Wer im Internet nach „Risk Assessment“ sucht, findet sehr schnell reichlich Darstellungen und Vorlagen, um Risk Assessments durchzuführen. Sie sind allgegenwärtig geworden und aus einer Vielzahl von technischen und kommerziellen Fragestellungen gar nicht mehr wegzudenken. Was jedoch erstaunt, ist die Tatsache, dass die Qualität und Ergebnisse der meisten Risk Assessments eher mittelmässig bis schlecht sind. Woran liegt das? Und was liesse sich dagegen tun?
Was sind die typischen Anwendungsfälle für Risk Assessments?
Prinzipiell gibt es ganz viele mögliche Anwendungsfälle. Die Durchführung eines Risk Assessments bietet sich grundsätzlich an, wenn man der Meinung ist, dass ein Vorhaben, ein Produkt oder ein Projekt vielleicht gewisse Risiken birgt, welche man transparent machen möchte. Bei der genaueren Auseinandersetzung mit der Materie kristallisierten sich vier prinzipielle Typen heraus, wo Risk Assessments zum Einsatz kommen:
- Entscheidungen unter Unsicherheit
- Entscheidungen zwischen Risiken / Optionen
- Genaueres Verständnis für ein bestimmtes Risiko
- Im Prozess zur Findung einer angemessenen Risiko-Behandlung
Man könnte diese vier Typen auch als Etappen verstehen in einem Prozess, der sich von „noch ziemlich diffuse Überlegungen“ zu „sehr konkrete Problemlösung“ entwickelt und in jeder Phase unterschiedliche Hilfestellung bieten könnte. Aus der Natur der Sache heraus ergibt sich somit schon mal die Notwendigkeit einer differenzierten Zielsetzung und Anwendung von Risk Assessments.
Was sind typische Fehler im Kontext eines Risk Assessments?
Bei Risk Assessments unterlaufen den meisten allerdings Fehler – das trickreiche ist, dass viele davon eher unbewusst, indem man beispielsweise einfach Vorlagen aus dem Internet anwendet, ohne sich genauer mit der Problematik auseinander gesetzt zu haben. Problemtisch ist, dass diese Fehler weitreichende Folgen haben können. Typische Fehler lassen sich aus Sicht des Autors grob in drei Kategorien einteilen:
Definitorische Fehlerquellen: Es fängt an bei der Frage, in welchem Stadium man sich eigentlich in dem erwähnten Prozess befindet, inklusive der Frage nach einer gemeinsamen Definition von Risiken und dem angestrebten Ziel? Evtl. ist der Startpunkt schon falsch gesetzt und folglich trifft auch das Ergebnis entweder auf andere Erwartungen oder eben keine Akzeptanz. Damit einher gehen Diskrepanzen zur Relevanz und evtl. der Versuch Risiken, die keine sind, zu bewerten.
Prozedurale Fehlerquellen: Die eigentliche Durchführung erscheint auf den ersten Blick simpel, da es laut ISO 31000 nur drei Phasen gibt: Identifikation, Analyse und Bewertung. Wie häufig steckt hier der Teufel im Detail: so können beispielweise …
- die Auswahl der Mitwirkenden,
- die Wahl der Methode und
- der Masstab zur Beurteilung und Darstellung als Matrix
– um nur drei kritische Elemente zu benennen – ganz gravierenden Einfluss auf das Ergebnis haben. Renommierte Wissenschaftler haben beispielsweise nachgewiesen, dass wir mehrheitlich keine geborenen Statistiker sind und somit der Einsatz von Wahrscheinlichkeiten – auch wenn er sehr weit verbreitet ist – in der überwiegenden Mehrheit der Fälle Nonsens ist, bzw. bestenfalls zu verzerrten oder irreführenden Bewertungsresultaten führt. Dies äussert sich beispielsweise immer wieder im fehlerhaften Einsatz sogenannter Risiko-Matrizen.
Kognitive Fehlerquellen: Die dritte Gruppe von Fehlerpotentialen umfasst kognitive Aspekte, die je nachdem stark auf den Prozess einwirken. Salopp ausgedrückt: unser Kopf spielt uns manchmal einen Streich. Die folgenden drei Effekte sind eine stark verkürzte Auswahl von Erkenntnissen der Professoren Gigerenzer, Kahneman und Tversky, die sich jahrelang mit diesen Fragen intensiv auseinandergesetzt haben. Sie beeinflussen den gesamten Beurteilungsprozess und damit das Ergebnis signifikant.
- Illusion der Gewissheit: Menschen neigen dazu, Gewissheit zu suchen. Manchmal geht das so weit, dass ein «präziser Risikowert» (auch wenn er fragwürdig entstanden, bzw. evtl. sogar falsch ist) einer ungefähren Betragsspanne vorgezogen wird (auch wenn diese Spanne sehr viel realistischer ist).
- Ankereffekt: Im Rahmen einer Gruppendiskussion zur Risikobeurteilung kann es vorkommen, dass jemand bewusst oder unbewusst einen sogenannten «Anker» setzt, indem er einen Wert X vorschlägt. In der Folge wird dann häufig nur noch über eine Justierung des Wertes diskutiert, statt den Wert komplett in Frage zu stellen oder einen ganz anderen dagegen zu setzen.
- Framing-Effekt: Dieser Effekt beschreibt den Umstand, dass theoretisch gleiche Problemstellungen bei gleichen Rahmenbedingungen von den gleichen Personen identisch entschieden werden müssten, selbst wenn sie leicht anders formuliert sind. Dies ist aber genau nicht der Fall: Selbst geringe Abweichungen der Problembeschreibungen (also des «Frames») können zu völlig widersprüchlichen, beziehungsweise entgegengesetzten Entscheidungen führen.
Was macht ein gutes Risk Assessment aus?
Herkömmlich wird die Kombination aus Identifikation, Analyse und Bewertung genannt, wie man sie auch in der ISO 31000 finden kann. Allerdings sind diese drei Schritte bei weitem nicht präzise genug. Hier bietet sich an, den Standard „ISO 31010 Risk Assessment Techniques“ in der Version 2019 heranzuziehen. Der Standard beschreibt nicht nur alle Phasen und Schritte eines Risk Assessments detailliert, sondern listet – wie der Name auch schon sagt – eine Vielzahl von Techniken auf, die man einsetzen oder sogar kombinieren kann. Wichtig ist auch die Bedeutung der Fixierung eines präzisen Ziels und der designierten Empfänger: Wer soll auf Basis des Assessments welche Entscheidungen treffen?
Mit Bezug auf einige explizit angesprochene Schwachpunkte in Risk Assessments könnten insbesondere die folgenden Tipps hilfreich sein:
- Achten Sie darauf, dass das gewählte Vorgehen der tatsächlichen Komplexität des Sachverhalts gerecht wird. Dazu zählt auch, ein «geeignetes Werkzeug / Methode» zur Beurteilung auszuwählen.
- Da Wahrscheinlichkeiten in vielen Fällen eine hohe Fehleranfälligkeit haben, empfiehlt sich stattdessen die Nutzung von Häufigkeiten.
- Ordinalskalen sollten – wo immer möglich – vermieden und durch numerische Skalen ersetzt werden. Diese erlauben dann später, damit zu rechnen.
- Arbeiten und werten Sie in Bandbreiten, da exakte Werte (gar nicht möglich sind, sondern) nur unter speziellen Bedingungen passen und somit Scheinsicherheit bieten.
- Schauen Sie sich Ursache-Wirkungsketten genauer an, um echte Risiken von Treibern zu unterscheiden. Risiken sind bewertbar, Treiber steuerbar.
- Ziehen Sie allenfalls einen Fachmann bei. Stellen Sie sicher, dass die Annahmen und Rahmenbedingungen des Risk Assessments zwecks späterer Nachvollziehbarkeit gut dokumentiert sind.
Fazit: Vorsicht vor Scheinsicherheit
Risk Assessments durchzuführen, ist ein Lernprozess und bei Berücksichtigung zumindest der Mehrheit der genannten Punkte wird sich die Qualität Ihrer nächsten Risk Assessments deutlich verbessern lassen.
Die ensec steht Ihnen für Schulungen und Durchführung von Risk Assessments mit Profis zur Seite.
Der Artikel wurde erstmalig auf dem Portal RiskNET veröffentlicht. Quelle: https://www.risknet.de/themen/risknews/risk-assessments-zwischen-hype-und-performance/
Managed SASE
Managed Infrastructure
Analytics as a Service
Information Security as Service
Security Strategie
Security Architektur
Technologieberatung
GRC
Security Awareness
Network Security
Content Security
Application Security
Cloud Security
Infrastructure Security
OT Security
Endpoint Security
Security Analytics
Team
Arbeiten bei ensec
Facts und Figures
