Quantitative Risikobewertung ist ein objektiver Ansatz für die Risikoanalyse – aber das Risiko zu verstehen, ist nur der erste Schritt. In diesem Artikel wird erläutert, wie die Ergebnisse interpretiert und diese Erkenntnisse in einer realen Umgebung in sinnvolle Entscheidungen umgesetzt werden können.

(Dieser Artikel behandelt zwar nicht die Durchführung einer quantitativen Risikoanalyse, jedoch können Sie den Prozess in unserem Leitfaden zur datengestützten Risikobewertung ausführlich nachlesen.)

Risikoquantifizierung verstehen

Das Wichtigste zuerst: Was ist eine quantitative Risikobewertung überhaupt?

Was ist Risikobewertung?

Die quantitative Risikobewertung (Quantitative Risk Assessment, kurz QRA) weist einem Cybersicherheitsrisiko auf der Grundlage seiner potenziellen Auswirkungen und Wahrscheinlichkeit einen finanziellen Wert zu. Es wird die Frage gestellt: Wenn dieses Asset durch diese Schwachstelle gefährdet ist, welche Kosten entstehen uns dadurch? Im Gegensatz zu qualitativen Methoden, die Risiken nach Schweregraden einteilen, liefert ein quantitativer Ansatz ein objektiveres Bild.

Warum ist dies von Bedeutung? Qualitative Bewertungen von Cybersicherheitsrisiken lassen wesentlich mehr Raum für Interpretationen. Die Übersetzung von Risiken in die Sprache des Unternehmens – also in Euro und Cent – beseitigt einen Großteil dieser Unklarheiten und hilft Führungskräften außerhalb des Sicherheitsbereichs zu verstehen, was ein „hohes“ Risiko im jeweiligen Kontext wirklich bedeutet.

Wie lässt sich die Risikobewertung in die übergeordnete Cybersicherheitsstrategie integrieren?

Die Quantifizierung von Risiken ist ein essenzielles Instrument für das Risikomanagement, jedoch nicht das Endziel. Stattdessen bildet es die Grundlage für Entscheidungen zur Risikominderung.

Wenn Sie beispielsweise das Risiko wie folgt darstellen können: „1,5 Millionen Dollar potenzielle Schäden durch die Verwendung unverschlüsselter Cloud-Kommunikation durch einen Lieferanten“, wird es einfacher, Ihre Optionen zur Reaktion auf dieses Risiko abzuwägen. Darauf gehen wir später in diesem Artikel noch näher ein.

Interpretation der quantitativen Risikoanalyse: Schlüsselelemente

Es gibt einige wesentliche Elemente einer quantitativen Risikoanalyse, die für die Interpretation der Ergebnisse von Bedeutung sind.

  • Asset-Wert (Asset Value, kurz AV): Der Wert des zu schützenden Assets für Ihr Unternehmen.
  • Exposure-Faktor (Exposure Factor, kurz EF): Der Prozentsatz des Wertes des Assets, der verloren gehen oder beeinträchtigt werden kann, wenn das Risiko eintritt.
  • Jährliche Verlusterwartung (Annualized Rate of Occurrence, kurz ARO): Wie häufig Sie davon ausgehen, dass das Risiko jährlich eintritt. (Bei Risiken, die weniger als einmal pro Jahr eintreten, kann dieser Wert unter 1 liegen.)

Anhand dieser drei Zahlen können Sie Folgendes berechnen:

  • Einzelverlustrisiko (Single Loss Expectancy, kurz SLE): Der finanzielle Wert, der bei einem einzelnen Bedrohungsereignis verloren gehen würde, wenn das Risiko eintritt. Sie berechnen diesen Wert anhand der Formel AV x EF.
  • Jährliche Eintrittswahrscheinlichkeit (Annual Loss Expectancy, kurz ALE): Der finanzielle Wert, der jährlich verloren gehen würde, wenn das Risiko eintritt. Sie berechnen diesen Wert anhand der Formel SLE x ARO.
  • Übriger ALE: Der finanzielle Wert, der jährlich verloren gehen würde, wenn das Risiko nach Anwendung von Risikominderungsmaßnahmen eintritt. Solche Minderungsmaßnahmen reduzieren EF, ARO oder beides, die Berechnungen bleiben jedoch ansonsten unverändert.

ALE ist das Hauptergebnis der Risikoanalyse und die wichtigste Kennzahl, die Sie zur Bewertung Ihrer Optionen für die Risikoreaktion verwenden werden. Es handelt sich jedoch nicht um eine perfekte Zahl, weshalb es noch ein weiteres Schlüsselelement gibt: Unsicherheit.

AV, EF und ARO sind allesamt Schätzwerte. Im Idealfall handelt es sich um sehr genaue Schätzungen, die auf sorgfältigen Recherchen basieren, aber dennoch Schätzungen bleiben. Das Maß an Vertrauen, das Sie in diese Schätzungen setzen sollten, wird in der Regel durch einen Konfidenzgrad (z. B. 80 %) angegeben, gefolgt von einer Liste unbekannter Faktoren.

Wo die Theorie in die Praxis umgesetzt wird: Risikoreaktion

Bisher haben wir erläutert, wie eine quantitative Risikobewertung interpretiert wird. Der eigentliche Zweck der Risikoanalyse besteht jedoch darin, zu entscheiden, wie mit diesem Risiko umgegangen werden soll.

Alle Risikoreaktionen lassen sich grob in vier Kategorien einteilen: Vermeidung, Akzeptanz, Übertragung oder Minderung.

Vermeidung

Das Risiko zu vermeiden bedeutet, das Exposure vollständig zu beseitigen. Es ist die einzige Risikoreaktion, die das Risiko tatsächlich auf null reduziert. In der Praxis bedeutet dies, dass ein risikobehafteter Prozess oder ein risikobehaftetes System stillgelegt wird.

Vermeidung ist im Grunde eine extreme Maßnahme und nur selten durchführbar. Sie können etwa das Risiko von Phishing auf null reduzieren, indem Sie den gesamten externen E-Mail-Verkehr deaktivieren. Wenn Sie mit Angelegenheiten der nationalen Sicherheit befasst sind, könnte sich dies tatsächlich lohnen. Für den Rest von uns würde dies zu einem vollständigen Stillstand des Geschäftsbetriebs führen.

Ihre Risikoanalyse könnte diese Vorgehensweise in zwei Situationen unterstützen: wenn das ALE so extrem ist, dass keine Risikominderungsstrategie es auf ein akzeptables Niveau reduzieren kann, oder wenn es eine gleichwertige Alternative zum risikobehafteten Prozess oder System gibt, die den EF oder ARO auf null reduzieren würde.

Akzeptanz

Das Risiko zu akzeptieren bedeutet, sich dafür zu entscheiden, nichts zu unternehmen. Auch wenn dies auf den ersten Blick unvernünftig erscheinen mag, ist es eine Option, die ernsthaft in Betracht gezogen werden sollte.

Es gibt ein sehr einfaches Szenario, in dem die Akzeptanz des Risikos die beste Option ist: wenn die Kosten für die Risikominderung den Rest-ALE (d. h. den ALE nach der Risikominderung) übersteigen. In dieser Situation kostet es mehr, Ihr Unternehmen zu schützen, als es zu verlieren gibt.

Es gibt jedoch auch differenziertere Situationen, in denen das Akzeptieren sinnvoll sein kann. Diese berücksichtigen die Opportunitätskosten der Risikominderung, unabhängig davon, ob diese sich ausschließlich auf das Sicherheitsteam oder auf das gesamte Unternehmen beziehen.

Kein Sicherheitsteam verfügt über unbegrenzte Ressourcen. Die Akzeptanz ist eine angemessene (wenn auch unbequeme) Option, wenn die Entscheidung zur Risikominderung bedeutet, dass Ressourcen von der Bewältigung eines schwerwiegenderen Risikos abgezogen werden müssen. Insbesondere wenn die Risikominderungsstrategie sehr manuell ist und viele Arbeitsstunden erfordern würde: Was wird derzeit nicht durchgeführt, damit die Mitarbeiter ihre Zeit für diese Aufgabe nutzen können?

Es sind auch weiterreichende Opportunitätskosten zu berücksichtigen, nämlich die Chancen, auf die das Unternehmen verzichten müsste, um das Risiko zu mindern oder zu vermeiden. Mit anderen Worten: Eine Akzeptanz kann sinnvoll sein, wenn die unternehmerische Gelegenheit größer ist als die ALE. Dies könnte beispielsweise der Fall sein, wenn Sie ein Rechenzentrum im Ausland eröffnen, um Cloud-Dienste für einen neuen Markt bereitzustellen. Obwohl dies neue Sicherheitsrisiken mit sich bringt, gibt es einen klaren geschäftlichen Vorteil.

Übertragung

Risikoübertragung bedeutet, die Verantwortung auf eine andere Partei zu übertragen, in der Regel auf eine Cybersecurity-Versicherung. Allgemein gesprochen ist die Übertragung des Risikos auf eine Versicherung eine Option, wenn die Versicherungskosten geringer sind als Ihr ALE – allerdings gibt es einige Einschränkungen.

Erstens deckt eine Versicherung lediglich die finanziellen Kosten eines Sicherheitsvorfalls ab. Sicherheitsvorfälle können aber auch rechtliche und rufschädigende Folgen haben. Wenn Ihr ALE diese Schäden berücksichtigt und ihnen einen Dollarwert zugewiesen hat (was im Idealfall der Fall war), müssen Sie diesen Betrag aufschlüsseln, um nur die unmittelbaren finanziellen Kosten zu betrachten. Die Übertragung des Risikos ist sinnvoll, wenn das finanzielle Risiko hoch ist, die rechtlichen Risiken und Reputationsrisiken jedoch gering sind.

Zweitens wird die Versicherung mit ziemlicher Sicherheit verlangen, dass Sie bestimmte Sicherheitskontrollen einrichten, und sie könnte auch die Haftung für wiederkehrende Vorfälle ausschließen. Dies bedeutet, dass Sie die Kosten für diese Kontrollen zu den Versicherungskosten hinzufügen müssen, wodurch sich möglicherweise Ihre Berechnung ändern wird. Es bedeutet auch, dass die Übertragung des Risikos auf eine Versicherung nur eine vorübergehende Maßnahme für ein Risiko mit einem hohen ARO sein kann.

Minderung

Die Minderung ist Ihre proaktivste Maßnahme, bei der Sie das Risiko durch die Anwendung von Sicherheitskontrollen, das Patchen von Schwachstellen, die Korrektur von Fehlkonfigurationen usw. reduzieren.

Die Minderung beseitigt Ihr Risiko nicht vollständig – dies ist nur durch die vollständige Vermeidung des Risikos möglich. Stattdessen senkt die Minderung Ihr Risiko, indem Sie Maßnahmen ergreifen, um Ihre EF, Ihre ARO oder beides zu reduzieren. Anschließend können Sie einen neuen ALE berechnen, der als Rest-ALE bezeichnet wird.

Im Allgemeinen ist das Mindern eine sinnvolle Option, wenn die Differenz zwischen dem ursprünglichen ALE und dem verbleibenden ALE größer ist als die Kosten für die Schadensminderung.

Einbeziehung der Risikobereitschaft (oder Umgang mit Sonderfällen)

Nicht jede Risikobewertung bietet Ihnen eine eindeutige Entscheidung für eine bestimmte Reaktion. Es wird immer Fälle geben, in denen die Unterschiede zwischen zwei Optionen gering sind oder die Unsicherheit hoch ist. Die Berücksichtigung der Risikobereitschaft wird Ihnen dabei helfen, diese Sonderfälle besser zu verstehen. Die Risikobereitschaft ist in der Regel nicht Bestandteil einer Risikoanalyse, stellt jedoch einen nützlichen Rahmen für die Interpretation dieser Analyse dar.

(Falls Ihr Unternehmen seine Risikobereitschaft noch nicht dokumentiert hat, können Sie diese editierbare Vorlage für eine Erklärung zur Risikobereitschaft als Ausgangspunkt verwenden.)

Risikobereitschaft bezeichnet das Maß an Risiko, das ein Unternehmen zur Erreichung seiner Ziele bereit ist, einzugehen. Eine hohe Risikobereitschaft bedeutet, dass Sie bereit sind, höhere Risiken für möglicherweise höhere Erträge einzugehen, während eine geringe Risikobereitschaft bedeutet, dass Sie es vorziehen, Risiken so weit wie möglich zu reduzieren. Risikobereitschaft besteht in mehreren Dimensionen: Möglicherweise haben Sie eine hohe Risikobereitschaft in Bezug auf operationelle Risiken, aber eine geringe Risikobereitschaft in Bezug auf Compliance-Risiken.

Innerhalb jeder dieser Dimensionen (Sicherheitsrisiko, Compliance-Risiko, Innovationsrisiko usw.) sind mehrere wichtige Faktoren zu berücksichtigen:

  • Risikokapazität ist der maximale Risikobetrag, den ein Unternehmen tragen kann und der in der Regel durch finanzielle Ressourcen, operative Fähigkeiten und regulatorische Beschränkungen bestimmt wird.
  • Risikotoleranz ist eine akzeptable Abweichung vom Zielwert.
  • Risikoschwellenwerte sind „rote Linien“, die auf die Notwendigkeit einer Strategieänderung hinweisen.

Die Grenze zwischen Toleranz und Kapazität oder sogar zwischen verschiedenen Toleranzgraden kann Ihnen dabei helfen, Grauzonen zu klären, in denen unklar ist, welche Risikoreaktion angemessen ist.

Erkenntnisse in Maßnahmen umwandeln

Das Verständnis einer quantitativen Risikobewertung ist nur der erste Schritt – der wahre Wert liegt in der Nutzung dieser Erkenntnisse, um Maßnahmen zu ergreifen. Ob Risikovermeidung, -akzeptanz, -übertragung oder -minderung – das Ziel ist immer dasselbe: Sicherheitsrisiken gegen geschäftliche Prioritäten abzuwägen, damit Sie entschlossen handeln können.