Risikoanalyse - Analyse der IT Risiken

Grundlagen der IT-Risikoanalyse

Nachdem die Risiken so vollständig wie möglich identifiziert wurden, kann bereits eine subjektive Reihung der Risiken erfolgen. Um die Reihung objektiv zu untermauern und das subjektive Empfinden offiziell zu rechtfertigen, werden im nächsten Schritt die Eintrittswahrscheinlichkeit und die Schadenshöhe festgelegt. Diese beiden unabhängigen Größen können im Team oder von einer Einzelperson festgelegt werden [Klempt, 2007, S.71ff], wobei, wie bereits erwähnt, ein Gruppenprozess aus den vorangehend genannten Gründen vorzuziehen ist. Für eine Analyse der Risiken müssen die richtigen Bewertungsgrößen gefunden werden. Auf der Hand liegt eine Bewertung nach Eintrittshäufigkeit je Zeiteinheit und Schadensausmaß in Geldeinheiten, aber auch, wenn diese Form der Bewertung im ersten Augenblick logisch erscheint, ist es tatsächlich schwer, diese Werte zu ermitteln. Auch würde eine nicht vorhandene Genauigkeit vorgetäuscht [Knoll, 2014, S.133]. Erfahrungswerte sind meist im eigenen Unternehmen nur wenige vorhanden und die Erfahrungswerte aus anderen Unternehmen lassen sich nicht einfach übernehmen, somit beruht jede ermittelte Zahl auf einer Schätzung und ist mit der damit einhergehenden Ungenauigkeit behaftet. Grundlegend muss zwischen quantitativen oder qualitativen Bewertungsansätzen entschieden und dann eine passende Einheit oder Skala gefunden werden.

Bewertungsansätze

Quantitative Bewertungsansätze

Quantitativ bedeutet, dass sowohl die Eintrittswahrscheinlichkeit, als auch das Schadenspotential in metrischen Zahlen angegeben werden. Dabei wird nicht nur ein Zahlenwert auf einen Skala angegeben, sondern der metrische Wert wird mit einer realen Einheit versehen, beispielsweise Euro oder die Anzahl der Schadenseintritte in 100 Jahren [Klempt, 2007, S.73ff]. Nicht für alle Risiken sind verlässliche statistische Daten vorhanden und somit ist eine Bewertung in Einheiten schwer. Jede Schätzung unterliegt einer großen Streuung und suggeriert eine nicht vorhandene Genauigkeit. Zu großes Vertrauen auf die scheinbar exakten Werte kann zu falschen Entscheidungen führen. Die erwarteten Vorteile einer Bewertung, nämlich Klarheit, Prägnanz und Vergleichbarkeit der Werte, haben in derartigen Fällen auf Grund der zu erwartenden hohen Ungenauigkeit keine Bedeutung. In der Literatur werden diverse Vor- und Nachteile quantitativer quantitativer Bewertungsansätzediskutiert:

Vorteile quantitativer Bewertungsansätze:

  • Ergebnisse beruhen auf objektiven mathematischen Modellen
  • Kosten-Nutzen-Analyse möglich
  • leicht verständlich
  • Risikowahrscheinlichkeit und Schadenspotential können multipliziert werden

Nachteile quantitativer Bewertungsansätze:

  • Vortäuschung nicht vorhandener Genauigkeit
  • Schwierigkeit, genaue Werte zu erhalten
  • Hoher Aufwand
  • Komplexe Berechnungen
  • Zeitaufwändig Einschulungen
  • Out-of-Scope Aktivitäten können nur schwer berücksichtigt werden

Qualitative Bewertungsansätze

Risikowahrscheinlichkeit und Schadenspotential werden anhand von einer Skala mit qualitativen Kategorien bewertet. Große Bedeutung hat dabei die Auswahl der Skala. Wird die Anzahl der Kategorien zu gering gewählt, ist eine genaue Differenzierung zwischen den einzelnen Risiken schwierig, ist dagegen die Anzahl zu hoch, wird es schwierig, diese darzustellen [Klempt, 2007, S.77ff]. Wichtig ist zudem eine eindeutige und aussagekräftige Bezeichnung der Kategorien, um eine genaue Zuordnung möglich zu machen.

Vorteile qualitativer Bewertungsansätze:

  • Erkennbarkeit der subjektiven Bewertung
  • Keine Beschaffung von genauen Zahlen nötig
  • Einfache Berechnungen
  • Keine monetäre Bewertung der Vermögensgegenstände erforderlich
  • Hohe Prozessflexibilität
  • Laien können leicht einbezogen werden

Nachteile qualitativer Bewertungsansätze:

  • Es können keine Berechnungen durchgeführt werden
  • Die Zuordnung zu einer Gruppe ist nicht immer einfach
  • Die Wahl einer passenden Skala ist Voraussetzung für ein aussagekräftiges Ergebnis
  • Hohe Subjektivität
  • Kosten-Nutzen­Analyse schwer möglich

Semi-quantitative Bewertungsansätze

Um die Vorteile quantitativer und qualitativer Systemen kombinieren zu können, ist es möglich, qualitative Skalen mit Zahlen zu hinterlegen. Somit kann mit Schadensausmaß und Eintrittswahrscheinlichkeit gerechnet werden und die Einteilung wird erleichtert. Eine feinere Einteilung innerhalb der einzelnen Kategorien führt zu einer besseren Hierarchie innerhalb der Kategorie und macht die einzelnen Risiken besser vergleichbar. Durch die Kategorien und der Skala ohne Einheit wird keine Genauigkeit abgebildet sondern nur die einzelnen Risiken zueinander in Verhältnis gestellt [Nikolic et al., 2009, S.597]. Im der Praxis kann ein semi-quantitativer Bewertungsansatz, wie folgt,zur Anwendung kommen. Dabei wird eine Skala mit sechs Kategorien erstellt und mit einer Einteilung von 0-100 hinterlegt. Eine derartige Skala wird sowohl für Eintrittswahrscheinlichkeit, als auch Schadensausmaß angewandt. Dadurch wird ausreichend Spielraum innerhalb der Kategorien erreicht. Durch die Kategorien wird die Zuordnung erleichtert und es ist trotzdem eine aussagekräftige Berechnung möglich.

Ermittlung der Eintrittswahrscheinlichkeit und Schadenshöhe

Die Reihenfolge der Ermittlung ist nicht von Bedeutung, in der Praxis wird aber meist die Eintrittswahrscheinlichkeit vor der Schadenshöhe bestimmt. Die Eintrittswahrscheinlichkeit soll beschreiben, wie oft mit dem Auftreten des Risikos gerechnet wird. Dabei kann nur dann, wenn genügend statistische Daten vorhanden sind, eine konkrete Aussage getroffen werden, in allen anderen Fällen beruht die Eintrittswahrscheinlichkeit auf Schätzungen [Knoll, 2014, S.131ff]. Um eine ordentliche Bewertung der Schadenshöhe vornehmen zu können, ist das Vorhandensein einer entsprechenden, unternehmensinternen Definition wichtig. Dabei ist festzulegen, welche Schäden in die Bewertung mit einbezogen werden und wie dabei die Gewichtungen gesetzt werden. Für das eine Unternehmen kann ein Schaden vernachlässigbar sein, der bei einem anderen Unternehmen dessen Fortbestehen gefährden könnte. Aus diesem Grund ist die unternehmensinterne Definition von hoher Relevanz. Umso besser die Mitarbeiter die Risiken und den jeweiligen Unternehmensbereich kennen, umso präziser können die Eintrittswahrscheinlichkeit und die Schadenshöhe definiert werden. Darum sollten auch Mitarbeiter aus den jeweiligen, durch das Risiko betroffenen Abteilungen in die Bewertung mit einbezogen werden.