Skip to main content
Contact
Submit RFP

      Die Risiken im Kontext der Cybersicherheit rücken zunehmend in den Fokus. Die Häufigkeit und Schwere von Cyberangriffen nimmt zu und setzt Unternehmen dem Risiko finanzieller und markenbezogener Schäden, des Verlusts von Kunden und der Überprüfung durch die Aufsichtsbehörden aus.

      Sicherheitsvorfälle aus der jüngeren Vergangenheit zeigen, dass sich diese Fälle durch eine fundierte Entscheidungsfindung zur effektiven Risiko-Mitigation vermeiden ließen. Dies betrifft alle Unternehmen, bei denen informationsverarbeitende Technologien innerhalb der Wertschöpfungskette zum Einsatz kommen. Viele Unternehmen haben jedoch Schwierigkeiten, ihr Cyberrisiko zu quantifizieren und zu verstehen, wie sie ihre Cybersicherheitskontrollen am besten verbessern und das Risiko im Rahmen der Risikobereitschaft des Unternehmens verwalten können.

      Skalierbare und datengestützte Risikobewertung gesucht

      Nur wenige Unternehmen haben genug Ressourcen, um alle Kontrollen überall zu verstärken. Sie brauchen ein Modell, das ihnen hilft, ihre Investitionen dort einzusetzen, wo sie die größte Wirkung erzielen. Dies erfordert eine skalierbare und datengestützte Risikobewertung, die auf einem bewährten Ansatz und objektiven Messgrößen beruht.

      Bereit für ein Gespräch? Kontaktieren Sie uns
      auto_stories

      Insider Threats, Phishing, KI: Die größten Cyber-Gefahren und wie Unternehmen die Cyber-Resilienz steigern können
      Jetzt herunterladen

      Unser Leistungsangebot

      Der KPMG-Ansatz zur Quantifizierung von Risiken basiert auf drei Säulen:
       

      Jede dieser Säulen wird durch einen quantitativen Ansatz behandelt und fließt bei der Berechnung des Gesamtrisikos mit ein. Zum Einsatz kommen hierbei Monte-Carlo-Simulationen, die es ermöglichen, eine Loss Exceedance Curce (LEC) daraus abzuleiten. Das Modell ist in Szenarien unterteilt, mit denen sich spezifische Angriffsmuster abbilden lassen. Somit ist es nicht erforderlich, in jedem Fall die gesamte Bedrohungslandschaft eines Unternehmens zu betrachten. Stattdessen kann gezielt auf die besonders relevanten Szenarien eingegangen werden.

      Der Vorteil: Die Entscheidungen zur Mitigation von Risiken beruhen auf einer quantitativen Basis und sind damit tendenziell effektiver.

      Ihre Vorteile

      Durch die Verwendung von CRQ entstehen die nachfolgenden Vorteile für Ihr Unternehmen:

      • Führen Sie systematische, konsistente und datengestützte Bewertungen durch

        Unser Ansatz erleichtert die schnelle Einführung quantitativer Techniken und verbessert die Objektivität von Risikobewertungen, indem er konsistente, datengestützte Ergebnisse liefert.

      • Quantifizierung von Wahrscheinlichkeit und Auswirkungen

        Die Nutzenden können die Wahrscheinlichkeit des Eintretens von Cyberrisikoszenarien und die Wahrscheinlichkeit erfolgreicher Angriffe über alle Verteidigungsebenen hinweg bestimmen. Außerdem können sie für jedes Szenario potenzielle finanzielle Verluste modellieren.

      • Gezielte Ausgaben zur Verringerung des Risikos

        Durch die grafische Modellierung von Risikoszenarien können die Nutzenden erkennen, wie ihre Cyberfähigkeiten zur Risikoverringerung über die verschiedenen Verteidigungsebenen hinweg beitragen und welche Bereiche am meisten von Investitionen profitieren würden.

      • Investitionen testen

        Die Nutzenden können Simulationen durchführen, um herauszufinden, welche Fähigkeiten am besten gestärkt werden sollten, um Cyberrisiken zu verringern, und die Amortisationsdauer für eine Investition oder ein Investitionsportfolio auf der Grundlage einer Kosten-Nutzen-Analyse der Ausgaben im Vergleich zur Verringerung der Cyberverluste abschätzen.

      • Optimieren von Investitionen

        Die Nutzenden können optimierte Investitionsportfolios von Cyberfähigkeiten bestimmen, um die bestmögliche Rendite für die Risikominderung zu erzielen.

      • Begründbarkeit von Entscheidungen

        Unser logischer und transparenter Ansatz hilft den Anwendenden, den Führungskräften Cyberrisiken zu vermitteln, die geschäftlichen Vorteile von Cyberfunktionen aufzuzeigen und überzeugende Investitionsargumente zu liefern.

      Interessiert an unseren Services? Kontaktieren Sie uns

      Quantencomputing & die Gefahr für Data Security

      Marktumfrage zum Kenntnisstand und der Gefahreneinschätzung von Quantencomputer.

      Jetzt herunterladen

      Häufige Fragen / Bedenken zu CRQ

      Ist die Quantifizierung den Aufwand wert?


      CRQ erfordert weniger Arbeit, als Sie vielleicht denken. Unsere Expertinnen und Experten helfen Ihnen bei der Identifizierung vorhandener Dateneingaben. Der Katalog von Szenariomodellen (die den Kontrollen zugeordnet sind) und Datensätzen ermöglicht, dass die Lösung relativ schnell implementiert und skaliert werden kann  - mit verhältnismäßig geringem Aufwand. Wir empfehlen, mit einem Proof-of-Concept zu beginnen und einen bewährten Ansatz für die Umsetzung zu haben. Das Ergebnis ist ein Bericht mit einer Quantifizierung des Cyberrisikos, den Sie bewerten können, bevor Sie entscheiden, ob Sie die Lösung in Ihr Unternehmen einbinden möchten.

      Es gibt nicht genug Daten, um Cyberrisiken zu quantifizieren

       
      Kurz gesagt: Es gibt sie - eine wachsende Zahl hochwertiger externer Datenfeeds und wir pflegen eigene Datensätze. Außerdem verfügen Unternehmen in der Regel über mehr Daten, als ihnen bewusst ist. Ihr Security Operations Center (SOC), die Bedrohungsanalyse und verwandte Funktionen können wertvolle Informationen liefern, ebenso wie die Beteiligten in den Bereichen Finanzen und Betrieb.

      Warum sollte KPMG dabei helfen können?

       
      Wir haben praktische Erfahrung in der Entwicklung und Umsetzung quantitativer Ansätze zur Bewertung von Cyberrisiken sowie zur Erstellung von Berichten und haben nachhaltige Lösungen für zahlreiche Organisationen in verschiedenen Branchen geliefert.

      Die Lösung muss sich in unser unternehmensweites Risikomanagement-Framework integrieren lassen

       
      Wir helfen Ihnen dabei, Ihre Risikotaxonomie, Ihre Unternehmens- und Betriebsrisikobewertung sowie Ihre Risikobereitschaft mit den entsprechenden Methoden abzustimmen. Möglicherweise müssen Sie KPMG's CRQ auch in Ihr bestehendes Cyber-Kontrollsystem integrieren. Aus diesem Grund haben wir die in der Szenariomodellierung verwendete Taxonomie der Cyberfähigkeiten auf gängige Branchen-Frameworks abgebildet, darunter:

      • ISO27001
      • NIST CSF

      Wir können die Erfassung der Eingaben, die Ergebnisse und die Berichterstattung anpassen, um dafür zu sorgen, dass wir Ihre Anforderungen erfüllen.

      Ihre Ansprechperson

      Dr. Michael Falk
      Dr. Michael Falk

      Partner, Consulting, Cyber Security

      KPMG AG Wirtschaftsprüfungsgesellschaft