In seinem viralen Song, einer umgetexteten Version des 90er-Jahre-Hits „Gangsta’s Paradise“, rappt Dominik Merli, Professor für IT-Sicherheit an der Technischen Hochschule Augsburg, für mehr Cybersicherheit. Mit Baseballcap und Sonnenbrille singt er: „Jedes Jahr ein Schaden von hunderten Milliarden, aber klar, kein Stress, lass uns einfach mal – warten.“ Damit trifft er einen Nerv: Unternehmen dürfen nicht länger hoffen, dass schon nichts passiert. Sie müssen sich gezielt auf den Worst-Case vorbereiten, statt den Kopf in den Sand zu stecken. Und genau hier setzt Cybermodeling an.
Was ist Cyber-Risikomodellierung?
Mit den steigenden Kosten von Cybervorfällen wird es für Unternehmen immer wichtiger, nicht nur technische Schwachstellen, sondern auch die finanziellen und betrieblichen Auswirkungen ihrer Risiken zu verstehen. Dazu braucht es maßgeschneiderte Szenarien, die sich an den tatsächlichen Strukturen des Unternehmens orientieren und nicht an generischen Bedrohungsmodellen.
„Cybermodeling ist die strukturierte Entwicklung von Worst-Case-Szenarien, um darauf basierend die konkreten Folgen eines Cyberangriffs zu analysieren und quantifizieren”, sagt Squalify CEO Asdrúbal Pichardo. „Anders als bei klassischen Risikoanalysen geht es aber nicht nur um Eintrittswahrscheinlichkeiten und Schwachstellen. Stattdessen zeigt die Methode des Cybermodelings auf, welche Unternehmensbereiche besonders verwundbar sind, welche Konsequenzen ein Angriff auf zentrale Systeme hätten und welche Akteure im Ernstfall die Verantwortung tragen – technisch, organisatorisch und kommunikativ. Das versetzt Führungskräfte in die Lage, fundierte Entscheidungen zu treffen.”
Plattformen wie der Cyber-Risk-Quantification-Experte Squalify vereinfachen diesen Prozess durch standardisierte Methodik: Unternehmen füllen strukturierte Fragebögen aus und erhalten darauf basierend eine quantifizierte Worst-Case-Bewertung. So entsteht ein klares Bild der eigenen Risikolandschaft.
Anders als viele Sicherheitsansätze, die Bottom-up denken (also vom einzelnen IT-System zur Gesamtlage des Unternehmens), wählt Cybermodeling einen Top-down-Ansatz: Es analysiert, welche unternehmerischen Ziele durch einen Angriff bedroht wären und wie sich die Störung strategisch auswirkt. Damit wird Cyberrisiko nicht nur sichtbar, sondern auch steuerbar.
Worst-Case-Szenarien identifizieren und einstufen
Je nach Geschäftsmodell unterscheiden sich die gravierendsten Risiken, doch viele Worst-Cases lassen sich drei Kategorien zuordnen: Datenschutzverstöße, Betriebsunterbrechungen und finanzieller Diebstahl. Cybermodeling hilft, diese Szenarien nicht nur zu identifizieren, sondern hinsichtlich ihres Schadenspotenzials zu bewerten und gezielte Vorbereitungen zu treffen.
Worst-Case-Szenario: Datenschutzverstöße
Kompromittierte personenbezogene Daten, etwa durch Angriffe, Fehlkonfigurationen oder Drittanbieter-Tools, führen schnell zu Bußgeldern, Klagen und Reputationsverlust. Besonders kritisch sind zentral gespeicherte oder schlecht segmentierte Daten, bei denen ein einziger Vorfall Millionen Datensätze betreffen kann.
Die Schwere eines solchen Vorfalls hängt von mehreren Faktoren ab. Je größer das Datenvolumen und je sensibler die Informationen, desto höher das finanzielle Risiko. Besonders kritisch sind Gesundheitsdaten oder Zahlungsinformationen, da sie strengen regulatorischen Anforderungen unterliegen. Auch die Nationalität der betroffenen Personen spielt eine Rolle: Während bei EU-Bürgern die Datenschutz-Grundverordnung (DSGVO) greift, drohen in den USA oft zusätzliche Klagen und Meldepflichten. Wird die Verarbeitung personenbezogener Daten zudem über Drittanbieter abgewickelt, erhöht das die technische Komplexität und die rechtliche Unsicherheit im Ernstfall.
Cybermodeling hilft dabei, die gefährlichsten Kombinationen aus Datenstruktur, Verarbeitung und regulatorischer Haftung zu identifizieren und schafft damit die Grundlage, um Risiken gezielt zu reduzieren.
Worst-Case-Szenario: Betriebsunterbrechung
Ein Ausfall kritischer Systeme – etwa durch Ransomware, Softwarefehler oder den Ausfall von IT-Dienstleistern – kann ganze Geschäftsbereiche zum Stillstand bringen. Besonders betroffen sind Unternehmen mit hoher Systemvernetzung wie beispielsweise in der Industrie, im Handel oder in der Logistik.
Durch die Modellierung von Prozessketten, Abhängigkeiten und technischen Engpässen lassen sich verwundbare Stellen identifizieren. Unternehmen erkennen, wo Segmentierung fehlt, welche Systeme redundant abgesichert sind und wie ein geordneter Wiederanlauf im Ernstfall aussehen kann. So entsteht aus einem möglichen Kontrollverlust ein konkreter Handlungsplan.
Worst-Case-Szenario: Finanzieller Diebstahl und Betrug
Cybervorfälle müssen nicht raffiniert sein, um großen Schaden anzurichten. Angreifer nutzen immer häufiger betrügerische Zahlungsanweisungen, kompromittierte E-Mail-Konten oder manipulierte Finanzsysteme. Besonders Business Email Compromise (BEC)-Angriffe haben in den letzten Jahren stark zugenommen. Dabei schleusen sich Täter in bestehende Kommunikationsverläufe ein und bringen Unternehmen zum Beispiel dazu, Überweisungen an gefälschte Konten freizugeben.
Solche Angriffe verlaufen oft unauffällig, sind technisch wenig komplex und nutzen menschliche Schwächen aus, wie Zeitdruck, Routine oder fehlende Kontrollmechanismen. Die finanziellen Schäden sind dennoch enorm. Anders als bei Datenschutzverstößen oder Systemausfällen entstehen sie unmittelbar und lassen sich nur selten widerrufen. Besonders im Mittelstand fehlen oft klare Prozesse zur Absicherung von Zahlungsvorgängen.
Cybermodeling macht solche Schwachstellen sichtbar, indem es analysiert, wie Zahlungsprozesse organisiert sind, wo Manipulationen möglich wären und wie hoch die potenziellen Verluste ausfallen könnten. Auch die Rolle externer Partner, darunter fallen Buchhaltungs-Tools, Steuerkanzleien oder Dienstleister mit Zugriff auf Kontodaten, wird mit einbezogen. Auf dieser Grundlage können Unternehmen gezielt dort nachjustieren, wo finanzielle Angriffsflächen besonders groß sind: in Prozessabläufen, anstatt nur in der Technik selbst.
Was passiert im Cyber Gangsta’s Paradise, wenn wir wegsehen?
Trotz wachsender Bedrohungslage hoffen viele Unternehmen noch immer, dass der Ernstfall ausbleibt. Doch wer die eigenen Risiken nicht kennt, ist bei Vorbereitungen auf den Krisenfall dem Zufall ausgeliefert. Wie schon Professor Merli in seinem Song erklärt: „Wir müssen jetzt was tun, wir dürfen nicht mehr ruh’n“. Cybermodeling setzt diese Haltung durch Klarheit, Struktur und Vorbereitung um. Es schafft die Grundlage dafür, in der Krise nicht nur zu reagieren – sondern handlungsfähig zu bleiben.
