Skip to content Skip to footer
Suche

Ergebnisse werden geladen

Cyber Risk Management

Wie Sie Cyber-Risiken nachhaltig und ganzheitlich managen

Ihr Experte für Fragen

Achim Schäfer

Achim Schäfer
Partner Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 69 9585-1022
E-Mail

Ihre Informationen im Mittelpunkt. Schützen Sie was Ihnen wichtig ist – mit einem risikobasierten Ansatz.

Informationssysteme in Ihrem Unternehmen wurden mit einer Ransomware infiziert. Geschäftskritische Systeme sind betroffen. Sie haben 36 Stunden Zeit, um ein Lösegeld zur Befreiung der Systeme zu überweisen. Ansonsten droht Ihnen der Verlust von Daten und ein potenziell massiver Imageschaden. Dabei hatten Sie doch die neuesten Anti-Viren-Programme installiert. Zum Glück sind die meisten Sicherheitsvorfälle weniger dramatisch. Einige bleiben jedoch unentdeckt.

Die gegen Sicherheitsvorfälle wirkenden Managementmaßnahmen sind komplex und vielfältig. Dabei hängt deren Auswahl vom Risikoprofil eines Unternehmens ab und muss unter Umständen durch bestehende Regulatorik – zum Beispiel das IT-Sicherheitsgesetz oder die Mindestanforderungen an das Risikomanagement im Bankensektor – oder Standards – wie der ISO27001 – beeinflusst werden. Falsch gesetzte Prioritäten können dazu führen, dass Unternehmen – wie im obigen Beispiel – sich in trügerischer Sicherheit wiegen. Es bedarf einer risikoorientierten Betrachtung, formuliert in der Cyber-Security-Strategie, und umgesetzt in der Security Operations, um dem entgegen zu wirken.

„Nur wer seine Bedrohungslage, Schwachstellen und die sich daraus ergebenden Risiken kennt, kann diese effektiv und effizient managen. Viele Führungskräfte denken beim Cyber-Risikomanagement jedoch zu punktuell und verfolgen keinen weitsichtigen Ansatz. Das kann zu kurzfristigen Erfolgen führen, ist langfristig jedoch potenziell ineffizient.“

Achim Schäfer, Partner Cyber Security & Privacy bei PwC Deutschland

Unser Angebot

Cyber-Risikomanagement ist mehr als die die punktuelle Ausgestaltung von Managementmethoden

Cyber-Risikomanagement umfasst den iterativen Prozess von der Identifikation, über die Quantifizierung und Steuerung bis zur Kontrolle von IT- und Informationssicherheitsrisiken. Unser Ziel ist es, Ihnen zu jeder dieser Managementphasen passgenaue Lösungen anzubieten und diese in Ihren unternehmerischen Gesamtkontext einzubetten.

Unsere Lösungen lassen sich in den klassischen Risikomanagement-Zyklus einordnen:

Unsere Leistungen

Unsere Cyber-Security-Experten begleiten Sie in allen Phasen des Cyber Risk Managements

Die Implementierung und nachhaltige Umsetzung des Risikomanagement-Zyklus bedarf unterschiedlichster Kompetenzen und Erfahrungen. Wir stellen Ihnen bei PwC Deutschland genau die Expert:innen zur Seite, die Sie benötigen. Dabei setzen wir auf unsere umfassende Expertise, jahrelange Erfahrung am Markt sowie führende Tools.

Feststellung der Bedrohungslage

Wir unterstützen Sie dabei, die Bedrohungen und Risiken in Ihrem Unternehmen zu erfassen und eine Gesamtsicht herzustellen. Als Partner auf Augenhöhe begleiten wir Sie unter anderem bei:

Durchführung einer Bedrohungsanalyse

Hierbei werden sämtliche Cyber-spezifische Bedrohungen erfasst, die sich in Ihrem Unternehmen materialisieren können. Bedrohungen können dabei aus Standards (bspw. BSI Grundschutzkompendium oder ISO2700x-Reihe) oder aus unternehmensspezifischen Daten wie eingetretenen Schadensfällen oder Threat-Intelligence-Analysen abgeleitet werden.

Vorbereitung & Begleitung von regulatorischen Prüfungen

Viele Branchen (u. a. im Banking) sind geprägt von einer umfänglichen Regulatorik. Diese stellt dabei die Rahmenbedingungen zur Ausgestaltung des Cyber-Security-Umfelds dar. In durchgeführten Prüfungen (bspw. IT-Risk-Prüfungen durch die EZB oder BaFin im Financial Services-Sektor) wird die Risikolage der Unternehmen von einem neutralen Standpunkt aus bewertet.

Zusammen mit Ihnen identifizieren wir bereits vor einer solchen Prüfung Non-Compliances und erarbeiten mögliche Behandlungsmaßnahmen. Zudem stehen wir Ihnen auch während der Prüfung mit unserem bewährten und strukturierten Ansatz zur Seite.

Durch eine gute Vorbereitung, der Beschäftigung mit den Risiken vor einer Prüfung und der strukturierten Beantwortung von Aufsichtsanfragen, können Menge und Schweregrade der Feststellungen aus externen Prüfungen in der Regel reduziert werden. Dies wirkt sich direkt auch auf die Kosten und Aufwände in der Organisation aus.

Aufbau eines Informationsverbunds und Durchführung einer Strukturanalyse

Durch die Aufnahme der bei Ihnen existierenden Informations-Assets (IT- und Non-IT-Assets) und deren Verknüpfung untereinander, wird die Grundlage zur Durchführung einer Strukturanalyse geschaffen. Hierbei unterstützen wir Sie. Gemeinsam mit Ihnen bestimmen wir auf dieser Basis anschließend die Kritikalitäten der Assets – abgeleitet von deren Rolle und Funktion in Ihren Geschäftsprozessen.

Bewertung des Risikoportfolios

Wir unterstützen Sie dabei, eine für Sie passende Metrik der Bewertung von Cyber-Risiken aufzusetzen und die in Ihrem Portfolio befindlichen Risiken zu quantifizieren. Als Partner auf Augenhöhe begleiten wir Sie unter anderem bei:

Erhebung der Kosten eines angemessenen Sicherheitsniveaus

Wir begleiten Sie bei der Ermittlung von durch Investitionen entstehenden Sicherheitskosten mittels einer Security-Kosten-Analyse. Daraufhin ermitteln wir die durch diese Investitionen entstehenden Sicherheitsgewinne. Zuletzt nutzen wir Metriken, um mit Ihnen gemeinsam effektive Sicherheitsinvestitionen zu bestimmen und diesen alternative Investitionsmöglichkeiten gegenüberzustellen.

Ermittlung der Sicherheitseffektivität

Wir unterstützen Sie bei der Ermittlung ihres individuellen Risikoappetits. Zudem helfen wir Ihnen, auf Basis unterschiedlicher Datenquellen ihr Sicherheitsniveau und ihre Sicherheitseffektivität zu bestimmen. Der Risikoappetit und die Sicherheitseffektivität unserer Kunden lassen dann darauf schließen, welchen Nutzen zusätzliche Maßnahmen stiften, die nicht unabhängig voneinander zu betrachten sind. Gegeben dieses Gestaltungsrahmens helfen wir Ihnen, ein für Sie optimales Maß an Investitionen in Informationssicherheit abzuleiten.

Etablierung von Maßnahmen

Wir unterstützen Sie bei der Planung und Durchführung der für Sie effektiven und effizienten Maßnahmen zum Schutz Ihres Unternehmens. Als Partner auf Augenhöhe begleiten wir Sie unter anderem bei:

Erstellung einer Cyber-Security-Strategie

Basierend auf Ihrem individuellen Gefahrenprofil, Ihrem Geschäftsmodell und der relevanten Regulatorik und Standards ​erstellen wir gemeinsam mit Ihnen eine Cyber-Security-Strategie. Dabei achten wir auf die Einbettung in Ihren unternehmenerischen Gesamtkontext und entwickeln das für Sie passende Target Operating Model. Oberstes Ziel bildet dabei die effiziente und effektive Umsetzung des Themas Cybersecurity in Ihrem Unternehmen.

Etablierung eines funktionierenden Risikomanagement-Prozesses

Gemeinsam mit den Risiko-Experten Ihres Unternehmens entwickeln wir einen Risikomanagement-Prozess für IT- und Informationssicherheitsrisiken. Dabei achten wir auf die bereits existenten Prozesse, Modelle und Methoden und etablieren das Informationsrisikomanagement auf dieser Basis.

Adressierung von Einzelrisiken

Abgeleitet von bereits identifizierten Bedrohungen und quantifizierten/qualifizierten Risiken, unterstützen wir Sie bei der Identifikation und der Umsetzung der Maßnahmen, die auf Ihr individuelles Risikoprofil am besten passen. Hierbei beachten wir sowohl deren Effektivität als auch deren Effizienz. Ob Aufbau eines Informationssicherheitsmanagementsystems (ISMS), Etablierung von Kryptographie-Vorgaben oder auch die Implementierung eines Identity & Access Management (IAM) − wir stehen Ihnen bei allen Ihren Themen als Experten zur Seite.

Betrachtung und abschließende Bewertung

Wir unterstützen Sie dabei, die aufgesetzten und durchgeführten Maßnahmen noch einmal in einen Gesamtkontext mit den Risiken und Bedrohungen zu setzen und für Sie die richtigen Handlungsempfehlungen abzuleiten. Dabei vereinen wir fundierte Kenntnisse aus Prüfungserfahrungen (bspw. Jahresabschlussprüfungen) mit praktischer IT- und Cyber Security-Expertise. Als Partner auf Augenhöhe begleiten wir Sie unter anderem bei:

Kontrolle im Cyber Risk Management Prozess

Um die Effektivität des Cyber Risk Managements als Ganzes und die Einhaltung des dafür definierten Prozesses im täglichen Betrieb sicherzustellen, sollten bereits Kontrollen in der Cyber-Risk-Steuerung integriert sein. Hierfür bieten wir Ihnen ISMS-Reifegrad Assessments an.

Kontrolle zur Reduktion der identifizierten Cyber-Risiken

Es werden für die im Cyber Risk Management identifizierten Risiken Kontrollen implementiert, um sie auf einen akzeptablen Restwert zu reduzieren, den ein Unternehmen bereit ist zu tragen. Dabei kann es sich sowohl um technische als auch um prozessual-organisatorische Kontrollen handeln.

Unser Newsletter

Cyber Security & Privacy News

In unserem vierteljährlich erscheinenden Newsletter stellen wir Ihnen aktuelle Entwicklungen aus den Bereichen Cybersicherheit und Datenschutz vor. Unser Ziel ist es Ihnen Ideen zu geben, wie Sie daraus Strategien entwickeln können und diese im Einklang mit Ihren Unternehmenszielen nachhaltig umsetzen können.

Zum Newsletter

Weitere Services im Bereich Cyber Security Strategy, Risk & Compliance

Follow us

Contact us

Achim Schäfer

Achim Schäfer

Leader Cyber Security & Privacy Financial Services, PwC Germany

Tel.: +49 69 9585-1022

Daniel Fischer

Daniel Fischer

Manager, PwC Germany

Tel.: +49 69 9585-6047

Hide