![[Illustration]](06-5-022-1.jpg)
Abbildung 1: Beispiel für die Aufnahme eines betriebswirtschaftlichen Prozesses als Grundlage der prozessorientierten Risikobetrachtung
Um Führungsverantwortlichen eine fundierte Entscheidungsbasis bereiten zu können, bedarf es auch und gerade in der IT der Erhebung von genauen und transparenten Risikowerten, die schnelle Entscheidungen ermöglichen und gegebenenfalls auch den Boden für eine gewünschte Zertifizierung bereiten. Hierzu sollte ein Verfahren gewählt werden, das über die klassische, eher statische Analyse hinaus geht.
Der klassische Risikoanalyseansatz beginnt mit der Definition von Untersuchungsgegenständen und Schutzzielen – in der IT üblicherweise Vertraulichkeit, Verfügbarkeit und Integrität. Es folgen das Aufstellen eines Bedrohungskatalogs, die Festlegung von Schadens- und Wahrscheinlichkeitsklassen und der Grenze für tolerierbare Risiken im Unternehmen. Die darauf folgende Schutzbedarfsanalyse gibt Aufschluss über den maximal möglichen Schaden für einen Untersuchungsgegenstand, der bei einer Verletzung von Schutzzielen auftreten kann.
Die anschließende Bedrohungs- und Risikoanalyse identifiziert die potenziellen Bedrohungen sowie Eintrittswahrscheinlichkeiten und beziffert mögliche Schäden. Das durch die Multiplikation der Eintrittswahrscheinlichkeit mit dem möglichen Schaden berechnete Risiko gilt es anschließend in einer geeigneten Art und Weise aufzubereiten. Hierzu bietet sich eine Risikomatrix an, die aus den Achsen Eintrittswahrscheinlichkeit und Schadenspotenzial besteht.
Letztlich ist unter Abwägung wirtschaftlicher Gesichtspunkte eine Entscheidung darüber zu treffen, welche Risiken für das Unternehmen tragbar sind und welche Risiken reduziert werden müssen. Dabei ist zu beachten, dass die Kosten für eine mögliche Umsetzung von risikomindernden Maßnahmen noch in sinnvoller Relation mit dem zu erwarteten Nutzen stehen.
Diese Skizze einer klassischen Risikoanalyse zeigt, dass das derart berechnete Risiko direkt an die einzelnen IT-Komponenten geknüpft wird, wobei Interdependenzen zwischen diesen Komponenten oder direkte Beziehungen zum operativ-fachlichen Prozess außer Acht bleiben.
Eine Ausrichtung von Unternehmensaktivitäten anhand der für die Leistungserstellung wesentlichen Kernprozesse gilt heute als ein Schlüsselfaktor, um erfolgreich am Markt agieren zu können. Demnach bilden Prozessketten Werte, die in vielfältigster Art und Weise zu schützen sind. Um Maßnahmen zu ihrem Schutz entwickeln zu können, bedarf es einer Analyse bestehender (IT-)Risiken, die ebenfalls den Geschäftsprozess einbezieht.
Welche Ergänzungen zur klassischen Risikoanalyse können Führungsverantwortliche von einem solchen prozessorientierten Ansatz erwarten? Zuallererst ermöglicht er einen anderen Blickwinkel auf die IT-Risiken: So wird eine IT-Komponente nicht mehr einzeln für sich, sondern eingebettet in den betriebswirtschaftlichen Prozess – ganzheitlich – betrachtet. Überdies können Ursache-Wirkungs-Beziehungen in dem Sinne aufgezeigt werden, dass der Ausfall eines IT-Systems und der damit verbundene Ausfall der betriebswirtschaftlichen Prozessfunktion zum Ausfall weiterer Prozessfunktionen führt.
Ein weiterer wichtiger Punkt betrifft die Notwendigkeit, geschäftsrelevante Risikodaten an die Unternehmensführung weiterzuleiten. Die Verantwortlichen wollen dabei wissen, welche betriebswirtschaftlichen Funktionen durch die mögliche Kompromittierung eines IT-Systems betroffen sind.
Um eine prozessorientierte Risikoanalyse in der Praxis umzusetzen, muss grundsätzlich bereits ein "Denken in Prozessen" vorliegen. Sollte dies nicht der Fall sein, gestaltet sich der Einsatz problematisch, weil zunächst Grundlagenarbeit in Bezug auf Prozessmanagement geleistet werden muss, die den Rahmen einer Risikoanalyse leicht sprengt.
Abbildung 1: Beispiel für die Aufnahme eines betriebswirtschaftlichen Prozesses als Grundlage der prozessorientierten Risikobetrachtung
Als Erstes müssen dann die Kernprozesse des Unternehmens aufgenommen und dokumentiert werden. Abbildung 1 zeigt beispielhaft einen Prozessausschnitt, dem eine Aufnahme mit dem ARIS-Toolset von IDS Scheer zugrunde liegt. Der Abstraktionsgrad dieser Prozesse orientiert sich dabei ganz am Umfang und der Zielstellung des Projekts, also auch an der Art der zu erhebenden Informationen. So können einfache Fragestellungen wie der Ausfall einzelner betriebwirtschaftlicher Prozessketten oder aber auch die Frage nach der Aggregation eines auftretenden Schadens in der Wertschöpfungskette gestellt werden.
Solche Prozessmodelle müssen anschließend durch Informationsobjekte ergänzt werden, die den Ausgangspunkt für eine IT-Risikoanalyse bilden. Das bedeutet, die IT-Infrastruktur gemäß ihrer praktischen Ausprägung in ein Modell zu überführen, das die Beziehungen der Realwelt detailgenau wiedergibt (vgl. Abb. 2). Die Modellierung muss sich dabei am praktisch Durchführbaren und nicht am theoretisch Möglichen orientieren.
![[Illustration]](06-5-022-2.jpg)
Abbildung 2: Beispiel einer einfachen Anwendungssystemmodellierung
Ziel dieser Modellierung der IT-Infrastruktur ist es, Informationen über die Abhängigkeiten der einzelnen Systemelemente zu erhalten, welche für die Berechnung der Verfügbarkeit im Rahmen der Risikoanalyse unabdingbar sind. Im Beispiel der Abbildung 2 bedeutet dies, dass die Verfügbarkeit des Anwendungssystems "Filesharing" erhoben werden muss. Dieser Wert vererbt sich dann durch die modellierte Beziehung automatisch an das Objekt "File Sharing: Vertrieb", das im Prozessmodell wiederum mit einer Reihe von betriebswirtschaftlichen Funktionen in Beziehung steht und damit eine Aussage für deren Verfügbarkeit geben kann. Zusätzlich bedarf es für die Ermittlung von Vertraulichkeit und Integrität einer Relation zwischen Anwendungen und den darauf verarbeiteten Daten. Am Beispiel schließt dies (unter anderem) die Modellierung der Beziehung des Objektes "File Sharing: Vertrieb" zu den einzelnen Datenobjekten ein.
Sind alle diese IT-Infrastrukturdaten erhoben und mit der Prozesslandschaft in Relation gebracht, müssen die Werte für eine IT-Risikoanalyse in die Objekte als Attribute eingepflegt und aggregiert werden. Das sind unter anderem Eintrittswahrscheinlichkeiten und Schadenswerte in Bezug auf den zugrunde liegenden Bedrohungskatalog (z. B. menschliche Fehlhandlungen, unterteilt nach Konfigurationsfehlern, organisatorische Mängel usw.).
Als Ergebnis der Aggregation erhält man auf Basis mathematischer Verfahren für die Prozessfunktion drei Risikowerte bezüglich Verfügbarkeit, Vertraulichkeit und Integrität. Sie ermöglichen Aussagen, wie hoch zum Beispiel das Risiko für einen Ausfall der Prozessfunktion aufgrund von Verfügbarkeitsproblemen in der IT ist oder in welchem Ausmaß Integritätsprobleme den Transformationsvorgang innerhalb der Prozessfunktion behindern.
Vergleichsweise einfach ist zum Beispiel die Berechnung der Verfügbarkeit auf Basis von Zuverlässigkeitsfunktionen, die nachfolgend kurz skizziert werden soll: Die Zuverlässigkeitsfunktion R (t) ist dabei die Wahrscheinlichkeit, dass eine Betrachtungseinheit in einem Betrachtungszeitraum (o...t) funktionsfähig ist – dass also keine Betriebsunterbrechung innerhalb einer bestimmten Zeitspanne T auftritt. Den Verlauf der Zuverlässigkeitsfunktion (aufgrund von Verschleißerscheinungen) zeigt Abbildung 3.
![[Illustration]](06-5-022-3.jpg)
Abbildung 3: Zeitlicher Verlauf der Zuverlässigkeitsfunktion R(t).
R(t) ist durch die Ausfallrate λ(t) vollständig bestimmt. Es gilt:
R(t) = e−∫[0..t] λ(τ) · dτ (Formel als Grafik) mit R(0) = 1.
Für eine konstante Ausfallrate (näherungsweise zeitunabhängig) wird λ(t) = λ gesetzt, wodurch man die Gleichung
R(t) = e−λt
erhält.
Bezüglich der Risikoaggregation ist es sinnvoll, den ITIL-Gedanken aufzugreifen, dass IT-Systeme einen Service für einen Prozess erbringen. Die Verfügbarkeit für diesen Service ergibt sich demnach aus der aggregierten Zuverlässigkeitsfunktion, die in Abhängigkeiten von der IT-Systemmodellierung durch verschiedene Berechnungsalgorithmen, wie zum Beispiel die Serienschaltung aus der Elektrotechnik oder die Formel zur diskreten Wahrscheinlichkeitsverteilung für Binomialverteilungen von Bernoulli, ermittelt werden kann:
Rr(t) = ∑[i=1..n] ("n über i") · Ri(t) · (1 − R(t))n − i (Formel als Grafik)
Die errechnete Wahrscheinlichkeit muss zuletzt noch mit dem bereits ermittelten Schadenspotenzial multipliziert werden. Als Ergebnis erhält man einen Risikowert, der Führungsverantwortlichen eine transparente Information über den Einfluss von Verfügbarkeitsproblemen in der IT auf den betriebswirtschaftlichen Prozess liefert.
Über die Vorteile zusätzlicher Risikoinformationen, welche die prozessorientierte Risikoanalyse im Vergleich zur klassischen Risikoanalyse produziert, darf die damit einhergehende Mehrarbeit nicht übersehen werden: Dies betrifft zum einen die Modellierung der Kernprozesse und vor allem der zugehörigen Informationsobjekte, die in ihrer Form essenziell für die IT-Risikoanalyse sind. Zum anderen ist die Art und Weise der Implementierung von Schadenswerten und Eintrittswahrscheinlichkeiten wichtig, da anhand dieser Werte auf das Risiko der betriebswirtschaftlichen Funktionen geschlussfolgert wird. Es muss daher sorgfältig abgewogen werden, welcher Risikoanalyseansatz zum Einsatz kommen soll.
Grundsätzlich ist festzuhalten, dass es nicht die herausragende Lösung zum Umgang mit IT-Risiken gibt, sondern dass eine Reihe von Ansätzen existieren, die alle ihre Vor- und Nachteile besitzen. Die klassische Risikoanalyse zeichnet sich vor allem durch klare Abhängigkeiten aus, wogegen die prozessorientierte Analyse komplexe Ursache-Wirkungs-Beziehungen in den Mittelpunkt der Betrachtung stellt. Des Weiteren analysiert die klassische Risikoanalyse einen abgegrenzten Untersuchungsgegenstand, was sich für die Durchführung vieler projektartiger Analysen besonders gut eignet. Die prozessorientierte Risikoanalyse behandelt hingegen eine ganzheitliche Sicht unter Einbezug der Geschäftsprozesse und ist auf eine kontinuierliche Arbeit an einer oder wenigen Analysen ausgelegt.
Der statische Ansatz besitzt daher vor allem Vorteile, wenn innerhalb kurzer Zeit Informationen über ein existierendes IT-Risiko benötigt werden. Benötigt man jedoch Risikoinformationen über Abhängigkeiten und Komplexitäten, dann können Führungskräften durch die prozessorientierte Risikoanalyse zusätzliche Informationen über existierende IT-Risiken im Unternehmen besser transparent gemacht werden.
Sebastian Tandler (tandler@secaron.de) ist Consultant bei der Secaron AG.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#5, Seite 22
| 