![[Aufmachergrafik: heller, corporate design]](07-4-044-0.jpg)
PRONOE Process and Risk Oriented Numerical Outgoings Estimation – Vorschlag für eine Methodik zur risikoorientierten Kosten-Nutzen-Balance beim Informations-Sicherheits-Management PRONOE Process and Risk Oriented Numerical Outgoings Estimation – Vorschlag für eine Methodik zur risikoorientierten Kosten-Nutzen-Balance beim Informations-Sicherheits-ManagementUm wichtige Informationen zu schützen, investieren Unternehmen häufig massiv zur Abwehr oder Verminderung von Gefahren. Aus der Sicht des Managements bleibt jedoch meist die Frage unbeantwortet, ob die getätigten Investitionen ausreichend oder gar überzogen waren und damit tatsächlich die gewünschte Sicherheit erreicht wurde. Auf der anderen Seite stellt sich für die Informations-Sicherheits-(ISi)-Fachabteilungen die Frage, wie viel Sicherheit sie überhaupt erreichen sollen und ob das erzielte Niveau im Verhältnis zu den investierten Mitteln zufriedenstellend ist. Die Maxime "absolute Sicherheit zum günstigsten Preis!" ist zwar seitens des Managements in Zeiten allgemeinen Sparens verständlich, jedoch selten zielführend.
In den letzten Jahren hat man als Abhilfe häufig versucht, einen "Return on Security Investment" (RoSI) zu ermitteln. Hierzu werden die Kosten einer Sicherheitsmaßnahme mit den finanziellen Auswirkungen in Form vermeintlich vermiedener Sicherheitsvorfälle in Relation gesetzt. So einfach dies in der Theorie klingt, so schwierig ist doch die Umsetzung in der Praxis. Da sowohl die erwarteten Vorfälle und Schäden ohne zusätzliche Maßnahmen als auch die erwartete Verringerung lediglich Schätzwerte sind, ergibt sich zumeist ein für alle Beteiligten wenig hilfreiches Ergebnis.
Eine nachvollziehbare Möglichkeit zur Kosten-Nutzen-Abwägung (Cost-Benefit Balancing) ist jedoch als Planungs- und Kontrollinstrument dringend notwendig. Es wäre wünschenswert, wenn sich eine entsprechende Methodik zunächst als De-facto-Standard der IT-Security-Community und letztlich auch als ISO-Norm etablieren könnte, sodass Transparenz und Vergleichbarkeit zwischen verschiedenen Abteilungen und Institutionen sowie eine klare Kommunikation mit Management und Geschäftspartnern möglich würden.
Die Suche nach einem praktikablen Verfahren hat bei der Münchener Rück zu einem neuen Ansatz geführt, den der Autor "Process and Risk Oriented Numerical Outgoings Estimation" genannt hat – PRONOE ist gleichzeitig der Name einer Nymphe aus der griechischen Mythologie, der "die Vorsorgende" oder "Vorausdenkerin" bedeutet. PRONOE erhebt den Anspruch branchenneutral, parametrisierbar, erweiterbar und praktikabel zu sein. Zudem beruht es auf dem wohl wichtigsten Kernprinzip des Informations-Sicherheits-Managements: der Orientierung an den Risiken in Bezug auf das jeweilige Einsatzgebiet (z. B. dem eigenen Unternehmen) anstatt am technisch Möglichen. PRONOE wurde bei der Münchener Rück bereits erfolgreich prototypisch implementiert (s. u.) und eingesetzt.
PRONOE hat zum Ziel, den momentanen Ist-Zustand der Sicherheit (bzw. Risikoniveau) zu ermitteln, die Effektivität getätigter Investitionen zu dokumentieren, verbindliche Zielvorgaben zwischen Management und ISi-Fachabteilung(en) zu vereinbaren (Soll-Zustand) und die getätigten Investitionen direkt mit den erreichten Ergebnissen in Zusammenhang zu setzen (Soll-Ist-Vergleich).
Das Fundament von PRONOE bilden die drei Hauptkomponenten der qualitativen Risikobewertung (Risk Assessment / Scorecard Evaluation), Ermittlung des quantitativen Soll-Zustands ("100-X-Regel") und Kosten-Nutzen-Analyse zur Gegenüberstellung qualitativer und quantitativer Soll- und Ist-Werte sowie deren gegenseitige Koppelung innerhalb eines integrierenden Prozesszyklus.
Die Vorgehensweise als zyklisches Verfahren beruht auf Arbeiten, die auf William Edwards Deming zurückgehen und als Deming Cycle beziehungsweise Plan–Do–Check–Act-Prinzip (PDCA) weite Bekanntheit erlangt haben. Neben allgemeinen Überlegungen legt auch die ISO 27001 nahe, dieses Prinzip für Information-Security-Management-Systeme (ISMS) zu nutzen – daher wurde es auch für PRONOE gewählt. Marginale Anpassungen, die aber keine grundlegenden Abweichungen darstellen, binden das Management auch an dieser Stelle explizit ein und führten zu einem fünfstufigen Zyklus (vgl. Abb. 1).
![[Illustration]](07-4-044-1.jpg)
Abbildung 1: PRONOE arbeitet als (leicht erweiterter) Plan–Do–Check–Act-Zyklus
Als erster Schritt definiert das Management die Zielvorgaben. Danach ermittelt man durch Risiko-Assessment beziehungsweise Scorecard-Evaluation die tatsächliche Sicherheitssituation. Unabhängig vom konkreten Verfahren benötigt PRONOE hier eine strukturierte Erfassungskomponente für Soll- und Ist-Werte in den zu betrachtenden Risiko-Bereichen; inwiefern sich eine Security-Scorecard in die Balanced-Scorecard-(BSC)-Verfahren eines Unternehmens integrieren lässt, bleibt dabei abzuwarten. Ferner notwendig ist eine Bewertungsmethodik (Risk-Assessment-Verfahren), die idealerweise konform zu einschlägigen Standards (z. B. ISO 27001) arbeitet; dadurch wäre die Bewertung dann einerseits vollständig und außerdem vergleichbar mit den Ergebnissen anderer Organisationen.
Die Risk-Assessment-Schicht sollte dabei kaskadiert (hierarchisch) aufgebaut sein und in der obersten Ebene nur eine überschaubare Anzahl von Risikokategorien (Ri) umfassen. Aus Praktikabilitätsgründen erscheint es ratsam sich hier auf maximal 10 Kategorien zu beschränken. Eine denkbare Gliederung könnte in Korrelation zur ISO 17799 die dortige Kapitel-Struktur übernehmen (d. h. R1: Security Policy, R2: Organization of Information Security etc.).
Im dritten Schritt werden die gewonnenen Ergebnisse zusammen mit den Vorgaben des Managements analysiert, um festzustellen, ob bisherige Investitionen ausreichend, zu hoch oder zu niedrig waren und die durchgeführten Maßnahmen den erwarteten Erfolg hatten. Die aus der Gegenüberstellung von Soll- und Ist-Werten erzielten Ergebnisse ermöglichen einerseits eine Prognose für die Zukunft; zum anderen berücksichtigen sie auch die gesamtheitlichen Auswirkungen mehrerer gleichzeitig getätigter Investitionen. Da das ISMS in der Praxis stets mit einem Bündel von (teilweise entkoppelten) Einzelvorhaben konfrontiert ist, sollte man generell eine Bewertungsmethodik nutzen, die gleichermaßen einzelne Maßnahmen wie im Komplex ausgeführte Vorhaben modellieren und bewerten kann.
Anschließend werden neue Maßnahmen abgeleitet, geplant und durchgeführt und schließlich startet der gesamte Prozess erneut. Da Sicherheit immer ein Prozess und kein einmalig zu erreichender Zustand ist, signalisiert die Vollendung eines Durchlaufs gleichzeitig den Start einer erneuten Evaluierung.
PRONOE ist – wie bereits angemerkt – konzeptionell unabhängig vor der letztendlichen Struktur der Risk-Assessment-(RA)-Schicht und ihrer Rating-Mechanismen. In der derzeitigen prototypischen Implementierung setzt die Münchener Rück hier die FIRM Scorecard ein: Das Fundamental Information Risk Management (FIRM) ist eine RA-Methodik des Information Security Forum (ISF) und liegt derzeit in der Version vom August 2005 vor [1]. In der FIRM Scorecard existieren fünf Risikokategorien: Criticality, Level of Threat, Business Impact, Vulnerabilities – Status of Arrangements sowie Vulnerabilities – Special Circumstances.
Für jeden Risiko-Bereich – egal ob nach FIRM oder einer anderen Systematik – ist festzulegen, welches Maß an Risiko das Management zu tragen bereit ist [7]. Im Umkehrschluss folgt daraus, welches Risiko vermieden werden soll, der qualitative Soll-Zustand. Nach der 100-X-Regel würde beispielsweise ein Risiko-Toleranz-Wert von 70 % (d. h. X=70 – Acceptance Level) bedeuten, dass lediglich ein Risikoanteil von 30 % (d. h. S=30 – Safety Level) vermieden werden soll. Mit einer Scorecard-Analyse zum Risk-Assessment ist anschließend die aktuelle Gefährdungssituation in jeder Risikokategorie zu ermitteln; der so erhaltene Prozentwert stellt den qualitativen Ist-Zustand dar.
Bis zu diesem Schritt ist jegliche Bewertung zwar nur qualitativ möglich, aber dennoch ist aus unternehmerischer Sicht bereits ein massiver Mehrwert generiert worden, da die jetzt vorliegende Entscheidungsgrundlage auf eine systematische, wiederholbare, transparente, vollständige und gegebenenfalls standardisierte und normkonforme Weise durchgeführt wurde.
Die nachfolgende quantitative Ermittlung des Ist-Zustands und ihre numerische Aggregation sind hochsensible Prozessschritte: Hiervon hängt letztlich direkt die weitere Verarbeitung und Interpretation der Ergebnisse ab. An dieser Stelle sieht der PRONOE-Algorithmus daher erhebliche Freiräume für die Erfordernisse des jeweiligen Unternehmens vor, insbesondere
Für den quantitativ aggregierten Risikolevel kann man also jeden einzelnen Bewertungsaspekt separat gewichten und in das Gesamtergebnis einfließen lassen. Selbstverständlich sollte hierfür eine methodische, wissenschaftliche oder auch empirische Grundlage bestehen. Der Einfachheit halber wurde in der bisherigen prototypischen Implementierung von PRONOE von einer gleichmäßigen Gewichtung ausgegangen: Jedes bewertete Element geht zum gleichen Anteil in die Gesamtbewertung ein. Es sei jedoch darauf hingewiesen, dass der Autor eher der Meinung ist, dass bestimmte Faktoren einen höheren Beitrag für die Risikominimierung haben als andere.
Bei der Transformation vom gewünschten, respektive erreichten Sicherheitsniveau auf die notwendigen Investitionsmittel geht es vor allem um die Reduktion "überschießender" Restrisiken. Ist in einem Risiko-Bereich der erreichte Stand gleich (oder besser) als der gewünschte Level, dann darf in diesem Segment nicht mehr investiert werden, als nötig ist, um das erreichte Niveau zu halten.
Zudem ist noch die Verteilung der Investitionen auf die verschiedenen Bereiche festzulegen, es muss also eine Gewichtung (Wi) für jeden Risikobereich (Ri) ermittelt werden, aus welcher der Verteilungsschlüssel der Investitionsmittel folgt. Hierbei sollte die Bedeutung der jeweiligen Bereiche für das Unternehmen eingehen. Zudem können sich bestimmte Felder gegenseitig unterstützen (Synergieeffekt), was ebenfalls berücksichtigt werden kann.
Trotz alledem kann man in einem ersten Einsatz des Verfahrens auch alle Risikobereiche als gleichwertig ansehen (d. h. Wi=1, für alle i). Dieser Ansatz würde sogar eine konsequente Umsetzung der ISO 17799/27001 darstellen, da die Norm jegliche Aspekte als gleichwertig betrachtet – oder sich zu ihrer relativen Bedeutung zumindest nicht auslässt. Der Autor geht aber davon aus, dass sich mit der Zeit durchaus branchen- und sogar unternehmensspezifische Unterschiede herauskristallisieren können – wobei eine solche Gewichtung sich wohl nur empirisch ermitteln lässt. Demensprechend wünschenswert wäre eine breite Anwendung der vorgestellten Systematik, um möglichst viele Erfahrungswerte zu sammeln.
Um den quantitativen Soll-Zustand zu ermitteln, wird also im einfachsten Fall der qualitative Soll-Zustand zu den ISi-Gesamtinvestitionen ins Verhältnis gesetzt. Der Verteilungsschlüssel ergibt sich aus den relativen Anteilen der einzelnen "Sicherheitsbereiche" (S) zur aufaddierten Summe.
Ein Beispiel soll dies verdeutlichen: Hat das Management für Kategorie 1 eine Toleranz von 0 % Risiko vorgegeben, bedeutet das ein S1 von 100 %. In Kategorie 2 entnehmen wir dem obigen Beispiel S2 von 30% (wir tolerieren 70 % Risiko). Durch 100/(S1+S2) ergibt sich ein Skalierfaktor von 0,77. Der quantitative Soll-Zustand für jede Risikokategorie errechnet sich dann, indem der Skalierungsfaktor mit dem dazugehörigen Sicherheitsbereich multipliziert wird: Kategorie 1 erhielte somit 77 % des Gesamtbudgets, Kategorie 2 30 x 0,77 = 23 %.
Es sei noch darauf hingewiesen, dass bei Vorliegen gesicherter Erkenntnisse über die Auswirkungen bestimmter Risiken auf die Geschäftsprozesse/-erfolge eines Unternehmens auch eine nicht-lineare und für die jeweiligen Risikofelder individuelle Umsetzung der Managementvorgaben denkbar wäre. Aus dem einfachen Si = 100 % − Xi % würde dann Si = 100 % – fi(Xi). Dabei ist sicherzustellen, dass Bewertung und Interpretation der Risiko-Level miteinander korrespondieren.
Ein weiterer notwendiger Schritt vor dem Cost-Benefit Balancing ist selbstverständlich die Erfassung der bereits getätigten Investitionen (quantitative Ist-Werte) und ihre Zuordnung oder Aufteilung in die einzelnen Risikobereiche. Dadurch ergibt sich einerseits ein Gesamt-Investitionsvolumen und andererseits die real investierte Summe pro Risikokategorie; der quantitative Ist-Zustand wurde somit festgestellt.
![[Illustration]](07-4-044-2.jpg)
Abbildung 2: Die verschiedenen Soll- (Debit) und Ist-Werte (Actual) beeinflussen sich gegenseitig – die verschiedenen Risikobereiche liefern eine zusätzliche Dimension.
Nun kann man sich dem eigentlich wichtigsten Schritt im PRONOE-Prozess widmen: dem Vergleich von gewünschten Werten (Soll) mit den vorliegenden ermittelten Werten (Ist). Diese Gegenüberstellung ist mehrdimensional durchzuführen, um die gegenseitigen Wechselwirkungen von Risikobewertung sowie quantitativen Soll- und Ist-Werten hinreichend zu berücksichtigen (vgl. Abb. 2). Die folgenden Vergleiche sind hierzu zweckmäßig:
Erst aus dem kombinierten Vergleich lassen sich letztlich Schlussfolgerungen hinsichtlich der korrekten und sinnvollen Investitionspolitik ableiten. Die folgenden Ausführungen beruhen auf der bereits angesprochenen prototypischen Implementierung. Durch die verschiedenen Freiheitsgrade von PRONOE sind deutlich abweichende Implementierungen möglich, die gänzlich andere numerische Ergebnisse erzielen könnten. Prozess und Art der Interpretation bleiben jedoch prinzipiell gleich. Die folgenden grafischen Darstellungen basieren im Übrigen auf fiktiven Werten.
Zuerst werden die Vorgaben des Managements für jede Risikokategorie den tatsächlich erreichten Ergebnissen gegenübergestellt: Anhand eines Netzdiagramms lässt sich auf einen Blick erkennen, wo Vorgaben erfüllt wurden und wo nicht. Eine tabellarische Aufstellung kann zudem die konkreten Zahlen sowie positive oder negative Abweichungen von den Vorgaben deutlich machen.
Zur Erinnerung: Jeder Risikobereich erhält eine Management-Vorgabe auf einer 0–100%-Skala. 100 % entspricht der kompletten Toleranz (Akzeptanz) von Schäden, 0 % wäre hingegen der Ausdruck des Bedürfnisses nach vollständiger Absicherung im betreffenden Risikobereich. Liegt der Soll-Level (Toleranz) höher als das derzeitig erreichte Niveau, dann wurde die Vorgabe (über-)erfüllt und es besteht kein weiterer Handlungsbedarf.
In Abbildung 3 zeigt die rote Linie die Vorgaben des Managements, die grüne Linie das Ergebnis der Scorecard. Sofern die rote Linie näher am Zentrum des Graphen liegt als die grüne, sind die Vorgaben erfüllt.
![[Illustration]](07-4-044-3.jpg)
Abbildung 3: Grafische Darstellung der qualitativen PRONOE-Ergebnisse (fiktive Werte)
Die quantitativen Ergebnisse werden in derselben Form dargestellt wie zuvor die qualitativen. Die getätigten Investitionen (rote Linie in Abb. 4) stehen in jeder Risikokategorie den ermittelten Zielinvestitionen (grüne Linie) gegenüber. Auch hier ist neben einer tabellarischen Wiedergabe eine grafische Darstellung hilfreich. Der Abstand vom Zentrum des Graphen verdeutlicht hier die durch PRONOE als notwendig erachteten beziehungsweise tatsächlich umgesetzten Investitionen für die einzelnen Risikobereiche in Bezug auf die Gesamtinvestitionen.
![[Illustration]](07-4-044-4.jpg)
Abbildung 4: Grafische Darstellung der quantitativen PRONOE-Ergebnisse (fiktive Werte)
Der abschließende Auswertungsschritt stellt die Soll-Ist-Abweichungen beider Bereiche einander gegenüber (Abb. 5): So lässt sich leicht erkennen, ob zum Beispiel der erreichte Sicherheitsstand mit den vorgegebenen Mitteln realisiert oder ob ein qualitatives Ziel verfehlt wurde, weil zu wenig Mittel zur Verfügung standen. Dadurch ist es möglich, sowohl die "Geldfresser" als auch chronisch unterversorgte Bereiche zu identifizieren. Ferner hilft eine solche Gegenüberstellung auch bei der Überprüfung der Zielvorgaben und bei der Planung des neuen ISi-Budgets.
![[Illustration]](07-4-044-5.jpg)
Abbildung 5: Kombinierte Zusammenstellung der PRONOE-Ergebnisse (fiktive Werte)
Im Beispiel der Abbildung 5 zeigt der Risikobereich "Level of Threat" ein qualitativ besseres Ergebnis (pos. Abweichung), wobei sogar weniger Investitionsmittel eingesetzt wurden als nach dem PRONOE-Modell für notwendig erachtet. Vom Standpunkt der Investitionspolitik wäre das vermutlich der wünschenswerteste Zustand.
Ganz anders stellt sich die Situation im Risikobereich "Vulnerability special circumstances" dar: Hier wurde zwar ein deutlich besseres Ergebnis als gewünscht erreicht, jedoch sind die Mittel auch sehr reichlich dorthin geflossen! Es erscheint vorstellbar, dass die Investitionen gefahrlos geringer ausfallen könnten, ohne das Risiko über das vertretbare Maß hinaus zu erhöhen.
An dieser Stelle wird sichtbar, dass die Auswertung der Ergebnisse zwar einleuchtend ist, jedoch andererseits keine automatisierte Ableitung von Maßnahmen ermöglicht. Es wäre allerdings vorstellbar, eine automatisierte Simulation zur Ermittlung der optimalen Investitionsverteilung zu realisieren: Neben den vorliegenden PRONOE-Daten benötigte man hierzu eine Software-Toolbox, welche Auswirkungen bestimmter Maßnahmen auf die jeweiligen Risikoniveaus modellieren würde. Dann wäre eine Simulation jeglicher Anwendungsszenarien möglich, mit der sich die optimale Lösung finden ließe (z. B. nach dem Ansatz vom Klempt [6]).
Dennoch stellt PRONOE – zumindest nach Meinung des Autors – schon jetzt einen klaren Fortschritt zu bisherigen Rentabilitätsberechungs-Verfahren dar: Durch das explizite Einbeziehen seiner Zielvorstellungen wird dem Management ermöglicht, den ISi-Fachabteilungen sowohl in qualitativer als auch in finanzieller Weise Ziele zu setzen und (im Folgezyklus der Steuerungsprozesse) auch deren Effizienz zu beurteilen. Gleichzeitig müssen sich die Fachabteilungen nicht mehr mit unerfüllbaren Ansprüchen (speziell der Forderung nach minimalen Investitionen bei maximaler Sicherheit) herumquälen, sondern können bei der Erarbeitung realistischer Vorgaben konstruktiv mitarbeiten.
Durch die kombinierte Auswertung qualitativer und quantitativer Aspekte werden Investitionen zudem nicht nur buchhalterisch erfasst, sondern auch in ihren Auswirkungen direkt und anschaulich dokumentiert. Die Resultate ermöglichen eine Justierung der getätigten Investitionspolitik, um zu einer besseren Cost-Benefit-Balance zu gelangen.
Methodisch liefert PRONOE dabei das generische Grundgerüst für die Implementierung einer risikoadäquaten Investitionspolitik: Einzelne Parametrisierungen (Gewichtungen, Umrechungsformeln etc.) können basierend auf empirischen Werten adaptiert werden – und zwar bezogen auf das jeweilige Unternehmen oder gar eine ganze Branche.
Einschränkend bleibt festzuhalten, dass das vorgestellte Verfahren nicht dazu dient, um auf wissenschaftlicher Basis die Rentabilität einer einzelnen Investition zu ermitteln. Das ist jedoch auch nicht der Anspruch von PRONOE: Hier geht es um die richtige Balance zwischen Investitionen und Risiken. Eine gewisse Einzelfall-Betrachtung wäre beim Vorliegen der genannten Simulationsmöglichkeit vorhanden, da man dann eine einzelne Investition bereits vorab hinsichtlich ihrer Auswirkung auf das Risikoniveau bewerten könnte. Auch das Gesamtniveau der Investments kann man mit PRONOE nicht unmittelbar bestimmen. Aber immerhin man kann sich in mehreren Schritten auf einen Zustand zubewegen, in dem die Abweichung zwischen den (qualitativ formulierten) Forderungen und den Investitionsmitteln jeweils minimal ist.
Dr.-Ing. Lampros Tsinas ist Senior Service Manager / Program Manager Security bei der Münchener Rück (![[externer Link]](../../../../images/link.gif)
www.munichre.de).
www.securityforum.org
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#4, Seite 44
tag:kes.info,2007:art:2007-4-044
| 