Nachdem wir uns auf Basis der Security Briefings Nrn. 5 und 6 grundlegendes Wissen über Risikomanagement erarbeitet und die Risikoidentifikation durchgeführt haben, ist es nun an der Zeit, die identifizierten Risiken für uns zu bewerten.
Kurz zur Erinnerung, wo befinden wir uns?
Was ist das Ziel der Risikobewertung?
Ziel ist es, alle Risiken im Hinblick auf das Risiko für mein Geschäft bzw. meine Daten/Informationen zu bewerten, so dass ich einen Überblick darüber erhalte, wie gravierend die einzelnen Risiken für mich sind. Dieser Schritt ist deshalb so wichtig, da ich basierend auf den Ergebnissen meine Risiken nun priorisieren und im nächsten Schritt, der Risikobehandlung, mit geeigneten Maßnahmen reduzieren kann.
Welche Informationen benötigen wir für eine Bewertung?
Dies sind
die Art des Risikos (finanziell, Gesundheit etc.)
die Eintrittswahrscheinlichkeit (täglich, monatlich etc.)
der potenzielle Schaden (1Mio Euro, 1 Woche Krankenhaus etc.)
Die grundsätzliche Formel zur Berechnung des Risikos lautet
Risiko = Eintrittswahrscheinlichkeit * Auswirkung
Eintrittswahrscheinlichkeit:
Die Eintrittswahrscheinlichkeit einer Bedrohung stellt die Einschätzung der Wahrscheinlichkeit dar, dass eine bestimmte Bedrohung eine bestimmte Schwachstelle oder eine Reihe von Schwachstellen ausnutzen kann.
Auswirkung:
Im Allgemeinen handelt es sich bei der Auswirkung um die Höhe des Schadens, der als Ergebnis verschiedener Maßnahmen eingeschätzt werden kann, einschließlich, aber nicht beschränkt auf die Auswirkungen der illegalen Offenlegung von Informationen, der unrechtmäßigen Änderung von Informationen, der unbefugten Zerstörung von Informationen oder des Verlusts von Informationen oder der Verfügbarkeit von Informationssystemen.
Übersetzt:
Wir bewerten also wie wahrscheinlich es ist, dass etwas passiert und wenn es passiert, wie schlimm es werden könnte.
Ein Beispiel:
Wir betreiben ein System, welches mit dem Internet verbunden ist, es ist gehärtet, auf dem neusten Patchstand und robust. Die Eintrittswahrscheinlichkeit bewerten wir daher eher gering.
Nun erfahren wir, dass eine neue Schwachstelle entdeckt wurde, für die der Hersteller noch keinen Patch anbietet. Über die Schwachstelle kann sich ein Angreifer administrative Rechte auf dem System erschleichen.
In der Folge ändert sich unsere Einschätzung der Eintrittswahrscheinlichkeit mit hoher Sicherheit und damit ändert sich auch das Risiko.
Um die sich stetig ändernde Gefahrenlage mit einzukalkulieren, wird in der Informationssicherheit dieser Faktor oft noch als "Gefahr" mit in die Formel eingepflegt, so dass sich die Formel
Risiko = Gefahr * Eintrittswahrscheinlichkeit * Auswirkung
ergibt.
Gefahren in der Informationssicherheit sind beispielsweise Malware, SPAM, Phishingmails, Zero-Day-Exploits, technisches Versagen, Human Error etc.
Da Gefahren recht individuell sind, belasse ich es im Folgenden bei der Formel
Risiko = Eintrittswahrscheinlichkeit * Auswirkung
Um nun die tatsächliche Bewertung durchzuführen, gibt es zwei grundsätzliche Konzepte. Die qualitative und die quantitative Bewertung.
Qualitativ bedeutet, dass wir eine Bewertung vornehmen, die für Menschen leichter verständlich ist, also das Risiko ist niedrig oder hoch.
Quantitativ bedeutet, dass wir das Risiko in Form von Zahlen bewerten, also beispielsweise das Risiko liegt zwischen 1 und 5.
Diese Informationen bringen wir nun in ein Bewertungsschema, häufig in Form einer Excel-Tabelle oder für die fortgeschrittenen in ein entsprechendes Risikomanagementtool.
Für die Eintrittswahrscheinlichkeit könnte sich daher folgendes Schema ergeben:
Wert | Definition |
Sehr Gering (1) | Ein Bedrohungsereignis ist höchst unwahrscheinlich, da alle damit verbundenen Schwachstellen mit wirksamen Sicherheitsmaßnahmen abgedeckt wurden. |
Gering (2) | Ein Bedrohungsereignis ist unwahrscheinlich, da alle damit verbundenen Schwachstellen mit geeigneten Sicherheitsmaßnahmen abgedeckt wurden. |
Mittel (3) | Ein Bedrohungsereignis könnte möglicherweise eintreten, da es Schwachstellen gibt, die ausgenutzt werden können, und obwohl sie mit Sicherheitsmaßnahmen abgedeckt wurden, hätten bessere Sicherheitsmaßnahmen implementiert werden können. |
Hoch (4) | Ein Bedrohungsereignis ist wahrscheinlich, weil damit verbundene Schwachstellen vorhanden sind, die ausgenutzt werden können, und unwirksame oder veraltete Sicherheitsmaßnahmen zu deren Abwehr vorhanden sind. |
Sehr Hoch (5) | Ein Bedrohungsereignis tritt mit hoher Wahrscheinlichkeit ein, da damit verbundene Schwachstellen ausgenutzt werden können und keine angemessenen Sicherheitsmaßnahmen zu deren Abwehr vorhanden sind. |
Im Ergebnis verknüpfen wir hier die qualitative mit der quantitativen Bewertung. Die quantitative Bewertung ist später hilfreich, um das Risiko mathematisch zu berechnen (siehe Formel).
Für die Auswirkung könnten wir folgende Bewertung heranziehen:
Wert | Definition |
Unwesentlich (1) | Wenn dieses Risiko eintritt, gibt es wenig bis gar keine Konsequenzen. |
Gering (2) | Wenn dieses Risiko eintritt, ist das Risiko gering, aber überschaubar (z. B. Serviceausfall für weniger als 8 Stunden, kein finanzieller Verlust) |
Mittel (3) | Wenn dieses Risiko eintritt, braucht das Unternehmen Zeit, um es zu bewältigen, und die Folgen sind innerhalb des Unternehmens sichtbar (z. B. Serviceausfall für mehr als 24 Stunden, finanzielle Verluste für Kunden und das Unternehmen selbst) |
Hoch (4) | Wenn das Risiko eintritt, hat dies erhebliche Folgen für das Unternehmen und kann zu einem langfristigen Schaden führen (z. B. Serviceausfall für mehr als 3 Tage, erheblicher finanzieller Verlust für Kunden und das Unternehmen, der nicht auf eine Versicherungsgesellschaft übertragen werden kann) |
Katastrophal (5) | Wenn dieses Risiko eintritt, sind die Folgen für das Unternehmen katastrophal und können zu dauerhaften Schäden führen (z. B. werden die Services nie wiederhergestellt, Daten gehen unwiederbringlich verloren, die Kosten für die Wiederherstellung von den Auswirkungen könnten die finanziellen Möglichkeiten überschreiten). |
Diese zwei Bewertungen könnten wir nun für die Risikobewertung in eine Matrix übertragen, die wie folgt aussehen könnte:
Die farbliche Unterlegung hilft dabei, den Schweregrad schneller zu erkennen.
Diese Risikomatrix ermöglicht es uns, schnell eine Bewertung vorzunehmen. Eine hohe Eintrittswahrscheinlichkeit kombiniert mit einer mittleren Auswirkung ergibt ein hohes Risiko.
Nehmen wir direkt ein Beispiel zur Verdeutlichung.
Wir möchten das Risiko aufgrund von Malware für ein System bewerten. Dies könnte wie folgt aussehen:
Im Ergebnis bedeutet dies, dass das Risiko aufgrund der sehr hohen Eintrittswahrscheinlichkeit und der großen Auswirkungen mit Sehr hoch zu bewerten ist.
Wir haben damit das Brutto-Risiko berechnet.
Brutto-Risiko meint das Risiko, ohne irgendwelche Maßnahmen zur Risikoreduktion getroffen zu haben. Für das obige Beispiel also ohne aktiven Malwarescanner auf dem System.
Es ist hier ganz wichtig, dass die Risiken ohne bereits existierende Maßnahmen betrachtet werden, da ansonsten das Ergebnis verfälscht wird.
Dies erscheint im ersten Moment und wenn schon viele Maßnahmen existieren etwas irritierend, aber dies ist im Vorfeld der Risikobehandlung äußerst wichtig, damit wir die vorhandenen Maßnahmen nicht vergessen - und auch mögliche Wechselwirkungen nicht unbeachtet lassen.
Durch Maßnahmen können wir das Risiko reduzieren und erhalten ein Netto-Risiko.
Dazu mehr im nächsten Security Briefing, wenn es um die Risikobehandlung geht.
Zuständigkeit:
Für die Risikobewertung ist analog zur Risikoidentifikation die Abteilung bzw. der Verantwortliche zuständig, bei welchem das Risiko auftritt.
Die zweite Verteidigungslinie unterstützt durch Knowhow, die dritte Verteidigungslinie stellt sicher, dass die erste und zweite Verteidigungslinie ihrer Aufgabe verantwortungsvoll nachgekommen ist.
Fazit:
Im Rahmen der Risikobewertung prüfen wir für jedes einzelne Risiko die Eintrittswahrscheinlichkeit und die potenziellen Auswirkungen, sollte das Risiko tatsächlich eintreten.
Diese Bewertung erfolgt unter Berücksichtigung des individuellen Geschäftsmodells, der Unternehmensstruktur, der IT-Infrastruktur etc.
Im Ergebnis erhalten wir für jedes Risiko eine Bewertung und können auf Basis der Ergebnisse unsere Liste der Risiken danach sortieren.
Mit etwas Erfahrung oder Hinzuziehung von Branchenerfahrungen lässt sich ein Risiko dann sogar monetär ausdrücken, im Sinne ein Risiko der Bewertung Mittel entspricht einem finanziellen Risiko von beispielsweise 100.000€.
Diese Bewertung benötigt viel Erfahrung, ändert sich vermutlich über die Zeit und ist je nach Unternehmen und dem individuellen Risikoappetit sehr unterschiedlich.
Mit dem Ergebnis der Risikobewertung können wir anschließend in die Risikobehandlung gehen, dazu mehr im nächsten Security Briefing.
Dieser Beitrag ist als Kurzübersicht zu verstehen, das Thema Risikomanagement ist insgesamt wesentlich komplexer, bei Fragen kommen Sie gern direkt auf mich zu.
Comentarios