{"id":2000,"date":"2025-02-20T04:00:00","date_gmt":"2025-02-20T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2000"},"modified":"2025-02-20T04:00:00","modified_gmt":"2025-02-20T04:00:00","slug":"der-trugerische-komfort-des-risikomanagements","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2000","title":{"rendered":"Der tr\u00fcgerische Komfort des Risikomanagements"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Gefahrenmanagement statt Risikomanagement: Cybersicherheit erfordert Dringlichkeit und Entschlossenheit.\n

Billion Photos \u2013 Shutterstock.com<\/p>\n<\/div>\n

Herk\u00f6mmliches Risikomanagement basiert auf Wahrscheinlichkeiten und statistischen Berechnungen \u2013 doch in einer zunehmend komplexen und aggressiven Bedrohungslandschaft sind solche Prognosen unzuverl\u00e4ssig. Daher ist ein Umdenken n\u00f6tig: Anstatt dem Risikomanagement sollten Organisationen Gefahrenmanagement als neues Konzept einf\u00fchren.<\/p>\n

Risikomanagement impliziert, dass man die Wahrscheinlichkeit eines Cyberangriffs vorhersagen kann. Doch die Realit\u00e4t sieht anders aus: Es ist unm\u00f6glich geworden, diese Wahrscheinlichkeit angesichts der unz\u00e4hligen Angreifer, Techniken, Schwachstellen und ahnungsloser Nutzer zu berechnen. Es gibt schlichtweg zu viele Variablen. Es w\u00e4re stattdessen einfacher, beim Blackjack zu wissen, ob man eine Karte ziehen oder halten sollte \u2013 hier ist die Anzahl der Karten zumindest bekannt. Diese Illusion von Kontrolle, die bei vielen noch allgegenw\u00e4rtig ist, ist nicht nur irref\u00fchrend. Sie gef\u00e4hrdet auch die IT-Sicherheit von Organisationen und letztlich \u2013 man denke beispielsweise an Kritische Infrastruktur \u2013 die Sicherheit von uns allen.<\/p>\n

Lesetipp: 7 typische Fehler beim Risikomanagement<\/a><\/p>\n

\u00dcberleben sichern, nicht Statistiken verwalten<\/strong><\/h2>\n

Das Problem von Risikomanagement ist, dass es durch Zahlen, Prognosen und Prozents\u00e4tze eine tr\u00fcgerische Sicherheit vermittelt. Das f\u00fchrt zu der Einsch\u00e4tzung, dass ein Sicherheitsvorfall lediglich eine berechenbare, akzeptable M\u00f6glichkeit sei. Doch bei der Cybersicherheit geht es nicht darum, Verluste hinzunehmen \u2013 es geht ums \u00dcberleben. Wenn ein Angreifer Zugriff auf das Netzwerk erlangt, \u00fcbersteigt das Schadenspotenzial jede Prognose eines Risikomodells.<\/p>\n

Das Wort \u201eGefahr\u201c vermittelt eine Dringlichkeit, die dem Begriff \u201eRisiko\u201c nicht innewohnt. Wenn Menschen Gefahr sp\u00fcren, w\u00e4gen sie nicht erst die Chancen ab \u2013 sie handeln sofort. Sie l\u00f6st einen instinktiven Reflex aus, der Wachsamkeit und Handlungsbereitschaft erfordert. Genau dieses Mindset ist in der Cybersicherheit erforderlich.<\/p>\n

Lesetipp: 6 Risk-Assessment-Frameworks im Vergleich<\/a><\/p>\n

Die evolution\u00e4ren Wurzeln des Gefahrenmanagements<\/strong><\/h2>\n

Das menschliche Gehirn ist darauf programmiert, auf klare und unmittelbare Gefahren zu reagieren \u2013 nicht auf abstrakte Vorstellungen von potenziellem Schaden. Als unsere Vorfahren Raubtieren oder feindlichen Umgebungen gegen\u00fcberstanden, hielten sie nicht zuerst inne, um die statistische Wahrscheinlichkeit des Schadens zu berechnen; ihr Gehirn l\u00f6ste einen sofortigen Kampf- oder Fluchtinstinkt aus, der ihr \u00dcberleben sicherte.<\/p>\n

Beim Wechsel von einer Risiko- zu einer Gefahrenperspektive wird an diesen Urinstinkt angekn\u00fcpft. Das ermutigt Organisationen, Cyberbedrohungen als direkte und existenzielle Gefahren zu behandeln, die schnelles und entschlossenes Handeln erfordern \u2013 genauso wie unsere Vorfahren auf einen L\u00f6wen oder einen Sturm reagiert h\u00e4tten. Deshalb ist es notwendig, eine neue Perspektive in der Cybersicherheit einzunehmen und zu einem Modell zu wechseln, das auf dem Konzept der Gefahr basiert.<\/p>\n

Gefahrenmanagement und Zero Trust<\/strong><\/h2>\n

Im Zero-Trust<\/a>-Modell wird jedes Datenpaket als potenzielle Gefahr betrachtet. Jede Verbindung, Transaktion oder Anfrage wird mit Misstrauen gepr\u00fcft. Der Default-Modus sollte die Defensive sein. Zero Trust passt perfekt zum Konzept des Gefahrenmanagements, da es grunds\u00e4tzlich vom Schlimmsten ausgeht.<\/p>\n

Wenn Organisationen jede Netzwerkinteraktion als potenzielle Gefahr behandeln, anstatt das \u201eakzeptable Risiko\u201c einer Anfrage zu berechnen, w\u00e4re das ein Paradigmenwandel. Er w\u00fcrde Unternehmen dazu bringen, st\u00e4rker in Threat Detection, Eind\u00e4mmung (Containment) und Threat Response zu investieren. Anstatt des passiven Ansatzes, Checklisten f\u00fcr Compliance abzuhaken, w\u00fcrden Organisationen eine proaktive Verteidigungshaltung einnehmen, so als st\u00fcnde das Unternehmen st\u00e4ndig unter Beschuss \u2013 was tats\u00e4chlich der Fall ist.<\/p>\n

Eine Kultur der Dringlichkeit schaffen<\/strong><\/h2>\n

Gefahrenmanagement f\u00f6rdert eine Kultur der Dringlichkeit. Es schafft ein Umfeld, in dem jeder \u2013 vom Vorstand bis zur IT-Abteilung \u2013 versteht, dass bei Sicherheit nicht gefeilscht werden darf. Die Diskussion sollte sich nicht darum drehen, wie viel Risiko man bereit ist zu akzeptieren, sondern darum, wie man die Gefahren bew\u00e4ltigt, denen die IT der Organisation jeden Tag ausgesetzt ist.<\/p>\n

In der Cybersicherheit gibt es keinen Platz f\u00fcr Selbstzufriedenheit. Es ist kein Zahlenspiel, sondern kritische Ressourcen m\u00fcssen vor sehr realen und unmittelbaren Bedrohungen gesch\u00fctzt werden. Risikomanagement schw\u00e4cht dieses Gef\u00fchl der Dringlichkeit und gaukelt mehr Kontrolle vor, als tats\u00e4chlich der Fall ist. Gefahrenmanagement hingegen h\u00e4lt wachsam, fokussiert und auf das Unvermeidliche vorbereitet.<\/p>\n

Cybersicherheit sollte nicht l\u00e4nger als Verwaltung statistischer Risiken verstanden werden, die m\u00f6glicherweise auftreten k\u00f6nnten \u2013 sie muss als Verteidigung gegen Gefahren gesehen werden, die auf jeden Fall eintreten werden. Es geht nicht darum, Risiken abzumildern, sondern darum, die Gefahren einer zunehmend feindseligen Cyberlandschaft zu \u00fcberleben.<\/p>\n

Es ist an der Zeit, Cybersicherheit aufzuwerten und das Narrativ zu \u00e4ndern. Cyberbedrohungen sind keine theoretischen Risiken; sie sind reale, gegenw\u00e4rtige Gefahren. Je schneller diese Denkweise \u00fcbernommen wird, desto besser wird die digitale Welt gesch\u00fctzt werden. (jm)<\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Gefahrenmanagement statt Risikomanagement: Cybersicherheit erfordert Dringlichkeit und Entschlossenheit. Billion Photos \u2013 Shutterstock.com Herk\u00f6mmliches Risikomanagement basiert auf Wahrscheinlichkeiten und statistischen Berechnungen \u2013 doch in einer zunehmend komplexen und aggressiven Bedrohungslandschaft sind solche Prognosen unzuverl\u00e4ssig. Daher ist ein Umdenken n\u00f6tig: Anstatt dem Risikomanagement sollten Organisationen Gefahrenmanagement als neues Konzept einf\u00fchren. Risikomanagement impliziert, dass man die Wahrscheinlichkeit eines […]<\/p>\n","protected":false},"author":0,"featured_media":2001,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2000","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2000"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2000"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2000\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2001"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}