Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Informationssicherheit und Risikomanagement

Autor: Philipp Schaumann - Letzte inhaltliche Änderungen: Aug. 2018

An dieser Stelle befindet sich eine stark überarbeitete und stark erweiterte Version des Kapitels "Risikoanalyse" aus dem Buch "Informationssicherheit und das Eisbergprinzip". Hier das Gesamtinhaltsverzeichnis.

 

Risikoanalyse

Wenn wir uns ernsthaft und systematisch mit dem Schutz des Unternehmens beschäftigen wollen, so kommen wir nicht darum herum, das Thema Risiko zu betrachten. Worum geht es dabei?

Was bedeutet Risiko?

Risiko wird im Wörterbuch als 'die Möglichkeit eines negativen Resultats, d.h. von Schäden oder Verlusten' definiert. Was dies für das einzelne Unternehmen bedeutet, kann sehr unterschiedlich sein. Dies bedeutet, dass ich bei jeder Risikobetrachtung erst mal möglichst genau definieren muss, was ein erwünschter und was ein unerwünschter Ausgang ist. "Maximierung des Gewinns" könnte z.B. ein erwünschter Ausgang sein, unerwünscht wäre dann z.B. Gewinneinbruch. Aber andererseits würde eine ständige Optimierung in diese Richtung verhindern, dass notwendige Investitionen für die Zukunft getätigt werden, was mit einem großen Risiko verbunden wäre.

Was im Einzelfall als erwünscht betrachtet wird, hängt vor allen Dingen vom jeweiligen Geschäftsmodell ab, nämlich davon, wie ein bestimmtes Unternehmen sein Geld verdient. Jegliches Risiko zu vermeiden kann auch das Ende eines Unternehmens bedeuten. Denn: "no risk, no fun" und "wer nichts wagt, der nichts gewinnt". Das Eingehen von Risiken kann neue Chancen für ein Unternehmen eröffnen. Risikomanagement soll dazu dienen, die Risiken "in den Griff zu bekommen", d.h. zu erkennen, welche Risiken ich mit einer bestimmten Entscheidung (oder auch Nicht-Entscheidung) eingehe und welche Möglichkeiten ich habe, diesen Risiken zu begegnen.

Bei einem Unternehmen das etwas produziert, kann ein zeitlich begrenzter Ausfall der Produktion oft ein sehr kostspieliges Problem darstellen. In diesem Fall muss ich die Produktion gegen solche Risiken geeignet absichern.

Andererseits ist für ein Beratungsunternehmen der Verlust von Know-how durch Abwanderung der erfahrensten Berater oft tödlich. Oder für eine Bank wäre der Verlust der Reputation das Ende. Für eine Firma, die mit Adressenhandel ihr Geld verdient, könnte der Verlust der Adressdatei, oder wenn diese Datei in die Hände der Konkurrenz fällt, das Ende der Firma darstellen. Und für eine Firma, die nur über das Internet verkauft, ist der Verlust der Website das Hauptrisiko. Und das Jahr 2002 hat gezeigt, dass für eine ganze Reihe von Firmen in den USA, Deutschland und Österreich Fehlentscheidungen der Geschäftsleitung das Hauptrisiko waren und zum Zusammenbruch des Unternehmens geführt haben.

Letztendlich geht es bei der Risikoanalyse um etwas, was jeder Mensch täglich tut. Bevor wir uns entscheiden, vielleicht doch bei roter Ampel über die Straße zu gehen, schätzen wir ganz schnell das Risiko ab, das damit verbunden ist. Wie viel Verkehr ist gerade? Ist irgendwo ein Polizist, der mich erwischen könnte? Schauen gerade Kinder zu, für die ich ein schlechtes Vorbild wäre?

Es geht bei allen Risikoentscheidungen darum, dass ich Annahmen über die Zukunft machen muss, die ich jedoch nicht kennen kann. Worauf kann ich diese Entscheidungen gründen? Da wären z.B. als ganz wichtiger Punkt die Erfahrungen aus der Vergangenheit. War diese Unternehmung früher eher mit Gefahr oder mit Erfolg verbunden? Andererseits gibt es zahllose Beispiele, wo ein Beharren auf der Idee, dass alles auch in Zukunft so bleiben wird, zum Untergang von Unternehmen und ganzen Unternehmensbranchen geführt hat. Die Eisenbahngesellschaften, die vor 1900 ein Monopol für den Transport über größere Strecken hatten, konnten sich nicht vorstellen, einmal von Autos und Bussen abgelöst und in den USA zu einer absoluten Randposition gedrängt zu werden. Und die Busgesellschaften (und in Europa die Eisenbahnen) konnten sich noch vor 50 Jahren nicht vorstellen, dass Flugzeuge mal zu einer Konkurrenz im Massen-Fernverkehr werden könnten. D.h., wenn ich darauf vertrauen will, dass die Zukunft genauso wie die Vergangenheit abläuft, so sollte ich dafür schon sehr gute Gründe haben.

Ein weiterer Punkt sind die Ratschläge von außen, z.B. Freunde, aber auch die Presse, Bücher, usw. Raten mir alle davon ab, eine geplante Bergtour bei diesem Wetter durchzuführen, so haben sie evtl. recht. Und sogar die "Mode" spielt eine Rolle: früher sind wir alle ohne Kopfschutz mit dem Fahrrad gefahren, jetzt gilt das als riskantes Unterfangen. Ganz wichtig ist der gesunde Menschenverstand und das Bauchgefühl. Wenn mir ein Plan Unbehagen bereitet, so will mir mein Unterbewusstsein etwas sagen, was mir mein Verstand evtl. nicht sagen kann. Aber natürlich irrt auch oft der Bauch. So schätzen die Menschen ganz oft die Risiken falsch ein, wenn sie z.B. glauben, dass es viel weniger gefährlich ist, mit dem Auto nach Hamburg zu fahren, als das Flugzeug zu nehmen. D.h. kritisches Hinterfragen ist bei solchen Bauchgefühlen auch wichtig.

Und verschiedene Persönlichkeiten haben verschiedene Wege, mit Ungewissheiten in der Zukunft und möglichen Gefährdungen umzugehen. Es gibt die ganz vorsichtigen, die Pessimisten, die immer ein "worst case scenario" annehmen und es gibt die Optimisten, die immer ein "best case scenario" annehmen. Wenn es um Geschäftsrisiken geht, so ist es ähnlich. Wer aber immer vom worst case ausgeht, der kann vor Angst gelähmt sein und unternimmt evtl. gar nichts. Dies kann aber für ein Unternehmen am Markt auch wiederum ein erhebliches Risiko darstellen. Wenn ein Unternehmen einen neuen Markt verschläft, ist es auch gefährdet.

Die Subjektivität der Risikoeinschätzungen sieht man übrigens sehr schön, wenn man sich die Statistiken der tödlichen Krankheiten anschaut.

 

 

 

Verschiedene Arten von Risikoanalysen

Ich unterscheide drei verschiedene Typen von Risikoanalysen. Der erste Typ ist eine numerische, quantitative Risikoanalyse, wie sie z.B. von Versicherungen und Banken durchgeführt wird. Sie beruht auf wissenschaftlichen Grundlagen, z.B. Entscheidungstheorie und Statistik. Sie arbeitet mit Entscheidungsbäumen und liefert Entscheidungshilfen, z.B. zu welchem Preis etwas gekauft werden sollte, erwartete Gewinne oder Verluste (und die Höhe nötiger Rückstellungen), oder die Summe der erwarteten Gesamtschäden (für eine Versicherung) ebenso wie die erwartete Bandbreite der möglichen Ausgänge (die sog. Volatilität) sein wird. Dies setzt aber voraus, dass ich die Eingangsparameter ziemlich gut beziffern kann. Dies ist nur in Ausnahmefällen wirklich möglich. Die zweite Herausforderung ist, dass ich Annahmen über die Zukunft machen muss und zwar in quantitativer Form.

Dies ist in vielen Fällen möglich, in vielen anderen jedoch nicht. Wenn ich für eine Versicherung arbeite und mich mit Erdbeben oder Bränden beschäftige, dann gibt mir die Vergangenheit in der Regel gute Abschätzungen über die erwarteten Schäden in der Zukunft, speziell weil ich als Versicherung eine große Zahl von Schäden auswerten kann. Wenn die Versicherung aber davon ausgehen muss, dass sich die Stärke der Unwetter auf Grund der Klima-Entwicklung in der Zukunft stark verändern wird, so auch diese auf dünnem Eis. Ganz dünn wird das Eis aber immer dann, wenn ich als Unternehmer nicht auf große Datenmengen auf Vorfälle in der Vergangenheit zugreifen kann (z.B. weil sich niemand die Mühe gemacht hat, Maschinenausfälle zu dokumentieren) und/oder wenn ich es mit einem neuen Phänomen zu tun habe, das es früher noch gar nicht gab und wo daher auch keine Statistiken vorliegen können. Dies ist z.B. bei der Technologiefolgenabschätzung für neue Technologien das Problem (siehe dazu auch meine Texte zu den möglichen Risiken der Nanotechnologie).

Die Annahme, dass die Zukunft einfach eine Fortführung der Vergangenheit sei, hat schon zu erheblichen Fehlprognosen geführt. Ein sehr empfehlenswertes, weil verständliches Buch zu numerischer, quantitativer Risikoanalyse ist von Dan Borge, "Wenn sich der Löwe mit dem Lamm zum Schlafen legt". Eine wissenschaftlichere Beschreibung befindet sich in Wikipedia unter dem Stichwort Value at Risk (VaR).

Anmerkung Dez. 2008: die VaR-Methode, ihr Versagen oder die Nicht-Beachtung ihrer Ergebnisse - dazu sind die Experten sich nicht ganz einig, ist übrigens mit einer der Gründe warum im Banken- und Investmentbereich beginnend in 2007, aber dann immer stärker Ende 2008, solch große Verluste eingefahren wurden. Eines der Stichworte dabei ist Fat Tail (auch "black swans" genannt, d.h. der lange flache Schwanz der Verteilungskurve, der zwar sehr niedrige Wahrscheinlichkeiten darstellt, aber eben nicht wirklich Null ist (siehe auch Nassim Nicholas Taleb und The Formula That Killed Wall Street - Gaussian Copula Formula). Für mich ist dies eine weitere Bestätigung, dass quantitative Risikoanalyse für sehr seltene Ereignisse, für die es wenig relevante Präzedenz gibt, nicht wirklich sinnvoll betrieben werden kann und dass wir bei der Risikobetrachtung der Informationssicherheit anders vorgehen müssen.

Zu einem sehr ähnlichen Schluss kommt Charles Perrow, ein amerikanischer Risikoforscher, bei seiner Analyse der Kernnenergie-Risiken.

    "Wenn sie aber mit Systemen arbeiten, deren Scheitern potenziell katastrophale Auswirkungen haben kann, wie etwa Kernkraftwerke, müssen sie fragen: Was passiert, wenn die Kernenergie einen wirklich schlechten Tag hat? Wie wahrscheinlich ist es, dass ein über 10 Meter hoher Tsunami auf vier direkt nebeneinander stehende Reaktoren trifft? [Meine Ergänzung hier: Wie wahrscheinlich ist es dann, dass diese 4 Reaktoren noch über längere Zeit sehr schlampig gewartet werden und dass die Aufsichtsbehörde des tolleriert?] Sehr, sehr unwahrscheinlich, aber offensichtlich möglich. Es sind genau diese kaum vorstellbaren Möglichkeiten, die wir versuchen müssen, zu berücksichtigen. Das verändert unsere Perspektive."

Zum Glück haben die allermeisten IT-Projekte keine vergleichbar hohen Folgen für die Gesamtgesellschaft, aber für das einzelne Unternehmen ist z.B. der totale Datenverlust oft durchaus dramatisch (oder ein Image-Verlust in Fällen wo die Kunden einen einfachen Wechsel zu alternativen Anbietern haben).

 

Eine zweite Art von numerischer, halb-quantitativer Risikoanalyse beginnt oft damit, dass zwar nicht-numerische Daten erhoben werden (z.B. mit Fragen wie, "hat ihr Unternehmen eine unterbrechungsfreie Stromversorgung", und dass dann die Antworten mittels eine Klassifizierung bewertet werden und über diese Punktevergabe ein Zahlenwert entsteht, der für einen Vergleich mit anderen Unternehmen (Benchmark) oder für einen zeitlichen Vergleich mit den Ergebnissen früherer Bewertungen herangezogen werden kann. Solche Risikoanalysen sind oft bei Revisoren beliebt, weil sie einfache Vergleichswerte liefern, sie kranken jedoch oft in mehrfacher Hinsicht. Einmal sind die Fragen oft zu einfach, um komplexe Zusammenhänge genau genug abbilden zu können. So müsste die obige Frage nicht für das Gesamtunternehmen, sondern für einzelne Komponenten gestellt werden (Absicherung der Stromversorgung der EDV, Absicherung der Stromversorgung der Produktion, ....) und dann die Abhängigkeiten der Komponenten berücksichtigt werden. Zum anderen ignorieren viele dieser Modelle die Bedrohungen und betrachten diese als konstant. Das heißt z.B., dass ein JA auf die Frage "verwenden sie einen Proxy für den Internetzugang ihrer Mitarbeiter" eine bestimmte Punktzahl ergibt, ohne zu berücksichtigen, dass die Bedrohungen die sich daraus ergeben, ab 2005 erheblich größer geworden sind als noch in 2004 (durch Zunahme der kriminellen Aktivitäten im Internet).

Es ist natürlich möglich, alle diese Zusammenhänge zu berücksichtigen, aber viele der einfacheren Modelle tun dies nicht in ausreichendem Maße und kommen daher zu Ergebnissen, die die wirkliche Situation nicht ausreichend wiedergeben. Ein Beispiel für eine durchaus sehr sinnvolle Klassifizierung von Prozess-Qualitäten ist das Reifegrad-Modell von CobiT.

Meine bevorzugte Vorgehensweise

Glücklicherweise liefern manche dieser Modelle (und die dafür verwendeten Tools) auch noch qualitative Ergebnisse in der Form von Maßnahmenlisten. Solche Maßnahmenlisten sind für mich das Hauptergebnis der qualitativen Risikostudien, mit denen sich der Rest des Textes beschäftigen wird. Um solche Maßnahmenlisten mit Priorisierung zu erstellen brauche ich allerdings gar keine Modelle, sondern ich gehe analog zu US-Standard NIST 800-30 vor. Es geht nämlich darum, die gegenwärtigen Risiken des Unternehmens besser in den Griff zu bekommen und dabei festzulegen, welche Maßnahmen es mir auf kostengünstige Weise erlauben, auf die Risiken so zu reagieren, wie dies den Unternehmenszielen am besten entspricht.

Marcus Ranum hat das ganz gut als einen seiner Punkte einer "Kritik an Vorgehensweisen der Security-Wissenschaft" zusammengefasst:

    But if you're talking about anything where you've got probabilities, and you have an unknown, your probabilities become meaningless. The whole notion of risk management is that you're going to take these probabilities and you're going to try to somehow factor them into something that makes sense. Really, the value of the exercise of risk management is that it forces you to sit down and build a list of what's important to you, what are you concerned about, what are you afraid of happening, and then what things should you fix in approximate order. If it makes you feel emotionally comfortable to associate some kind of numbers with that, just so that you can order things, that's fine. But don't b.s. yourself into thinking it's science.

 

 

 

Durchführung einer qualitativen Risikostudie

Ziele einer solchen Risikostudie sind

  • die Bedrohungen und die sich daraus ergebenden Risiken des Unternehmens besser in den Griff zu bekommen

  • zu prüfen, ob die bisher zum Schutz gesetzten Maßnahmen angemessen sind

  • welche Maßnahmen erlauben es dem Unternehmen auf kostengünstige Weise auf die Risiken so zu reagieren, wie dies den Unternehmenszielen am besten entspricht.

Der erste Schritt zu einer Risikoanalyse ist, dass wir uns klare Rahmenbedingungen setzen. Wollen wir das Gesamtrisiko des Unternehmens betrachten, oder vielleicht nur Teilaspekte wie die EDV oder die Produktion herausziehen? Oder engen wir die Themenstellung noch weiter ein: wollen wir durch die Risikobetrachtung nur eine einzelne Entscheidung untermauern, z.B. ob eine bestimmte Technologie, z.B. wireless network (WLAN) im Lager eingesetzt werden soll, ja oder nein? Eine Methode zur Betrachtung einer einzelnen Technologie wird am Ende dieses Kapitels dargestellt.

Was sind die Kern-Geschäftsbereiche Ihres Unternehmens? Was sind die Kern-Geschäftsprozesse? Wie verdient Ihr Unternehmen sein Geld?

Oft ist es offensichtlich, was die wichtigsten Geschäftsbereiche eines Unternehmens sind, manchmal aber ist ein Bereich, der nicht im Rampenlicht steht, kritischer als die öffentlich bekannten. So kann es wichtiger sein, eine kontinuierliche Versorgung der bereits bestehenden Kunden mit Ersatzteilen oder Verbrauchsmaterial für die Reputation bei den Kunden wichtiger sein kann, als die Auslieferung der Neu-Geräte zum versprochenen Zeitpunkt.

Zur Abschätzung von direkten finanziellen Bedrohungen, z.B. durch den Ausfall der Produktion muss ich die Geschäftsprozesse betrachten. Dabei ist zu bedenken, dass der Geschäftszweig, für den eine Firma bekannt ist, nicht zwingend auch der sein muss, der das größte Risikopotential hat. Der Verkauf von Druckerpatronen kann für den Umsatz wichtiger sein als der Verkauf der Drucker selbst (speziell wenn die Drucker nicht selbst hergestellt werden und bei einem Wegfall des Druckerverkaufs eben auch keine Drucker vom Lieferanten eingekauft würden). Die Einnahmen aus dem Verkauf von Verbrauchsmaterial oder aus Wartungsverträgen können finanziell für das Überleben wichtiger sein, als Neuverkäufe, die evt. aus den Lagerbeständen der Vertriebsorganisationen noch eine ganze Weile weiterfunktionieren können.

Und wenn Sie nicht produzieren können (aus welchen Gründen auch immer), laufen Ihre Kosten dann weiter? Der Ausfall von Einnahmen ist viel weniger dramatisch, wenn den ausgefallenen Einnahmen keine Fixkosten gegenüberstehen, sondern die Kosten auch wegfallen würden. Ist das, wofür Ihr Unternehmen bekannt ist, wirklich das, was 'die Butter aufs Brot bringt'?

Wie wichtig z.B. ihre Buchhaltung ist sehen Sie, wenn Sie überlegen, was passieren würde, wenn Sie mal eine Woche keine Rechnungen schreiben könnten? Ist das ein Problem für Sie?

Für eine solche Analyse ist eine Betrachtung der einzelnen Geschäftsprozesse wichtig. Geschäftsprozesse sind es, mit denen das Unternehmen sein Geld verdient und seine Leistungen erbringt. Verschiedene Geschäftsprozesse sind unterschiedlich kritisch, was z.B. die Verfügbarkeit betrifft. Andererseits sind Geschäftsprozesse voneinander abhängig. D.h. wenn ein kritischer Prozess von einem anderen direkt und unmittelbar abhängt, so ist dieser andere damit auch automatisch kritisch. Manchmal hilft es, solche Prozesse zu entkoppeln, z.B. durch klare Schnittstellen und gepufferte Übergabe von Daten oder Produktionskomponenten.

Das heißt, das Unternehmen muss sich fragen, wodurch die einzelnen Geschäftsprozesse bedroht sind. Wenn die Risiken durch den Ausfall von IT-Anwendungen zu untersuchen sind, so ist es wichtig sich zu fragen, von welchen spezifischen Anwendungen der Geschäftsprozess abhängig ist und von welchen konkreten IT-Ressourcen wiederum diese Anwendung abhängig ist. Diese Zusammenhänge sind in der folgenden Graphik dargestellt.

 

Was sind die Werte des Unternehmens?

Wir müssen bei der Analyse des Risikos eines Unternehmens immer von den (materiellen oder immateriellen) Werten des Unternehmens ausgehen. Die materiellen Werte könnten bedroht sein, wenn ein Feuer oder eine Überschwemmung die Produktionsräume bedroht. Immaterielle Werte können bedroht sein, wenn ein Skandal den guten Ruf des Unternehmens in Mitleidenschaft zieht. Auch darauf muss ich mich einstellen. Ein anderer sehr wichtiger immaterieller Wert für ein Unternehmen ist die Qualität und die Leistungsbereitschaft der Mitarbeiter. Ein weiterer wichtiger Wert sind z.B. vertrauliche Konstruktionsdaten. Dabei gibt es 2 Werte zu betrachten: Zum ersten - welche Kosten würden entstehen, wenn ich diese Daten verliere und wie lange würde es dauern, diese wiederherzustellen? Weiters wäre aber auch zu fragen, wie viel wären der Konkurrenz diese Daten wert? Welche Marktvorteile könnte die Konkurrenz aus diesen Daten ziehen? Welche Zeit würde die Konkurrenz gewinnen, wenn sie diese Informationen nicht selbst erarbeiten muss?

Das heißt, wer eine Risikoanalyse durchführen will, muss sich z.B. die wirklichen Werte des Unternehmens sowie die Umsatz- und Gewinnzahlen sehr gründlich anschauen.

 

 

 

Was kann alles schief gehen? Welchen Bedrohungen und Risiken ist mein Unternehmen ausgesetzt?

Jetzt wird es richtig schwierig und hier können die größten Fehler gemacht werden. Bedrohungen und Risiken, die ich in diesem Stadium nicht erkenne, werde ich bei meinen Betrachtungen nicht berücksichtigen können. D.h. ich werde mich auch nicht vor ihnen schützen können.

Wie die Grafik zeigt, entstehen Risiken, wenn Gefahren und Schwachstellen zusammentreffen. Gefahren gibt es überall, das ist eine Tatsache die wir akzeptieren müssen. So gibt es überall kriminelle Elemente, die nur auf eine Gelegenheit warten, ohne viel Arbeit an das große Geld zu kommen. Und Naturkatastrophen wie Stürme und Überschwemmungen passieren immer wieder. Zu einer Bedrohung werden diese Gefahren, wenn sie für dieses Unternehmen relevant sind und gleichzeitig im Unternehmen auf eine Schwachstelle treffen, z.B. entstanden durch unzureichende Sicherheitsmaßnahmen.

Gefahren können das Unternehmen aus verschiedenen Richtungen bedrohen: Höhere Gewalt und andere Naturkatastrophen, Ausfälle der Technik und Infrastruktur und die Gefahren, die von Menschen ausgehen, sei es durch Vorsatz oder Nachlässigkeit, durch die eigenen Mitarbeiter oder von außen. Um das spezifische Bedrohungspotential eines Unternehmens zu bestimmen, muss ich von diesen allgemeinen Bedrohungen die auswählen, die für den spezifischen gewünschten Erfolg des Unternehmens abträglich sein könnten. D.h. aus der großen Liste möglicher Gefahren wähle ich die für mich relevanten aus. Diesen muss ich dann die getroffenen Gegenmaßnahmen gegenüberstellen und damit gewinne ich das Bedrohungspotential.

Wie finde ich nun eine möglichst vollständige Liste der möglichen Bedrohungen? Ich gehe davon aus, dass speziell in größeren Unternehmen alle Bedrohungen und Schwachstellen bereits irgendwo im Unternehmen bekannt sind. Das Problem liegt oft darin, dass die Geschäftsführung, die Maßnahmen zur Behandlung der Risiken setzen könnte, i.d.R. diese Risiken nicht im Detail kennt. Der Vorarbeiter am Fließband jedoch, der vielleicht schon seit 30 Jahren diese und ähnliche Tätigkeiten ausführt, weiß genau, was schief gehen kann. Er hat das alles schon mal erlebt. Aber er kann keine Maßnahmen setzen. Evtl. hat das Unternehmen ein Vorschlagswesen oder einen KVP (kontinuierlichen Verbesserungsprozess), aber evtl. auch nicht. Derjenige, der die Risikostudie durchführt wird in vielen Fällen "einfach nur" die Informationen über die Bedrohungen von der Stelle im Unternehmen, wo sie bekannt sind, dorthin transportieren, wo über Maßnahmen entschieden werden kann. (Das ist der steinalte Witz über den Berater, der einem Unternehmen das Know-how, das das Unternehmen selbst hat, abzieht und wieder zurück verkauft. Aber wenn das Unternehmen selbst niemanden hat, der auf das vorhandene Know-how systematisch zugreifen kann, so ist das genauso gut, als hätte das Unternehmen das Know-how gar nicht.) Daher kann eine solche Risikoanalyse auch als eine große Kommunikationsherausforderung betrachtet werden.

Wie finde ich als Berater die für dieses Unternehmen relevanten Risiken? Dazu muss ich zuerst mit der Geschäftsleitung und den Verantwortlichen für die einzelnen Teilbereiche des Unternehmens reden um zu erfahren, was sie als Hauptbedrohung sehen. Hat das Unternehmen Feinde? Wer sind diese? Wie viel Geld würden diese wohl ausgeben, um z.B. an Geschäftsdaten zu kommen oder die Produktion zu stören? Wie groß ist die Abhängigkeit der Geschäftsprozesse vom Funktionieren der EDV? Wie oft fällt die Infrastruktur aus? Was kann sonst noch alles schief gehen?

Dies bedeutet, dass derjenige, der die Risikostudie erstellen will, viele Interviews im Unternehmen durchführen muss. Es empfiehlt sich, mit vorbereiteten Fragebögen, bzw. Checklisten zu kommen, damit sichergestellt ist, dass alle relevanten Themen und Fragestellungen behandelt werden. Diese Fragen sollten so weit wie möglich sog. "offene Fragen" sein, d.h. keine ja/nein Fragen. Das sind z.B. Fragen wie "wie wird in diesem Unternehmen dies oder das eigentlich praktiziert? Gibt es dabei manchmal Probleme? Wenn sie nachts nicht schlafen können, was beunruhigt sie dann, wenn sie an die Firma denken?" Gute Hinweise auf mögliche Bedrohungen ergeben sich z.B. auch immer dort, wo ein Unfall gerade noch mal gutgegangen ist.

Eine gute Quelle für eine umfassende Auflistung von IT-bezogenen Risiken findet sich im Grundschutzhandbuch des BSI. Auf dieser Website finden sich umfangreiche Gefährdungs- und Maßnahmenkataloge.

Diese Vorgehensweise steht im Gegensatz zu den tool-unterstützten Risikoanalyse-Ansätzen, deren Ziel eine numerische Bewertung des Risikos in Form eines Benchmarks ist. Weiter oben habe ich das als "numerisch halb-quantitativen Ansatz" bezeichnet. Um zu einer eindeutigen Zahl als Endergebnis zu kommen, dürfen bei diesen Tools keine Freitext-Eingaben erlaubt sein (weil dann eine maschinelle Auswertung kaum möglich wäre). Diese Tools geben Multiple Choice-Antworten vor und sie sind daher kaum geeignet, Risiken aufzuspüren, die nicht bereits im Tool abgedeckt sind.

Auf der Basis dieses Gesamtbildes der Werte und der Geschäftsprozesse muss eine systematische Aufstellung und anschließende Bewertung der Bedrohungen durchgeführt werden. Wie oben bereits ausgeführt, werden diese oft unterschiedlich sein, jedoch ist es hilfreich, von einer umfangreicheren Gesamtliste auszugehen und dann solche zu ignorieren, die für dieses Unternehmen keine Rolle spielen. Um systematisch vorgehen zu können, erscheint eine Gliederung in drei große Risikogruppen sinnvoll: Risikofaktor Mensch, Risikofaktor Technik und Risikofaktor Höhere Gewalt.

 

Jan. 2012:

Sehr interessant ist der Report vom World Economic Forum - Global Risks 2011. In diesem Bericht werden die verschiedenen Risiken die unsere globale Gesellschaft ganzheitlich gesehen und ihre Interaktionen sehr gut dargestellt (siehe rechts), z.B. die Zusammenhänge zwischen Cyber Security und "illegal economy" in ihren vielen Spielarten. Die Perspektive die dort präsentiert wird, ist ziemlich düster. Zitat:

    Two risks are especially significant given their high degrees of impact and interconnectedness. Economic disparity and global governance failures both influence the evolution of many other global risks and inhibit our capacity to respond effectively to them.
    In this way, the global risk context in 2011 is defined by a 21st century paradox: as the world grows together, it is also growing apart.

Jeder Risk (oder Security) Manager muss sich dieser Gesamtzusammenhänge bewusst sein, damit nicht nur die akut sichtbaren Symptome behandelt werden, sondern wenn möglich, auch auf Ursachen eingegangen werden kann.

 

 

 

Risikofaktor Mensch

Wo auch immer Menschen aktiv sind, werden Fehler gemacht, das ist eine Tatsache um die man nicht herumkommt. Das können Fehler bei der Bedienung von Maschinen sein, Fehler in der Administration oder Fehler bei großen Managemententscheidungen, wie z.B. falsche Markteinschätzung oder Investitionen. Der Hauptgrund, warum Dateien aus Datensicherungen zurück geladen werden müssen, sind nicht etwa technische Probleme, sondern die Unachtsamkeit der Anwender, d.h. versehentliches Überschreiben oder Löschen einer Datei.

Leider gibt es neben diesem menschlichen Versagen auch noch den Bereich des Vorsatzes. Mitarbeiter oder Außenstehende glauben manchmal, mit dem Unternehmen ein Hühnchen rupfen zu müssen und versuchen, der Firma zu schaden. Oder sie denken sich nicht viel dabei und probieren Sachen aus, die zu Schäden führen können. Dieser Versuchung sind besonders die jüngeren System-Administratoren ausgesetzt. Und Vorsatz kann sogar ohne bösen Willen entstehen. Menschen entwickeln Verfolgungsängste, sie kommen in Notsituationen, alles ist möglich.

Ebenfalls zum Risikofaktor Mensch gehört die Möglichkeit, dass nennenswerte Teile der Belegschaft nicht zur Arbeit erscheinen, wie z.B. durch eine Grippe- oder SARS-Epidemie, Streik oder unterbrochene Verkehrswege.

Beispiele für menschliches Versagen sind:

  • Fehlverhalten der IT-Benutzer (z.B. Löschen von Daten, fälschliches Versenden von Daten, falsche Dateneingabe)

  • Fahrlässige Zerstörung von Geräten und Maschinen durch Fehlbedienung

  • Nicht-Einhalten der Sicherheitsregeln

  • Administrationsfehler in der EDV (z.B. fälschliche Freigabe von Verzeichnissen oder Konfigurationsfehler von EDV-Geräten)

  • Fehlentscheidungen im Management auf den verschiedenen Ebenen

Beispiele für vorsätzliche Handlungen sind:

Beispiele für organisatorische Mängel sind:

  • Fehlende, falsche oder nicht effektive kommunizierte Regelungen

  • Fehlende Betriebsmittel
  • Fehlende Kontrollmaßnahmen

  • Fehlende Wartung (Ölwechsel, Filterwechsel, Verschleiß)

  • Fehler in der Zutrittskontrolle

  • Falsche Softwareversionen (Patches, Updates)

  • Fehlende oder unzulängliche Dokumentation

  • Gefährliche Arbeitsbedingungen

  • Mangelnde Überprüfung von Neu-Einstellungen, Aushilfen, Reinigungs- und Fremdpersonal etc.

  • und das große Gebiet der mangelnden Implementierung von Informationssicherheit

Interessante Aspekte zum Thema Mensch, bzw. Firmenkultur zum Risiko finden sich bei der Analyse der NASA Katastrophen von Columbia und Challenger. Mehr dazu auf meiner Seite zum Technikrisiko.

Risikofaktor Technik

Die Techniker zitieren gern Murphys Law: "Alles was schief gehen kann, wird auch schief gehen!". Alle Geräte fallen irgendwann mal aus. Was dann? Wie schnell wird ein Ersatz gebraucht? Wo bekomme ich den schnell her und habe ich noch die Installations-CDs für die Software? Alte Software-Versionen sind oft nicht mehr auf dem Markt und eine Katastrophe ist ein schlechter Zeitpunkt um auf eine neue Software-Version umzusteigen.

Beispiele:

  • Ausfall von IT- und anderen Geräten (Produktionsmaschinen, Klimaanlagen, Netzkomponenten, Netzverbindungen, Telefonanlage)
  • Ausfall der Versorgungsnetze (Gas, Wasser, Strom, Klima, Heizung, Abwasserentsorgung)
  • Ausfall der Telekommunikation, Internetanbindung
  • Feuer durch Geräteüberhitzung, Kabelbrand
  • Defekte Datenträger
  • Softwarefehler, 'Bugs'

Risikofaktor Höhere Gewalt

Das Jahr 2002 hat deutlich gezeigt, dass mit der Natur nicht zu spaßen ist. Wasser scheint in Österreich immer stärker zu einer Bedrohung zu werden. Eine Reihe von Firmen waren von dem großen Hochwasser 2002 hart betroffen (und andere erwischte es im Herbst 2005 in Tirol).

Nicht alle Firmen hat es dabei so hart getroffen wie die Maschinenfabrik Engel in Schwertberg. Sie wurde durch zwei Flutwellen am 8. und 12. August 2002 getroffen und nicht nur die EDV, sondern auch die gesamte Produktion stand unter Wasser und war von einer dicken, sehr feinen Schlammschicht bedeckt.

Wasserschäden entstehen nicht nur, wenn ein Fluss über seine Ufer tritt, auch Regenwasser kann erhebliche Schäden anrichten, speziell wenn die Wassermenge die vom Himmel stürzt so viel größer ist, als dass, wofür Kanal und Abflussrohre ausgelegt sind. Dazu kann dann noch Wasser durch einen Rohrbruch kommen, der, wenn er über dem Rechnerraum eintritt, großen Schaden anrichten kann.

Feuer ist natürlich immer eine Gefahr, zum Glück ist dies recht selten. Aber defekte Geräte, z.B. Kaffeemaschinen, lösen immer wieder Feuer aus. Eine weitere häufige Quelle eines Brandes sind Zigarettenstummel im Papierkorb und natürlich Schweißarbeiten. Der Schutz gegen Feuer darf auf keinen Fall vernachlässigt werden. Statistiken zeigen, dass 80% der Brände, die die EDV-Anlagen betreffen, im Nachbarbereich der EDV-Räume entstehen.

Stromausfall ist derzeit ein Thema, das nach Jahrzehnten stabiler Versorgung heute in allen Ländern zu Problemen führt, wie z.B. den in 2003 leider sehr häufigen Ausfällen in der Stromversorgung. Am dramatischsten hat sich wohl der Stromausfall im Geschäftszentrum von Auckland (Neuseeland) in 1998 ausgewirkt, bei dem die gesamte Innenstadt 5 Wochen ohne Strom war. Ergebnis war, dass sich die Zahl der Konkurse bei den betroffenen Firmen in diesem Halbjahr verdoppelte.

Eine Studie des Beratungsunternehmens Gartner Group aus dem Jahr 2001 (Gartner Group, Desaster Recovery Plans and Systems are essential, 2001) besagt, dass 2 von 5 Firmen, die von einem längeren Stromausfall betroffen waren, innerhalb der darauf folgenden 5 Jahre in Konkurs gehen, auch wenn nicht alle Stromausfälle so dramatisch enden wie der in Auckland. Auch schon ein paar Tage ohne Strom kann für viele Firmen katastrophal sein, wenn dieses Ereignis die betroffene Firma unvorbereitet trifft. Unternehmen müssen sich gut überlegen, was passiert, wenn sie einmal für eine längere Zeit ohne Strom wären. Für Österreich ist die Situation vor allem in der Steiermark derzeit recht kritisch.

Blitze können, auch wenn sie über einen Blitzableiter abgeleitet werden, durch Induktion von Überspannungen in Strom- und Datenleitungen leicht Elektronikgeräte zerstören. Dagegen helfen entweder abgeschirmte Blitzableiter oder Überspannungssicherungen in den Strom- und Datenleitungen.

Beispiele, die bedacht werden müssen:

  • Feuer (durch Fahrlässigkeit, Geräteschäden, Brandstiftung oder Blitzschlag)
  • Wasser (Überschwemmungen, Rohrbruch, Regenwasser, Löschwasser)
  • Sturmschäden
  • Stromausfall, Über- oder Unterspannung (im öffentlichen Netz)
  • EDV-Schäden durch Blitzeinschlag, direkt oder indirekt
  • Unterbrechung von Datenleitungen (Pleite der Provider, Bauschäden, Überschwemmungen)
  • Anschläge, Bombendrohungen, Kriege, Terror

 

 

 

Die eigentliche Herausforderung: kreative und realistische Bedrohungsszenarien

"Vulnerability Landscapes" nach Bruce Schneier

Ein sehr hilfreicher Weg und unumgänglicher Schritt bei einer gründlichen Risikostudie ist die Erarbeitung von Bedrohungsszenarien. Zu diesem Zweck versetzt man sich in einen Angreifer: was will er erreichen und welche Möglichkeiten hat er, zu sein Ziel zu kommen. Eine wichtige Technik kann dafür das Konzept des "Vulnerability Landscapes" nach Bruce Schneier sein. Der Verteidiger versetzt sich die Angreiferrolle und skiziert die verschiedenen Möglichkeiten des Angriffs. In dem hier gezeigten Beispiel geht es darum, Informationen aus einem Unternehmen zu stehlen. Die Möglichkeiten reichen vom physischen Eindringen in das Gebäude über Eindringen über Schwachstellen in der IT bis zum Versand von Trojaner in Pseudo-Spam. Unter diese Kette von Angriffsmöglichkeiten (so stark wie ihr schwächstes Glied) zeichnet man dann die Verteidigungsschichten. Diese werden unterschieden in Methoden der Prävention, Methoden der Entdeckung und Methoden des Umgangs mit dem Angriff nach dem er passiert ist. Wichtig ist dabei, dass kein Angriffstyp übersehen wird und dass gegen jeden der Angriffe mehr als eine Verteidigungsschicht existiert (denn jeder Schutz hat eine Wahrscheinlichkeit, im Bedarfsfall zufällig zu versagen).

Wie in der Graphik rechts dargestellt, zeigt sich hier z.B., dass der Schutz gegen Social Engineering (wie bei ganz vielen Unternehmen) am lückenhaftesten ist. Ziel dieses schematischen Vorgehens ist es, möglichst keinen Angriffstyp auszulassen. Zu diesem Zweck wird es sinnvoll sein, ein Brainstorming mit Personen zu veranstalten, die Erfahrungen mit solchen Problemen haben, denn nur auf diese Weise kann man annehmen, dass man alle möglichen Bedrohungen erwischt hat.

Ein weiterer Aspekt, der dabei berücksichtigt werden muss ist, dass ein Angriff in allen zeitlichen Phasen eines Projekts oder eines "Lebenszyklus" eines Gerätes stattfinden kann: eine Schwachstelle, die bereits in der Designphase eingebaut wurde, bleibt immer eine Bedrohung und oft wird bei der Planung von IT-Projekten die Sicherheitsplanung im Reparaturfall und bei der Entsorgung nicht ausreichend berücksichtigt. Z.B. sollte die meiste Zeit bei der Sicherheitsplanung von Smartcard-Projekten darauf verwendet werden, Szenarien durchzuspielen, die Fälle wie Verlust und Diebstahl der Karten und das Vergessen des PIN-Codes während einer Dienstreise betreffen.

 

 

 

Threat Modelling - Das systematische Nachdenken über mögliche Bedrohungen

Eine sehr systematische Herangehensweise an das Finden, Bewerten und Priorisieren von Bedrohungen ist Threat Modelling. Dazu bietet Microsoft eine lange Serie von Beiträgen und auch kostenlosen Tools. Natürlich ist die Vorgehensweise von Microsoft vor allem für IT-Systeme und die Bedrohungen durch Angreifer gedacht, aber natürlich lässt sich dieses Modell auch leicht auf andere Bedrohungen erweitern.

Egal ob man diese Methoden verwendet oder irgendeine andere: Bei der Risikobetrachtung kommt man um eine Betrachtung der möglichen Bedrohungen nicht herum. Das Nachdenken darüber, was alles schief gehen könnte und welche Angriffe möglich sein könnten, ist der Kern jeder Risikobetrachtung. Wo keine Bedrohungen sind, dort ist auch kein Risiko.

(Zum geschichtlichen Hintergrund des hier verlinkten Materials: In den ersten Jahres dieses Jahrtausend hatten die Systeme von Microsoft (speziell Windows XP) einen extrem schlechten Ruf was die Sicherheit betraf. Bill Gates startete darum Jan. 2012 die "Trustworthy Computing" Initiative, die dazu führte, dass das Nachfolgesystem Windows Vista um gut 1 Jahr verzögert wurde, weil ALLE Entwickler auf Training mussten. Microsoft stellte als Trainer eine ganze Reihe von bekannten Sicherheitsspezialisten ein. Thema des Trainings: Security Development Lifecycle. Kurzfristig war die Verzögerung von Vista ein kleines Desaster, ebenso die vielen kleinen zusätzlichen Sicherheitsabfragen, die viele Benutzer genervt haben und die zu einem neuen Begriff der "warning fatigue" geführt haben - dieses Problem wurde in Windows 7 dann deutlich entschärft. Mittelfristig war die Initiative ein großer Erfolg, denn die Zahl der entdeckten Schwachstellen in Vista, Windows 7 und auch in Windows 10 dramatisch unter den Zahlen liegt, die man von XP gewohnt war.)

Als "Abfallprodukt" von Secure Computing Initiative wurde ein großer Teil des Trainingsmaterials veröffentlicht. Das wird jetzt hier verlinkt, weil hilfreich.

Wem das alles zu systematisch ist, für den gibt es noch ein paar Abkürzungen zum etwas weniger aufwendigem Abschätzen von Bedrohungen. Eine recht interessante Methode wird hier vorgestellt: Four ways to measure data exploitability. Ich stelle das hier vor, weil es sehr nahe an meiner eigenen Vorgehensweise ist. Der Autor bezieht sich ganz konkret auf die Aufgabenstellung: 'Risikoabschätzung für unerlaubten Zugriff zu Daten', in den USA durch die verschiedenen Data Leakage Laws ein auch für das Management wichtiges Thema. Er untersucht die 4 Komponenten des Risikos: Accessibility, Significance, Copyability, Detectability. Nun zu den Details (mit meinen Kommentaren).

Accessibility bezeichnet die Leichtigkeit, mit der ein Angreifer an die Daten kommt. Dies hat viele Aspekte; Daten auf einer Website sind natürlich viel leichter zu erreichen als Daten, die tief in einer Datenbank versteckt sind, womöglich noch verschlüsselt. Eine konkrete Frage dabei ist: kann ein Angreifer ohne interne Hilfe zu den Daten gelangen oder braucht er Insider (was ihm teurer kommen wird). Welche technischen oder anderweiten Kenntnisse braucht der externe oder interne Angreifer um zu den Daten zu gelangen, wie leicht ist die Durchführung des Angriffs?

Significance bezeichnet den Wert der Daten. Fragen dazu sind: Welcher Schaden entsteht, wenn diese Daten in falsche Hände gelangen, bzw. welche Vorteile können andere aus diesen Daten ziehen? Wie leicht sind die Daten zu verkaufen, gibt es einen Markt dafür? Welcher Schaden (z.B. Imageschaden) entsteht, wenn die Daten nicht verkauft, sondern einfach nur im Internet veröffentlicht werden, reiner Reputationsschaden oder droht ein Verfahren wegen Verstoß gegen Gesetze (Datenschutz, Bankwesen, Ärztegesetz, .....)?

Copyability bezeichnet die Kopierbarkeit der Daten. Daten in einem leicht zugänglichen Format (wie Word, Excell, reiner Text) sind einfacher zu kopieren wie Daten die in einer verschlüsselten Datenbank über viele Tabellen verteilt sind.

Detectability bezeichnet, wie hoch ist das Risiko für den Angreifer, erwischt zu werden, bzw. schnell erwischt zu werden. Gibt es Monitoring Systeme für diese Bereiche und werden Log-Dateien routinemäßig ausgewertet.

 

Misuse Cases

Hier ein anderes Interessantes Konzept: statt der Use-Cases der Rational Methodologie Misuse-Cases. Der Text schlägt eine formale Methode vor, wie aus einzeln definierten Misuse-Cases der Weg von der Threat Analyse bis zu einer Liste von Test Scenarios und Test Cases gegangen werden kann.

 

 

 

Wie wahrscheinlich sind diese Bedrohungen?

Die nächste Aufgabe ist es festzustellen, wie hoch die Wahrscheinlichkeit des Eintretens dieser Schäden ist. Dabei ist es hilfreich, diese allgemeinen Gefahrengruppen weiter aufzuteilen. So ist die Abschätzung einfacher, wenn ich nicht Feuer als Gesamtgruppe betrachte, sondern die Wahrscheinlichkeiten für die verschiedenen Feuerursachen einzeln aufgliedere. Zusätzlich bietet sich an, eine weitere Unterscheidung nach der Größe des Schadens vorzunehmen. So ist z.B. ein lokaler Brand in einer Halle erheblich häufiger, als ein Abbrennen einer gesamten Halle oder gar des gesamten Unternehmens. Für eine Gesamtbetrachtung sollten detaillierte Einzelrisiken betrachtet werden.

Ein Programm für Tabellenkalkulation bietet sich als Hilfe bei der Erfassung und Bewertung an. Oft kann es mental hilfreich sein, sich nicht auf die Zahl der Schäden pro Jahr zu konzentrieren, sondern sich vielmehr zu fragen, wie oft wird dieses Ereignis vermutlich in 100 Jahren eintreffen.

Wie kann ich vorgehen, um zu solchen Wahrscheinlichkeiten zu kommen. Wenn das Unternehmen schon eine Weile besteht und Erfahrungswerte aus der Vergangenheit vorliegen, so habe ich gute Voraussetzungen. Ich muss in die Fachabteilungen gehen und geeignete Fragen stellen. Z.B. frage ich die Werksfeuerwehr nach Brandstatistiken, aufgegliedert nach Brandgrößen und -ursachen. Ich frage den Werkschutz nach Diebstählen und unbefugtem Betreten des Werksgeländes. Ich frage den Produktionsleiter nach der Statistik zu Maschinenausfällen und nach der Ersatzteilbevorratung. Und die Logistikabteilung sollte Statistiken über Lieferverzüge oder Qualitätsprobleme der Zulieferer haben. Die EDV-Abteilung sollte Statistiken über Rechner- und Netzwerkausfälle haben.

Wenn dies nicht der Fall ist, so helfen oft Nachfragen bei Versicherungen, für die solche Statistiken unabdingbar sind oder Studien in einschlägiger Literatur oder im Internet. Natürlich werden diese Zahlen letztendlich mit einer ziemlich hohen Fehlerbreite versehen sein, das kann in diesem Fall gar nicht vermieden werden. Trotzdem liefern diese Überlegungen wichtige Anhaltspunkte für eine Gewichtung und Systematisierung der Schutzmaßnahmen.

In vielen Fällen komme ich jedoch leider durch solche historischen Betrachtungen nicht sehr weit. Entweder sind die Zahlen nicht veröffentlicht (weil für die Versicherungen genau diese Statistiken ihr Kapital sind. Diese Statistiken ermöglichen ihnen die Kalkulation ihrer Prämien). Aber auch bei neuen Risiken oder wann immer sich die Bedrohungslandschaft ändert, kann ich natürlilch nur sehr begrenzt auf historische Daten zurückgreifen.

Aber in solchen Fällen gibt es andere Methoden der Abschätzung des Risikos, nämlich über eine Betrachtung von Aufwand und Gewinn des Angriffs, d.h. eine ROI-Betrachtung für den Angreifer. Da ich es mehr und mehr mit Profis als Gegner zu tun habe, werden solche Betrachtungen von der Gegenseite sehr wohl angestellt. Dabei komme ich zwar nicht auf Prozentzahlen für die Wahrscheinlichkeiten, aber eine Kategorisierung in hoch, mittel und niedrig kann ich damit sehr wohl gewinnen. Diese Methode geht von folgenden Fragen aus, die für jeden Angriff separat gestellt werden müssen:

  • wie teuer kommt einem Angreifer solch ein Angriff?

  • was springt für den Angreifer dabei heraus? Wieviel kann er dabei verdienen? Lohnt sich das für ihn?

  • wäre ein solcher Angriff eine Chance für einen Konkurrenten, unserem Unternehmen einen deutlichen Schaden zuzufügen? Haben wir Konkurrenten, denen wir so etwas zutrauen?

  • Ist der Angriff ohne interne Hilfe durchführbar?

  • wenn der Gewinn für den Angreifer gering ist, gibt es für den Angreifer eine Möglichkeit, diesen Angriff in größerem Stil durchzuführen (d.h. skaliert der Angriff, wie z.B. Phishing-Mails an ganz viele Adressen)?

Natürlich muss ich bei diesen Abschätzungen den jeweiligen Stand des Schutzes berücksichtigen. Die Wahrscheinlichkeit, ob ein lokaler Brand zur Vernichtung der ganzen Halle führt hängt z.B. davon ab, ob es Brandmelder, Sprinkleranlagen und Brandschutzwände gibt und wie schnell die Feuerwehr garantieren kann, vor Ort zu sein. Ein möglicher Versicherungsschutz sollte hierbei noch nicht berücksichtigt werden. Eines der Ziele dieser Betrachtungen ist ja auch, die Angemessenheit des Versicherungsschutzes zu bewerten.

Wie hoch sind die erwarteten Schäden in jedem einzelnen Fall?

Diese Feinunterteilung der Bedrohungen hilft mir auch, wenn es darum geht, die Schäden finanziell zu bewerten. Schäden können in vielfältiger Form auftreten. Die sind einmal die direkten Materialschäden, aber oft sind die Schäden durch Produktionsausfall noch erheblich größer (und durch die Versicherung gar nicht abgedeckt). Daneben müssen auch Schäden durch Image- oder Kundenverlust berücksichtigt werden, wobei das oft nur schwer einzuschätzen ist.

Für die Werte der Maschinen sollte ich nicht den Anschaffungswert, sondern eher der Wiederbeschaffungswert berücksichtigen. Dies kann, speziell bei älteren Modellen, ein ganz anderer Wert sein, oder die Wiederbeschaffung kann bei Modellen die nicht mehr auf dem Markt sind, ein besonderes Problem darstellen, das auch berücksichtigt werden muss. Auf jeden Fall muss die Zeit mitberücksichtigt werden, die es dauert, bis die Maschinen wieder einsatzbereit sind.

Ein Ansatz für die Bewertung von Imageschäden ist, sich zu Fragen, was eine Werbekampagne kosten würde, mit der das Unternehmen das Vertrauen der Kunden in das Unternehmen wieder auf den alten Wert heben kann.

In unserer Tabellenkalkulation ergänzen wir zu jeder dieser Gefahren die abgeschätzte oder ermittelte Eintrittswahrscheinlichkeit und den erwarteten Schaden pro Schadensfall. Das Produkt aus diesen beiden Werten ergibt den zu erwartenden Schaden pro Jahr (oder pro 100 Jahre, wenn ich entsprechend abgeschätzt habe). Und ein Vergleich dieser Werte zeigt wo das Unternehmen seine größte Risikoexponierung hat.

Diese simple Vorgehensweise ist jedoch in vielen Fällen nicht geeignet. Wie man am Beispiel von Verkehrsunfällen recht gut versteht, gibt es keine feste Schadenssumme für Unfälle mit PKWs, LKWs, Flugzeugen, usw. In der Grafik rechts oben wurde daher ein mittlerer Wert für den erwarteten Unfallschaden jedes Fahrzeugs angenommen. Mathematisch schwierig werden solche Berechnungen dadurch, dass es sich bei den von uns betrachteten Risiken (den operationellen Risiken) nicht um Normalverteilungen handelt. Dies wird auf der Grafik rechts dargestellt.

Wir haben es in der Regel mit einer großen Zahl von leichten Schäden und einer sehr geringen Zahl von potentiell sehr großen Schäden zu tun. Der erste Teil ist der erwartete Verlust, der in der Kostenkalkulation normalerweise bereits eingerechnet ist. Der unverwartete Verlust muss aus Rücklagen oder Rückstellungen gezahlt werden, die sehr seltenen katastrophalen Verluste können das Unternehmen bedrohen und sollten z.B. über Versicherungen abgesichert werden.

Das US-Normeninstitut ANSI hat 2008 einen Text herausgegeben: FINANCIAL IMPACT OF CYBER RISK (pdf, kostenlos nach Registrierung). Dieser empfehlenswerte Text verspricht in der Einleitung ein wenig mehr, als er halten kann. Die auf Seite 9 dargestellte Formel für "Annualized Expected Loss" ist nicht wirklich hilfreich für die Abschätzung von Information Risks. Viel besser ist der Ansatz der auf Seite 17 dargelegt wird, nämlich wir betrachten in jedem Fall das Worst-Case Szenario. Dies halte ich für sehr hilfreich. Um sich diesem anzunähern werden ab Seite 11 sehr gute detailierte Fragen an Chief Legal Counsel, Compliance Officer, Business Operations and Technology Teams, External Communications and Crisis Management Teams und Corporate Insurance vorgelegt. Diese Fragen, wenn sie wie dort vorgeschlagen mit allen Beteiligten im Raum erörtert werden, sollten einen sehr guten Überblick über die spezifischen Risiken geben, denen das Unternehmen ausgesetzt ist. Die Liste der Frage ist auf Seiten 37, 38. (Und von der Formel ist zum Glück im 2. Teil keine Rede mehr.)

 

 

 

Psychologie der Risikoabschätzung - am Beispiel der Verkehrssicherheit

 

 

Bei der gefühlsmäßigen Abschätzung von Risiken liegen wir Menschen sehr oft ziemlich falsch. So neigen die meisten von uns dazu, Probleme und Risiken, für die wir keine Lösungen haben, zu ignorieren. Ebenso fühlen wir uns sicherer, wenn wir glauben, selbst die Kontrolle zu haben. So wird "selbst ein Auto lenken" immer wieder für sicherer gehalten als "sich fliegen lassen". Und wir fürchten uns vor allem, was aktuell berichtet wird (z.B. jeden Sommer irgendwelche Haiangriffe) viel mehr als vor abstrakten Risiken wie die Klimaveränderung (die unsere Kinder sehr viel häter treffen wird als alle Raubtiere der Welt).

Bruce Schneier erläutert in seinem Text Psychology of Security ziemlich detailliert worin die Probleme liegen. Im folgenden Text werde ich mich aber hauptsächlich auf den Straßenverkehr und seine Sicherheit beziehen, ein Thema, das uns alle betrifft.

Verkehrstote pro Bevölkerungseinheit. Die "roten" Länder liegen bei 30-40 Toten, "lila" bei 10.16 Toten und "grau" geht von 10 Toten bis 1 pro gleiche Bevölkerungszahl. Bei den "sicheren" Ländern ist auch noch mal ein Faktor 10 drin. Z.B. haben die USA hier 10, Italien, Frankreich, Österreich 6, Deutschland, Schweiz, Japan 3-4. Diese Statistik berücksichtigt weder die Zahl der Autos in der Bevölkerung noch wie viele Kilometer gefahren werden - trotzdem liegt Afrika hier ganz vorn bei der Unsicherheit.
Details und Quelle: www.worldlifeexpectancy.com/

Die Sicherheit im Straßenverkehr hängt, leicht vereinfacht z.B. von folgenden Faktoren ab:

  • Wie angepasst die Geschwindigkeit der Verkehrsteilnehmer an die jeweilige Situation ist (Verkehr, Wetter, Sicht, andere Umstände wie Kinder im Verkehr)
  • Ob alkoholisiert gefahren wird und bis zu wieviel Promille
  • Immer stärker relevant: Ausmaß an Handynutzung während der Fahrt (siehe weiter unten)
  • Ob technische Maßnahmen zur Vermeidung von Unfällen genutzt werden, z.B. ABS / Antiblockiersystem
  • Ob technische Maßnahmen zur Reduktion der Schwere von Unfällen genutzt werden (z.B. Sicherheitsgurte, Knautschzonen der Fahrzeuge)
  • Wie viele Kilometer die Bürger des Landes pro Zeiteinheit fahren
  • Welche Bedeutung vorsichtiges Fahren versus sportliches Fahren in der Kultur hat.

 

Die Politik hat (über diverse gesellschaftliche Stellschrauben) Einfluss auf eine ganze Reihe von Sicherheitsfaktoren. Daher ist meine Behauptung, dass jede Gesellschaft die Zahl der Verkehrstoten (und Verletzten) hat, die für diese Gesellschaft / Kultur gerade noch tolerabel ist. Das sieht man m.E. an den sehr großen Unterschieden bei der Verkehrssicherheit auf der Welt.

Historisch hat sich die Verkehrssicherheit aus vielen Gründen übrigens dramatisch verbessert: Der Artikel VCÖ: Mehr als 82.000 Verkehrstote in Österreich seit dem Jahr 1961 listet für 1961 1640 Tote im Jahr, ab 1966 stieg die Zahl über 2000, mit 1972 2948 Toten, dann sinkt die Zahl (der VCÖ listet als Faktoren Gurtpflicht, 0,5 Promille, bessere Fahrausbildung und besserer Autoinsassenschutz), dann weiter auf 1551 in 1991, um das Jahr 2000 fällt es unter 1000 und war 2012 bei 531, 2015 waren es 479, 2016 432 Personen.

Ein sehr interessanter Artikel Cars, Cholera, and Cows: The Management of Risk and Uncertainty erweitert die übliche Diskussion von Risikomanagement (wie sie auch auf dieser Seite bisher geschildert wurde) um die für die Bewertung eines Menschen sehr wichtigen Bereiche "persönliche Risikoakzeptanz" und "erwartete Belohnung für das Eingehen eines Risikos".

Er sagt, dass die herkömliche Betrachtung zumindest unausgesprochen das Ziel Null-Risiko annimmt, es sich aber eher zeigt, dass Menschen eine recht stabile Risikoakzeptanz haben. Er zeigt dies z.B. an Statistiken, dass die Einführung von Sicherheitsgurten im Auto zwar das Risiko für den Fahrer und Beifahrer deutlich gesenkt hat, aber dass diese Risikoreduktion durch riskanteres Fahren mit höheren Risiken für Fußgänger und Radfahrer ausgeglichen wird. Ähnliche Untersuchungen gibt es für den Zusammenhang von ABS im Auto und schnellerem Fahren. (Ähnliche Effekte werden auch bei der Einführung von ABS / Antiblockiersystemen berichtet - ABS-Nutzer fahren angeblich dichter auf).

    April 2008: eine sehr gründliche Studie aus den USA THE EFFECTS OF MANDATORY SEAT BELT LAWS ON DRIVING BEHAVIOR AND TRAFFIC FATALITIES (pdf) mit der Auswertung von gut 16 Jahren der Verkehrssicherheit kann dieses spezielle Ergebnis jedoch nicht bestätigen, hat dafür eine ganze Reihe von anderen interessanten Ergebnissen. Er zeigt, dass die damalige Gurtquote dort sehr gering ist (68% im Durchschnitt). Eine Erhöhung auf erwartete 77% durch konsequent umgesetzte Gurtpflicht würde zwischen 500 und 1200 Menschenleben pro Jahr retten.

Der Autor des oben verlinkten "Cars, Cholera, . . . " bezieht sich hauptsächlich auf Risikoentscheidungen im privaten Bereich, aber wir haben es in Unternehmen zu einem gewissen Maße mit der gleichen Problematik zu tun. Studien haben gezeigt, dass es auch am Arbeitsplatz zu Ent-Sicherungen kommen kann, wenn z.B. ein Mitarbeiter, weil ihm "so fad ist", ein E-Mail öffnet, das einen dubiosen Absender und eine entsprechende Betreffzeile hat. Wie mit dieser Problematik umgegangen werden kann, wird unter dem obigen Link behandelt.

    Die NY Times zeigt in 2012 eine sehr interessante Darstellung zur Sicherheit im Straßenverkehr in den USA. Sie tragen auf der Y-Achse Verkehrstote pro 100 000 Personen auf und auf der X-Achse die durchschnittlichen Meilen pro Person. Wenn alles andere gleich bliebe so sollten die Verkehrstoten mit der Meilenzahl steigen oder fallen. Das Bild ist aber ganz anders und zeigt eine sehr komplexe Interaktion von vielen Faktoren: wachsender Wohlstand in den 50igern führt zu mehr PS und mehr Toten.
    Nach dem Buch von Ralph Nader "Unsafe at any speed" in 1965 werden Autos etwas sicherer, die Zahl der Toten bleibt konstant. 1973 mit der Energiekrise und den Benzinpreiserhöhungen steigt die Meilenzahl nicht weiter und die Zahl der Toten sinkt drastisch. Weitere Erhöhungen der Sicherheit kommen mit der Einführung von 55 mph als Geschwindigkeitsobergrenze (mit dem Ziel der Reduktion des Verbrauchs) und nach 1980 Sicherheitsgurte.
    Dieser Trend zur Reduzierung der Zahl der Toten wird dann aber gestoppt mit der Einführung der SUVs. Und ab 2004 sinkt auch wieder die Zahl der gefahrenen Meilen und die Zahl der Toten sinkt weiter. Was sich hier zeigt ist, wie komplex das Risikoverhalten der Menschen von äußeren Faktoren abhängt.

 

Ein Menschenleben ist unbezahlbar! - Wirklich ????

 

Zu schnelles Fahren ("unangepasste Geschwindigkeit") kostet jedes Jahr eine erhebliche Zahl Menschenleben. Das schnellere Fahren führt (für die Überlebenden) (etwas) schneller zum Ziel (und bereitet den Schnellfahrern Freude). Diese Toten sind der Preis, den die Gesellschaft zu zahlen bereit ist. Diese Bereitschaft ist z.B. an den weit verbreiteten Protesten zu erkennen, die entstehen, wenn irgendwo eine neue Begrenzung aufgestellt wird oder wenn irgendwo "geblitzt" wird.

Ähnlich liegt es bei Verkehrsunfällen mit Alkoholeinfluss. Die Zahlen schwanken pro Jahr, sind aber beachtlich ("In den ersten sechs Monaten des Jahres 2009 war fast jeder elfte Verkehrstote Opfer eines Alkoholunfalls."). Die Zahl der Toten könnte stark reduziert werden. Es gibt Länder mit 0 Promille Regeln (z.B. Ungarn) und es könnte viel konsequenter kontrolliert werden. Außerdem gibt es heute auch technische Lösungen bei denen das Fahrzeug erst nach Alkotest startet (was zum Teil bei Wiederholungstätern angewendet wird). Die Graphik weiter oben zeigt eine beeindruckende Reduktion der Opfer von Alkoholunfällen in D über 30 Jahre und eine sehr geringe Reduktion für Österreich von 1992 bis 2014.

Aber das (stock-)besoffene Autofahren ist gesellschaftlich toleriert, die Kollegen schauen zu, wenn nach der Weihnachtsfeier besoffen nach Hause gekurvt wird. Die BBC hat das Thema "was ist uns (der Gesellschaft) ein Menschenleben wert" in einem Artikel zum Thema Risiko Flug durch die Aschenwolke sehr schön illustriert.

Eine Illustration der zumeist falschen Risikoeinschätzen für Kinder bringt der verlinkte Artikel, mit Links zum Paranoids Parents Guide und (bei uns zum Glück nicht für alle Altersgruppen relevanten) statistics on murders of juveniles in the United States (pdf). Dieses Zitat daraus trifft aber vermutlich auch bei uns zu: "Most homicides of young children are committed by family members through beatings or suffocation".

 

Handy-Risiken - Handy-Strahlung versus Verkehrstote durch Handys im Auto

Ein weiteres Beispiel für Fehleinschätzung von Risiken ist die Angst vor Handystrahlung. Dieses Risiko ist natürlich nicht Null - ein Null-Risiko könnte erst nach Jahrzehnten Nutzung klar nachgewiesen werden. Aber das sehr viel größere Risiko von Handynutzung im Auto wird gern in Kauf genommen. Der Artikel Apple's hands-free Siri voice control functions still hugely distracting berichtet über eine Studie in 2014 bei der es um die Nutzung von Freisprecheinrichtungen geht. Die sind natürlich besser, als wenn das Handy in der Hand gehalten wird während ein SMS oder eine WhatsApp Nachricht geschrieben wird, aber nicht viel. Der Report Measuring Cognitive Distraction in the Automobile II: Assessing In-Vehicle Voice-Based Interactive Technologies (44 Seiten) ist als PDF verfügbar. Noch wilder in 2017: die Korrelation zwischen Pokéstops und Verkehrsunfällen.

Tödliches Multi-Tasking

Ende 2104 ein Bericht über eine Stellungnahme des ADAC, der über die zunehmende Ablenkung der Autolenker beunruhigt ist. Sie sagen, dass das Smartphone und das Navi erst der Anfang ist, die Bordcomputer werden immer mehr Ablenkungen für die Fahrer bieten und immer komplexer zu bedienen sein. Der ADAC sagt, dass vermutlich viele Unfälle die durch Ablenkung verursacht werden gar nicht als solche registriert werden, sondern unter "unangepasste Geschwindkeit" erfasst werden. In diesem Zusammenhang haben wir evtl. auch eine Erklärung für die eigenartige Zahl, dass in den USA 40% der Fahrer vor dem Unfall nicht die Bremse berührt haben (Insurance Institute for Highway Safety - IIHS). Die Lösung die in dem Artikel vorgeschlagen wird ist, dass noch mehr Elektronik und Automatisierung ins Auto soll - wir werden in 10-20 Jahren automatische Bremsen als EU-Vorschrift haben (so wie jetzt Luftdruckkontrolle und eCall.

Artikel im Standard Mai 2015: Unfallgefahr durch abgelenkte Lenker. Zitat: "Während 2005 rund sieben Prozent der tödlichen Verkehrsunfälle auf diese Ursache [Ablenkung durch Handy oder Fahrzeugelektronik] zurückzuführen waren, waren es 2014 bereits 14 Prozent." Das waren in Österreich in 2014 immerhin 60 Personen. Ein Bericht 2018: Jeder Dritte nutzt Smartphone-Kamera beim Autofahren - und zwar zum Filmen!

Und: "Eine Verkehrsbeobachtung in Salzburg, deren Ergebnisse im April präsentiert wurden, ergab, dass Handytelefonie oder SMS-Schreiben während der Fahrt die häufigste Nebentätigkeit ist. Unter den Fahrtanfängern gaben bei einer Umfrage des Instituts alles-führerschein.at 19 Prozent als Hauptablenkung Telefonieren an, 16 Prozent SMS-Tippen."

Solche Heads-Up Displays für die Windschutzscheibe kommen in den USA auf den Markt

In den USA sind sogar bei etwa 80 Prozent aller Unfälle die Fahrer in den drei Sekunden vor dem Unfall abgelenkt, wie Schätzungen der US-Bundesbehörde für Straßen- und Fahrzeugsicherheit NHTSA ergaben. Laut NHTSA wurden im Jahr 2012 in den USA 421.000 Menschen bei Verkehrsunfällen verletzt, bei denen ein Fahrer abgelenkt war, 3.328 Menschen starben. Ich vermute, dass die realen Zahlen in Deutschland und Österreich auch höher liegen. Bei der Fahrsicherheit wurden auf Grund von vielen technischen Maßnahmen große Fortschritte erzielt, aber die Handys drücken die Zahl der Verkehrstoten wieder in die andere Richtung.

Mai 2015
Die nächste Stufe: Heads-Up Displays für Autofahrer
Die NY Times berichtet davon, dass eine Reihe von Geräten auf dem Markt kommt, die Smartphone-Informationen auf die Windschutzscheibe projezieren. Das wird als "sicher" verkauft, weil ja in Flugzeugen zum Teil auch Informationen auf die Frontscheibe projeziert werden. Aber dies sind nicht SMS-Inhalte, sondern es werden z.B. die Umrisse der Landebahn auf die Scheibe projeziert, d.h. nichts, was inhaltlich ablenken würde.

Kritiker dieser Entwicklung gehen davon aus, dass sich die Zahl der Unfälle durch Ablenkung noch weiter erhöhen wird.

 

Der Faktor Zorn bei Risikofehleinschätzungen

Noch ein interessanter Artikel zur Psychologie der Risikofehleinschätzung in psychology today. Auch in Psychological Science ist ein sehr interessanter Beitrag zur unterschiedlichen Wirkung von Angst und Zorn (pdf) auf die Entscheidungsfindung. Sie hat nach dem World Trade Center Angriff zufällig ausgewählten Amerikanern 2 unterschiedliche Videos zum Thema Terrorismus gezeigt. Einer davon löst eher Angst, der andere eher Zorn aus. Die Testpersonen, bei Zorn ausgelöst worden war hatten eine optimistischere Perspektive, was diese Bedrohung betraf und waren auch aggresiver bei den von ihnen bevorzugten Gegenmaßnahmen. D.h. die Forscher waren in der Lage, durch die Auswahl des Vorbereitungsvideos deutlich zu beeinflussen, welche Art von Maßnahmen die Testpersonen später bevorzugen würden. Dies zeigt, dass wohlüberlegte Meinungen zu Themen durch ein geeignetes Video, das die "richtigen" Emotionen auslöst, leicht geändert werden können.

Sehr ausführlich beschäftigt sich mit dem Thema Psychology und Risiko eine umfangreiche und empfehlenswerte Studie der American Psychological Association Psychology and Global Climate Change: Addressing a Multi-faceted Phenomenon and Set of Challenges (pdf, 1,2MB) aus der die Grafik rechts stammt.

Auf der horizontalen Achse wurde der "dread factor" aufgetragen, d.h. ganz rechts stehen Risiken, die starke emotionale Reaktionen auslösen, links stehen Risiken, die emotional entspannt gesehen werden. Die vertikale Achse ´stellt dar, ob es sich um Risiken handelt, die als bekannt angenommen werden müssen, da sie oder ihre Wirkungen leicht zu beobachten sind, z.B. Autounfälle. Diese beiden Dimensionen haben erst mal noch nichts mit dem wirklichen Risiko, ausgedrückt, z.B. in Toten pro 1 Million Einwohner zu tun, oft ganz im Gegenteil.

 

Theater of Fear

Feb. 2014: Ähnliche Beobachtungen macht Peter Ludlow auf einem Blog für Philosophie: Fifty States of Fear. Er schreibt über die Bedeutung von Angst die eine Regierung in der Bevölkerung erzeugt als Mittel, um ihre Ziele durchzusetzen. Er bezieht sich dabei auf Philosophen wie Hobbes und Russel. Auch er bringt Beispiele für die Verzerrung der Risikobetrachtungen durch die extreme Überbetonung eines angeblichen Terrorismus-Risikos. Er zitiert Erik Prince, den Gründer des berüchtigten Blackwater Worldwide Sicherheitsunternehmens, der "Contractor" in vielen Kriegen im Einsatz sind:

    America is way too quick to trade freedom for the illusion of security. Whether it's allowing the N.S.A. to go way too far in what it intercepts of our personal data, to our government monitoring of everything domestically and spending way more than we should. I don't know if I want to live in a country where lone wolf and random terror attacks are impossible - cause that country would look more like North Korea than America.

"Illusion of Security" ist ein Weiterentwicklung der Idee des Security Theater, d.h. öffentliche sichtbare Aktionen erzeugen, die zwar weitestgehend nutzlos sind, aber zeigen, "dass etwas getan wird". Ludlow sagt, dass dadurch auch gleichzeitig ein Theater der Angst erzeugt wird. Dadurch dass wir vor dem Besteigen eines Flugzeugs die lästigen Checks durchlaufen müssen werden wir ständig an die Möglichkeit eines Anschlags erinnert. Die Behörden erfüllen damit die eigentliche Arbeit der Terroristen, nämlich Angst (=Terror) zu erzeugen. Ohne das Security Theater (oder Security of Fear) gäbe es keinerlei Akzeptanz für diese extrem teuren und lästigen Maßnahmen. Zitat:

    We are conditioned to fear persons in caves in Pakistan but not fatal industrial accidents or the work-related deaths of thousands of Americans every year. . . . 54,000 Americans die every year due to work-related illnesses and accidents. This is the equivalent of 148 deaths each day; in terms of fatalities it is roughly a Boston Marathon bombing every half hour of every day. . . . while we spend more than 7 billion dollars a year on the T.S.A.'s national security theater in which over 58,000 T.S.A. employees make sure we are not carrying too much toothpaste or shampoo onto airplanes, the budget for the Occupational Safety and Health Administration is under $600 million per year. It seems that our threat assessments are flawed.

Und:

    Jeremy Scahill has shown in his book 'Dirty Wars', creates still more enemies. As Scahill describes the results, the United States Special Forces kill lists of seven targets gave rise to kill lists of hundreds, which in turn gave rise to kill lists of thousands today. Does it not occur to the United States that the drone strikes and assassinations are creating more terrorists than they are neutralizing? Perhaps it has, but the calculation has been made that it does not matter. The newly minted enemies can be used to gin up more fear, more restrictions on our freedoms, and so the cycle goes. One might argue that the United States has become a government of fear, by fear, and ultimately, for fear.

 

Risikodiskussion in den Sozialwissenschaften

Viel abstrakter wird das Thema Risiko in den Sozialwissenschaften gesehen. Ein recht komplizierter Artikel On realism and constructivism in the social sciences research on risk, technology and the environment (leider nur der Abstract kostenlos) betont die sozio-kulturelle Komponente in dem was als Risiko bezeichnet wird, die sich z.B. in der Form von übersteigerung, Ignorieren oder Verneinung zeigt.

Ob ich etwas als Risiko sehe, hängt ganz stark davon ab, was ich als Bedrohung definiert habe. Sind dies z.B. Todesfälle (in meiner Nähe oder weltweit) oder etwa Armut (eigene oder die Fremder Menschen) oder die Veränderung meines Lebensstils, bzw. meiner Bequemlichkeit durch globale Erwärmung oder durch die Gegenmaßnahmen wie höhere Besteuerung des Individualverkehrs. Dies wird dann auch als "Risiko-Konstruktion" bezeichnet.

Im Punkt A ist Stabilität: das reale Risiko ist konstant und auch das psychologische Empfinden dazu. In der Gesellschaft wird das realistisch eingeschätzt und akzeptiert. Auf dem Weg nach Punkt B (rechts rüber) steigt das reale Risiko an. Wenn sich gleichzeitig die Risiko-Empfindlichkeit nicht verändert, so wird die Bevölkerung stärkere Maßnahmen fordern oder durchführen.

Auf dem Weg von A nach C bleibt das reale Risiko konstant, aber die Risiko-Empfindlichkeit erhöht sich. Auch dies führt zu einer Nicht-Akzeptanz wie bei Punkt B, jedoch führt dies in diesem Fall zu einer Überreaktion (wie z.B. beim Thema Terrorismus zu beobachten). Am Punkt D sind sowohl Risiko-Empfindlichkeit wie auch reales Risiko erhöht. Die Maßnahmen werden verstärkt und sind diesmal angemessen. Ähnliche Überlegungen gelten für die anderen Punkt auf der Graphik, wer die Details wissen möchte, sei auf den Artikel verwiesen.

Ich habe das Thema "Subjektivität von Risiko" auch in meinem Blog behandelt, und zwar mit diesen Kalkulationen der Risikowahrscheinlichkeiten.

 

 

 

Was kann ich bei jedem der Risiken zur Verbesserung des Schutzes unternehmen?

Wenn ich als Unternehmen einem Risiko ausgesetzt bin, so habe ich mehrere mögliche Strategien, um auf dieses Risiko zu reagieren. Erst mal kann ich versuchen, dieses Risiko zu beseitigen. Ein Beispiel wäre, wenn ich auf das Risiko der Überschwemmung des Rechenzentrums darauf reagiere, in dem ich dieses vom Keller in das Dachgeschoss übersiedle (dabei muss ich natürlich bedenken, ob dadurch nicht neue Gefahren entstehen).

Oder ich kann mich bemühen, ein Risiko zu minimieren. Dazu wäre ein Beispiel der Einsatz eines Virenscanners und einer Firewall um der Gefahr von Angriffen und Schäden aus dem Internet zu begegnen. Dies wird nicht zu einer völligen Beseitigung des Risikos führen, aber doch eine erhebliche Minimierung bewirken.

Oder ich kann Risiken abwälzen. Methoden dazu sind z.B. Versicherungen und auch Outsourcing-Partner, die über entsprechende Verträge zur Übernahme der Risiken verpflichtet werden. Dabei ist jedoch entscheidend, dass das Kleingedruckte in den Verträgen keine Lücken enthält, z.B. Ausschlussklauseln bei Höherer Gewalt.

Und die letzte Option ist natürlich immer, das Risiko einfach zu akzeptieren. Dies ist durchaus in Ordnung, so lange dieses Risiko bekannt ist. Unbekannte Risiken gilt es aufzudecken. Um den Punkt der Akzeptanz des Restrisikos kommt letztendlich niemand herum, denn alle Schutzmaßnahmen müssen natürlich im für das Unternehmen erschwinglichen Rahmen liegen und dadurch entstehen Grenzen bei den Schutzmöglichkeiten.

Oft ist es auch sinnvoll, die Gefahren nach abwendbar bzw. nicht abwendbar einzuteilen, und die nicht abwendbaren in versicherbare und nicht versicherbare. Diese Aufteilung muss gemeinsam mit der Eintrittswahrscheinlichkeit unter ökonomischen Aspekten (z. B. 'mit vertretbarem Aufwand abwendbar') getroffen werden.

 

 

 

Was kostet der Schutz? Effektivität der Maßnahmen

Beseitigung, Minimierung oder Abwälzung eines Risikos ist immer auch mit Kosten verbunden. Diese Kosten können, für einzelne Bedrohungen für eine unterschiedliche Stärke des Schutzes, unterschiedlich hoch ausfallen. D.h. in meiner Tabellenkalkulation muss ich evtl. weitere Zeilen einfügen, um mehrere Reaktionen auf ein Risiko betrachten zu können. Hier stehen sich jetzt die Kosten für die Schutzmaßnahmen mit den erwarteten Schadenskosten gegenüber.

Bei der Berechnung der Kosten muss ich natürlich neben den Anschaffungskosten auch die Kosten für den Betrieb und die Wartung der Gegenmaßnahme berücksichtigen. Dies kann in vielen Fällen einen großen Anteil an der 'total cost of ownership' ausmachen.

In anderen Fällen kann es sein, dass 'lediglich' eine Änderung der Firmenkultur oder des Sicherheitsbewusstseins in der Firma notwendig ist. Nun ja, das kann allerdings auch Geld kosten. In diesem Fall muss man die Kosten für Training und Seminare ansetzen.

Der Vergleich zwischen den Kosten des Schutzes und den zu erwartenden Schäden sollte bereits deutliche Hinweise geben, in welcher Richtung die Schwerpunkte gesetzt werden sollten. Manchmal kommen bei diesen Betrachtungen Ergebnisse raus, die absolut gegen die Intuition sind. In diesem Fall sollte man sich alle Eingabedaten noch mal anschauen und sehen, ob irgendwelche der Parameter evtl. revisionsbedürftig sind. Das kann vorkommen und ein solcher 'sanity check' ist wichtig und sinnvoll.

 

Es geht hier um die Effektivität der möglichen Maßnahmen, d.h. um eine Abwägung von erwarteten Schäden, den Kosten der Maßnahmen und der erwarteten Häufigkeit. Im Fall von Informationssicherheit lassen sich leider nur die Kosten mit einiger Sicherheit bestimmen. Deswegen lässt sich die grundsätzliche Vorgangsweise besser an anderen Beispielen zeigen. Hier ein Link zu einer Studie risk and cost-benefit assessment of United States aviation security measures (pdf).

    Der Text beschäftigt sich mit der Messzahl "cost per life saved per year", d.h. wieviele Menschenleben werden gerettet durch Einsatz von welchen Kosten? Sie beginnen mit einer Auflistung von Maßnahmen und ihren Kosten, z.B. pro 100 000 US$ ausgegeben für Anschnallgurte oder für Werbung fürs Anschnallen wird ein Menschenleben gerettet. Hingegen kostet es 1 Million, um durch das Verbot von brennbaren Kinderpyjamas ein Leben zu retten. Rauchmelder in den Schlafzimmern erreichen das gleiche Ziel bereits für 200 000 US$.
    In den USA werden Beträge zwischen 1 und 10 Million pro gerettetes Menschenleben pro Jahr als effektiv angesehen. Dann geht die Studie zum eigentlichen Thema: Sicherheit von Flugzeugen gegen Terrorismus. Das Härten der Cockpit-Türen wird mit 800 000 US$ pro Menschenleben angesetzt, der Air Marshal Service hingegen mit 180 Millionen.

 

 

 

Was kann man als Ergebnis erwarten?

Das Ergebnis der Risikoanalyse, das dem Vorstand präsentiert wird, sollte natürlich nicht eine detaillierte Tabellenkalkulation sein (und über die Problematik der Berechnung von erwarteten Schäden auf Grund von Wahrscheinlichkeiten, die aus dem Hut gezaubert wurden habe ja bereits weiter oben geschrieben). Für solche Berechnungen hat kaum eine Geschäftsführung Zeit. Folgende Informationen kann die Geschäftsleitung erwarten:

  • Eine Auflistung der Bedrohungen des Unternehmens, nach Prioritäten in Hinblick auf ihre Gefährlichkeit geordnet
  • Eine Darstellung, welche der möglichen Bedrohungen als außerhalb der Betrachtungen gesehen wurden (z.B. Krieg, Terrorismus, Erdbeben, Verlust des Gebäudes, Ausfall beider Rechenzentren, ...). Hier ist die Geschäftsführung gefordert, zu entscheiden, ob diese Risiken wirklich ignoriert werden sollen.
  • Eine Darstellung der zu erwartenden Schäden im Fall, dass eine Bedrohung eintritt (Vergleich mit den Versicherungshöhen)
  • Eine Darstellung der bereits getroffenen Schutzmaßnahmen
  • Eine Darstellung der zusätzlich empfohlenen Maßnamen um den Schutz zu erhöhen, wieder nach Dringlichkeit und Prioritäten geordnet (hoch, mittel, niedrig). Diese Liste wird optimalerweise eine Aufstellung der ungefähren Kosten beinhalten. Oft finden sich dabei Maßnahmen mittlerer Priorität, die zwar oft nicht absolut dringend sind, jedoch ohne großen Aufwand und Kosten implementiert werden können. Diese sollten dann sinnvoller weise vorgezogen werden. Jede kleine Verbesserung kann helfen, die Sicherheit zu erhöhen

Im nächsten Kapitel erkläre ich, wie so eine Aufstellung sinnvoll erstellt werden kann.

 

 

 

Vorgehensweise einer Risikoanalyse nach NIST 800-30

Die amerikanische Normungsbehörde NIST hat eine Vorgehensweise bei der Risikoüberprüfung von "Information Technologie Systems" standardisiert, die ich für recht gut halte und nach der ich, wo immer sinnvoll, vorgehe. Diese Vorgehensweise wird im Folgenden beschrieben.

Ziel einer solchen Risikoanalyse soll sein, die Risiken und Gefahrenpotentiale des Einsatzes eines bestimmten Gerätes oder einer Anwendung aufzuzeigen und zu bewerten und Vorschläge zu machen, welche Geräte mit welchen Schutzmaßnahmen (technisch und organisatorisch) mit einem für das Unternehmen akzeptablen Restrisiko eingesetzt werden können. Eine solche Betrachtung kann z.B. dazu dienen, eine Entscheidung für oder gegen eine bestimmte Technologie mit Entscheidungskriterien im Hinblick auf ihre Gefahren zu untermauern.

Wichtigste Teilaufgaben

Die Risikoanalyse vollzieht sich in 9 Schritten, wobei jeder dieser Schritte spezifische Handlungen und Schritte bedingt:

Systembeschreibung

  • Beschreibung der Charakteristiken der Technologien die zur Diskussion stehen
  • Beschreibung der Rand- und Rahmenbedingungen, z.B. Liste der zu untersuchenden Anwendungen
  • Systemkritikalitäten

Bedrohungsidentifizierung

  • Betrachtung der Bedrohungen bei dem Einsatz von mobilen Technologien

Schwachstellenidentifizierung

  • Bekannte Verwundbarkeiten der jeweiligen Technologien
  • Bewertung der Schutzmaßnahmen, die bei den jeweiligen Technologien integriert sind

Kontrollen und Schutz

  • Bewertung der allgemeinen und spezifischen Schutzmaßnahmen, die auf Kundenseite bereits getroffen sind, bzw. zusätzlich getroffen werden können (technisch und organisatorisch)

Wahrscheinlichkeiten

  • Betrachtung der Wahrscheinlichkeiten, dass einer der betrachteten Angriffe Erfolg hat
  • Betrachtung der Kosten, die mit diesen Angriffen verbunden wären (hohe Kosten reduzieren die Zahl der potentiellen Angreifer)
  • Betrachtung der Voraussetzungen für die erfolgreiche Durchführung der Angriffe

Betrachtung der möglichen Auswirkungen

  • Analyse der möglichen Auswirkungen der Technologien im Hinblick auf
    • Vertraulichkeit
      Integrität von Daten, Informationen und Prozessen
      Verfügbarkeit von Daten und Systemen

Risikoabschätzung

  • Die sich aus diesen Informationen ergebenden Gesamtrisiken jeder der Technologien, mit und ohne Einsatz von zusätzlichen Sicherheitsmaßnahmen (wo sinnvoll)

Empfehlungen

  • Welche der Technologien lassen sich mit welchen Aufwänden und welchen (ungefähren) Kosten mit einem tragbaren Restrisiko einsetzen?

Dokumentation

  • Erstellung eines Berichtes, der alle diese Erkenntnisse dokumentiert und zu allen Feststellungen die jeweiligen Quellen referenziert

Ergebnis der Studie werden technische Empfehlungen sein, in denen dargestellt werden wird

  • welche Risiken sich durch die Nutzung der Geräte ergeben können
  • welche technischen und organisatorischen Schutzmöglichkeiten eingesetzt werden können und sollten (Konfigurationsempfehlungen)
  • welche Restrisiken sich dann immer noch ergeben würden und akzeptiert werden müssen
  • welche Empfehlungen in Hinblick auf einzusetzende, bzw. empfohlene Geräte sich aus diesen Ergebnissen ableiten lassen.

Risiko-Akzeptanz

Risiken, die akzetpiert werden, müssen dokumentiert werden. Hier ein Link zu einer Vorlage für ein Risiko-Akzeptanz Dokument.

 

 

 

Eine kompakte Ergebnisdarstellung

Im Folgenden wird eine kompakte Ergebnisdarstellung vorgestellt, bei der in einem Spread-Sheet, Größe A3, letztendlich das gesamte Ergebnis einer solchen Studie dargestellt werden kann. Zuerst die Bedrohungen, d.h. die Angriffe:

 

Ich beginne damit, dass ich mir die Bedrohungen, die Verletzungen der Sicherheit, klarmache. In dem hier gezeigten Fall gibt es 5 Hauptangriffstypen, die sich unterschiedlich stark auf die 3 Kategorien Vertraulichkeit, Integrität und Verfügbarkeit meiner Systeme auswirken. Dies liste ich in der Matrix auf, indem ich ihre Gefährlichkeit in Kategorien einteile.

Daraus ermittle ich eine Gesamtgefährlichkeit, die ich in der Zeile Gefahrenpotential darstelle. Wenn ich genauere Daten habe, so kann ich auch eine feinere Einteilung wählen als hier geschehen.

Dann berücksichtige ich die Wahrscheinlichkeiten. Die bekomme ich entweder aus Statistiken, wie oft in den letzten Jahren/Jahrzehnten schon mal was passiert ist, oder fast etwas passiert wäre. Wenn es ein aktiver Angriff ist, so ist z.B. wichtig, wie schwierig dieser Angriff ist und wie teuer ein solcher Angriff wäre. Alles ist angreifbar, aber wenn die Kosten für den Angriff sehr hoch sind, das gibt mir Sicherheit.

Aus dem Gefahrenpotential und der Wahrscheinlichkeit gewinne ich nun Prioritäten.

 

Nun geht es zu den Schutzmöglichkeiten. Ich führe für jede Schutzmaßnahme eine Zeile ein. In dieser Zeile notiere ich, wie effektiv der Schutz gegen den jeweiligen Angriff ist. Bei den Schutzmaßnahmen steht jetzt auch noch, ob es ein teurer Schutz ist oder ob evtl. nur die Verantwortlichkeiten anders geregelt werden müssen, z.B. das 4-Augen-Prinzip einzuführen.

Die Effektivität des Schutzes kategorisiere ich wiederum. Und damit bin ich schon fertig, denn der Rest ergibt sich mehr oder weniger automatisch. Ich brauche gegen jeden der Angriffe einen möglichst wirksamen Schutz. Wenn irgendwie möglich, so sollte ich immer mehr als nur einen Schutzmechanismus haben, denn die Wahrscheinlichkeit, dass der einzige Schutzmechanismus versagt, ist ziemlich groß (Konzept des Defense-in-Layers).

So finde ich im gegebenen Beispiel sehr schnell, dass ich die Maßnahmen 8 und 9 auf jeden Fall brauche, sonst gibt es Spalten (d.h. Angriff), in denen keinerlei Schutzmaßnahme steht. Damit bin ich immer noch offen für die Angriffe B und D. Schutzmaßnahme 1 sieht am besten aus, besser wäre es jedoch, noch eine oder mehrere weitere zu implementieren. Die Schutzmaßnahme 6 werde ich auf jeden Fall empfehlen, weil sie nicht mit wirklichen Kosten verbunden ist und weil man nie genug Schutzschichten haben kann.

 

 

 

Risiken von Web-Anwendungen

Microsoft bietet übrigens auf seiner Website sehr gute Tipps bezüglich einer Risikomanagement Vorgehensweise ("Threat Modelling"), die dort an Hand einer Web-Applikation erklärt wird. Hier die Liste der Bedrohungen einer Web-Anwendung und hier die detaillierte Vorgehensweise, die zu so einem Ergebnis führen könnte.

 

 

 

Weiterführende Hinweise zu Risikobewertung

Febr. 2009:
Eine sehr interessante Arbeit zum Problem der Abschätzung von sehr unwahrscheinlichen Ereignissen, die aber eine sehr große Auswirkung hätten. Da geht es z.B. um Fragen wie ein großer Meteor, der die Erde trifft oder ob der Large Hadron Colider (
LHC) ein schwarzes Loch erzeugt: Probing the Improbable: Methodological Challenges for Risks with Low Probabilities and High Stakes. Der Punkt dieser wissenschaftlichen Arbeit ist, dass bei einem Ereignis, dem eine sehr geringe Eintrittswahrscheinlichkeit vorausgesagt wird, bei der Bewertung dieser Aussage die Wahrscheinlichkeit berücksichtigt werden muss, dass das Modell, die Theorie und die Berechnung mit einer viel höheren Wahrscheinlichkeit fehlerbehaftet sind. Ca. 1 von 1000 wissenschaftlichen Arbeiten müssen wegen Fehlern zurückgezogen werden. D.h. die Theorie und das Modell mögen zwar nur 1 Ereigniss in 1 Million Jahren vorhersagen, sind aber mit einer viel höheren Wahrscheinlichkeit falsch. Wir haben es zwar in der Informationssicherheit nicht mit so geringen Wahrscheinlichkeiten zu tun, die Fehlerbehaftung unserer Modelle und Theorien ist aber viel höher als 1 zu 1000, eher 1 zu 10. Das unterstützt meine These, dass eine Berechnung von Wahrscheinlichkeiten im Bereich der Informationssicherheit nicht zu wirklich verwertbaren Aussagen führt.

Gute und ausführliche Hintergrundinformationen zu Risikobetrachtungen finden sich z.B. in den Berichten rund um die Shuttle Katastrophen der NASA. Hier werden auch die ethischen Aspekte des Technikers im Umgang mit entdeckten oder vermuteten Risiken betrachtet (so gab es bei beiden Shuttle-Katastrophen vorher reichlich Warnungen, die ignoriert worden waren).

Die Website von RiskNET enthält eine ganze Reihe von Materialien zum Thema und Michael Krausz hat ein White Paper zu Risikoanalyse und -bewertung geschrieben.

Microsoft bietet auch recht gute Unterlagen. Hier der umfangreiche Security Risk Management Guide mit eigenen kleinen Tools zur Durchführung einer Risikostudie. Mehr von Microsoft zum Konzept von Threat Modelling weiter oben.

Hier ein sehr interessanter Artikel über das "Auf den Grund des Problems vordringen" nach dem 5-Warum-Prinzip von Sakichi Toyoda.

 



Philipp Schaumann, https://sicherheitskultur.at/


zeigende Hand als Hinweis auf Verlinkung zur HauptseiteHome

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License Icon
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.