Security+:Quantitative Risk Assessment
Quantitative Risk Assessment (QRA) ist ein Verfahren zur Bewertung von Risiken, das auf mathematischen Modellen und statistischen Methoden basiert. Es bezieht sich auf die quantitative Analyse von Risiken, um ihre Wahrscheinlichkeit und Auswirkungen zu bewerten und letztendlich Entscheidungen zu treffen.
Bei der quantitativen Risikobewertung werden Risiken anhand von Zahlen und Daten gemessen und bewertet. Dies steht im Gegensatz zur qualitativen Risikobewertung, bei der Risiken auf der Grundlage von Expertenwissen und subjektiven Einschätzungen bewertet werden.
Die quantitative Risikobewertung umfasst in der Regel die folgenden Schritte:
- Identifizierung der Risiken: Hier werden potenzielle Risiken ermittelt, die Auswirkungen auf ein bestimmtes Projekt, eine Organisation oder ein bestimmtes System haben können.
- Erfassung von Daten: Daten werden gesammelt, um Informationen über die Risiken zu erhalten. Dies kann historische Daten, statistische Informationen, Expertenmeinungen oder andere relevante Quellen umfassen.
- Risikoanalyse: Durch den Einsatz von mathematischen Modellen und statistischen Methoden werden die Wahrscheinlichkeit und die potenziellen Auswirkungen der identifizierten Risiken analysiert. Dies kann die Verwendung von Wahrscheinlichkeitsverteilungen, Monte-Carlo-Simulationen oder anderen Analysetechniken umfassen.
- Quantifizierung der Risiken: Die Risiken werden quantitativ bewertet, indem numerische Werte den Wahrscheinlichkeiten und Auswirkungen zugeordnet werden. Dies ermöglicht es, Risiken in quantitativen Maßeinheiten wie Geldbeträgen, Zeitverzögerungen oder anderen messbaren Größen auszudrücken.
- Risikobewertung und Entscheidungsfindung: Die quantitativen Ergebnisse werden verwendet, um Risiken zu vergleichen, Prioritäten zu setzen und Entscheidungen zu treffen. Dies kann beinhalten, Kosten-Nutzen-Analysen durchzuführen, um zu bestimmen, ob bestimmte Risiken akzeptabel sind oder welche Risikominderungsmaßnahmen ergriffen werden sollten.
Quantitative Risk Assessment wird nicht nur in der IT eingesetzt, sondern beispielsweise in der Projektplanung, im Risikomanagement von Unternehmen, in der Finanzindustrie, im Umwelt- und Gesundheitsschutz sowie in der Sicherheitsplanung von Industrieanlagen. Es bietet eine systematische Methode, um Risiken zu bewerten und fundierte Entscheidungen zu treffen, basierend auf quantitativen Daten und Analysen.
Um dieses Thema etwas greifbarer zu gestalten und die oben genannte Theorie die Praxis folgen zu lassen, gründen wir unsere fiktive Firma „Pizza Grande Ltd.“. Diese Firma stellt überaus leckere, durch und durch gesunde und nachhaltig produzierte Tiefkühlpizza her. Die Produktionsanlagen werden IT gesteuert und laufen im 24h Betrieb. Pro Tag verlassen 100.000 Pizzen die Produktionsstraße. Im Schnitt verdient die Firma (nicht der Umsatz) 2€ pro Pizza. Für alle produzierten Pizzen existieren bereits Abnehmer.
Nun stellt sich die Frage, was unternommen werden kann, um die Risiken (1. Identifizierung) eines Ausfalls zu bestimmen und damit am Ende auch die Kosten eines möglichen Verlustes. Identifizierung im Sinne des QRA bedeutet herauszufinden, welches Ereignis den eigenen Wertschöpfungsprozess gefährdet. In unserem Bespiel besteht das u.A. Risiko, dass die Förderanlage stehen bleibt.
Im weiteren Schritt gilt es zu bestimmen (2. Erfassung von Daten) , welche genauen Komponenten zum Reibungslosen Betrieb der Anlage nötig sind. Evtl. liegen bereits Erfahrungen vor, dass bestimmte Komponenten nie ausfallen, andere hingegen häufiger. Ggf. existieren Branchenerfahrungen, die beim zuständigen Verband angefragt werden können, oder diese sind durch den Hersteller zu erlangen.
Bezogen auf IT Anlagen kann die Risikoanalyse (3. Risikoanalyse) darin bestehen zu schauen, ob ein als risikobehaftetes Bauteil zu einem insgesamt gesehenen fatalen Fehler führen kann.
Als nächstes beurteilen wir, wie häufig (4. Quantifizierung der Risiken) ein fatales eintreten könnte und welcher Schaden dadurch entstünde.
Am Ende treffen wir eine Entscheidung (5. Risikobewertung und Entscheidungsfindung), was wir unternehmen wollen.
Konkret könnte ein Rechnung wie folgt ausschauen. Wir betrachten zunächst einen Tag der Produktion und definieren ihren Wert als sog. Asset Value ( AV ). Da am Tag 100.000 Pizzen à 2€ die Produktion verlassen ist der AV = 200.000€. Als nächstes müssen wir den Exposure Factor (EF) berechnen. Dieser gibt an, wieviel ein einziger negativer Vorfall an Auswirkung auf die Produktion hat. Ein negativer Vorfall kann vielfältige Ursachen habe. Zum einen können Komponenten defekt gehen, zum anderen kann durch eine Fehlbedienung die Anlage zum Stillstand kommen. Oder der Steuerungsrechner wird durch eine Malware lahmgelegt. Ein EF von „1“ würde bedeuten, die Produktion fällt für den kompletten Tag aus und der Schaden läge somit bei 200.000€. Durch die Erfassung der Daten und der Risikoanalyse haben wir aber einen anderen und somit deutlich niedrigeren Wert ermittelt. Dieser liegt bei lediglich 1%. Um zu ermitteln, wieviel Verlust wir im Durchschnitt bei einem negativen Vorfall erleiden multiplizieren wir den AV mit dem EF und erhalten anschließend die „Single Loss Expectancy“ (SLE).
AV = 200.000
EF = 0,01 (1%)
SLE = AV*EF
_______________
2000Unser SLE ist also 2.000, also bei einem einzigen negativen Vorfall verlieren wir 2.000€.
Als nächstes versuchen wir das ganze aufs Jahr hochzurechnen. Das ergibt den „Annualized loss expectancy“ (ALE), die Gesamtsumme mit deren Verlust wir rechnen müssen. Zur Ermittlung der ALE benötigen wir die „Annualized rate of occurence“ (ARO). Diese ARO gibt die Häufigkeit der einzelnen negativen Ereignisse aufs Jahr gesehen an. Bei der Grande Pizza Ltd. rechnen wir damit, dass wir ca. 20 Vorfälle in einem Jahr haben werden. Diesen Wert haben wir aus den vergangenen Jahren ermittelt und spiegelt somit die eigene Erfahrung wider. Die Rechnung zur Ermittlung der ALE sieht wie folgt aus:
ALE = SLE*ARO (2000*20)Wir haben einen ALE von 40.000€ ermittelt.
Mit diesem Wissen können wir nun Überlegungen anstellen, diesen Verlust zu minimieren, sei es durch Investition in bessere Komponenten, durch Schulung der Mitarbeiter oder durch ggf. den Abschluss einer Ausfallversicherung. Die Kosten für die Herabstufung des Risikos bzw. des zu erwarteten Verlustes darf in unserem Beispiel nie die 40.000€ Marke überschreiten, da die Investition dann unwirtschaftlich wäre. Auch gilt es bei jeder Einbeziehung von Verbesserungen eine neue Bewertung vorzunehmen, um die ALE an die veränderten Daten anzupassen.
Ich bin ein typischer Quereinsteiger, sowie IT Allrounder und habe mein Wissen hauptsächlich aus den vielen kostenlosen Artikeln und Howtos aus dem Internet gezogen. Mit meiner Webseite möchte ich meinen Teil dazu beitragen, dass möglichst viel Wissen weitergeben wird. Meine Artikel/Howtos sind bewusst auf Deutsch gehalten, um den Mitmenschen, die mit Englisch nicht so gut unterwegs sind, einen guten Einstieg zu bereiten.
Seit kurzer Zeit beschäftige ich mich vermehrt mit dem Thema Security, da dies immer mehr an Bedeutung gewinnt und ein Wissen über mögliche Gegenmaßnahmen entscheidend für jedes Unternehmen sind. Die Bösen Jungs schlafen nie.
Danke, dass Ihr es hierher gefunden habt. Über Kommentare zu den einzelne Artikeln würde ich mich freuen.
Viel Spaß beim durcharbeiten und nachmachen 🙂