Was würde ein Cyberangriff Ihr Unternehmen tatsächlich kosten?

FAIR wurde von Jack A. Jones als Alternative zu qualitativen Risikobewertungen entwickelt, also den Heatmaps und Farbmatrizen, die sich nicht in Geschäftsentscheidungen übersetzen lassen. Gegen «Orange» kann man kein Budget planen.

Stattdessen modelliert FAIR Cyberrisiken wie ein Versicherer: Wie wahrscheinlich ist ein Ereignis und wie viel würde es kosten? Die Kerngleichung ist einfach: Häufigkeit von Verlustereignissen mal Verlusthöhe ergibt das Risiko. Das Ergebnis ist eine finanzielle Spanne in Euro, Franken oder Pfund.

Das Rahmenwerk wird als offener Standard von The Open Group gepflegt (Open FAIR Risk Analysis, O-RA) und ist der führende Ansatz für quantitative Cyberrisikoanalyse. Referenz: «Measuring and Managing Information Risk: A FAIR Approach» (Jones & Freund, 2014).

Eine FAIR-basierte Analyse untersucht vier Bereiche, die jede Führungskraft beurteilen kann:

Unternehmensprofil. Branche, Land und Grösse setzen die Ausgangslage. Ein Schweizer Gesundheitsdienstleister ist ganz anderen Bedrohungen und Regulierungen ausgesetzt als ein niederländisches Einzelhandelsunternehmen.

Betriebsmodell. Produktionslinien, E-Commerce, Cloud-Nutzung: Diese Details bestimmen, wie lange Sie offline wären und was die Ausfallzeit kostet. Produktionsbetriebe erleben wochenlange Störungen, Cloud-native Unternehmen erholen sich in Tagen.

Datensensibilität. Kundendaten, Finanzinformationen, Gesundheitsdaten, Geschäftsgeheimnisse: Je sensibler, desto höher die Einsätze. Ab 100'000 Datensätzen steigen Benachrichtigungskosten und regulatorische Kontrolle dramatisch.

Sicherheitsreifegrad. Incident-Response-Plan, geschulte Mitarbeitende, Cyberversicherung: Ihr Vorbereitungsgrad ist der grösste einzelne Hebel zur Reduktion der finanziellen Auswirkungen.

FAIR definiert sechs «Verlustformen» (Open FAIR Risk Taxonomy, O-RT, The Open Group):

• Produktivitätsverlust: Umsatzverlust durch Ausfallzeit. Produktionsbetriebe und E-Commerce trifft es am härtesten.

• Reaktionskosten: Forensik, Rechtsberatung, Kundenbenachrichtigung, Kreditüberwachung, oft der grösste Einzelposten.

• Ersatzkosten: Wiederaufbau oder Ersatz kompromittierter Systeme. Physische Infrastruktur kostet mehr als Cloud.

• Regulatorische Bussen: DSGVO Artikel 83(5) erlaubt bis zu 4 % des weltweiten Jahresumsatzes oder EUR 20 Millionen. NIS2 kommt für kritische Infrastruktur hinzu. Das Schweizer nDSG bringt eigene Sanktionen.

• Verlust des Wettbewerbsvorteils: Gestohlenes geistiges Eigentum kann jahrelange Marktpositionierung zunichtemachen.

• Reputationsschaden: Laut IBMs Cost of a Data Breach Report zählen «entgangene Geschäfte» einschliesslich Kundenabwanderung durchgehend zu den grössten Kostenfaktoren.

Was treibt diese Zahlen nach oben? Gesundheitswesen und Finanzdienstleistungen unterliegen strengerer Regulierung. Über 100'000 Kundendatensätze vervielfachen Benachrichtigungskosten. Kritische Infrastruktur bedeutet höhere Bussen. Physische Produktionsumgebungen brauchen länger zur Wiederherstellung.

Die Faktoren, die das Risiko am stärksten reduzieren, sind gut verstanden:

• Incident-Response-Plan: Laut IBM Cost of a Data Breach Report durchgehend einer der wichtigsten kostenmindernden Faktoren.

• Cyberversicherung: Der grösste einzelne Kostendämpfer.

• Mitarbeiterschulung: Der Verizon DBIR zeigt, dass die Mehrheit der Vorfälle ein menschliches Element beinhaltet. Regelmässige Trainings schliessen diese Lücke wirksam.

• Regelmässige Sicherheitsbewertungen: Periodische Tests decken Schwachstellen auf, bevor Angreifer sie finden.

• Cloud-Infrastruktur: Cloud-basierte Organisationen erholen sich schneller mit niedrigeren Ersatzkosten.

IBMs Forschung zeigt, dass die Kombination dieser Massnahmen die Gesamtkosten eines Vorfalls um bis zu 46 % senken kann.

Der WAARD Breach Impact Calculator wendet dieses FAIR-Modell direkt auf Ihr Unternehmen an. In fünf Minuten beantworten Sie vier Fragenblöcke zu Unternehmensprofil, Betrieb, Datensensibilität und Sicherheitslage, und erhalten eine personalisierte Schätzung Ihrer finanziellen Exposition.

Was im Hintergrund passiert: Der Calculator wendet länderspezifische Multiplikatoren an (Schweizer Unternehmen haben aufgrund der Offenlegungspflichten höhere Kosten) und branchenkalibrierte Ausgangswerte (Gesundheitswesen und Finanzdienstleistungen tragen strukturell höhere Exposition). Dann modelliert er jede der sechs FAIR-Verlustformen einzeln, Ihren Produktivitätsverlust aus branchenspezifischen Ausfallzeit-Benchmarks, Ihre regulatorische Exposition über DSGVO, nDSG, NIS2 und PCI DSS, und Ihr Reputationsrisiko basierend auf Datensensibilität und sektorspezifischen Abwanderungsraten.

Ihre Sicherheitslage reduziert das Gesamtergebnis direkt. Incident-Response-Plan, Cyberversicherung, Mitarbeiterschulung und regelmässige Bewertungen senken jeweils Ihre Exposition. Zusammen können sie den geschätzten Schaden um bis zu 45 % reduzieren.

Das Ergebnis: eine finanzielle Spanne (bester, erwarteter und schlimmster Fall), ein Risikoscore im Branchenvergleich, eine Aufschlüsselung Ihrer Kostenquellen, ein realistischer Zeitplan für die Wiederherstellung und eine regulatorische Übersicht der für Sie geltenden Gesetze.

Kein technisches Fachwissen nötig. Keine Verpflichtung. Fünf Minuten, kostenlos.