Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Risiken und ihre Begrifflichkeiten in Theorie und Praxis (1)

Im täglichen Umgang und selbst in der Literatur begegnet man nicht selten unklar, bisweilen sogar falsch verwendeten Begrifflichkeiten zur Risikoanalyse. Der vorliegende Beitrag liefert daher klare Definitionen und verdeutlicht die Terminologie anhand einfacher Szenarien, bevor er im zweiten Teil auf die Anwendung für Risikoanalysen in der betrieblichen Praxis eingeht.

Lesezeit 16 Min.

Von Wolfgang Böhmer, Aschaffenburg

Dieser Beitrag beschreibt Theorie und Praxis von Risikoanalysen, die in ein Risikomanagement [1], also  den prozessualen Umgang mit Risiken, eingebettet sind – Abbildung 1 illustriert diesen zyklischen Managementprozess mit sechs Teilprozessen. Für die hierzu wesentlichen Begriffe Risiko, Risikoanalyse, Gefährdung, Gefahr, Bedrohung, Schwachstelle et cetera hat die Informatik klare, in der Fachliteratur verankerte Vorstellungen, die aber in der alltäglichen Praxis längst nicht immer korrekt verwendet werden. Die genannten Begriffe haben einen engen Bezug zur Wahrscheinlichkeits-Theorie und Szenario-Analyse – fundamental ist das Verständnis des Unterschieds von Ergebnis und Ereignis, die umgangssprachlich oftmals vermischt werden.

Das Konstrukt des Risikos behandelt ein Ereignis, das noch in der Zukunft liegt und gegebenenfalls auf den Betrachter (Anwender) zukommt. Im Kern handelt es sich um ein Ereignis aus der Ergebnismenge Ω: Denn in einem Risikoszenario liegt das Ergebnis bereits fest und wird nur mit einer gewissen Wahrscheinlichkeit P im zeitlichen Verlauf zu einem Ereignis (siehe unten). Die Zukunftsorientierung liefert dem Betrachter dabei präventive Handlungsoptionen. Hier zeigt sich auch der Unterschied zwischen dem Informationssicherheits- (ISMS, [2]) und Business-Continuity-Management (BCMS, [3]): Während ein ISMS ein System mit einer präventiven Ausrichtung ist, handelt es sich bei einem BCMS um ein reaktives System, das erst zur Anwendung kommt, wenn ein Großereignis bereits eingetreten ist.

Alle möglichen (Schadens-)Ereignisse werden in der Risikoanalyse mit einem Erwartungswert oder mit einer Erwartungsverteilung beziehungsweise Wahrscheinlichkeits-Verteilung der Erwartungswerte verknüpft. Abbildung 1 illustriert den zyklischen Managementprozess mit sechs Teilprozessen P1 bis P6. Damit lässt sich bereits ein – zunächst vorläufiges – Risiko bestimmen. Im weiteren Verlauf dieses Beitrags wird dieser Sachverhalt detaillierter erläutert.

Abbildung 1: Prozesskette des Risikomanagements mit zeitlicher Wiederholung
  • Begriff: Ein Risiko ist eine Funktion (Zufallsvariable), die ein Element aus einer vordefinierten Ergebnismenge möglicherweise in ein Ereignis überführt. Dabei ist das Risiko in der Zukunft angesiedelt, sodass noch präventive Handlungsoptionen bestehen (vgl. Zeitachse in Abb. 2).

Folglich sind (eingetretene) Ereignisse beziehungsweise Elemente e aus der Ereignismenge E (e ∈ E) in diesem Kontext abzählbar und endlich – man kann eine Häufigkeitsbetrachtung vornehmen beziehungsweise rückblickend eine Häufigkeitsverteilung (Histogramm) über Ereignisse erstellen, also die Frage beantworten, wie oft ist ein Ereignis in der Vergangenheit bereits eingetreten ist.

  • Begriff: Ein Ereignis (e ∈ E) ist eingetreten – es ist in der Gegenwart angekommen oder in der Vergangenheit geschehen (aber es liegt nicht mehr in der Zukunft; vgl. Ziffer 1 in Abb. 2).

Handelt es sich um ein Risikoereignis, ist ein Schaden entstanden (Schadensereignis) – die Fachwelt spricht auch von einem „schlagend gewordenen“ Risiko. Damit ist ein Element ω aus der Ergebnismenge Ω (hier als Schaden) zu einem (Schadens-)Ereignis e ∈ E geworden. Abbildung 2 zeigt auf der Zeitachse [t] verschiedene mögliche Ereignisse, die in der Zukunft (Ziffern 2–4) liegen. Nur Ziffer 1 stellt ein Ereignis in der Gegenwart dar (Zeitpunkt t0).

Abbildung 2: Mögliche Ereignisse (2,3,4) auf der Zeitachse mit einem eingetretenen Ereignis (1)

Beispiel 1: Hausdach

Risiken werden typischerweise berechnet und quantifiziert, da sie in der Regel mit einem möglichen monetären Schaden (Schadensereignis) verknüpft sind. Diese Verknüpfung bezeichnet man häufig auch als Relation, da sich Schaden und Risiko diametral gegenüberstehen. In allen nachfolgenden Risikoszenarien ist hierzu der Zeitraum von 365 Tagen zugrunde gelegt.

Beispielumgebung: In Norddeutschland ist es hilfreich, eine Sturmschadenversicherung zu haben, da Herbst- und Frühjahrsstürme häufig Dachziegel vom Haus fegen – eine Erdbebenversicherung ist hingegen eher vernachlässigbar. Hauseigentümer in Norddeutschland wissen aus Erfahrung von häufigen Stürmen und ausbleibenden Erdbeben und versichern daher meist nur Sturmschäden.

In diesem Beispiel sind zwei Begriffe zu veranschaulichen: Zum einen sind es Bedrohungen durch Unwetter, Sturm und Starkwind und zum anderen die Dachziegel (bzw. deren Befestigung), die Schwachstellen des Hauses darstellen.

  • Begriff: Eine Bedrohung (Threat) ist hypothetisch, dimensionslos und lässt sich nicht oder kaum beeinflussen. Sie ist kein Schadensereignis.

Zur Verdeutlichung: Wann, ob und wie stark ein Sturm auftritt und dann ein Haus trifft, ist nicht beeinflussbar – auch die Frage, ob überhaupt ein Sturm heraufziehen wird, ist hypothetisch, obwohl klimatische Beobachtungen eine grobe Einschätzung zulassen. Anders sieht es bei Schwachstellen aus: Schwachstellen sind real und lassen sich durch geeignete Maßnahmen verbessern oder eliminieren – in der IT wären das etwa Patches.

  • Begriff: Eine Schwachstelle (Vulnerability) ist eine reale Größe und kann durch technische, infrastrukturelle, personelle und/oder organisatorische Handlungen behoben werden.

Die Schwachstellen im norddeutschen Haus lassen sich beispielsweise durch Lückenschluss fehlender Ziegel beheben, damit es der Sturm schwerer hat, oder durch eine bessere und „winddichte“ Befestigung mit bestimmten und geeigneten Vorrichtungen auf dem Dach. Die Wirksamkeit dieser Maßnahmen erweist sich dann beim nächsten Sturm.

Eng mit dem Begriff der Schwachstelle ist der Begriff der Sicherheitslücke verknüpft, die eine fachliche und eine zeitliche Komponente aufweist: Im Beispiel besteht eine Sicherheitslücke so lange (Zeit) bis neue Dachziegel ergänzt oder bestehende besser befestigt werden (Patch).

  • Begriff: Sicherheitslücke (Security Gap) beschreibt die zeitliche Dauer einer identifizierten Schwachstelle bis zu deren Behebung.

2. Beispiel: Altes Auto

Im Folgenden soll eine zweite Beispielumgebung mit verschiedenen Szenarien die angeführten wichtigen Zusammenhänge weiter verdeutlichen und das Zusammenspiel von Bedrohungen und Schwachstellen näher erläutern.

Beispielumgebung: Ein Auto wurde längere Zeit nicht gewartet und steht mit verrosteten Bremsen in der Garage. Die Schwachstelle sind offensichtlich die schwachen oder kurz vor dem Ausfall stehenden Bremsen. Die Bedrohungen, die hypothetisch im Raum stehen, sind Schäden für Leib und Leben der Insassen sowie (monetär) am Auto selbst. Solange jedoch das Auto steht, kann die Bedrohung nicht auf die Schwachstelle einwirken und das Risiko, einen Unfall (Schadensereignis) zu erleiden, ist gleich null.

Anhand dieser Risikoumgebung zeigt sich die lineare Risikogleichung, die Wahrscheinlichkeits-Theorie und Szenario-Analyse für den praktischen Gebrauch verbindet: Ist in einer Gleichung mit mehreren Faktoren auch nur einer null, dann ist auch das Ergebnis der Gleichung null – unabhängig von den Werten der weiteren Faktoren. Es besteht im Beispiel also nur ein Risiko (für einen Unfall), wenn man das Auto nutzt/bewegt – andernfalls kann „nichts passieren“. Drei konkretisierte Risikoszenarien verdeutlichen im Folgenden die Relation zwischen einem Risiko und einem Schaden.

1. Risikoszenario

Das Auto mit den nicht gewarteten Bremsen wird bewegt: Der Halter fährt in ländlicher Umgebung circa 3 kmh in und zurück zum Brötchen holen ins nächste Dorf – außerhalb der Stoßzeiten des Berufsverkehrs. Wie hoch ist jetzt die  Wahrscheinlichkeit eines Unfalls?

Dabei wird ein Unfall im vorliegenden Zusammenhang als zufälliges Ereignis aufgefasst – das Risikoszenario ist im Sinne der Stochastik eine Zufallsvariable. Hierbei gilt es zu beachten, dass eine Zufallsvariable X eine messbare Funktion ist und keine „klassische“ Variable: Die Zufallsvariable bildet einen messbaren Raum (die Ergebnismenge) auf reelle Zahlen ab, welche den aus einem Unfall resultierenden monetären Schaden r [e] darstellen – X: Ω ➝ R+.

Um das Zusammenspiel zwischen Schwachstellen und Bedrohungen weiter auszuloten, könnte das Auto- Beispiel in veränderten Varianten zu einem völlig anderen Ereignis führen: Im nachfolgenden Risikoszenario sind Schwachstelle und Bedrohung die gleichen wie zuvor – doch das Szenario variiert und das Unfallrisiko steigt erheblich an.

2. Risikoszenario

Das Auto mit den nicht gewarteten Bremsen wird auf einer Autobahn gefahren und passiert eine 6 km lange Baustelle mit einer markierten Spurverengung von 2 m auf der linken Spurstrecke und mit einer markierten Spurbreite von 4 m auf der rechten Seite innerhalb der Baustelle. Außerdem ist die rechte Spur in der Baustelle mit dicht an dicht gedrängten Lkw belegt. Auch hierzu wird der Unfall als ein zufälliges Ereignis mit dem Risikoszenario als Zufallsvariable im Sinne der Stochastik aufgefasst.

Für den Fahrer gibt es verschiedene Möglichkeiten, die Baustelle zu passieren: Er kann sich auf die rechte Spur einordnen und langsam hinter den Lkw bleiben – er kann auch auf der linken Spur möglichst zügig die Baustelle hinter sich bringen, erfährt aber eine zusätzliche Gefährdung durch die Fahrbahnverengung. Weitere Szenarien lassen sich schnell finden. Hier ist ein weiterer Begriff aufgetaucht, der zunächst mit dem Risiko gar nichts zu tun hat: Denn eine Gefährdung ist kein Risiko (kein Ereignis in der Zukunft), sondern eine Situation der Gegenwart – zum Beispiel, wenn das Auto die Baustelle passiert. Bemerkenswert ist, dass der Begriff „Gefährdung“ in der Wahrscheinlichkeitstheorie nicht vorkommt.

  • Begriff: Eine Gefährdung (Hazard) ist eine Einschränkung (Behinderung) oder eine besondere Situation mit negativen Eigenschaften. Eine Gefährdung kann über einen gewissen Zeitraum zu einem Schaden führen (z. B. für die Gesundheit, wenn eine Person über einen gewissen Zeitraum Staub, Asbestfasern oder Strahlung ausgesetzt ist). Eine Gefährdung ist in der Regel temporär begrenzt. Sie besitzt jedoch keine unmittelbare Schadensdimension (siehe unten) und keine (Eintritts-)Wahrscheinlichkeit – sie ist gegeben oder nicht.

3. Risikoszenario

Das Auto mit den nicht gewarteten Bremsen wird häufiger gefahren und bewegt sich auf deutschen Autobahnen mit insgesamt 100 000 km pro Jahr.

Anhand der drei Risikoszenarien (Zufallsexperimente) und der Beispielumgebung lässt sich das Zusammenspiel zwischen Bedrohung, Schwachstellen, Schaden und Risiko beobachten. Es wird deutlich, dass mit der gleichen Schwachstelle bei veränderten Bedingungen für das Risikoszenario gänzlich andere Schäden entstehen können. Betrachtet man Abbildung 2 im Lichte der Risikoszenarien, ist offensichtlich, dass wir über Ereignisse reden, die noch in der Zukunft liegen, solange das besagte Auto in der Garage bleibt. Mögliche Ausgänge (Ergebnisse) der drei Risikoszenarien lassen sich den Ziffern 2, 3 und 4 zuordnen. Hingegen stünde Ziffer 1 für ein (bereits eingetretenes) Ereignis – das Risiko ist schlagend geworden, ein Unfall passiert und ein Schaden eingetreten.

Während man die drei Risikoereignisse 2, 3 und 4 mit einer bestimmten Wahrscheinlichkeit versehen kann, ist das bei einem eingetretenen Unfall nicht mehr der Fall. So wird der Unterschied zwischen einem Risiko und einem (monetären) Schaden deutlich: Der Schaden stellt ein Ereignis eines Risikos dar. Allerdings gibt es auch andere Ereignisse eines Risikos, die nicht in einem Schaden münden: So ist die unbeschadete Rückkehr des Autos in besagte Garage ebenfalls ein Ereignis.

Formal lassen sich im Beispiel Ergebnisse mit Ω = {ω | Auto hat Unfall, Auto hat keinen Unfall, Auto bleibt kaputt liegen, Auto wird verkauft, Auto springt nicht mehr an, …} beschreiben. Dabei ist Ω die Grundmenge aller Ergebnisse (Ergebnismenge) und ihre Elemente bezeichnen wir mit ω oder im Einzelnen: ω1 = Auto hat Unfall, ω2 = Auto hat keinen Unfall, ω3 = Auto bleibt kaputt liegen, ω4 = Auto wird verkauft, ω5 = Auto springt nicht an et cetera.

Offensichtlicherweise treten diese Ergebnisse ω nicht gleich wahrscheinlich ein. Daher sind auch die – sehr wohl gleich wahrscheinlichen – häufig bemühten Beispiele mit Würfeln oder Kartenspielen in der Literatur für die Praxis wenig hilfreich. Eine Gleichwahrscheinlichkeit (Laplace-Wahrscheinlichkeit) kommt in der realen Welt sehr selten und in der Regel nur in Glücksspielen vor – einem historischen Gegenstand und Ausgangspunkt von Wahrscheinlichkeitsbetrachtungen [4].

Eine Menge Risiken

Aus der Mengenlehre ist der Begriff der Relation bekannt, die zwischen zwei Mengen eine Beziehung R ≈ D herstellt. Auch die Menge der Risiken steht der Menge der möglichen Schäden (Damages) in einer Beziehung gegenüber, wie Abbildung 3 veranschaulicht. Dabei lassen sich in den beiden Mengen-„Ellipsen“ auch jeweils aggregierte Teilmengen der eigentlichen Elemente zusammenfassen: In der Ergebnismenge Ω bilden ein oder mehrere verschiedene Ergebnisse jeweils ein Risikoszenario (Rsz) – in der Ereignismenge E bilden ein oder mehrere Ereignisse ein Schadensereignis e oder eine Schadensklasse/-kategorie
Den.

Abbildung 3: Die Menge der Risiken steht in Relation zu der Menge möglicher Schäden

Die Risikoszenarien sind durch die Eintrittswahrscheinlichkeit des Ereignisses e im Zusammenhang mit der Zufallsvariable (Risiko) X (ω) mit der Ereignismenge verbunden. Diese Wahrscheinlichkeitsfunktion ist dabei eindeutig, ordnet also jedem Element ωn der Menge Ω mit einer Wahrscheinlichkeit P genau ein Element der Menge E zu. Üblicherweise bezeichnet man Zufallsvariablen (zur Erinnerung: diese sind eine Funktion!) mit großen (z. B. X), die Werte, die sie annehmen können, mit kleinen Buchstaben (z. B. e ∈ E) – diese Werte heißen auch Realisationen der Zufallsvariable.

Wie Ergebnisse zu Ereignissen werden

Häufig – und meist umgangssprachlich – wird nicht sauber zwischen Ergebnissen (Ω) und Ereignissen (E) unterschieden und infolgedessen Ergebnismenge/ Ergebnisraum ebenfalls synonym zur Ereignismenge/ Ereignisraum verwendet, was jedoch nicht korrekt ist. Ergebnismenge und die Ereignismenge sind zwar miteinander verknüpft, jedoch an sich gänzlich unterschiedlich. Handelt es sich um Mengen mit einer endlichen oder abzählbaren Zahl von Elementen, so entspricht dies einer diskreten Ergebnismenge (andere, z. B. stetige Ergebnismengen werden hier nicht betrachtet – sie sind kaum zu veranschaulichen und mathematisch deutlich schwieriger handhabbar, da man statt mit Summen mit Integralen arbeiten muss). Ordnet man den Ergebnissen als Messraum entsprechende Wahrscheinlichkeiten zu, entsteht ein Wahrscheinlichkeitsraum.

Gemäß dem Stand der Wissenschaft und Technik wird unter dem Ereignisraum/-menge das Tupel (Ω, P) verstanden – ein solches Tupel wird (unter bestimmten Bedingungen) allgemein als Messraum bezeichnet. Der Ereignisraum ist also letztlich nicht viel anderes als die Potenzmenge – also die Menge aller möglichen Teilmengen – der Ergebnismenge Ω und wird daher oft mit P (Ω) bezeichnet (nicht zu verwechseln mit P(…) als Wahrscheinlichkeitsfunktion!).

Mathematisch exakter versteht man unter dem Ereignisraum das Tupel (Ω, Σ) aus der Ergebnismenge Ω und einer zugehörigen Sigma-Algebra Σ, einem Begriff aus der Maßtheorie . Dieses höchst sperrige Konstrukt lässt sich für einen diskreten Ergebnisraum wie folgt erläutern: Einfach ausgedrückt stellt die Sigma-Algebra sicher, dass eine Ergebnismenge messbar ist. Hierzu werden drei Eigenschaften von der Ergebnismenge gefordert, damit diese ein Wahrscheinlichkeitsmaß begründet. Es ist das Verdienst des Mathematikers Kolmogorov, der mit drei nach ihm benannten Axiomen die Ideen der Maßtheorie auf Wahrscheinlichkeiten angewendet hat [6] und so einen Wahrscheinlichkeitsraum definieren konnte. Diese Axiome umfassen erstens die Nichtnegativität (jedes Ereignis hat eine positive Wahrscheinlichkeit), zweitens die Existenz eines sicheren Ereignisses (P(Ω)=1 bzw. 100 %) und drittens die Additivität der Wahrscheinlichkeit paarweise disjunkter Teilmengen (die Wahrscheinlichkeit „inkompatibler“ Ereignisse summiert sich zu einer Gesamtwahrscheinlichkeit).

Um zum Beispiel bei abstrakten Messvorgängen (statt praktischer Messungen z. B. von Zeit, Entfernungen oder Massen in der realen Welt) zu prüfen, ob überhaupt gemessen werden kann, kann man die Ergebnismenge einer Prüfung bezüglich der Sigma-Algebra unterziehen – vereinfacht ausgedrückt bewirkt die Sigma-Algebra eine Prüfung, ob der geplante Messraum auch tatsächlich messbar ist. Im Kern ist eine Sigma-Algebra ein System, um alle möglichen Ereignisse eines Zufallsexperiments zu beschreiben. Eine Prüfung der Messbarkeit ist seriöserweise für alle Schadenskategorien durchzuführen, wenn man in der Risikoanalyse mathematisch korrekt handeln will.

Um eine Gegenprüfung zur Messbarkeit von Unfällen für die Risikoszenarien mit dem ungewarteten Auto aus Beispiel 2 vorzunehmen, gilt als sicheres Ereignis die Karambolage des Autos (Unfallereignis, 100 %) – das unsichere Ereignis ist hingegen der unbewegte Verbleib des Fahrzeuges in der Garage (0 % Unfallrisiko). Alle weiteren Ereignisse (Risikoszenarien) lassen sich mit einer Wahrscheinlichkeit „dazwischen“ in Form einer reellen Zahl zwischen 0 und 1 belegen – damit sind die beiden ersten Axiome erfüllt. Sofern die weiteren Fahrzeuge auf den Straßen und Autobahnen in den Risikoszenarien unabhängig voneinander agieren und sich in ihrer Anzahl unterscheiden, lassen sich die (Unfall-)Wahrscheinlichkeiten mit jedem einzelnen Fahrzeug in Abhängigkeit von ihrer Zunahme einfach addieren – das entspricht dem dritten Axiom und somit ist eine Messbarkeit für diese Szenarien nachgewiesen.

  • Begriff: Aus der Ergebnismenge wird mittels einer Wahrscheinlichkeitsfunktion ein Element in die Ereignismenge überführt. Dabei ist die Ergebnismenge fest vorgegeben – handelt es sich um eine abzählbare diskrete Ergebnismenge, dann ist auch die Ereignismenge eine abzählbare diskrete Menge. Der dabei aufgespannte Ereignisraum entspricht der Menge aller Teilmengen (Potenzmenge) der Ergebnismenge.

 

Schadenskategorien

Abbildung 3 stellt als praktisches Beispiel eine Ereignismenge (E) mit Schadenskategorien dar: Die Verknüpfung potenzieller Schäden bezogen auf ein Asset ist eine häufig anzutreffende Vorgehensweise. Auch dabei gilt es allerdings zu prüfen, ob diese Ereignismenge auch messbar ist, also einer Sigma-Algebra entspricht. Häufige Kategorien/Schadensklassen sind:

  • De1: Menge der finanziellen Schäden
  • De2: Menge der Image- oder Reputationsschäden
  • De3: Menge der Schäden durch Compliance-Verletzungen
  • De4: Menge der Schäden durch Nichterfüllung von Aufgaben
  • De5: Mengen der Schäden für Umfeld/Umwelt beziehungsweise Klima

Um von der Ergebnismenge eine Überführung in die Ereignismenge zu erreichen, wird eine Wahrscheinlichkeitsfunktion P (X) ➝ e mit De als ein Ereignis erforderlich. Es ist leicht nachvollziehbar, dass für jeden möglichen Schaden (bzw. seine Ereignisse) De1 bis De5 jeweils eine eigene (voneinander abweichende) Wahrscheinlichkeits- Verteilung erforderlich ist, da die möglichen Schadensszenarien recht unterschiedlich sind.

  • Begriff: Stetige Wahrscheinlichkeitsverteilungen sind Verteilungen auf den reellen Zahlen (R). Sie zeichnen sich dadurch aus, dass keinem isolierten Punkt eine Wahrscheinlichkeit zugeordnet werden kann.

Eine eigene Wahrscheinlichkeitsverteilung für jeden möglichen Schaden korreliert dabei unmittelbar mit der ISO/IEC 27001 [2], die eine „Abschätzung der realistischen Eintrittswahrscheinlichkeiten der … identifizierten Risiken“ verlangt (Kap. 6.1.2d.2). Die gleiche Formulierung findet man auch in ISO/IEC 27005 [1] unter 6.4.1.b): „In general, to set risk criteria, the following should be considered:

  • the nature and type of uncertainties that can affect outcomes and objectives (both tangible and intangible)
  • how consequence and likelihood will be defined, predicted and measured.“

Die Likelihood(-Funktion), auch als Mutmaßlichkeitsfunktion übersetzt, ist diejenige Funktion, die man mittels einer Reihe von Stützwerten (Erwartungswerten) erstellen kann: Diese können als Stichproben einer Verteilung interpretiert werden. Um eine geeignete Verteilung nur mit Kenntnis einiger weniger Stützwerte zu erstellen, ist die Cubic-Spline-Funktion ideal: eine Polynomfunktion dritten Grades, die eine möglichst glatte Kurve erstellt, die durch gegebene Punkte (verortet in einem X/Y-Koordinatensystem) verläuft (siehe etwa [5]).

Eine weitere interessante Funktion ist die zweiparametrige Beta-Verteilung, die anhand der beiden Parameter (a,b) gut geeignet ist, um die verschiedenen Schadenskategorien De1 bis De5 durch verschiedene (stetige) Wahrscheinlichkeitsverteilungen (hier: Zufallsvariable) zu unterlegen. Abbildung 4 zeigt farbige Kurven für verschiedene Werte. Diese Kurven stellen die stetigen Erwartungswerte für die Schadenskategorien dar.

Vergibt man für die einzelnen Kurven zwischen 0 und 1 „stufige“ Wahrscheinlichkeitswerte (z. B. gering, wenig, oft, häufig, sehr häufig), so ist offensichtlich, dass diese für verschiedene Schadenskategorien und mögliche Schäden sowie verschiedene Wahrscheinlichkeitsverteilungen auch unterschiedlich aussehen müssen. In der Praxis lässt sich allerdings oft beobachten, dass nur eine einzige Funktion oder nur grobe Werte für alle Schadensmöglichkeiten auf einer Zeitskala Verwendung finden. So eine Vorgehensweise ist jedoch nicht konform zu den beiden genannten ISO-Normen mit der Forderung eine realistische Eintrittswahrscheinlichkeit zu verwenden!

Abbildung 4: Verschiedene Werte für (a,b) erzeugen verschiedene Kurven einer zweiparametrigen Beta-Verteilung (erstellt mit Matlab und „betapdf“)

Zwischenfazit

Damit sind alle wichtigen Begriffe beschrieben, sodass eine Risikoanalyse erstellt werden kann. Wichtig ist jedoch das Verständnis einer Ergebnismenge die zu einer Ereignismenge über die Wahrscheinlichkeitsfunktion P (X) führt. Oftmals wird in der praktischen Risikoanalyse die Ereignismenge mit den potenziellen Schäden z.B. De1 bis De5 bezogen auf ein Asset verknüpft. Damit werden die Risikoszenarien auf diese Ereignismenge fixiert.

Hinweis: In Teil 2 dieses Beitrags werden beispielhaft an einer Prozesskette und Prozessbetrachtung anhand einer einfachen Excel-Tabelle verschiedene Risikoszenarien vorgestellt, damit im Ergebnis eine praktische Vorlage zur Identifikation, Analyse und Behandlung der eigentlichen Risiken zur Verwendung bereitsteht.

Dr. Wolfgang Böhmer ist Alumni der Universität Hamburg sowie der TU Chemnitz und war langjähriger Lehrbeauftragter im Fachbereich Informatik der TU Darmstadt. Er ist unter anderem akkreditierter Auditor für Informations-Sicherheits- Management nach ISO/IEC 27001, IT-Grundschutz sowie BCM/ Notfallmanagement nach ISO/IEC 22301 und selbstständiger Consultant und Coach für digitale Prozesse sowie IT- und Informationssicherheitstechnologie in kritischen Infrastrukturen (https://wolfgang-boehmer.eu).

Literatur

Literatur

[1] International Organization for Standardization (ISO), International Electrotechnical Commission (IEC), Informationsecurity, cybersecurity and privacy protection – Guidance on managing information security risks, ISO/IEC 27005:2022, Oktober 2022, www.iso.org/standard/80585.html (kostenpflichtig)

[2] Deutsches Institut für Normung (DIN), International Organization for Standardization (ISO), International Electrotechnical Commission (IEC), Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022), Deutsche Fassung EN ISO/IEC 27001:2023, DIN EN ISO/IEC 27001:2024-01, Januar 2024, https://dx.doi.org/10.31030/3479707 (kostenpflichtig)

[3] International Organization for Standardization (ISO), International Electrotechnical Commission (IEC), Security and resilience — Business continuity management systems – Requirements, Oktober 2019, www.iso.org/standard/75106.html (kostenpflichtig)

[4] Peter L. Bernstein, Wider die Götter: Die Geschichte der modernen Risikogesellschaft, Murmann, September 2004, ISBN 978-3938017135

[5] Arndt Brünner, Kubische Splines, Online-Funktionsberechnung, Oktober 2003, www.arndt-bruenner.de/mathe/scripts/kubspline.htm

[6] Andrej Nikolajewitsch Kolmogorov, Grundbegriffe der Wahrscheinlichkeitsrechnung, Erstveröffentlichung 1933, E-Book: Springer, Juli 2013, https://link.springer.com/book/10.1007/978-3-642-49888-6 (kostenpflichtig)

Diesen Beitrag teilen: