Anhand von Bewertungen der Cybersicherheitsrisiken können Bedrohungen und Sicherheitslücken erkannt, ihre potenziellen Auswirkungen abgeschätzt und die kritischsten Risiken priorisiert werden.

Wie ein Unternehmen eine Risikobewertung durchführt, hängt von den Prioritäten, dem Umfang und der Risikotoleranz ab, die während der Einordnung festgelegt wurden. Zumeist wird Folgendes bewertet:

Bedrohungen sind Personen und Ereignisse, die Störungen in einem IT-System verursachen, Daten stehlen oder anderweitig die Informationssicherheit gefährden könnten. Zu den Bedrohungen gehören vorsätzliche Cyberangriffe (wie Ransomware oder Phishing) und Fehler seitens der Mitarbeiter (wie das Speichern vertraulicher Informationen in nicht gesicherten Datenbanken). Naturkatastrophen wie Erdbeben und Wirbelstürme können ebenfalls eine Bedrohung für Informationssysteme darstellen.

Sicherheitslücken sind Mängel oder Schwachstellen in Systemen, Prozessen oder Anlagen, die ausgenutzt werden können, um Schaden anzurichten. Sicherheitslücken können technischer Natur sein, wie z. B. eine falsch konfigurierte Firewall, die Malware in ein Netz eindringen lässt, oder ein Fehler im Betriebssystem, durch den Hacker ein Gerät aus der Ferne unter Kontrolle bekommen können. Sicherheitslücken können auch durch unzureichende Richtlinien und Prozesse entstehen, z. B. durch eine nachlässige Zugriffssteuerungsrichtlinie, die Mitarbeitern einen umfangreicheren Ressourcenzugriff gewähren als nötig.

Auswirkungen sind das, was eine Bedrohung in einem Unternehmen anrichten kann. Eine Cyberbedrohung könnte eine Störung kritischer Services verursachen und Ausfallzeiten und Umsatzeinbußen zur Folge haben. Hacker könnten vertrauliche Daten stehlen oder vernichten. Betrüger könnten durch Manipulation geschäftlicher E-Mails Mitarbeiter dazu veranlassen, ihnen Geld zu senden.

Die Auswirkungen einer Bedrohung können über das Unternehmen hinausgehen. Kunden, deren personenbezogene Daten bei einer Datenschutzverletzung gestohlen wurden, sind ebenfalls Opfer des Angriffs.

Da die genauen Auswirkungen einer Cybersecurity-Bedrohung nur schwer quantifiziert werden können, schätzen Unternehmen die Auswirkungen häufig anhand von qualitativen Daten wie historischen Trends und den Geschichten von Angriffen auf andere Unternehmen ab. Auch die Assetkritikalität spielt eine Rolle: Je kritischer ein Asset ist, desto höhere Kosten verursachen die entsprechenden Angriffe.

Das Risiko ist ein Maß für die Wahrscheinlichkeit einer potenziellen Bedrohung und die Höhe des durch sie entstehenden Schadens. Bedrohungen, mit denen mit großer Wahrscheinlichkeit zu rechnen ist und die voraussichtlich einen erheblichen Schaden verursachen würden, stellen das größte Risiko dar, während unwahrscheinliche Bedrohungen, die nur einen geringfügigen Schaden verursachen würden, das geringste Risiko darstellen.

Bei der Risikoanalyse werden zur Einschätzung der Wahrscheinlichkeit einer Bedrohung mehrere Faktoren berücksichtigt. Vorhandene Sicherheitsmaßnahmen, die Art der IT-Sicherheitslücken und die Art der Daten, über die ein Unternehmen verfügt, können sich auf die Wahrscheinlichkeit einer Bedrohung auswirken. Sogar die Branche eines Unternehmens kann eine Rolle spielen: Der X-Force Threat Intelligence Index fand heraus, dass Unternehmen im Fertigungs- und Finanzsektor mehr Cyberangriffen ausgesetzt sind als Unternehmen in den Bereichen Transport und Telekommunikation.

Risikobewertungen können auf interne Datenquellen wie SIEM-Systeme (Security Information and Event Management) und externe Threat-Intelligence zurückgreifen. Sie können auch Bedrohungen und Sicherheitslücken in der Lieferkette des Unternehmens einbeziehen, da sich Angriffe auf Lieferanten auch auf das Unternehmen auswirken können.

Durch Abwägen all dieser Faktoren kann das Unternehmen sein Risikoprofil erstellen. Ein Risikoprofil ist ein Katalog der potenziellen Risiken des Unternehmens, priorisiert nach Kritikalität. Je größer das Risiko ist, das eine Bedrohung mit sich bringt, desto kritischer ist sie für das Unternehmen.