Ganz gleich, wie gut das Sicherheitssystem ist: Unternehmen werden nie eine 100-prozentige Risikoeliminierung erreichen. Egal, wie gut die Mitarbeiter in bewährten Verfahren der Cybersicherheit geschult sind. Menschen werden Fehler machen, die Bedrohungsakteuren Zugang zum Netzwerk und zu wertvollen Informationen verschaffen.
Selbst wenn Unternehmen menschliches Verhalten berücksichtigen, können die Sicherheitskontrollen nur einen gewissen Grad an Sicherheit gewährleisten. Ein Restrisiko bei der Überwachung der Cybersicherheit bleibt.
Die Lücke im System
Das Restrisiko ist das Cyber-Risiko, das verbleibt, nachdem alle Sicherheitskontrollen berücksichtigt, alle Bedrohungen beseitigt wurden und das Unternehmen die Sicherheitsstandards einhält. Es ist das Risiko, das durch die Lücken des Systems schlüpft. Das inhärente Risiko hingegen ist das Risiko, das verbleibt, wenn keine Kontrollen vorhanden sind und Organisationen keinen Plan oder kein System zur Eindämmung von Bedrohungen und Cybervorfällen haben.
Die Bezeichnung "Restrisiko" lässt es unbedeutend erscheinen, fast wie ein nachträglicher Einfall. Dabei ist es die Art von Risiko, die Unternehmen die meisten Probleme bereiten kann. Wenn Unternehmen das Restrisiko bei der Cybersicherheit nicht in ihr Sicherheitssystem einbeziehen, können sie nicht erkennen, was außerhalb ihrer Kontrollen geschieht. Es ist die Lücke im System nach der Bedrohungsakteure suchen.
Notwendige Überwachung
Wenn Unternehmen für die Sicherung von Vermögenswerten Dritter verantwortlich sind, ist die Überwachung des Restrisikos bei der Cybersicherheit ein in den ISO 27001-Vorschriften vorgeschriebener Standard. Sie muss im gesamten Risikobewertungsprozess integriert werden, um nicht nur die Unternehmensressourcen zu schützen, sondern auch die von internationalen Anbietern und Auftragnehmern.
Eine Risikobewertung ist ein Prozess zur Identifizierung, Abschätzung und Priorisierung von Risiken, die sich aus dem Betrieb und der Nutzung von Informationssystemen für den Geschäftsbetrieb, das Unternehmensvermögen, Einzelpersonen, andere Organisationen und das Land ergeben.
„Zu einer vollständigen Risikobewertung gehört auch die Bewertung des Restrisikos, das im Wesentlichen durch Abzug des Kontrollrisikos vom inhärenten Risiko berechnet wird. Sobald Unternehmen das Restrisiko bewertet haben, können sie zu dessen Management übergehen. Sie haben die Möglichkeit, das Risiko zu vermeiden, indem sie die digitalen Unterlagen in einen kontrollierten Bereich verlagern oder sie offline nehmen,“ erläutert Arno Edelmann, Senior Manager für Sicherheitslösungen bei Verizon Business.
Bewährte Verfahren
Zu den bewährten Verfahren für die Cybersicherheit gehören regelmäßige Cybersicherheitsaudits, Penetrationstests und Angriffssimulationen, mit denen das Unternehmen feststellen kann, wo ein Restrisiko besteht. Sobald sie das Risiko ermittelt haben und über Protokolle für die Reaktion verfügen, können Cyber-Risikoüberwachungsdienste Einblick in das System verschaffen und dabei helfen, die Lücken und Schwachstellen zu identifizieren.
Die Frage "Was ist ein Restrisiko in der Cybersicherheit?" ist nur der erste Schritt. Wie das Restrisiko in der Cybersicherheit gehandhabt wird, hängt von der Organisation und ihrer Präferenz ab, wie risikoscheu sie sein möchte. Niemand wird jemals eine 100protzentige Sicherheit erreichen, aber mit den richtigen Restrisiko-Tools können Unternehmen ihre Sicherheitsbemühungen verbessern.