Eine neue Art der Risikobetrachtung

-
19. November 2018
-
Von Sebastian Broecker

Ein Risiko abzuschätzen bedeutet, den Eintritt eines negativen Ereignisses vorherzusagen. Gilt das auch für die IT? Kann man wirklich mit einer gewissen Wahrscheinlichkeit abschätzen, ob ein Hacker eine bestimmte Firma angreifen und wie groß der daraus resultierende Schaden sein wird? Unser Autor nähert sich dem Thema aus einer gänzlich neuen Blickrichtung.

Das Thema Risikobetrachtung ist so alt wie die Menschheit. In der antiken Sage von Dädalus und Ikarus versucht der Erfinder Dädalus mit seinem Sohn vor einem Tyrannen zu fliehen, indem er aus Federn und Wachs Flügel baut. Er warnt seinen Sohn, nicht zu riskant und nicht zu nah an der Sonne zu fliegen. Natürlich wird das Risiko von seinem Sohn falsch eingeschätzt, was zu seinem Tod führt. 

Schaut man bei Google nach dem Schlagwort Risiko, so findet man fast 67 Millionen Einträge. Und auch in der Musik kommt dieses Thema vor. Laut Musikdatenbanken gibt es mehr als 2.500 Songs, die das Wort „Risk“ enthalten. Darunter auch der letzte Bond-Song. Dort heißt es: „If I risk it all, do you break my fall?“. Dieser Liedtext beschreibt sehr gut, dass man oft versucht, die Auswirkungen eines Risikos zu verringern. Doch was ist ein Risiko? Wie kann man es einschätzen?

Ein Risiko ist verbunden mit dem Eintreten eines negativen Ereignisses, mit einer gewissen Wahrscheinlichkeit und einer klar definierten Auswirkung. Also zum Beispiel eine 33-prozentige Wahrscheinlichkeit, dass innerhalb eines Jahres der Schaden eines bestimmten Ereignisses 10.000 € Schaden erzeugt. 

Diese Betrachtung ist wichtig für die Versicherungswirtschaft. Doch wie groß ist die Wahrscheinlichkeit, dass ein Hacker eine bestimmte Firma angreift? Kann man wirklich abschätzen, wie hoch der Schaden sein wird? So ist zum Beispiel der Reputationsschaden, wenn Kundendaten geklaut wurden, im Voraus sehr schwer einzuschätzen. Doch bevor wir eine neue Methode betrachten, sollten wir uns ansehen, wie schwer es ist, Risiken aus vorsätzlichen Handlungen wie zum Beispiel Hacking einzuschätzen.

Wahrscheinlichkeit maliziöser Handlungen

Wie groß ist die Wahrscheinlichkeit, dass ein Hacker angreift? Dass ein Virus den Virenscanner überlistet? Statistiken helfen hier wenig. Die Zahl der kleinen mittelständischen Unternehmen in Deutschland beträgt ca. 3,5 Millionen. Die Zahl der im Jahr 2017 gemeldeten Fälle von Datenmanipulation beträgt etwa 3.500. Dies würde statistisch bedeuten, dass nur jedes 1000. dieser Unternehmen Opfer einer solchen Computerattacke wird. 

Aus Angst vor Reputationsverlust bei einer Offenlegung des Vorfalls – oder weil man es im Unternehmen gar nicht bemerkt, dass Daten verändert wurden – ist die Dunkelziffer der betroffenen Unternehmen viel höher. 

Jeder kennt sicherlich im privaten Umfeld ein KMU (oder eine Gemeindeverwaltung), die von den Viren Wannacry oder Notpetaya getroffen wurde, die zu einer umfassenden Verschlüsselung von Daten führten. 

(...)

[Den vollständigen Artikel lesen Sie in der Fachzeitschrift RISIKO MANAGER 09/2018. Die Ausgabe ist seit dem 31. November 2018 lieferbar und kann auch einzeln bezogen werden.]

Autor:
Dr. Sebastian Broecker, CISSP, ist seit neun Jahren Chief Information Security Officer bei der Deutschen Flugsicherung GmbH. Nebenberuflich arbeitet er als Fachjournalist für IT-Sicherheit.

Bildquelle: ©David_Bokuchava | iStockphoto.com