Risikomanagement
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Einleitung
Für alle, die hier den "heiligen Gral" der Risikoanalyse erwarten, folgt hier zunächst eine kleine Ernüchterung.
"Die menschliche Wahrnehmung von Risiken ist subjektiv, emotional geprägt und durch kognitive Verzerrungen gestört."
Dies führt regelmäßig zu Fehleinschätzungen von Risiken. Schulung und objektive Daten helfen oft nur wenig, dies zu verbessern.
Jeder kennt das aus seinem persönlichen Umfeld:
Flugangst: Menschen neigen dazu, Flugreisen als riskant wahrzunehmen, fahren aber völlig angstfrei mit dem Fahrrad durch die Stadt. statistisch ist die Wahrscheinlichkeit eines tödlichen Unfalls beim Fahrradfahren deutlich höher.
Übertriebene Angst vor Krankheiten: Menschen können eine übermäßige Angst vor Infektionskrankheiten entwickeln, z.B. hat die Corona-Pandemie weltweit zu teilweise drastischen Maßnahmen geführt, statistisch sterben mehr Menschen an und mit Alkohol oder durch Luftverschmutzung, aber diese Risiken werden gesellschaftlich akzeptiert oder ignoriert.
Verfügbarkeitsheuristik: Nach einem medienwirksamen Ereignis wie einem Flugzeugabsturz oder einer Naturkatastrophe ist die Wahrnehmung dieser Risiken überproportional hoch, auch wenn sie extrem selten auftreten.
"Eine Risikoanalyse ist letztlich nur der mehr oder weniger hilflose Versuch, die subjektive Wahrnehmung durch technische Verfahren oder Prozesse regulatorisch zu untermauern."
Es gibt keine sichere Methode, die oben genannten Effekte wirksam zu eliminieren. Es ist daher wichtig, sich dessen immer bewusst zu sein und einerseits die eigenen Risikobewertungen immer wieder kritisch zu hinterfragen und andererseits von einem "100%-Ansatz" Abstand zu nehmen. Es gibt keine Risikoanalyse, die die tatsächlichen Risiken vollständig und objektiv abbildet.
"Das größte Risiko ist immer das, dessen man sich nicht bewusst ist."
Häufige Fehler
Im Folgenden sind einige grundlegende Fehler aufgeführt, die bei der Risikoanalyse immer wieder auftreten:
- Fehlender Abstand: Je mehr man selbst in das Thema involviert ist, desto größer ist der subjektive Einfluss. Die Risikoanalyse sollte daher von jemandem durchgeführt werden, der nicht direkt in den Untersuchungsgegenstand involviert ist und den "Blick von außen" einnehmen kann.
- Ignorieren der Realität: Die Eintrittswahrscheinlichkeit eines Schadensereignisses von "jährlich" für einen Verfahren, das bereits seit fünf Jahren problemlos und ohne Vorkommnisse läuft, ist bereits durch die Realität widerlegt.
- Nichtberücksichtigung von Wechselwirkungen: Risiken sind oft miteinander verbunden. Die Vernachlässigung dieser Wechselwirkungen kann zu unvollständigen Analysen führen. Risikoanalyse für einzelne Komponenten (z.B. einem einzelnen Server) sind daher nur bedingt aussagekräftig.
- Fehlende Einbeziehung von Stakeholdern: Die Meinungen und Perspektiven der relevanten Interessengruppen werden nicht ausreichend berücksichtigt.
- Überkomplexität der Methodik: Zu komplexe Modelle oder Methoden können zu Verwirrung führen und die Ergebnisse unverständlich machen. Insbesondere Eintrittswahrscheinlicheiten sind häufig zufallsabhängig und somit nicht vorhersagbar, daran ändern auch die komplexesten mathematischen Methoden nichts.
- Mangelnde Aktualisierung: Risikoanalysen sollten regelmäßig aktualisiert werden, um neue Bedrohungen und Entwicklungen zu berücksichtigen.
- Fokussierung auf Einzelrisiken: Einseitige Betrachtung einzelner Risiken ohne Berücksichtigung der Gesamtrisikolandschaft kann zu unangemessenen Maßnahmen führen.
- Bestätigungsfehler: Risikoanalysten neigen dazu, Informationen zu suchen, die ihre bestehenden Annahmen bestätigen, anstatt alternative Sichtweisen zu berücksichtigen (so kann es auch Risiken geben, die eigentlich keine sind).
- Unrealistische Annahmen: Die Verwendung unrealistischer Annahmen kann die Genauigkeit der Risikoanalyse beeinträchtigen.
- ...
Vorbereitung
Um diese Fehler zu vermeiden, ist es wichtig, Risikoanalysen sorgfältig zu planen, qualitativ hochwertige Daten zu verwenden, verschiedene Perspektiven einzubeziehen und die Methodik regelmäßig zu überprüfen und zu aktualisieren. Je mehr Daten und Sichweisen einbezogen werden, desto belastbarer wird die Risikoanalyse.
Definition des Betrachtungsgegenstands
Der Betrachtungsgegenstand bildet das Herzstück jeder Risikoanalyse. Er definiert konkret, welche Elemente der Organisation oder des Systems auf potenzielle Risiken hin untersucht werden. Eine präzise Definition ermöglicht eine zielgerichtete und effektive Analyse, die relevante Sicherheitsbedrohungen und Schwachstellen identifiziert.
Der Betrachtungsgegenstand kann sich auf spezifische Prozesse, geschäftskritische Informationen, bestimmte Verfahren, Anwendungen oder IT-Systeme beziehen, die auf potenzielle Risiken hin bewertet werden sollen.
Definition der Perspektive
Die Perspektive oder der Betrachtungswinkel, aus der eine Risikoanalyse durchgeführt wird, kann einen signifikanten Einfluss auf das Ergebnis und die Wirksamkeit der daraus abgeleiteten Maßnahmen haben. In der Risikobewertung kann die Perspektive je nach Betrachtung durch die IT-Abteilung, die Geschäftsleitung, die Datenschutzbeauftragten oder andere Stakeholder und abhägig vom Betrachtungsgegenstand variieren, daher ist es sinnvoll möglichst alle relevanten Perspektiven zu berücksichtigen und die Teilnehmer für eine Risikoanalyse entstprechend auszuwählen.
Auswahl der Risikobewertungsmethodik
Für eine effektive Risikoanalyse ist die Auswahl einer geeigneten Bewertungsmethodik entscheidend. Diese Methoden lassen sich in zwei Hauptkategorien unterteilen: quantitative und qualitative Bewertungsmethoden. Quantitative Methoden basieren auf messbaren Daten und statistischen Modellen, um Risiken in numerischen Werten, wie z.B. Wahrscheinlichkeit eines Vorfalls und dessen potenzielle Auswirkungen in finanziellen Einheiten, zu bewerten. Diese Ansätze eignen sich besonders, wenn präzise Daten verfügbar sind und eine objektive Risikobewertung gefordert ist.
Im Gegensatz dazu stützen sich qualitative Bewertungsmethoden auf die Einschätzungen von Experten, um Risiken basierend auf Erfahrung, Intuition und anderen nicht quantifizierbaren Informationen zu klassifizieren. Diese Methoden ordnen Risiken oft in Kategorien wie „niedrig“, „mittel“ und „hoch“ ein und eignen sich besonders, wenn quantitative Daten schwer zu erheben sind oder eine schnelle, allgemeine Bewertung notwendig ist.
Neben diesen beiden Hauptmethoden gibt es weitere Ansätze, die in Betracht gezogen werden können:
- Semi-quantitative Methoden: Diese Methoden kombinieren Elemente beider Ansätze, indem sie qualitative Bewertungen mit quantitativen Skalen (z.B. von 1 bis 10) verbinden. Sie bieten einen Mittelweg, um eine gewisse Messbarkeit in die Bewertung einzuführen, ohne dabei auf detaillierte quantitative Analysen angewiesen zu sein.
- Szenario-basierte Methoden: Hierbei werden spezifische Szenarien entwickelt und analysiert, um die Auswirkungen verschiedener Risikoereignisse zu verstehen. Diese Methode ist nützlich, um komplexe Risiken zu bewerten und Notfallpläne zu entwickeln.
- Delphi-Methode: Eine strukturierte Kommunikationstechnik, oft verwendet für Expertenbefragungen, um einen Konsens über spezifische Risikobewertungen zu erreichen. Dies ist besonders vorteilhaft, wenn unterschiedliche Meinungen und Einschätzungen berücksichtigt werden müssen.
Die Wahl der Methode sollte auf den spezifischen Bedürfnissen der Organisation, der Verfügbarkeit von Daten und Ressourcen sowie dem Kontext der Risikoanalyse basieren. Eine Kombination verschiedener Methoden kann auch genutzt werden, um eine umfassendere Risikobewertung zu erzielen.
