemaßnahmen zu priorisieren.

Eine Möglichkeit, diese Einblicke zu gewinnen, ist die Verwendung eines Entdeckungs- und Berichtstools wie dem Scannen der Angriffsfläche. Diese Technologie inventarisiert automatisch und kontinuierlich Ihre digitalen Assets, weit über Ihren traditionellen Netzwerkperimeter hinaus. Die Ergebnisse werden in Dashboard-Ansichten präsentiert, Assets werden nach Standort identifiziert und Bereiche mit konzentriertem Risiko hervorgehoben, sodass Sie schnell Maßnahmen ergreifen können.

Zu überwachende KRIs umfassen:

• Zuvor unbekannte Instanzen von Cloud-Diensten oder Schatten-IT und deren Risikoprofil.
• Geschäftseinheiten, Tochtergesellschaften oder Außenstellen, die die Sicherheitsrichtlinien des Unternehmens nicht einhalten.
• Das Risikoprofil kritischer digitaler Assets, wie einer Cloud-Instanz, die sensible Daten speichert.
• Bereiche mit höchster Risikobelastung.

KRI #2: Vorhandensein von Malware

Das Vorhandensein von Malware in Ihrem Netzwerk ist ein starker Indikator für die Wahrscheinlichkeit einer Sicherheitsverletzung, und Einblicke in Malware-Aktivitäten sind entscheidend, um die Cyberrisiko-Exponierung Ihrer Organisation zu reduzieren. Doch Malware-Entwickler sind geschickt darin, bösartige Software zu entwerfen, die von traditionellen Antiviren- und Scan-Tools unentdeckt bleibt.

Obwohl keine Organisation vor Malware gefeit ist, können Sie mit den leistungsstarken datengesteuerten Einblicken von Bitsight Maschinen entdecken, die möglicherweise bereits kompromittiert sind. Sie können auch Benutzerverhalten identifizieren, das Malware in Ihr Netzwerk einführen könnte, und das Risikoniveau für Ihr Unternehmen klassifizieren.

Zu überwachende Malware-KRIs umfassen:

• Die Exponierung von Mitarbeiteranmeldedaten im Dark Web (Hacker nutzen diese Informationen, um in Ihr Netzwerk einzudringen und Malware zu installieren).
• Fälle von kompromittierten Dateien, die von Mitarbeitern heruntergeladen wurden.
• Die Anzahl der von Malware oder Botnets betroffenen Maschinen.

KRI #3: Ungepatchte und fehlkonfigurierte Systeme

Schlechte Sicherheitspraktiken in Form von ungepatchten und fehlkonfigurierten Systemen sind ein signifikanter Risikofaktor. Als Bitsight Hunderte von Ransomware-Vorfällen analysierte, um die relative Wahrscheinlichkeit zu schätzen, dass eine Organisation Ziel von Ransomware wird, stellten wir fest:

• Unternehmen mit einem Patch-Zyklus, der mit den Noten D oder F bewertet wurde, hatten eine mehr als 7-fach höhere Wahrscheinlichkeit, Opfer zu werden, als Organisationen mit der Note A.
• Unternehmen mit der Note C oder niedriger in TLS/SSL-Konfigurationen hatten eine fast 4-fach höhere Wahrscheinlichkeit, Opfer von Ransomware zu werden.
• Nur 10% der Organisationen erreichten die Note A für exzellente Sicherheitsleistung.

Um diese Statistiken zu verbessern, nutzen Sie Bitsight, um Ihre digitale Infrastruktur kontinuierlich und automatisch auf Schwachstellen und Sicherheitslücken zu überwachen.

Zu überwachende Sicherheitspraktiken-KRIs umfassen:

• TLS/SSL-Zertifikatswirksamkeit: Bitsight analysiert Zertifikate, um festzustellen, ob sie mit einem sicheren Algorithmus signiert sind.
• TLS/SSL-Konfigurationen: Identifizieren Sie Server mit fehlkonfigurierten Sicherheitsprotokollbibliotheken und schwachen Verschlüsselungsstandards.
• Patch-Zyklus: Ermitteln Sie, welche Systeme von kritischen Schwachstellen betroffen sind und wie schnell Ihre Organisation diese patcht.
• Und mehr.

KRI #4: Risiko durch Dritte

Risiken durch Dritte sind eine der Hauptursachen für Datenverletzungen. Doch es kann schwierig sein zu wissen, ob Sie mit einem risikoreichen Anbieter Geschäfte machen. Das liegt daran, dass traditionelle Methoden zur Bewertung und Messung der Sicherheitslage Ihrer Anbieter nur eine Momentaufnahme des Risikos erfassen. Sie sind auch kostspielig, zeitaufwendig und erfordern, dass Sie Ihren Anbietern beim Wort glauben.

Eine bessere Möglichkeit, Risiken in Ihrer Lieferkette aufzudecken, besteht darin, die Sicherheitsleistung Ihres Anbieterpools kontinuierlich und automatisch zu überwachen – vom Onboarding bis zum Ende der Beziehung.

Zu überwachende KRIs für Risiken durch Dritte umfassen:

• Das Vorhandensein und die Schwere von Sicherheitslücken in den IT-Infrastrukturen Ihrer Anbieter.
• Die historische Sicherheitsleistung Ihrer Anbieter (ein früherer Verstoß kann einen guten Hinweis auf ihre aktuelle Sicherheitslage geben).
• Jegliche Änderungen in den Sicherheitslagen Ihrer Anbieter während der Laufzeit ihrer Verträge

KRI #5: Finanzielle Exponierung

Mit den durchschnittlichen Kosten einer Datenpanne von mittlerweile 44,35 Millionen US-Dollar müssen der Vorstand und die Geschäftsführung die finanzielle Exponierung Ihrer Organisation verstehen. Nur so können fundierte Entscheidungen im Bereich des Cyber-Risikomanagements getroffen und Investitionen in neue Technologien priorisiert werden, um Ihre Organisation zu schützen.

Allerdings sind erhebliche Ressourcen und Fachkenntnisse erforderlich, um die notwendigen Daten zu sammeln und verschiedene Szenarien zu modellieren – etwa den finanziellen Einfluss eines Ransomware-Angriffs oder einer Datenpanne. Und dieser Prozess lässt sich nicht leicht wiederholen.

Mit Bitsight Financial Quantification können Sie jedoch die finanzielle Exponierung Ihrer Organisation in Hunderttausenden von Cyber-Ereignissen simulieren.

Zu modellierende KRIs umfassen den finanziellen Einfluss von:

• Denial-of-Service, Datendiebstahl, Erpressung, Datenschutzverletzungen und anderen Arten von Angriffen.
• Cyber-Vorfällen in Ihrer digitalen Lieferkette.
• Nicht-Einhaltung von Cybersicherheitsstandards und -vorschriften sowie voraussichtlichen Strafen und Gebühren.

KRIs sind ein wesentlicher Bestandteil jedes Cyber-Risikomanagementprogramms und sollten eng an einen KPI gebunden sein. Beispielsweise könnte ein KPI, der anhaltende KRIs wie ungepatchte Systeme über eine bestimmte Zeit hinweg misst, eine messbare Verbesserung des Patch-Zyklus darstellen.

KRIs und KPIs variieren je nach Organisation, aber welche Metriken Sie auch immer wählen, stellen Sie sicher, dass Sie Technologien und Automatisierung nutzen, damit Sie Daten leicht erfassen und analysieren, Trends überwachen und Probleme schnell beheben können.