Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Erfolgreiche Risiko-Analyse im Betrieb

Die Grundlage für eine erfolgreiche Risiko-Analyse ist ein stringentes methodisches Vorgehen. Dieses teilt sich grundsätzlich auf in 1) die Identifikation der Risiken, 2) die Bewertung der Risiken, 3) die Definition und Implementierung von Massnahmen sowie 4) einen Kontrollkreislauf zur Überprüfung und Verbesserung. Im Rahmen dieses Beitrags sollen diese Punkte weiter erläutert werden. Zunächst aber folgende Vorbemerkung: Es gibt nie kein Risiko, sondern lediglich mehr oder weniger Risiko. Somit wird es immer ein Restrisiko geben, das getragen werden muss, wenn eine bestimmte Tätigkeit ausgeübt wird. Je nach Risikobereitschaft kann dieses Restrisiko grösser oder kleiner sein. Wenn ich zum Beispiel motorradfahre, kann ich dies mit oder ohne Schutzausrüstung tun. In beiden Fällen ist es möglich, dass ich einen Unfall habe. Ohne Schutzausrüstung ist die Verletzungsgefahr bzw. das Risiko höher als mit Schutzausrüstung. Ob ich eine Schutzausrüstung trage, hängt somit von meiner Risikobereitschaft bzw. meinem Risikoappetit ab. Aber kommen wir nun als erstes auf die Identifikation der Risiken. Bei der Identifikation von Risiken ist es hilfreich, diese zu kategorisieren und systematisch zu klären, ob diese im Betrieb vorhanden sind oder nicht. Dabei wird zwischen direkten Risiken und indirekten Risiken unterschieden. Direkte Risiken sind Risiken, die direkt durch die Geschäftstätigkeit an sich entstehen. Vergibt zum Beispiel eine Bank einen Kredit, entsteht durch die Vergabe des Kredites an sich direkt das Risiko, dass dieser nicht zurückbezahlt wird und der Kreditbetrag verloren ist. Ohne dieses Risiko einzugehen, kann ich keine Kredite vergeben. Darunter fallen Unternehmensrisiken, strategische Risiken und direkte finanzielle Risiken. Davon zu unterscheiden sind Indirekte Risiken. Indirekte Risiken sind Risiken, die unabhängig von der konkreten Geschäftstätigkeit bestehen, aber dennoch indirekt Auswirkungen auf den Betrieb haben können. Diese indirekten Risiken werden auch als operative Risiken bezeichnet und in die Kategorien Mensch, Prozess, Infrastruktur und externe Einflüsse unterteilt. Weiter werden zum Beispiel unter der Kategorie Mensch Risiken hinsichtlich menschlichen Versagens aber auch die Risiken hinsichtlich internen und externen Betrugs verstanden. Abhängig von der jeweiligen Branche gibt es ganze Risikoregister für operative Risiken, die als Grundlage herangezogen werden können. Bei der Erhebung der Risiken geht es nun darum, entlang dieser Kategorien zu bestimmen, welche der Risiken innerhalb des Betriebes vorhanden sind. Dies kann entweder entlang der Organisation für den jeweiligen Bereich eines Betriebes geschehen oder aber entlang der verschiedenen Prozesse. Bei Letzterem werden die Prozesse idealerweise ganzheitlich (End-to-End) untersucht. Wenn bekannt ist, welche Risiken bestehen, die Risiken somit entdeckt wurden, geht es als nächstes darum, diese zu bewerten. In der Regel werden Risiken entlang der beiden Dimensionen Eintretens-Wahrscheinlichkeit und Verletzlichkeit bewertet bzw. gemessen. Dabei geht es darum zu bestimmen, wie hoch die Wahrscheinlichkeit ist, dass ein bestimmtes Risiko eintritt und wie hoch der Schaden ist, wenn es eintritt. Beide Dimensionen müssen hierzu in messbare Grössen überführt werden. Bei der Eintretens-Wahrscheinlichkeit bietet sich die Anzahl Fälle pro Zeiteinheit an; zum Beispiel mehrere Fälle pro Woche, ein Fall pro Woche und ein Fall pro Monat oder weniger. Abhängig von dieser Definition wird die Wahrscheinlichkeit als wenig wahrscheinlich, wahrscheinlich und sehr wahrscheinlich oder in tief, mittel und hoch kategorisiert. Anhängig von der gewählten Operationalisierung und der Definition kann die Kategorisierung beliebig angepasst werden, wobei sich drei bis fünf Stufen bewährt haben. Die Verletzlichkeit wird in der Regel in den Dimensionen finanzieller Schaden, rechtliche Auswirkungen, Auswirkungen auf den Betrieb und Reputation erhoben. Alle vier Dimensionen müssen weiter operationalisiert werden. Der finanzielle Schaden entspricht dabei dem finanziellen Betrag, der zum Beispiel aufgrund einer Busse oder einer Forderung entrichtet werden muss. Die rechtlichen Auswirkungen entsprechen der Wahrscheinlichkeit einer Verurteilung und deren Konsequenzen. Die Auswirkungen auf den Betrieb werden durch die Zeit, während der ein bestimmter Prozess unterbrochen ist und dessen Kritikalität erhoben. Die Dimension Reputation kann anhand der Anzahl negativer Berichte in den Medien über eine bestimmte Zeit gemessen werden. Wie bei der Eintretens-Wahrscheinlichkeit müssen die verschiedenen Dimensionen der Verletzlichkeit weiter spezifiziert und in Kategorien wie tief, mittel und hoch überführt werden. Idealerweise sind dabei gleich viele Kategorien zu wählen, wie bei der Eintretens-Wahrscheinlichkeit. Bei der Beurteilung der Eintretens-Wahrscheinlichkeit sowie der Verletzlichkeit wird wenn möglich auf vergangene Ereignisse innerhalb des eigenen Betriebs oder aber vergleichbarer Betriebe zurückgegriffen (empirische Erhebung). Ist dies nicht möglich, müssen die beiden Dimensionen anhand einer qualifizierten Schätzung, zum Beispiel mittels Befragung von Experten erhoben werden. In einer aus den Achsen Eintretens-Wahrscheinlichkeit und Verletzlichkeit bestehenden Matrix kann schliesslich das jeweilige Risiko bestimmt bzw. gemessen werden. Man spricht hier auch von Inhärentem-Risiko; also vom Risiko, das ohne jegliche Massnahmen besteht. Je höher das jeweilige Inhärente Risiko ausfällt, desto dringender ist es, Massnahmen zu treffen. Massnahmen können physischer, administrativer oder technischer Natur sein. Auf jeden Fall müssen die getroffenen Massnahmen die Eintretens-Wahrscheinlichkeit und/oder die Verletzlichkeit senken und dadurch das jeweilige Risiko verringern. Das nach getroffenen Massnahmen bestehende Restrisiko wird auch als Residual-Risiko bezeichnet. Sind Massnahmen effektiv, verringert sich das Inhärente Risiko durch diese auf ein Niveau, das als tragbar erachtet werden kann. Andernfalls müssen zusätzliche Massnahmen getroffen werden. Mit der Identifikation und der Messung der Risiken sowie dem Treffen von angemessenen Massnahmen ist der Prozess für eine erfolgreiche Risiko-Analyse aber noch nicht abgeschlossen. Der Kreislauf muss durch wiederkehrende Kontrollen, anhand derer überprüft wird, ob die Identifikation und Messung der Risiken noch zutreffend und die getroffenen Massnahmen noch wirksam sind, geschlossen werden. Dabei ist auch zu prüfen, ob die Residual-Risiken nach wie vor der Risikobereitschaft des Betriebs entsprechen. Die Risikobereitschaft bzw. der Risikoappetit ist wiederum davon anhängig, welches Risiko ein Betrieb tragen kann und will und dies kann sich im Verlaufe der Zeit durchaus ändern. Gewiss ist nur, dass es niemals kein Risiko geben kann. Umso wichtiger ist es, sich der Risiken, die eingegangen werden, bewusst zu sein und diese auch tragen zu wollen und zu können. Denn nur dann kann ich entscheiden, ob ich mit oder ohne Schutzausrüstung auf das Motorrad steige.  

---

Blogpost wurde erstellt von Erik Dinkel im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.