Risikomanagement in der Informations­sicher­heit

Informationssicherheit kann grob in drei Themenbereiche eingeteilt werden – Technik, Management und Recht. Im Gegensatz zu den meisten anderen Blogartikeln hier auf Tec-Bite befasst sich dieser nicht mit der technischen Informatik, sondern mit dem Management von Informationssicherheit. Genauer geht es um das Management von Risiken in der Informationssicherheit. Am Ende des Artikels ist eine detaillierte Begriffsdefinition zu finden.

Ab einer gewissen Unternehmensgrösse wird vom Gesetzgeber vorgeschrieben, Risikomanage­ment (RM) zu betreiben. Wenn man aber nicht die Grösse hat, warum kann RM trotzdem nützlich sein? RM ist eine Managementdisziplin und soll grundsätzlich dabei helfen, die Unternehmensziele zu erreichen. RM ist eine der drei wichtigsten Handlungsebenen der Unternehmensführung. Diese drei Managementdisziplinen hängen voneinander ab und beeinflussen sich gegenseitig. Mit Hilfe von RM sollen die Risiken mit den begrenzten Ressourcen, welche eine Organisation hat, gezielt behandelt werden. Das heisst RM hilft die begrenzten Mittel optimal einzusetzen, da man dank RM ein Bewusstsein über die vorhandenen Risiken erlangt und sie somit gezielt und wirtschaftlich behandeln kann. Bei nennen wir es, «intuitivem Risikomanagement», könnte es passieren, dass die eingesetzten Mittel nicht den Risiken entsprechen. Das heisst es würde dazu führen, dass in gewissen Bereichen zu viel und in anderen zu wenig investiert wird. Risiken könnten im schlechtesten Fall sogar komplett übersehen werden. Im umgekehrten Fall würden wertvolle Ressourcen verschwendet, um ein Risiko über Gebühr zu mitigieren.

Wie im vorherigen Kapitel beschrieben, wird ein Risiko aus den Faktoren Eintrittswahrscheinlichkeit und Schadenausmass gebildet. Das heisst je höher der Wert, desto höher das Risiko. Allerdings werden so Risiken mit geringer Wahrscheinlichkeit als zu tief erachtet. Weshalb die Akzeptanz­kriterien für jede Kombination der beiden Werte separat entschieden werden muss.

Risikomatrix

Allgemein üblich im Risikomanagement ist der Einsatz der Risikomatrix. Aus den beiden Faktoren Eintrittswahrscheinlichkeit (P) und Schadensaus­mass (S) kann nun eine Matrix mit diesen Dimensionen gebildet werden.

Um verschiedene Risiken miteinander vergleichen zu können, können qualitative und quantitative Grössen einander zugeordnet werden. Es empfiehlt sich die Dimensionen in vier bis maximal sechs Kategorien zu unterteilen. Eine feinere Unterteilung resultiert nur in einer höheren Anzahl an Kombinationen, welche in der Regel nur in mehr Komplexität mündet, die eine Genauigkeit verspricht, welche in der Praxis in den meisten Fällen nicht gegeben ist. Eine zu geringe Unterteilung wird den Risiken ev. nicht gerecht.

Zur Nivellierung der Matrix sollte der maximal mögliche Schaden, welche die Firma gerade noch tragen kann ermittelt werden. Es wird kein genauer Wert sein, da man nicht weiss, wie viel Kredit einem in Katastrophenfall gewährt werden würde. Diese quantitative Grösse kann so mit der qualitativen Grösse «katastrophal» in Einklang gebracht werden und so in der gleichen Matrix abgebildet werden. Genauso kann die Eintrittswahrscheinlichkeit mit einer Häufigkeit in Einklang gebracht werden. Zum Beispiel kann die Häufigkeit «mehrmals pro Jahr» mit «sehr oft» oder mit der Eintrittswahrscheinlichkeit von 100% gleichgesetzt werden.

Akzeptanzkriterien

Die Risikomatrix kann nun in Klassen von Risiken eingeteilt werden. Königs empfiehlt drei bis sieben Kategorien (Quelle: Königs, H.-P. (2017), IT-Risikomanagement mit System. Wiesbaden: Springer Vieweg, S. 24). Diese Klassen können zum Beispiel in «Bagatell-Risiko» oder «Katastrophen-Risiko» und Abstufungen dazwischen eingeteilt werden. Aufgrund der Kategorie kann von der Leitung entschieden werden, was mit dieser Art von Risiken geschehen soll. Es empfiehlt sich aber keine generelle Akzeptanz pro Klasse zu entscheiden. Da die Häufigkeit des Schadens aus der Klasse nicht mehr ersichtlich ist. Es sollte also für jede Kombination von Häufigkeit und Schadensausmass entschieden werden, ob dieses Risiko akzep­tiert werden kann oder nicht und wie dringend darauf reagiert werden soll. Schäden die sehr selten aber mit hohen Schadensausmass auftreten bedürfen zum Beispiel keiner dringenden Behandlung. Schäden mit grosser Eintrittswahrscheinlichkeit bzw. hoher Häufigkeit sollten allerdings dringend behandelt werden.

Die entschiedenen Akzeptanzklassen können in die Matrix übertragen werden. Üblicherweise werden Ampelfarben für die bessere Visualisierung verwendet. Ebenso können die Akzeptanzkriterien als Akzeptanzlinie in die Matrix eingetragen werden.

Grundsätzlich gibt es vier Möglichkeiten mit identifizierten Risiken umzugehen. Obwohl als weitere Option zuweilen «Ignorieren» gewählt wird, ist dies in der Lehre keine valable Option.

Akzeptieren

Man akzeptiert das Risiko und geht es ein. Zum Beispiel habe ich Hunger, aber es sieht aus als würde es regnen. Der Regenschirm ist aber mit der Pizzaschachtel mühsam zu tragen, weshalb man ihn nicht mittragen möchte. Im schlimmsten Fall trägt man das Risiko und wird nass.

Reduzieren

Ein Risiko kann reduziert werden indem Massnahmen getroffen werden, um das Schadensausmass und/oder die Eintrittswahrscheinlich zu reduzieren. Im Kontext von Risiken wird auch von «mitigieren» gesprochen. Ich nehme zum Beispiel einen Regenmantel, reduziere somit das Risiko nass zu werden und habe gleichzeitig beide Arme frei.

Vermeiden

Weil es ev. keine wirtschaftlich vernünftigen Massnahmen gibt, um ein Risiko zu reduzieren, kann es ganz vermieden werden. Zum Beispiel kann eine riskante Geschäftstätigkeit ganz eingestellt werden, um dessen Risiken zu vermeiden. Um bei dem Beispiel zu bleiben; Es wird die Massnahme beschlossen nicht nach draussen zu gehen, wenn Regenwahrscheinlichkeit besteht (weil man vielleicht eine Wasserphobie oder Alergie hat. Ja okey… ist etwas gesucht).

Transferieren

Ein Risiko übertragen, also zum Beispiel eine Versicherung abschliessen für Elementarschäden, um die Finanziellen Risiken nicht selber tragen zu müssen. In dem Beispiel schicke ich jemand anders nach draussen, oder lasse einen Pizzakurier kommen.

Der Risikomanagement Prozess sollte eingebettet werden in einem Risiko Framework. Als Framework kann zum Beispiel ein ISMS (Information Security Management System) dienen. Es kann aber auch in einem reinen RM Framework eingebettet werden. Wichtig dabei ist, dass der Risikomanagement Prozess in dem Framework einem stetigen Verbesserungszyklus unter­worfen ist und die oberste Leitung hinter dem Risikomanagement steht. Der stetige Verbesserungsprozess wird in ISO27001 als PDCA Zyklus beschrieben. PDCA bedeutet auf Englisch Plan-Do-Check-Act oder auf Deutsch werden diese Planung, Betrieb, Bewertung der Leistung und Verbesserung genannt.  In ISO31000 sind es fünf zyklische Schritte: Gestaltung, Implementierung, Bewertung, Verbesserung, Integration. Zentral dabei «Führung und Verpflichtung». Vereinfacht oder zusammengefasst geht es darum, das RM ständig den inneren und äusseren Gegebenheiten angepasst und geprüft werden, ob es immer noch dem Sinn und Zweck erfüllt. Nämlich, ob es als Instrument zur Erfüllung der Unterneh­mensziele noch geeignet ist. Meiner Meinung nach steht die «Führung und Verpflichtung» nicht nur Symbolisch zentral in der Mitte. Es ist essentiell, dass die Leitung eben zentral die nö­tigen Entscheidungen trifft, entsprechend Ressourcen zur Verfügung stellt, und Kompetenzen und Verantwortlichkeiten bestimmt. Ohne dieses zentrale «Comitment» der Leitung kann es kein erfolgreiches RM geben.

Der eigentliche RM Prozess lässt sich in fünf Schritte gliedern.

Schritt 1

Kontextfestsetzung, wie der Name sagt wird hier der Kontext des RMs bestimmt. Dazu gehört, Analyse der Unternehmensziele, Ermittlung betroffene Anspruchsgruppen, Compliance Anforderungen, Ermittlung vorhanden Assets. Entwicklung einer Risikomatrix inklusive Akzeptanzkriterien in Zusammenarbeit mit der Leitung. Die Art der Risiken, in diesem Fall geht es um operationelle Risiken im Bereich Informationssicherheit. Es werden Schnittstellen zum Enterprise Risk Management und Business Continuity Management ermittelt.

Die folgenden Schritte 2 – 4 bilden das Risikoassessment.

Schritt 2

Risiko-Identifikation, mit geeigneten Methoden und Werkzeugen können Risiken gefunden werden. Es werden zu den in der Kontextfestsetzung ermittelten Assets und ihre Abhängigkeiten, Bedrohungen und vorhandene Schwachstellen identifiziert.

Schritt 3

Risiko-Analyse, in diesem Schritt werden die identifizierten Risiken untersucht nach Eintrittswahrscheinlichkeit und Schadenshöhe eingeteilt.

Schritt 4

Risiko-Bewertung, die Risiken werden nun nach Kritikalität bewertet und gemäss vorher definierter Risikoklassen Akzeptanzkriterien eingeteilt bzw. bewertet und entsprechend priorisiert.

Schritt 5

Risiko-Behandlung, es werden Massnahmen definiert, um die vorhandenen relevanten Risiken zu behandeln. Die Leitung entscheidet über die umzusetzenden Massnahmen und gibt Anweisungen zur Umsetzung an Fachkräfte.

Zum IS-RM gehören in jeder Phase die Kommunikation zwischen den im RM Prozess involvierten Personen, Konsultation von Experten und das Reporting, bzw. das Festhalten der Arbeitsschritte und des Fortschritts. Nicht zu vernachlässigen ist das IS-Risiko-Controlling, zur Überwachung und Überprüfung, ob der RM Prozess wie definiert eingehalten wird. Zum Beispiel, ob alle Risiken behandelt wurden, ob diese noch relevant sind, ob Massnahmen noch greifen, ob alle beteiligten über ihre Rolle Bescheid wissen usw. Wegen der Gewaltentrennung sollte das Risiko Controlling nicht von der gleichen Person durchgeführt werden wie das Risikoassessment.

Die Prozesse im IS-RM sind an und für sich immer die gleichen. Egal wie gross, komplex oder klein bzw. trivial eine Organisation sein mag, den entscheidenden Unterschied machen die eingesetzten Methoden und Werkzeuge und die Verteilung der Rollen, Verantwortlichkeiten und Kompetenzen.

Zum gemeinsamen Verständnis der Begriffe des RM ist es wichtig, dass man Begriffe und deren Bedeutung definiert. ISO definiert viele Begriffe des RM sehr genau. Im Folgenden werden die wichtigsten Begriffe beschrieben.

Risikomanagement

Gemäss ISO31000:2018 definiert sich RM wie folgt: «koordinierte Aktivitäten zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken» (Quelle: International Organization for Standardization. (2018), SN ISO 31000:2018 de – Risikomanagement – Leitlininien. Winterthur: Schweizerische Normen-Vereinigung (SNV), S. 7). Oder das Gleiche auf Englisch aus ISO27005:2011(E) (2011): «coordinated activities to direct and control an organization with regard to risk” (Quelle: International Organization for Standardization. (2018), SN ISO 31000:2018 de – Risikomanagement – Leitlininien. Winterthur: Schweizerische Normen-Vereinigung (SNV), S. 5).

Knoll liefert eine weitere etwas ausführlichere Definition: «Risikomanagement ist eine reaktive und proaktive Managementaufgabe. Es folgt einem Prozess, um Risiken in einem bestimmten Bereich des Unternehmens zu identifizieren, zu analysieren, zu bewerten, zu behandeln und zu überwachen.» (Quelle: Knoll, M. (2014), Praxisorientiertes IT-Risikomanagement. Heidelberg: dpunkt.verlag GmbH)

Enterprise, IT- und IS-Risikomanagement

IT- oder IS-Risikomanagement ist als ein untergeordneter Teilbereich des Enterprise Riskmanagements (ERM) zu verstehen. Neben IS-RM wird unter ERM auch Finanz- und Betriebswirtschafliches-, Projekt-, Produktions und weiteres RM betrieben. Knoll liefert folgende Definition:

Enterprise Risk Management verfolgt über alle Geschäftsbereiche, Standorte und verbundenen Gesellschaften eines Unternehmens hinweg einen ganzheitlichen Ansatz. Es gibt dazu im Sinne des Integrationsgedankens die IT-Risikorichtlinie, Methoden, Werkzeuge und Dokumente vor. Gleichzeitig übernimmt es für alle wesentlichen Risiken des Gesamtunternehmens eine analysierende, bewertende und überwachende Funktion. Daneben koordiniert und berät es die betroffenen Bereiche des Unternehmens. Es identifiziert und behandelt selbst keine Risiken. Das Enterprise Risk Management ist hierarchisch aufgebaut und zentral organisiert Das interne Kontrollsystem ist ein wichtiger Bestandteil. Die mit dem Enterprise Risk Management verbundene Verantwortung liegt immer in der Leitungsebene eines Unternehmens und ist in letzter Konsequenz nicht delegierbar.“ (Quelle: Knoll, M. (2014), Praxisorientiertes IT-Risikomanagement. Heidelberg: dpunkt.verlag GmbH, S. 56).

Meiner Meinung nach ist der Begriff Information Security RM dem Information Technology –RM vorzuziehen. In der Literatur ist vielfach von IT-RM zu lesen und wird oft Synonym zu Informa­tion Security RM verwendet. Meiner Meinung nach ist der Begriff Informationssicher­heit treffender, da er nicht nur die Informationstechnologie, sondern auch weitere Aspekte der Sicherheit von Informationen beherbergt. Neben Massnahmen der Informatik, geht es auch um physische Sicherheit oder Handlungsanweisungen zu Gesprächen mit vertraulichem Inhalt in der Öffentlichkeit (z.B. Mobiltelefon im Zug) oder zur Aufbewahrung gedruckter Dokumente (Cleandeskpolicy) usw.

Risiko

ISO hat zur breiten Anwendung eine sehr allgemeingültige Definition des Begriffs Risiko: «Auswirkung von Unsicherheit auf Ziele». Zu dieser Definition werden drei Anmerkungen angefügt (Quelle: International Organization for Standardization. (2018), SN ISO 31000:2018 de – Risikomanagement – Leitlininien. Winterthur: Schweizerische Normen-Vereinigung (SNV)):

Anmerkung 1 zum Begriff: Eine Auswirkung stellt eine Abweichung vom Erwarteten dar. Diese Abweichung kann positiv, negativ oder beides sein und kann auf Möglichkeiten und Bedrohungen eingehen, diese verursachen oder durch diese verursacht sein.

Anmerkung 2 zum Begriff: Ziele können verschiedene Aspekte und Kategorien umfassen und auf verschiedenen Ebenen angewendet werden.

Anmerkung 3 zum Begriff: Das Risiko wird üblicherweise anhand der Risikoursachen (3.4), der potenziellen Ereignisse (3.5), ihrer Auswirkungen (3.6) und ihrer Wahrscheinlichkeit (3.7) dargestellt. (S. 7)

Diese Grobe weitausgelegte Definition schliesst wie in Anmerkung 1 beschrieben die positive Abweichung von Zielen mit ein. Diese Definition ist vor allem für marktwirtschaftliche Risiken anwendbar. Man würde hier aber eher von Chancen anstelle positiver Risiken sprechen. Bei dieser Art von Definition wird von „Risiken im weiteren Sinne“ gesprochen (Quelle: Meyer, R. (2008), Risikomanagement in der Unternehmensführung. Winheim: WILEY-VCH).

Königs findet eine engere, für Risiken der Informationssicherheit zweckdienlicherer Definition:“ Risiko ist eine nach Wahrscheinlichkeit (Häufigkeit) und Konsequenz bewertete Bedrohung hinsichtlich der Abweichungen von erwarteten System-Zielen. Das (Downside-) Risiko betrachtet dabei stets die unerwünschten Abweichungen von den System-Zielen und deren Folgen.“ (Quelle: Königs, H.-P. (2017), IT-Risikomanagement mit System. Wiesbaden: Springer Vieweg, S. 12). Unter „System“ wird in diesem Zusammenhang ein allgemeines System verstanden, das beispielsweise ein ökonomisches, ein gesellschaftliches oder ein technisches System mit zielorientierten Werten sein kann. Die Risiko-Definition im „weiteren Sinne“ betrachtet zusätzlich zum „Downside-Risiko“ auch das „Upside-Risiko“, d. h. die erwünschten positiven Abweichungen von System-Zielen. An die Stelle von Bedrohungen treten dann die „Chancen“ (Quelle: Königs, H.-P. (2017), IT-Risikomanagement mit System. Wiesbaden: Springer Vieweg).

Risikoarten und Risikokategorien

Wie bereits beschrieben gibt es im ERM unterschiedliche Teilbereiche des RM. Unter anderem gibt es die Finanzrisiken, Projektrisiken, Umweltrisiken, Produktrisiken. Die Risiken der Infor­mationssicherheit sind Risiken welche mit dem Verlust der wesentlichen Schutzziele der Infor­mationssicherheit verbunden sind:

• Verfügbarkeit
• Vertraulichkeit
• Integrität

Leider gibt es zu diesen Schutzzielen kaum positive Abweichung von Zielen, weshalb die breit gefasste Definition von ISO nicht sinnvoll im IS-RM angewendet werden kann.

Risikomodell für Risikofaktoren

Die Einflussfaktoren für das Zustandekommen von Risiken kann vorteilhaft anhand eines An­schauungsmodells gezeigt werden (Quelle: Königs, H.-P. (2017), IT-Risikomanagement mit System. Wiesbaden: Springer Vieweg, S. 14):

Ein Bild sagt mehr als 1000 Worte. Doch müssen zu dem Bild einige Erklärungen gemacht wer­den. Es zeigt schön die Abhängigkeiten der verschiedenen Begriffe auf. Schön zu sehen ist, dass das Risikoobjekt im Mittelpunkt steht. Ohne Kenntnis über die eigenen Assets kann kaum ein effizientes RM etabliert werden.

Aus der obenstehenden Abbildung ist die Formel «R = f(P, S)» ersichtlich. Sie bedeutet, dass sich ein Risiko aus den Faktoren Eintrittswahrscheinlichkeit (P) und Schadenhöhe (S) zusammensetzen. Das heisst indem mindestens einer der beiden Faktoren reduziert wird, kann das Risiko minimiert oder sogar eliminiert werden. Im Englischen wird neben «probability» von «likelyhood» und «frequency» gesprochen. Es impliziert eben nicht nur eine Wahrscheinlichkeit, sondern auch eine Häufigkeit in einer gewissen Zeitperiode.

Ausserdem ist aus dem Model ersichtlich, dass nur Bedrohungen, welche auf eine Schwachstelle treffen ein Risiko für ein Asset darstellen. Eine Bedrohung ohne Schwachstelle ergibt kein Ri­siko. Zum Beispiel setzt man sich keinem Risiko aus vom Blitz getroffen zu werden, wenn man in einem Auto sitzt. Die Bedrohung (Blitz) ist da, aber es gibt keine Schwachstelle, welche zu einem Schaden der Insassen führen würde. In dem Beispiel ist die Bedrohungsquelle die Gewitterwolken, das Bedrohungsereignis der tatsächliche Blitzeinschlag. Die Massnahme bzw. der inhärente Schutz ist die Karosserie des Autos. Das Asset wären in dem Fall die Insassen. Der Schaden wären mindestens Verbrennungen zweiten oder dritten Grades.

Hauptsächlich vorkommende Begriffe im Risikomodell

* Mit dem Begriff „Impact“ wird auch oft, wie mit dem Begriff „Consequence“, das Schadens-Ergebnis bezeichnet.

Quelle: Königs, H.-P. (2017), IT-Risikomanagement mit System. Wiesbaden: Springer Vieweg, S. 16

https://www.iso.org/standard/65694.html

https://www.iso.org/standard/75281.html

https://www.springer.com/de/book/9783658120030

https://www.dpunkt.de/buecher/11210/9783898648332-praxisorientiertes-it-risikomanagement.html

https://www.wiley-vch.de/de/fachgebiete/finanzen-wirtschaft-recht/risikomanagement-in-der-unternehmensfuehrung-978-3-527-50302-5

International Organization for Standardization. (2011). ISO/IEC 27005:2011(E) – Information security risk management. Geneva: ISO.

International Organization for Standardization. (2018). SN ISO 31000:2018 de – Risikomanagement – Leitlininien. Winterthur: Schweizerische Normen-Vereinigung (SNV).

Knoll, M. (2014). Praxisorientiertes IT-Risikomanagement. Heidelberg: dpunkt.verlag GmbH.

Königs, H.-P. (2017). IT-Risikomanagement mit System. Wiesbaden: Springer Vieweg.

Meyer, R. (2008). Risikomanagement in der Unternehmensführung. Winheim: WILEY-VCH.