4.1 Ableitung einer umfassenden Definition und Taxonomie
Aufgrund der Ambivalenz bestehender Definitionsansätze bedarf es eines umfassenden, einheitlichen und allgemeingültigen Begriffsmodells, das zur Vereinheitlichung der Cyberterminologie beiträgt und als Basis für die zukünftige Cyberrisikoforschung dient. Dazu werden die identifizierten Kernmerkmale des Cyberrisikos (Tab.
1) weiter paraphrasiert, um einerseits alle Charakteristika zu berücksichtigen (Sicherstellung der Vollständigkeit) und andererseits eine allgemeingültige Definition abzuleiten (Sicherstellung der Akzeptanz). Ergänzt um die Erkenntnisse aus der Literaturrecherche zeigt Tab.
2 das abgeleitete Begriffsmodell (vgl. Cebula und Young
2010), welches in den folgenden Definitionsvorschlag des Terminus Cyberrisiko mündet:
Cyberrisiken umfassen Bedrohungen aus dem Cyberraum
4, welche aufgrund einer Schwachstelle sowohl materielle als auch immaterielle Werte als auch Menschen gefährden, was zu direkten und indirekten Schäden einer betroffenen Einheit und von Dritten führen kann.
Tab. 2
Abgeleitetes Begriffsmodell des Terminus Cyberrisiko in Anlehnung an Cebula und Young (
2010)
1.1 Beabsichtigt | 2.1 Hardware | 3.1 Materiell | 4.1 Direkt |
1.1.1 Betrug | 2.1.1 Kapazität | 3.1.1 Hardware | 4.1.1 Schäden |
1.1.2 Sabotage | 2.1.2 Leistung | 3.1.2 Software | 4.1.2 Betrieb |
1.1.3 Diebstahl | 2.1.3 Instandhaltung | 4.1.3 Finanzen |
1.1.4 Vandalismus |
1.2 Unbeabsichtigt | 2.2 Software | 3.2 Immateriell | 4.2 Indirekt |
1.2.1 Fehler | 2.2.1 Design | 3.2.1 Informationen | 4.2.1 Sicherheit |
1.2.2 Irrtum | 2.2.2 Integrität | 3.2.2 Dienstleistungen | 4.2.2 Reputation |
1.2.3 Versäumnis | 2.2.3 Komplexität | 4.2.3 Rechtsbelange |
2.3 Organisation | 3.2 Menschen | 4.3 Dritte |
2.3.1 Prozesse | 3.2.1 Physisch | 4.3.1 Direkt |
2.3.2 Kenntnisse | 3.2.2. Psychisch | 4.2.2 Indirekt |
2.3.3 Menschen |
Cyberrisiken können sich aus
beabsichtigten oder
unbeabsichtigten Bedrohungen ergeben. Damit sind neben betrügerischen Aktivitäten (z. B. Cyberangriff, Cyberkriminalität, Cyberterror und Cyberkrieg), Sabotage, Diebstahl und Vandalismus auch unbeabsichtigte Bedrohungen wie Fehler, Irrtümer oder Versäumnisse inkludiert. Ferner entstehen Cyberrisiken durch Aktivitäten im Cyberraum (Refsdal et al.
2015). Unter diesem Oberbegriff lassen sich spezifische Tätigkeiten wie zum Beispiel die Verarbeitung von digitalen Informationen (Hiller und Russell
2013), unter anderem in der Cloud oder dem Metaverse, sowie internetbezogene Risiken (Gordon et al.
2003) subsumieren. Da der Begriff des Cyberraums bereits durch das BSI (
2021) als zuständige Cybersicherheitsbehörde des Bundes definiert ist, kann die Verwendung dieses Glossarbegriffes zur Akzeptanz der neu postulierten Definition beitragen. Obwohl manche Definitionsansätze nicht nur digitale sondern auch physische Bedrohungen (z. B. Schaden an einem Netzwerkkabel, Brand eines Serverraums) als Cyberrisiko kategorisieren (Aldasoro et al.
2020; Böhme et al.
2019; Strupczewski
2021), werden solche Risiken in diesem Beitrag als operationelle Risiken beziehungsweise IT-Risiken verstanden (Seibold
2006; Wrede et al.
2018), um eine eineindeutige Abgrenzung verwandter Begrifflichkeiten herzustellen (vgl. Abschn. 4.2).
Des Weiteren nutzen Cyberrisiken Vulnerabilitäten in der
Hardware oder
Software, beispielsweise von Informations- und Kommunikationstechnologiesystemen (IKT-Systeme), oder in der
Organisation, durch mangelhafte Prozesse, Kenntnisse oder den Faktor Mensch als Einfallstor. Die von Cyberrisiken betroffenen Risikoobjekte umfassen
materielle und
immaterielle Güter wie zum Beispiel IKT-Systeme und Netzwerke (Hardware und Software) sowie (digitale) Informationsgüter, Daten sowie deren Verwendung, Transfer und Speicherung (Informationen und Dienstleistungen). Besonders hervorzuheben ist der
Mensch als potenzielles Risikoobjekt. Weiter beinhaltet das Begriffsmodell
direkte Auswirkungen wie materielle Schäden, betriebliche Effekte (z. B. Geschäftsunterbrechungen) und finanzielle Verluste. Zu den
indirekten Auswirkungen gehören der Verlust der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und Dienstleistungen (
Sicherheit; Königs
2017) sowie Reputations- und rechtliche Auswirkungen. Ferner sind direkte und indirekte Auswirkungen bei
Dritten, bis hin zum Zusammenbruch der kritischen Infrastruktur, nicht auszuschließen.
Hinsichtlich der Vollständigkeit hat bereits Strupczewski (
2021) gezeigt, dass nur die Definition von Eling et al. (
2016) umfassend formuliert ist. Zusätzlich gibt es keine weitere forschungsnahe oder praxisnahe Definition aus der analysierten Grundgesamtheit, welche umfassender als der Vorschlag von Eling et al. (
2016) verfasst ist.
5 Bezüglich der Vollständigkeit decken sowohl Eling et al. (
2016) als auch die in diesem Beitrag postulierte Definition die vier Kategorien Bedrohungen, Vulnerabilitäten, Risikoobjekte und Auswirkungen ab. Bezüglich der Allgemeingültigkeit zeigt die Definition von Eling et al. (
2016) jedoch Schwächen auf. Insbesondere die Nennung (finanz-)mathematischer Eigenschaften ist zwar für Aktuare und Assekuranzen relevant, spielt jedoch für andere Bereiche und die disziplinübergreifende Cyberforschung eine untergeordnete Rolle. Des Weiteren wirken bundesweite und internationale Programme zur Förderung und zum Aufbau von Cyberdatenbanken beispielsweise durch MELANI in der Schweiz oder das BSI in Deutschland der in der Definition genannten „Unsicherheiten in den Daten und der Modellierung“ langfristig entgegen (Eling
2020). Trotz des ausführlichen und wertvollen Definitionsvorschlags von Eling et al. (
2016) ist diese Definition nicht allgemeingültig und somit als fachspezifisch einzustufen.
Im Vergleich dazu bietet der neue Definitionsvorschlag eine umfassende und allgemeingültige Alternative zu den bisherigen, disziplinspezifischen Definitionsansätzen. Die Ableitung des Begriffsmodells ergänzt die abstrakt formulierte Definition und deckt alle fachlichen Aspekte ab. Zudem kann die Taxonomie durch fachspezifische Bedürfnisse erweitert werden, beispielsweise um ein passendes Cyberrisikomodul für das unternehmensinterne Informationssicherheitssystem (ISMS) zu entwickeln.
4.2 Abgrenzung zu verwandten Begrifflichkeiten
Aufgrund der Vielzahl an unterschiedlichen Definitionsansätzen des Cyberrisikobegriffes gibt es keine eindeutige Abgrenzung zu verwandten Begrifflichkeiten, wie zum Beispiel Informationstechnologierisiko (IT-Risiko) und Informationssicherheitsrisiko (IS-Risiko). In Forschung und Praxis haben sich in Bezug auf die beiden letztgenannten Begriffe eine vage Abgrenzung herausgebildet: Während das IT-Risiko eher technische Risiken umfasst, ausgehend von der Informationstechnologie hin zu denjenigen, die sie anwenden, besteht das IS-Risiko aus eher inhaltlich orientierten Risiken, ausgehend von den (Geschäfts‑)Prozessen und den mit ihnen befassten Rollen hin zu notwendigen technischen Voraussetzungen (Knoll und Strahringer
2017). Bei genauerer Betrachtung ergeben sich Überschneidungen zwischen dem IT- und IS-Risiko (Königs
2017). Zusätzlich führt das Begriffswirrwarr des Terminus Cyberrisiko dazu, dass ein theoretisches Konstrukt zur eindeutigen Abgrenzung der Begrifflichkeiten erforderlich ist (Eling
2018).
Vor diesem Hintergrund stellt Tab.
3 eine strukturierte Abgrenzung von Cyber‑, IT- und IS-Risiko anhand der Kategorien
Bedrohungen und
Risikoobjekte dar. Analog des Begriffsmodells (Tab.
2) wird zwischen materiellen, immateriellen Risikoobjekten und dem Menschen unterschieden. Die Kategorie Bedrohungen wird anhand von Aktivitäten aus dem Cyberraum respektive Nicht-Cyberraum gemäß der postulierten Definition separiert.
Tab. 3
Abgrenzung der Begrifflichkeiten Cyberrisiko, Informationstechnologierisiko (IT-Risiko) und Informationssicherheitsrisiko (IS-Risiko)
Risikoobjekte | Materiell | X | X | (X) | – | X | (X) |
Immateriell | X | (X) | X | – | (X) | X |
Menschen | X | – | – | – | – | – |
Cyberrisiken sind Bedrohungen aus dem Cyberraum und gefährden sowohl materielle als auch immaterielle Werte als auch Menschen. IT-Risiken hingegen sind eher technischer, also materieller Natur – eine Unterscheidung in Cyber- und Nicht-Cyberraum ist für das IT-Risiko nicht erforderlich. Analog sind IS-Risiken eher immaterieller Natur. Überschneidungen ergeben sich insbesondere bei der Separierung in materielle (vorwiegend IT) und immaterielle (vorwiegend IS) Werte.
Zur Illustration der Abgrenzung können verschiedene Szenarien eines (Hacker‑)Angriffes auf ein Rechenzentrum beispielhaft herangezogen werden. Unter der Annahme, dass es Hackern gelingt, das Rechenzentrum über den Cyberraum zu infiltrieren und lahmzulegen, handelt es sich um ein Cyber- beziehungsweise IT-Risiko. Werden anstatt des Servers geheime Unternehmens- und Patientendaten angegriffen, ergibt sich ein Cyber- beziehungsweise IS-Risiko. Stehen anstatt Server und Daten Menschen im Vordergrund, beispielsweise durch Cybermobbing von Mitarbeitern, spricht man von einem Cyberrisiko. Analog handelt es sich um kein Cyberrisiko, wenn das Rechenzentrum aufgrund eines Kabelbrandes ausfällt (IT-Risiko) oder Unternehmensdaten verloren gehen (IS-Risiko).
Diese Abgrenzung zeigt sowohl die Gemeinsamkeiten als auch die Unterschiede der drei Begrifflichkeiten auf. Die Anwendung des Cyberraumes ermöglicht eine strukturierte Abgrenzung des Begriffes Cyberrisiko von verwandten Fachbegriffen wie IT- und IS-Risiko.