Mit <kes>+ lesen

Aus dem Nähkästchen des Risikomanagements : Erfahrungen und Gedanken zum Risikomanagement in der Informationssicherheit

Das in vielen Normen geforderte Risikomanagement erweist sich in der Umsetzung häufig als schwierig und treibt mitunter bunte Blüten. Einige solcher Auffälligkeiten beschreibt der vorliegende Artikel und macht Vorschläge, wie sinnvollere Lösungen aussehen könnten – eine Sammlung subjektiv als problematisch empfundener Beispiele, die keinen Anspruch auf Vollständigkeit erhebt.

Lesezeit 14 Min.

Von Thomas Kaufmann, Hilpoltstein

Menschen sind in vielerlei Hinsicht eher schlecht in der Risikobeurteilung. Dennoch haben sich risikoorientierte Managementsysteme (zu Recht) durchgesetzt: Die ISO baut darauf und das BSI zog nach – auch in der DSGVO ist dieser Ansatz vorgesehen. Also weg von den starren Vorgaben eines für alle geltenden Katalogs von Schutzmaßnahmen. Vielmehr sollen Anwender:innen der Managementsysteme selbst entscheiden, für wie wahrscheinlich und wie gravierend sie einen Vorfall halten – und dann das Risiko entsprechend behandeln. Bei der Umsetzung und Anwendung des Risikomanagements in der Praxis zeigen sich jedoch immer wieder interessante Verwerfungen.

Es gibt viele Beispiele, wie leicht ein Risikomanagement in Schieflage geraten kann: Als nach einer Risikoabschätzung genau das vorhergesehene Risiko eintrat, konnte der Autor beispielsweise Zeuge davon werden, dass sich das betreffende Team, zu dem er selbst auch gehörte, in den damit verbundenen Auswirkungen um nahezu Faktor 10 getäuscht hatte. Auch Beispiele wie etwa eingetrockneter Teig in Rohrleitungen, der einen Neuaufbau der Produktion nötig machte, oder aber schlicht ausbleibende Gaslieferungen zeigen, wie schwer die Bewertung von Auswirkungen eines (durchaus absehbaren Schadens-)Ereignisses sein kann.

Noch schwieriger scheint das Abschätzen von Wahrscheinlichkeiten zu sein: In der Nachbarstadt wird tatsächlich über ein neues Wohngebiet in einer Zone von „hundertjährigem Hochwasser“ gesprochen. Jedes Jahr bedeutet also einen Dreh am Glücksrad mit 100 Feldern und eines davon heißt „Überflutung“. Bei Immobilien, die man lange bewohnen möchte, ist an sich leicht auszurechnen, dass es ziemlich wahrscheinlich sein dürfte, diese Gebäude eines Tages grundsanieren zu müssen.

Im Folgenden sollen einige Klippen des Risikomanagements aus der persönlichen Erfahrung des Autors dargestellt und Wege vorgeschlagen werden, diese zu umgehen.

Risiko-Auswahl

Schon Murphy wusste, dass alles, was schiefgehen kann, auch tatsächlich schiefgeht – und es gibt sehr, sehr viele Möglichkeiten, dass etwas mit einer gewissen Wahrscheinlichkeit schiefgeht, also ein Risiko „zuschlägt“. Wie kann man die Unmenge möglicher Risiken sinnvoll eingrenzen? Zunächst hilft natürlich bereits die Fokussierung auf ein Themengebiet (in unserem Fall die Informationssicherheit): Nur solche Themen werden betrachtet, die durch Informationen ausgelöst werden oder bei denen Informationen wesentlich zum Schadensverlauf beitragen.

Zusätzlich kann man anhand der Schadenshöhe ausgrenzen: Weltuntergangsszenarien kann man getrost vernachlässigen – bei solchen Vorkommnissen kollabieren schließlich auch Versicherungen, liegen ganze Volkswirtschaften am Boden. Immer dann, wenn die Informationssicherheit das kleinste Problem darstellt oder aber auch alle anderen Wettbewerber gleichzeitig Schäden erleiden, muss man zwar Extremrisiken eventuell aus rechtlichen Gesichtspunkten dokumentiert abarbeiten – ansonsten sind sie keiner Betrachtung wert, wenn es keine wirksamen Maßnahmen zur Risikobehandlung gibt.

Derartige Annahmen gilt es jedoch regelmäßig zu prüfen! So trafen zum Beispiel die hohen Gaspreise nicht jedes Unternehmen gleichermaßen, denn einige hatten sich bereits alternative Energieträger erschlossen und so in der Krisensituation einen Vorteil.

Bei sehr niedrigen Schäden sollte man auf der anderen Seite die Abarbeitung in die Hände des Qualitätsmanagements, des kontinuierlichen Verbesserungsprozesses (KVP) oder der direkten Führungskräfte legen. Wenn die Wahrscheinlichkeit hoch ist, zeigt sich häufig Verbesserungspotenzial, das sich zu heben lohnt.

Wem gehört ein Risiko?

Risiken sollen Risiko-Verantwortlichen zugeordnet werden. Es ist klar, dass letztlich jedes Risiko nur der Geschäftsleitung gehören kann, aber diese sollte nicht operativ dafür verantwortlich sein. Daher sucht sie in der Organisation geeignete Vertreter. Aber wen? Gerade bei IT-Risiken bieten sich zunächst CISO, IT-Leitung oder aber die Fachabteilung an, welche die IT nutzt. Sollte es derjenige sein, in dessen Bereich der Schaden verursacht wird? Oder doch der, der die größten Auswirkungen des Vorfalls spürt?

Diese Frage spielt schon bei möglichen Systematisierungen eine Rolle. Risiken lassen sich sehr verschieden gruppieren: Zum Beispiel in Informationssicherheits-, Lieferketten-, Personal- oder Kundenrisiken, aber auch in Bonitäts-, Reputations-, Gesundheits- oder Finanzrisiken – je nachdem, ob man Ursprung oder Auswirkung des Risikos betrachtet. Schlecht ist es eher, wenn man hier „gemischt“ klassifiziert.

Verantwortliche für Risiken sollten darüber hinaus über eine wichtige Fähigkeit verfügen: Sie sollten die Macht und Mittel haben, ein Risiko zu beheben, also Maßnahmen zu ergreifen. Das kann etwa über Budget erfolgen, aus dem ein IT-Projekt zur Reduktion des Risikos finanziert wird – oder aber durch Veränderungen an Prozessen, welche die Eintrittswahrscheinlichkeit verringern. Das macht deutlich, dass die wenigsten Risiken wohl der/dem CISO gehören werden, gerade wenn dort nicht beispielsweise auch noch das Security-Operations-Center (SOC) angegliedert ist. Für die IT-/ITK-Infrastruktur kommt die/der IT-Leiter:in/CIO in Betracht. In Geschäftsanwendungen ist jedoch gut beraten, wer die Risiken den Fachbereichsleitungen zuordnet: Nach den Mottos „Wer zahlt, schafft an“ und „Du bekommst, was du zahlst“, sind diese in der Lage und gefordert, die Behandlung aufgefundener Schwächen bei von ihnen genutzten IT-Systemen in Auftrag zu geben.

Die Rolle, die der/dem CISO zufallen könnte, ist vielmehr ein Risiko-Beobachter mit der Aufgabe, Frühindikatoren und Maßnahmen zu verfolgen, die Einfluss auf die Risikobewertung haben und an die verantwortliche Person zu melden. Der CISO ist damit gewissermaßen auch der Risikomanager der IT.

Ohne richtigen Plan gibt es keine richtige Risikobewertung

Im Corporate-Risk-Management (z. B. nach Aktiengesetz – AktG, Unternehmensstabilisierungs- und -restrukturierungsgesetz – StaRUG oder den Mindestanforderungen an das Risikomanagement – MARisk) wird ein Risiko als unerwünschte Abweichung vom Plan definiert. Somit kann man fragen, wie denn ein Plan aussehen sollte, der als Grundlage für ein Risikomanagement taugt. Die Antwort darauf lässt sich mathematisch herleiten und lautet: Die Planung muss „erwartungstreu“ sein. Würde man also ein Jahr beliebig häufig in verschiedenen Szenarien wiederholen können, dann müsste das Mittel der Ergebnisse mit dem Plan übereinstimmen.

In der Praxis ist Planung keine so einfache Aufgabe. Es scheint viele verschiedene Arten der Planung zu geben und man sollte getrost einmal in einer Management-Runde fragen, was denn beispielsweise ein Budget eigentlich beschreibt: das, was auf alle Fälle erreicht werden kann (Bonus-maximierend), das was mit größter Wahrscheinlichkeit erreicht werden wird (eine erwartungstreue Planung), oder das, was als Ziel vorgegeben ist (Stretched Goal, „Zielung“)? Vermutlich erhält man unterschiedliche Angaben zu derselben Planung – fraglich ist, ob sich auch „erwartungstreu“ darunter befindet.

Ist alles Geld und ist Geld alles?

Es ergibt sich die Frage, worauf Risiken eigentlich abgebildet werden sollten. Wenn man wirklich die Schäden als Abweichung von einem Plan bemisst, liegt der Gedanke nahe, die Gewinn-und-Verlust-Rechnung sowie Bilanz als Grundlage für die Bemessung zu wählen. Die Risiken lassen sich dann so modellieren, dass sie letztlich in einer sehr groben Struktur dieser Planungen wirken: Ein Ausfall des Online-Shops würde sich beispielsweise sowohl in den direkten Kosten der Störungsbeseitigung (etwa als IT-Aufwand) als auch in Umsatzeinbußen zeigen – der dadurch geschmälerte Gewinn oder gar Verlust wandert dann weiter in die Bilanz.

Aber ist wirklich alles in Geld zu bewerten? Bei Gefahr für Leib und Leben oder drohenden Gefängnisstrafen für die Geschäftsleitung könnte man durchaus anderer Meinung sein. Eine weitere Dimension der Bewertung aufzumachen, verkompliziert jedoch die Methode erheblich. Daher sollte man versuchen, tatsächlich auch diese Szenarien mit einem Preisschild zu versehen: Natürlich kann man mit Geld nicht den Ursprungszustand wiederherstellen – aber auch die Justiz versucht Vergleichbares ja beispielsweise in der Schadenersatz-Bemessung.

Wem das dann doch zu einfach ist, der könnte auch versuchen, andere Skalen, etwa die einer Gemeinwohlbilanz, zugrunde zu legen – auch hier ließe sich ein Schaden etwa in Punktwerten bemessen.

Höchstschadenszenario unterschlägt wesentliche Auswirkungen

In der Modellierung von Risiken werden häufig Schaden und Wahrscheinlichkeit verwendet: Wenn der Schaden in den Auswertungen eintritt, dann immer mit dem höchstmöglichen Wert. Eine Ransomware-Attacke erfasst so etwa regelmäßig das gesamte Firmen- oder gar Konzernnetzwerk, die komplette Fertigung ist lahmgelegt oder jegliche personenbezogenen Daten aller Mitarbeitenden werden veröffentlicht.

Ein solches Vorgehen unterschlägt jedoch, dass es auch mildere Verläufe von Vorfällen gibt. Der Höchstschaden tritt meist nur sehr selten auf, kleinere „Einschläge“ sind hingegen häufiger. Die bessere und wenig aufwendigere Variante wären sogenannte Dreipunktschätzungen, bei denen Minimum-, wahrscheinlichster und Maximal-Schaden beziffert werden. Leider sieht man dies aber recht selten.

Aus Risiko wird Chance

Gerade im IT-Risk-Management findet man immer noch Wahrscheinlichkeiten von 0 % = unmöglich bis 100 % = sicher. Wie bereits beschrieben, sollte eine Planung erwartungstreu sein – das bedeutet aber auch, dass dort Risiken mit einer Wahrscheinlichkeit von über 50 % nicht mehr auftauchen sollten, da sie in den Plan einzuarbeiten sind.

Ein Beispiel: Wenn (gerade in Jahren der Veröffentlichung einer neuen Generation von Firmen-Smartphones) erfahrungsgemäß 20 % der ausgegebenen Mobilgeräte „kaputtgehen“, dann sollte man das auch in der Planung berücksichtigen – und zwar nicht als ein Risiko mit der erwarteten Schadenssumme von 0,2 mal Kaufpreis und der Wahrscheinlichkeit von 90 %. Vielmehr sollte man eine Chance einstellen: Dies wäre dann beispielsweise der erwartete „Schaden“ mit den verbleibenden 10 % Wahrscheinlichkeit – oder aber mehr, wenn es entsprechende Gegenmaßnahmen gibt.

Unwucht der RPN-Symmetrie

Die Verwendung von Risikoprioritätszahlen (RPN) kann dazu genutzt werden, um Risiken zu priorisieren. Eine Risikoprioritätszahl entsteht dann durch die Multiplikation der Klassen-Ordnungszahl, also das einfache Auszählen der Kästchen auf beiden Achsen einer Risiko-Matrix (z. B. Schadenshöhen-Klasse mal Eintrittswahrscheinlichkeits-Klasse). Das reduziert die Komplexität und verhindert auch Scheingenauigkeit. Bei einer 5 mal 5 Matrix entstehen so RPN zwischen 1 und 25.

Nett bunt eingefärbte Matrizen, in denen Wahrscheinlichkeit und Schaden abgetragen und in Klassen bewertet werden, findet man in vielen Risikomanagement-Systemen. Je höher die RPN – und damit auch der Erwartungswert des Schadens für ein Risiko – ist, desto dunkelroter wird eingefärbt und desto mehr sollte sich das Management um dieses Risiko kümmern. Das ist gut so! Denn wenn alles höchste Priorität hat, hat letztlich gar nichts Priorität. Auch wenn es aus dem eigenen Erleben als CISO schwierig auszuhalten ist, dass man nicht alle erkannten Lücken umgehend schließt.

Das Problem bei RPN ist jedoch die Symmetrie der Klassen: Risiken, die gravierende Schäden (bis hin zur Insolvenz) verursachen können, aber mit geringster Wahrscheinlichkeit auftreten, werden dadurch genauso behandelt wie solche, die in der höchsten Wahrscheinlichkeitsklasse liegen, aber Schäden aus der geringsten Klasse zeitigen. In unserem Beispiel also 1×5 und 5×1.

Tatsächlich handelt es sich aber im ersten Fall um so gravierende Risiken, dass diese behandelt werden sollten, obwohl sie eine niedrige RPN besitzen. Am Beispiel des hundertjährigen Hochwassers: Was nur eine Eintrittswahrscheinlichkeit von 1 % hat, aber zum Totalverlust eines Hauses, mindestens jedoch des Hausrats führen kann, sollte beim Eigentümer Überlegungen bewirken, wie man damit umgeht (Stichwort: Elementarschadenversicherung). Analog sind solche „Spielverderber-Risiken“, wie Tom DeMarco sie nennt, Sache der Geschäftsleitung. Die „täglich vergossene Milch“ (häufiger geringer Schaden) muss sie hingegen nicht im Risikomanagement behandeln: Diese Themen kann man, wie bereits angemerkt, im KVP oder in Optimierungsprogrammen der direkten Führungskräfte angehen.

Wo spiegelt sich der Risikoappetit?

Da letztlich jedes Unternehmen Risiken auf sich nimmt, ist es ganz natürlich, dass man nicht jedes Risiko ausschließen will und kann. Eine Geschäftsleitung muss festlegen, wie viele Risiken sie eingehen will – ihren sogenannten Risikoappetit. Bei erkannten Risiken kann man das gut über die RPN gestalten: Alle „mäßigen“ Risiken, etwa unter einer RPN von 11, sind dann „toleriert“ – Primzahlen liefern hier aus naheliegenden Gründen gute Grenzen. Soll der Gedanke der Asymmetrie mit hineinspielen, dann wird diese Aussage zwar etwas komplizierter, bleibt aber immer noch handhabbar: Beispielsweise könnten dann alle Risiken als akzeptiert gelten, die eine RPN unter 11 haben und nicht in die höchste Schadensklasse fallen.

Im Informationssicherheitsprozess zeigt sich der Risikoappetit allerdings wesentlich früher: Er ist in der Summe der Informationssicherheits-Richtlinien erfasst, die ja den Soll-Zustand der Informationssicherheit beschreiben. Will man beispielsweise Passwörter mit 10 oder 16 Stellen, verlangt man eine Zwei-Faktor-Authentifizierung, Cold- oder Hot-Standby und so weiter – auch das macht in der Gesamtheit den Risikoappetit aus.

Jede Abweichung von den Richtlinien stellt damit aber auch zunächst eine Überschreitung dieses Appetits dar: Somit werden wesentliche Funde eines Audits dann fast automatisch zu Risiken, die im Risiko-Management zu behandeln sind.

Das griffige Beispiel des hundertjährigen Hochwassers führt noch auf eine andere Fährte: Häufig hängen Risiko-Maßnahmen auch davon ab, wie lange der Planungshorizont der Entscheider ist. Kleine Wahrscheinlichkeiten verführen dazu, eben durchzurechnen, wie wahrscheinlich es ist, dass man selbst einen Schadensfall aktiv erlebt. Will man nur kurz für ein Studium in einem Überschwemmungsgebiet mieten oder aber einen Neubau für sich und die Nachkommen im Risikogebiet errichten? Fange ich gerade im Unternehmen an oder gehe ich schon auf die Rente zu – oder bewerbe ich mich derzeit ohnehin anderweitig?

Die Falle der kleinen Wahrscheinlichkeiten

Hier schlägt häufig auch durch, dass sich viele Menschen Wahrscheinlichkeiten nur schlecht „vorstellen“ können – und gerade kleine Wahrscheinlichkeiten bergen die Gefahr einer trügerischen Zuversicht. Aber „einhundertjähriges Hochwasser“ heißt eben weder „in hundert Jahren ab jetzt“ noch „hundert Jahre nach dem letzten Hochwasser“. Andererseits bedeutet es auch nicht, dass es in hundert Jahren einmal sicher passiert – die Wahrscheinlichkeit, dass ein Hochwasser mit einem Prozent jährlicher Wahrscheinlichkeit in einhundert Jahren nicht eintritt, liegt immerhin bei 0,99100, also fast 37 %. Dennoch kann ein hundertjähriges Hochwasser schon morgen oder sogar mehrmals in den nächsten Jahren auftreten.

Das Drama summierter Erwartungswerte

Da die Aggregation von Wahrscheinlichkeiten schwierig ist, findet man als Behelf häufig die Summe der Erwartungswerte aller bewerteten Risiken. Der Rat muss jedoch lauten, diese nicht auszuweisen! Denn dieses Vorgehen kann in einen vollkommen falschen Optimismus münden: Ist die Summe deutlich kleiner als der Gewinn, so wird gern angenommen, dass man die Schadensfälle schon irgendwie meistern können wird. Schlägt ein Risiko dann aber tatsächlich mit dem vollen Schadenswert zu, kann schon dieses eine Ereignis die Möglichkeiten des Unternehmens übersteigen – gerade bei der Kombination aus geringer Wahrscheinlichkeit und hohem Schaden.

Die Summe der Erwartungswerte hat höchstens einen Aussagewert in der Richtung, ob das generelle Geschäftsmodell überhaupt noch tragfähig erscheinen kann: Würde sie den Gewinn deutlich übersteigen, dann ist zu prüfen, ob das Geschäftsmodell nicht nur bei optimalen Bedingungen (also mit „Glück“) funktioniert. Eine sinnvolle Aggregation kann hingegen beispielsweise über die Methode der Monte-Carlo-Simulation erfolgen.

Versteckte Risiken

Der ISO-Standard 27001 und auch andere Richtlinien geben vor, dass Risiken zu betrachten sind – dies ist im Wesentlichen aber auf Risiken des IT-Betriebs beschränkt. Fordern gleichzeitig andere Vorgaben ein Corporate-Risk-Management, das die Risiken für das ganze Unternehmen abbildet, ergibt sich das Problem, wie diese miteinander „spielen“ sollen. Denn Geschäftsrisiken (Wegfall von Top-Kunden, Materialpreis oder Lohnsteigerungen, Lieferkettenprobleme oder Ausfall ganzer Fertigungen) haben in der Regel viel schlimmere Auswirkungen oder höhere Wahrscheinlichkeiten.

Es kann daher sinnvoll sein, alle Informations-Sicherheits-Risiken hinter einem drastischen Szenario zu „parken“ – oder sollte man sagen „verstecken“? Das wird dann derzeit oft der gelungene Ransomware-Angriff mit anschließendem Doxing sein, der die Geschäftstätigkeit für einen längeren Zeitraum einschränkt. So weit, so gut – und der Pflicht zum Risikomanagement wurde Genüge getan. Aber leider hilft eine solche Betrachtung so gut wie nichts für die operative Arbeit in der Informationssicherheit.

IT-Risiken als kleiner Bruder der Geschäftsrisiken

Als Wunschszenario müsste man IT-Risiken so differenziert beschreiben, dass sich daraus auch Handlungen ableiten lassen. Maßnahmen, die zur Verringerung von möglichen Schäden führen, sollten dann danach priorisiert werden, wie hoch ihr Einfluss auf das Gesamtrisiko ist. Diese Berechnungen (vgl. Monte-Carlo-Simulation) kann man zudem auch dazu verwenden, um der Geschäftsleitung etwaige Fortschritte aufzuzeigen.

Es erweist sich als überaus schwierig, Geschäftsleitungen von Investitionen zu überzeugen, wenn diese keine positive Auswirkung in der Gewinn-und-Verlust-Rechnung bedeuten. Was dem CISO häufig nur als Argument bleibt, ist die Frage, ob eine solche Ausgabe dazu beiträgt, die persönliche Haftung der Geschäftsleitung zu verringern.

Kleine Investitionen, Projekte oder Verbesserungen können sich aber durchaus im Risiko zeigen: Verringert man beispielsweise die Zahl ungepatchter Systeme, die Erreichbarkeit der Fertigungs-IT von Office-Systemen aus oder die Verwendung unverschlüsselter USB-Speicher zum Datenaustausch nach einem Projekt, dann würde dies etwa die Wahrscheinlichkeit erfolgreicher Angriffe senken. Wenn aber das Informations-Sicherheits-Risiko sinkt, können CISO und CIO dies der Geschäftsleitung auch als Erfolg präsentieren.

Dazu sollte man die IT-Risiken zunächst aggregieren und diese Aggregation (evtl. vereinfacht als Dreipunkt-Schätzung) sollte dann weiter ins Corporate-Risk-Management wandern. Damit wäre das IT-Riskmanagement so differenziert, dass es Handlungsorientierung geben kann – gleichzeitig aber über eine schlanke Schnittstelle mit dem Corporate-Risk-Management verbunden.

Schlussbemerkung

Es gibt beim Risikomanagement eine Reihe von Fallstricken und in die Irre führenden Abkürzungen. Dennoch lohnt es sich, Risiko-Management nicht nur der Form halber und mit Blick auf Audits zu betreiben. Auch wenn das Risikomanagement die Risiken selbst nicht behebt, so ist es doch wichtig, sich der Risiken bewusst zu sein, sie durch ein gelungenes Risikomanagement zu priorisieren und auf das gewünschte Maß zu senken. Es heißt ja auch in der Betriebswirtschaftslehre „Entscheidung unter Unsicherheit“ – und nicht „Entscheidung bei Unwissen“.

Dr. Thomas Kaufmann war viele Jahre als CISO und Datenschutzbeauftragter tätig. Heute ist er Berater für Informationssicherheit und Datenschutz sowie Geschäftsführer der DatenSchutzBeratung Dr. Kaufmann GmbH.

Diesen Beitrag teilen: