Aus Wissen wird Methode
Beim Vergleich vieler Risikoanalysen fällt folgendes auf: Die Fragen, die zur Einschätzung des Risikos den jeweiligen Ansprechpartnern gestellt werden, kehren immer wieder und aus diesen Fragen werden die Risiken immer in ähnlicher Weise abgeleitet. Könnte man damit nicht die Risikoanalyse methodisch so vereinfachen, dass der Aufwand signifikant sinkt und dass sie als Self Assessment direkt von den jeweiligen Ansprechpartnern durchgeführt werden kann?
Viele Unternehmen haben diese Frage für sich mit "Ja" beantwortet und die relevanten Fragen in standardisierte Fragenkataloge überführt. Auf deren Basis lassen sich automatisiert Risiken ableiten. Damit wandert das benötigte Know-How in die Methodik. Diese stellt darüber hinaus die Nachvollziehbarkeit und Vergleichbarkeit der Ergebnisse sicher. Ein geringer Verlust an Individualität wird dabei in Kauf genommen.
Wie bereits erwähnt, ergibt sich eine Abschätzung für das Risiko aus der Wahrscheinlichkeit eines Ereignisses und dem daraus resultierenden Schaden. Bei der Eintrittswahrscheinlichkeit sind zwei weitere Aspekte zu klären: Besteht eine Bedrohung, dass ein Ereignis eintritt, das einen Schaden auslösen kann? Wie anfällig ist das System für diese Bedrohung? Das bedeutet, wie groß ist die Wahrscheinlichkeit, dass dieses Ereignis auch zu einem Schaden führt?
Das folgende vereinfachte Beispiel soll die Zusammenhänge veranschaulichen: Das Risiko für das Szenario Identitätsdiebstahl hängt unter anderem von der Erreichbarkeit des Systems (zum Beispiel aus dem Internet) und von den Authentifizierungsmechanismen ab. Wenn man diese Aspekte kennt, kann man daraus die Wahrscheinlichkeit für einen solchen Identitätsdiebstahl ableiten. Die Daten im System zeigen, wie groß ein möglicher Schaden sein könnte. Aus diesen beiden Größen ergibt sich nun eine Abschätzung für das Risiko, das dann grafisch in einer Risikomatrix (siehe Abbildung) dargestellt werden kann.
Es ist sogar möglich, in Abhängigkeit von Bedrohung, Schwachstelle und Schaden standardisierte Gegenmaßnahmen einzuleiten. In obigem Beispiel könnte eine Lösung so aussehen: Für ein aus dem Internet erreichbares System, das lediglich eine Authentifizierung mit Benutzernamen/Passwort bietet und vertrauliche Daten verarbeitet, würde eine 2-Faktor-Authentifizierung vorgeschlagen werden.
Das Grundproblem für kleine und mittelständische Unternehmen ist jedoch immer noch nicht gelöst, da der Aufwand für die Entwicklung individueller Fragenkataloge und das dafür benötigte Know-How nicht unerheblich sind. Einige Beratungsunternehmen im Bereich der IT-Sicherheit haben standardisierte Kataloge entwickelt, die sie entweder als Basis für eine individuelle Methodik oder im Rahmen von Quick Checks am Markt anbieten.