Jetzt beginnen: Risikoquantifizierung für Banken und Versicherungen
Risikoquantifizierung jetzt starten
„Low, Medium, High“: Ungenaue Risikobewertung und mangelnde Vergleichbarkeit
Die Bedrohung durch Cyberangriffe auf Unternehmen nimmt rasant zu. Vor allem Banken und Versicherungen sind stark betroffen. Daher hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im August 2021 eine neue Version ihrer „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT) veröffentlicht und damit die bestehenden Anforderungen weiter konkretisiert. Ähnliche Anpassungen sind bei den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) zu erwarten, die bereits in Konsultation vorliegen, sowie bei den „Kapitalverwaltungsaufsichtlichen Anforderungen an die IT“ (KAIT).
Im Kern beziehen sich die neuen Anforderungen auf zwei Aspekte: die Bedrohungsanalyse und die Risikoanalyse. Beispielsweise wird bei der Analyse nun eine fortlaufende Bewertung der Bedrohungslage in Bezug auf das jeweils eigene Haus gefordert, die einem etablierten Prozess folgt. Aufgrund der immer komplexer werdenden Angriffe ist eine einmalige Durchführung nicht mehr ausreichend.
Risikoanalyse „Low, Medium und High“ sorgt für Ungenauigkeiten und eine mangelnde Vergleichbarkeit
Solche qualitativen Methoden mögen formal zur Compliance führen. Ihre Ergebnisse bleiben aber oft ungenau und lassen sich zudem strategisch kaum verwerten. Daher ist ein weitergehendes strategisches Vorgehen empfehlenswert.
Ein Beispiel: Aus den gebildeten Risiko-Buckets lassen sich Investitionsentscheidungen nur schlecht ableiten. Denn Kosten und Nutzen können nicht genau genug gegenübergestellt werden. Wurden beispielsweise mehrere Risiken mit „High“ eingestuft, ist es bei dieser Methode unmöglich, sie zu priorisieren und ressourceneffizient zu steuern. Schon heute unwirtschaftlich, wäre das Gießkannen-Prinzip über alle identifizierten Risiken hinweg in Zukunft sicherlich der falsche Weg.
Deshalb ist das Update der BaFin trotz seiner geringen Auswirkungen ein guter Anlass, sich grundsätzlich über die eigene Bedrohungs- und Risikoanalyse Gedanken zu machen. Die erste Erkenntnis lautet: „Low, Medium und High“ passen weder aktuell noch zukünftig zur Analyse von Bedrohung und Risiko. Es genügt auch nicht mehr, diese Analyse einmal jährlich vorzunehmen.
Nötig ist eine fortlaufende Bedrohungsanalyse, die in der Lage ist, ad hoc auftretende Bedrohungen zu erkennen, zu bewerten und schnell darauf zu reagieren. Dieser Weg weist über standardisierte Bedrohungsszenarien – beispielsweise vom Bundesamt für Sicherheit in der Informationstechnik (BSI) – hinaus und ermöglicht es, die Relevanz für das eigene Unternehmen und die Eintrittswahrscheinlichkeit konkret zu prüfen.
Weniger regulatorische Zwänge, mehr strategisches Risikomanagement
Besser wäre es also, die aufgrund der Bedrohungs- und Risikoanalyse anstehenden Investitionen mit quantifizierenden Methoden zu ermitteln und zu steuern. Allein der daraus resultierende zielgerichtete Einsatz von Ressourcen wäre schon ein Gewinn.
Doch wie kann eine Quantifizierung des Risikos aussehen? Auch wenn die eine Methode der Wahl dafür noch nicht existiert, zeigt sich am Markt, dass die ersten Unternehmen semiquantitative Methoden einsetzen, indem sie die Risiko-Buckets weiter ausdifferenzieren. Wie lässt sich hier vorgehen?
Sowohl die einzelnen Bedrohungen als auch die möglichen Kontrollmaßnahmen werden jeweils mit einem Score versehen und diese dann miteinander multipliziert. Das Resultat dieser Rechnung wird mit einem potenziellen Schadensausmaß kombiniert. So lassen sich identifizierte Risiken mittels eines errechneten Risiko Scores priorisieren.
So vorzugehen, kann ein erster Schritt sein, ist aber noch keine echte Risikoquantifizierung. Um sie zu erzielen, müssten zunächst das mögliche Schadensausmaß monetär geschätzt und dann mit einer statistischen Modellierung – wozu meist eine sogenannte Monte-Carlo-Simulation verwendet wird – die wahrscheinlichsten Szenarien ermittelt werden. Dies erlaubt, die einzelnen Risiken mit validen Zahlen zu versehen und den nötigen Kontrollen sowie deren Kosten gegenüberzustellen.
Risikoquantifizierung benötigt detaillierte Bedrohungs- und Kontrolldaten
Für einen ersten Ausblick auf die nötigen Bedrohungs- und Kontrolldaten sind drei Aspekte zentral:
-
Wie sieht das Profil der Bedrohung aus (Bedrohungspotenzial)?
Hier wird das wahrscheinliche Ausmaß an Gewalt bestimmt, das von einer Bedrohung ausgeht: Wie oft trifft das Bedrohungsszenario zu, wie wahrscheinlich ist es, dass auf den Server zugegriffen wird und dort tatsächlich Schäden entstehen? Wie fähig ist der mögliche Bedrohungsakteur? Dafür nützliche Informationen könnten aus strategischen Bedrohungsanalysen, der Prüfung neuer Bedrohungsquellen, Open-Source-Forschung und Fachexpertise stammen.
-
Wie oft erfolgt ein Angriff (Häufigkeit von Bedrohungsereignissen)?
Dieser Faktor zeigt die Häufigkeit an, mit der ein:e Bedrohungsakteur:in innerhalb eines definierten Zeitraums einen Schaden verursachen wird. Strategische Berichte, abonnierte Quellen, offene Recherchen und fachkundige Expert:innen sind Beispiele für relevante Datenlieferanten.
-
Welche Schwachstellen hat die eigene Organisation (Widerstandsfähigkeit)?
Eine Analyse der eigenen Kontrollen zeigt den Schwierigkeitsgrad, mit dem der oder die Bedrohungsakteur:in bei den Angriffsversuchen konfrontiert ist. Beispiele für Datenquellen sind: Übersicht über eingeführte Kontrollen und deren Wirksamkeit, Erfahrungen und Probleme mit diesen Kontrollen, Leistungsindikatoren oder Audit-Ergebnisse.
Alle drei Aspekte miteinander kombiniert führen zu einem aussagekräftigen Resultat. Ein Beispiel: Bieten Passwörter mit einer Länge von acht Zeichen einen Schutz von 80 Prozent – Schwachstelle 20 Prozent – und wird genau diese Schwachstelle zehnmal angegriffen, wird das Ereignis im Schnitt zwei Mal auftreten.
Auch fehlende Daten sind ein Ausgangspunkt für die Risikoquantifizierung
Wer sich mit dieser – zugegeben – relativ komplexen Methode auf die Risikoquantifizierung einlässt, wird mit einer Vielzahl von präzisen Hinweisen auf mögliche Optimierungen sowie deren Kosten und Nutzen belohnt. Natürlich hat jedes Modell seine Schwächen und stößt bei der Umsetzung in den Unternehmen oft auf einen Mangel an Daten. Doch auch diese Erkenntnis ist bereits eine wertvolle. Außerdem bildet ein Modell nie die Realität ab, aber allein die Annäherung daran – über eine Schätzung – ist ein weiterer Schritt. Schließlich darf die Risikoquantifizierung an dieser Stelle nicht stehen bleiben, sondern muss über viele Wiederholungen immer weiter präzisiert werden, beispielsweise indem fehlende Daten erhoben oder geschätzt werden.