Unternehmen stehen häufig vor dem Problem, Cyberrisiken in Geschäftsrisiken zu übersetzen. Diese Kluft zu überbrücken hat sich der neu gegründete Risiko-Management-Anbieter Rimian vorgenommen: Die Rimian-Lösung Lifeblood korreliert IT-Risiken mit Geschäftsprozessen, um die Wertschöpfungskette bestmöglich abzusichern.
„Cyberrisiken bedrohen nicht die IT“, sagte Martin Braun, Gründer und Geschäftsführer von Rimian, anlässlich der Vorstellung seines neuen Unternehmens aus dem Ostallgäu, „sondern Cyberrisiken bedrohen die Geschäftsprozesse.“ Um Cyberresilienz aufzubauen, sei es deshalb wichtig, eine Sprache zu finden, die die Geschäftsführung versteht. „Die Verantwortung hierfür liegt bei der Geschäftsleitung“, so Braun. Doch die Geschäftsführung verstehe oft das Vokabular der IT-Security nicht, zumal es bei der IT im Gegensatz zu anderen Geschäftsrisiken um „extrem kurze Bewertungszyklen“ gehe.
Um die Risikolage der Wertschöpfungskette beurteilen zu können, korreliert die Rimian-Lösung Lifeblood laut Braun sämtliche Risiken, die durch IT-Assets entstehen könnten, mit dem Business. „Wir kontextualisieren die Risiken, indem wir die IT-Assets mit den Geschäftsprozessen verknüpfen“, so Braun. Dies erlaube es, IT-Risiken mit finanziellen Risiken in Beziehung zu setzen. Anders als beim heute üblichen manuellen, analogen Prozess biete Lifeblood eine automatisierte, KI-gestützte Risikobewertung, mittels anonymisierter Daten auch über Unternehmensgrenzen hinweg.
Als Einsatzfall nannte der Rimian-Chef die Versicherungsbranche: Versicherungen könnten mit Lifeblood die IT-Risiken von Unternehmen messen und auf dieser Bewertungsbasis ihre Cybersecurity-Policen entsprechend anpassen.
Lifeblood könne zudem Sicherheitslücken in den Endpunkten feststellen. Dahinter stehe bei Rimian aber kein Vulnerability-Management, sondern, so Braun: „Wir inventarisieren IT-Assets und matchen dann die Anforderungen hinsichtlich Patch-Management.“ So lasse sich ermitteln, was notwendig ist, um vorhandene Schwachstellen zu schließen.
Die Software erlaube es, Schwachstellen hinsichtlich ihrer Kritikalität zu bewerten, und liefere eine tagesaktuelle Bewertungsmatrix. Wichtig dabei: „Wir priorisieren die Risiken unter dem Blickwinkel der tatsächlichen Auswirkungen auf das Geschäft“, betont Braun.