Ausmaß und Management von Cyberrisiken


Hausarbeit, 2018
33 Seiten, Note: 2,0
Anonym

Leseprobe

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1. Einleitung

2. Definition und Einordnung der Cyberrisiken

3. Risikomanagement von Cyberrisiken
3.1 Identifikation
3.2 Quantifizierung und Messung
3.3 Steuerung
3.3.1 Technische Maßnahmen
3.3.2 Nichttechnische Maßnahmen
3.3.3 Cyber-Versicherung

4. Regulation von Cyberrisiken

5. Fazit

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abb. 1: Risikomanagementprozess

Abb. 2: Cyber-Value-at-Risk Concept

Abb. 3: Verlustverteilungsfunktion

Tabellenverzeichnis

Tabelle 1: Abgrenzung Risikoarten

Tabelle 2: Unterscheidung der Arten von Cyberrisiken

Tabelle 3: Ausgesuchte Methoden von Hackern

1. Einleitung

Immer mehr Unternehmen sind inzwischen fast täglich von Cyberangriffen betroffen, wodurch nicht nur hohe Verluste entstehen, sondern auch sensible Daten in die falschen Hände gelangen können.1 In einer Studie von einem Hersteller für Sicherheitssoftware, McAfee, wurde der jährliche Schaden, der durch Cyberangriffe entsteht untersucht. Dieser beträgt weltweit ca. 445 Milliarden US-Dollar, wobei allein in Deutschland Kosten, in Höhe von fast 60 Milliarden Dollar entstehen.2 Auch bei Banken ist der Umgang mit Cyberrisiken ein aktuelles und wichtiges Thema. Es werden immer öfter Äußerungen getätigt und Verbesserungen vorgeschlagen, wie man sich vor diesen Cyberangriffen schützen kann und wie man die IT-Systeme besser und widerstandsfähiger machen kann. Die Aktualität des Themas wird unterstrichen durch die zahlreichen Vorfälle, die man immer wieder auch in den Medien verfolgen kann. Ein Beispiel für Cyberangriffe auf Banken ist der Online-Banking Trojaner GozNym. Im Jahr 2016 waren insgesamt 13 deutsche Banken, unter anderem die Sparkasse und Genossenschaftsbanken, von diesem Hackerangriff betroffen. Durch diesen Trojaner werden Kunden vom Onlinebanking auf Phishing Websites umgeleitet. Diese Internetseiten sehen den Originalseiten des Institutes sehr ähnlich, sodass es den Nutzern schwer fällt, diese als Fälschung zu erkennen. Wenn man dann seine Kontodaten auf diesen Phishing Websites eingibt, haben die Hacker Zugriff auf das gesamte Konto. Es gibt zwar keine Einschätzungen darüber, wie hoch der Schaden in Deutschland ist, aber der Schaden, den der Trojaner GozNym in den USA und Kanada angerichtet hat, soll millionenschwer sein.3 Auch dieses Beispiel unterstreicht, welches Ausmaß Cyberattacken und deren Folgen haben können. Deshalb ist es wichtig, dass sich Banken mit diesem Thema auseinandersetzen und ihr Risikomanagement dementsprechend anpassen. Die folgende Hausarbeit beschäftigt sich mit der Forschungsfrage: „Wie lassen sich Cyberrisiken identifizieren und messen und wie kann man diese steuern?“. Zunächst werden die Cyberrisiken definiert und in die verschiedenen Risikoarten eingeordnet, um ein grundlegendes Verständnis zu erlangen. Anschließend wird im Hauptteil dieser Hausarbeit das Risikomanagement, unter den Gesichtspunkten Identifikation, Quantifizierung und Messung und Steuerung von Cyberrisiken, analysiert. Des Weiteren wird auf die Regulation von Cyberrisiken eingegangen, also darauf, welche Vorgaben und Richtlinien zu diesem Thema bereits veröffentlicht wurden. Abschließend werden im Fazit die wichtigsten Ergebnisse dieser Hausarbeit zusammengefasst, die zur Beantwortung der Forschungsfrage führen. Außerdem wird im Fazit ein Ausblick über die weitere Entwicklung des Risikomanagements in Bezug auf Cyberrisiken gegeben.

2. Definition und Einordnung der Cyberrisiken

Als Cyberrisiken werden eine Vielzahl von möglichen Risiken, die in Verbindung mit der Technologie bzw. mit Informationen eines Unternehmens stehen, bezeichnet. Diese werden unter Anderem von der US-amerikanischen Versicherungs-aufsichtsbehörde NAIC als sogenannte „Key Issue“ bezeichnet.4 Es existiert bereits ein großes Spektrum verschiedenster Definitionen, die den Begriff der Cyberrisiken veranschaulichen sollen. Diese Definitionen sind zum Teil sehr eng gefasst, wie z.B. die Idee in Mukhopadhyay et al. (2005, 2013). Hier werden Cyberrisiken als schadhafte elektronische Ereignisse bezeichnet. Andere beleuchten den Begriff der Cyberrisiken auf einer anderen Betrachtungsweise. Hier werden auch Risiken aus Informationen (siehe Ögüt, Raghunathan und Menon, 2011) bzw. Risiken aus dem Ausfall der Informationssysteme (siehe Böhme und Kataria, 2006) berücksichtigt.5 Hierunter fallen z.B. die in den Medien stark diskutierten Hackerangriffe und andere kriminellen Aktionen. Demgegenüber können Cyberrisiken aber auch aus menschlichem oder technischem Versagen so-wie Naturgefahren entstehen. Nicht selten werden Cyberrisiken anhand bestimmter Kategorien unterschieden. Eine beispi bestimmter Kategorien unterschieden. Eine beispielhafte Abgrenzung könnte wie folgt aussehen (Marsh, 2011)6:

- Verluste, verursacht durch Cyberkriminalität bzw. Cyberterrorismus
- Unbeabsichtigter/versehentlicher Verlust der eigenen Daten oder der Daten einer anderen Person
- Physischer Systemverlust
- Haftbarkeit für die eigenen Onlineaktivitäten oder der Aussagen in EMails

Unsere Definition wird sich dabei auf den Begriff der operationellen Risiken stützen. Nach Basel II werden operationelle Risiken wir folgt beschrieben „Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder infolge von externen Ereignissen eintreten“.7 Die hier vorhandenen Überschneidungen mit den zuvor genannten Bespielen sind eindeutig, sodass die Zuordnung in den Bereich der operationellen Risiken Sinn macht. Dies bringt auch eine Menge nicht zu unterschätzender Vorteile:

- Einfachere Verfügbarkeit von Daten durch das bekannte Feld der operationellen Risiken (Identifikation und Analyse)
- Eindeutige Abgrenzung von Cyberrisiken im Verhältnis zu anderen Risikoarten
- Die in Basel II bzw. Solvency II verwendete Strukturierung operationeller Risiken kann genutzt werden

Im Folgenden werden wir den Unterschied zwischen Cyberrisiken und anderen Risikoarten detaillierter herausarbeiten. Dieser Schritt ist in unseren Augen von großer Bedeutung, da Ähnlichkeiten zwischen den einzelnen Risikoarten Einflüsse auf z.B. das Management der unterschiedlichen Risikoarten haben kann. So kann zum Beispiel durch den engen Bezug von Cyberrisiken und operationellen Risiken auf bekannte Modellierungsmethoden der operationellen Risiken zurückgegriffen werden.8

Tabelle 1 zeigt eine mögliche Abgrenzung der Risikoarten, die typischerweise in Versicherungsunternehmen definiert wird. Wie bereits angeführt sind dies die Kategorien Markt-, versicherungstechnische, Kreditund operationelle Risiken.

Abbildung in dieser Leseprobe nicht enthalten9

Tabelle 1: Abgrenzung Risikoarten

Eine tiefergehende Charakterisierung von Cyberrisiken ist durch eine Einteilung in nicht kriminelle Ursachen und kriminelle Ursachen möglich. Die einen betreffen Vorfälle wie, Datenverlust durch Naturkatastrophen, menschliches Versagen und Hardware-Versagen und die Anderen Cyberkriminalität. Der Aspekt der nicht kriminellen Ursachen lässt sich demnach in die Punkte höhere Gewalt, technischem Defekt und menschlichem Versagen differenzieren.

Die kriminellen Ursachen hingegen in die Kategorien körperlichen/realer Angriff, Hackerangriff und Erpressung. In Tabelle 2 stellen wir die beiden zu unterscheidenden Bereiche anhand von Beispielen dar.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Unterscheidung der Arten von Cyberrisiken

Wie aus der Tabelle erkenntlich haben wir die zwei Arten von Cyberrisiken in jeweils drei Unterkategorien aufgeteilt. Im nächsten Schritt werden wir näher auf diese Unterkategorien der nicht kriminellen sowie kriminellen Cyberrisiken eingehen.

Nicht Kriminelle Ursachen für Cyberrisiken

Naturereignis

Durch unvorhersehbare Ereignisse, wie z.B. Tornados, Vulkanausbrüche oder Erdbeben, kann es zu erheblichen Schäden an Hardware (Server ect.) kommen. Diese können zu kleinen Problemen bis hin zu einem Datenvollverlust führen. Je nach Standort des zu betrachtenden Objekts ist dieses Risiko präsenter oder rückt in den Hintergrund.

Maschineller Defekt

Ebenso kann ein Fehler bzw. Defekt in der Hardware selbst nicht ausgeschlossen werden. So kann die Hardware durch zu hohe aber auch durch zu niedrige Temperaturen in Mitleidenschaft gezogen werden. Häufig kommt es auch zu Datenverlusten durch Magnetismus, welcher von vielen Betroffenen unterschätz wird. Nach einer Studie des Unternehmens Kroll Ontrack sehen 29% der Befragten die Ursache in technischem Versagen.

Menschliches Versagen

Darüber hinaus stellen auch Fehler durch menschliches Versagen bzw. Fehlverhalten eine hohe Gefahr dar. Laut einer Studie von Toshiba gehen 84% der europäischen Unternehmen davon aus, dass Ihre Mitarbeiter nicht genehmigte ITSysteme und –Lösungen verwenden, welche ein zusätzliches Sicherheitsrisiko beherbergen.

Kriminelle Ursachen für Cyberrisiken

Computerkriminalität kann sich in verschiedensten Formen zeigen und kann daher ständig und ohne Vorwarnung auftreten. Im Allgemeinen versteht man darunter jedes Verbrechen, das mit Hilfe von Informationsund Kommunikationstechnik begangen wird. Dies kann über einen Computer, ein Netzwerk oder ein anderes Hardwaregerät (Smartphone ect.) erfolgen. Dabei ist zu unterscheiden, ob das Gerät bzw. der Computer dabei das Ziel oder Auslöser des Verbrechens ist. Wie aus der Tabelle 2 ersichtlich ist hier besonders zwischen einem virtuellen Hackerangriff und einem realen Datendiebstahl. Gründe für Cyberkriminalität sind neben persönlichen Gründen oftmals auch finanzielle Beweggründe. Nach einer Studie von KPMG lag der Schaden durch Cyberkriminalität im Jahr 2016 weltweit bei 432 Milliarden Euro. In Deutschland liegt der Schaden bei 55 Milliarden Euro.10 Im nächsten Schritt, möchten wir nun auch die Unterkategorien der Kriminellen Ursachen für Cyberrisiken näher beleuchten.

Hackerangriffe

Ein Hackerangriff kann im Allgemeinen erstmal von jeder Person ausgehen, die sich mit dieser Materie auskennt. In den letzten Jahren gab es Berichte über verschiedenste Altersklassen, die von einem 14-Jährigen Schüler, der das Sicherheitsnetzwerk des Pentagon hackte, bis zu einem 80-Jährigen Rentner reichen. Neben Einzelpersonen, gibt es auch Organisationen bzw. Zusammenschlüsse, die Hackerangriffe durchführen. Eines der bekanntesten Beispiele ist die Gruppierung „Anonymus“. Im Fokus eines Hackerangriffes kann heutzutage grundsätzlich jeder stehen. Ob Privatperson, Unternehmen oder Staat, jeder der genannten Punkte war bereits einmal Opfer eines solchen Angriffes. Zur Verwirklichung ihres Hackerangriffes, bedienen sich die Kriminellen einer Vielzahl von Methoden. Am häufigsten schleusen die Hacker eine Malware (Virus, Trojaner) in die Zielhardware ein, umso Daten zu stehlen oder aber auch um gezielt Daten zu verändern. Hier wird häufig von Spionage bzw. Sabotage gesprochen. Aufgrund der Vielzahl von Methoden, welcher sich die Betrüger bedienen, werden wir in Tabelle 3 eine Auswahl, der am häufigsten auftretenden Erscheinungsformen von Malware, darstellen.

Abbildung in dieser Leseprobe nicht enthalten11

Tabelle 3: Ausgesuchte Methoden von Hackern

Realer/körperlicher Datendiebstahl

Hierbei wird das Ziel nicht von außen durch Schadsoftware infiziert um an Daten zu gelangen, sondern es findet ein physischer Diebstahl der Hardware/Informationen (Festplatten, Dokumente und sonstige Datenträger) statt. Hierfür beschaffen sich die Täter Zugang zu den Firmengebäuden, um diese zu entwenden. Häufig handelt es sich dabei um aktive bzw. ehemalige Mitarbeiter des Unternehmens. Ziel dieses Vorgehens ist die Schädigung des Unternehmens bzw. finanzielle Bereicherung durch den Weiterverkauf der Daten.

Erpressung

Besonders in den letzten Jahren stieg die Anzahl der Datendiebstähle, die zur Erpressung genutzt wurden, stark an. Eines der größten Beispiele der letzten Jahre ist der WannaCry-Virus. Durch diesen wurde der Zugang zu den PC´s ver-hindert, wodurch der Benutzer nicht mehr in der Lage war, Programme zu schlie-ßen oder auszuführen, da der Virus als Programm permanent im Vordergrund lief. Die Erpresser forderten zum Beispiel eine Zahlung in Form von Kryptowäh-rungen im vermeintlichen Austausch gegen den Abschaltcode für den Virus. Hiervon waren nicht nur unzählige Privatpersonen betroffen, sondern auch große internationale Firmen wie der Telekommunikationskonzern Telefónica, der bri-tische National Health Service, das US-Unternehmen FedEx und auch Banken wie zum Beispiel die Banco Bilbao Vizcaya Argentaria.12

3.Risikomanagement von Cyberrisiken

Eine allgemeine Definition von Risikomanagement liefert die ISO Norm 31000:2009 „Risk Management – Principles and Guidlines“. In dieser internati-onalen und branchenunabhängigen Norm wird das Risikomanagement als „…alle koordinierten Aktivitäten zur Steuerung und Kontrolle einer Organisa-tion unter Berücksichtigung von Risiko“13 definiert.

Aufgrund der immer stärker wachsenden Bedeutung des Risikomanagements nimmt dieses inzwischen mit die wichtigste Position in den Aufgaben der Ge-schäftsführung ein.14 Neben dem klassischen Verständnis des Risikomanage-ments in Form von Compliance und Reporting praktizieren die meisten Unter-nehmen inzwischen zusätzlich dazu strategisches Management, wodurch es in den Tätigkeitsbereich der obersten Führungsebene fällt.15 Die Kernaufgabe des Risikomanagements ist es die Erkennung von Risiken und deren Steuerung mit den hierfür speziell ausgearbeiteten Methoden. Ziel ist die Berücksichtigung al-ler Risiken in den Unternehmensebenen und deren Prozesse.

[...]


1 Vgl. Frühauf (2018).

2 Vgl. Dziedeck (2016).

3 Vgl. Drost (2016).

4 Vgl. Kessler S.13 (2015).

5 Vgl. Kessler S.13 (2015).

6 Vgl. Marsh, S.80 (2011).

7 Vgl. Basel II

8 Kessler S.15 (2015).

9 Vgl. Kessler S.15 (2015).

10 Redaktion KPMG (2017).

11 Vgl. Wirtschaftslexikon (2018).

12 Wikipedia (2018).

13 ISO 31000:2009.

14 Vgl. Romeike und Brühweiler, S.106 (2010).

15 Vgl. Kessler S.40 (2015)

Ende der Leseprobe aus 33 Seiten

Details

Titel
Ausmaß und Management von Cyberrisiken
Hochschule
Ruhr-Universität Bochum
Note
2,0
Jahr
2018
Seiten
33
Katalognummer
V460968
ISBN (eBook)
9783668908666
ISBN (Buch)
9783668908673
Sprache
Deutsch
Schlagworte
ausmaß, management, cyberrisiken
Arbeit zitieren
Anonym, 2018, Ausmaß und Management von Cyberrisiken, München, GRIN Verlag, https://www.grin.com/document/460968

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Ausmaß und Management von Cyberrisiken


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden