Jeder Pilot kennt sie, die gute alte analoge und umweltfreundliche - da windbetriebene - Windhose (auch Windsack oder Windsocke).
Was eine Windhose mit Informationssicherheit zu tun hat?
Mehr als man denken mag.
Aber was macht eine Windhose eigentlich?
Windhosen finden sich typischerweise an jedem Flughafen (und auch gern mal an Brücken und anderen Stellen) als Möglichkeit, die Windrichtung und -stärke anzuzeigen.
Eine hängende Windhose zeigt, dass wenig Wind herrscht, eine aufgeblasene Windhose indiziert hohe Windgeschwindigkeiten.
Für einen Piloten kann dies beispielsweise relevant sein, wenn Wetterinformationen weder per Funk noch über andere technische Geräte verfügbar sind.
Der Pilot kann dann durch Überfliegen des Flughafens und mit Blick auf die Windhose („Windcheck“) erkennen, woher der Wind weht und mit welcher Windstärke in etwa zu rechnen ist.
Dies ist wichtig, um die passende Landebahn zu wählen und um die Windverhältnisse einschätzen zu können. Nicht immer liegt die Landebahn parallel zum Wind, daher ist es wichtig, die windbedingte Seitwärtsbewegung abschätzen zu können und die sich dadurch verändernde Flugbahn und den Anstellwinkel.
Wind von der Seite kann dazu führen, dass größere Korrekturen beim Anflug erforderlich sind.
Ja okay - aber was hat das jetzt mit Informationssicherheit zu tun?
Ein wesentlicher Bestandteil der Informationssicherheit ist das Risikomanagement - okay - war nicht so schwer. 😉
Zurück zur Frage:
Was eine Windhose mit Informationssicherheit zu tun hat?
Sie ist ein Risikoindikator.
Exkurs Risikoindikator
Ein Risikoindikator ist eine Kennzahl (Schwellwert), deren Erreichen über den bevorstehenden Eintritt eines Risikos informieren (warnen) soll, welches eine vordefinierte Grenze überschreitet.
Ein Risikoindikator ist eine Art Frühwarnsystem für bevorstehende Krisen.
Zur Ermittlung des Risikoindikators werden die Wahrscheinlichkeit eines Ereignisses und deren negative Konsequenzen mit dem Risikoappetit der Organisation abgeglichen.
Der individuelle Risikoappetit (die Bereitschaft ein Risiko einzugehen) muss von der Organisation definiert werden. Meistens erfolgt dies in monetärer Form, d.h. ein Verlust von bis zu Summe X ist negativ, aber noch zu ertragen, während ein Schaden ab Wert X unbedingt abgewendet werden muss, damit das Risikopendel von Gewinn vs. Verlust nicht in Richtung Verlust über den definierten Schwellwert hinaus ausschlägt.
Der Risikoappetit kann für ein Unternehmen komplett aber auch innerhalb eines Unternehmens für einzelne organisatorische Bereiche unterschiedlich definiert sein.
Risikomanagement
Ein Pilot ist kontinuierlich mit Risikomanagement beschäftigt - und jedes Unternehmen sollte dies ebenso eifrig tun, denn ein gutes Risikomanagement mit sinnvollen Risikoindikatoren kann frühzeitig auf Probleme hinweisen und ermöglicht so Zeit für die Entwicklung von Gegenmaßnahmen.
Eine hängende Windhose ist vergleichbar mit geringem Risiko, eine voll aufgeblasene Windhose signalisiert ein hohes Risikopotenzial.
Für den Piloten bedeutet dies, bei zu starkem Wind oder Böen von ungünstiger Seite könnte dies zu der Entscheidung führen, nicht dort zu landen oder einen anderen Anflugweg zu wählen.
Jeder Pilot versucht Risiken auf das geringste Maß zu beschränken, nichtsdestotrotz berechnet er das Risiko auf Basis persönlicher Fähigkeiten und der Leistung des Fluggeräts.
Unternehmen müssen für Risiken ebenfalls Werte definieren, damit sie einen Risikoindikator erstellen können und ziehen dafür individuelle Werte heran.
In Bezug auf den Risikoindikator Windhose fällt daher jeder Pilot eine andere Entscheidung, genau wie Unternehmen Risiken unterschiedlich bewerten.
Risikoindikatoren unterstützen somit dabei, auf Basis vordefinierter Werte die Wahrscheinlichkeit eines Risikoeintritts schneller zu erkennen, um zügig (möglichst vordefinierte) Maßnahmen einleiten zu können.
Risikoindikatoren sind wichtige Messgrößen, um zu informieren, dass die Gefahr besteht, den Rahmen des definierten Risikoappetits zu verlassen.
Piloten sind im Risikomanagement speziell geschult, da sie unentwegt Entscheidungen (=Maßnahmen) treffen müssen, um Risiken zu minimieren oder zu vermeiden.
Für das Risikomanagement in der Informationssicherheit ist der CISO federführend zuständig, es ist seine Aufgabe zusammen mit den Stakeholdern im Unternehmen alle Risiken zu erfassen, deren Bewertung sicherzustellen und darauf basierend Risikoindikatoren zu entwickeln.
Ähnlich tun es Autofahrer im Straßenverkehr, hier ist zum Beispiel der Abstand zum Vordermann eine Messgröße, die als Risikoindikator bei Unterschreiten eine Reaktion erfordert (z.B. abbremsen).
Hat Dir dies Beispiel gefallen, dann bewerte den Artikel.
Hast Du Fragen? Melde Dich bei mir!
Demnächst noch mehr zum Thema Risikomanagement
Comments