Auch nicht-quantifizierbare Risiken lassen sich beherrschen
Auch nicht-quantifizierbare Risiken lassen sich beherrschen Eine umfassende Kontrolle von Sicherheitsbedrohungen kann sich nicht allein auf die Wahrscheinlichkeitstheorie stützen.
Denn nicht jedes Ereignis lässt sich im Hinblick auf sein Auftreten entsprechend in Zahlen fassen. Gefahren sind oft aus einem der folgenden beiden Gründe schwer oder gar nicht zu quantifizieren: Entweder hängen sie mit Ereignissen zusammen, die so selten auftreten, dass wir für sie keinen statistischen Ansatz finden können; oder sie sind nicht-zufällig, weil ein Widersacher absichtlich dafür sorgt, dass sie zu ungelegenen Zeiten auftreten. Ein erfolgreiches Management nicht-quantifizierbarer Risiken erfordert den Einsatz von Methoden, die nicht davon abhängen, dass die Wahrscheinlichkeit risikoreicher Ereignisse bekannt ist. Die Maximalwirkungsanalyse und die spieltheoretische Analyse sind zwei derartige Methoden. Beide können Unternehmen dabei unterstützen, nicht-quantifizierbare Risiken zu verstehen und mit geringstmöglichen Kosten zu kontrollieren. Die Methode der Maximalwirkungsanalyse ist so ausgelegt, dass sie die ungünstigste Auswirkung für jedes signifikante nicht-quantifizierbare Risiko identifiziert, mit dem ein Unternehmen konfrontiert ist. Diese Methode verlangt von einem Unternehmen weder eine Einschätzung der Wahrscheinlichkeit des Eintretens einer negativen Auswirkung noch eine Beschreibung der Ursachen für eine solche Folge. Sie verlangt vom Unternehmen nicht einmal eine Analyse dessen, wie eine schlechte Auswirkung eintreten könnte. Diese Methode fordert das Unternehmen auf, sich einen Verlust vorzustellen, der aus einem nicht vorhergesehenen Grund eintritt, und fragt dann: Wie groß könnte der Verlust sein? Diese Methode konzentriert also ihre gesamte Aufmerksamkeit auf die Folgen. Die Maximalwirkungsanalyse kann Unternehmen helfen zu verstehen, welche nicht-quantifizierbaren Risiken tatsächlich kontrolliert werden sollten, und alle Bemühungen auf die Verlustermittlung und die Schadensbehebungsaktivitäten zu konzentrieren. Die Maximalwirkungsanalyse ist ein Bewertungsinstrument, keine Entscheidungshilfe. Sie kann helfen, nicht-quantifizierbare Risiken mit starken Auswirkungen zu identifizieren, bietet aber keine Entscheidungshilfe für ein Unternehmen bezüglich der Frage, wie diese Risiken beherrscht werden können. Eine durchgeführte Maximalwirkungsanalyse stellt keine Informationen darüber zur Verfügung, wie viel in die Kontrolle eines nicht-quantifizierbaren Risikos investiert werden sollte. Diese Methode lässt also den Entscheider mit der Frage zurück, wie ein vernünftiges Risikomanagement erfolgen soll, ohne dass Informationen über die Wahrscheinlichkeit des Eintretens von Schadensereignissen zur Verfügung stehen. Die spieltheoretische Analyse kann den Entscheider dabei unterstützen, diese Aufgabe zu erledigen. Die Spieltheorie formuliert das Problem der Risikokontrolle im Sinn von Interessenskonflikten zwischen den Strategien zweier motivierter Akteure. Die spieltheoretische Analyse ist hilfreich, weil sie dazu anhält, sich auf die Motivation und Kompetenz der Kontrahenten zu konzentrieren, und weil sie das Denken im Sinn von Angriff (dem Kontrahenten Kosten auferlegen) und Verteidigung (Akzeptanz von Kosten, um den Kontrahenten zu frustrieren) belohnt. Die spieltheoretische Analyse lenkt die Aufmerksamkeit auf eine ganze Reihe von Fragen: Welche Investitionen des Kontrahenten könnten mein Schadensrisiko erhöhen? Bedeutet die Verursachung eines Schadens für mich einen Gewinn für meinen Kontrahenten, oder muss mein Kontrahent einen Verlust einstecken, um einen für mich zu schaffen? Wie empfindlich reagiert mein Verlustpotenzial auf Investitionen, die ich vornehmen kann? Wie empfindlich reagiert mein Verlustpotenzial auf meine Wahl von Risikomanagementtechniken? Wie empfindlich reagiert mein Verlustrisiko auf die Wahl der Angriffstechniken meines Kontrahenten? Die spieltheoretische Analyse kann Unternehmen dabei helfen herauszufinden, wie die Investition eines kleinen Betrags dafür sorgen kann, dass der Kontrahent einen hohen Preis für die Verursachung eines Risikos zu zahlen hat. Sie kann zudem helfen herauszufinden, wie Angreifer weg von nicht-quantifizierbaren Risiken hin zu Angriffen bewegt werden können, deren Risiken klar quantifizierbar sind. Unternehmen müssen verstehen, dass einige Sicherheitsrisiken wahrscheinlichkeitstheoretisch nie akkurat eingeschätzt werden können. Wenn Risiken als nicht-quantifizierbar identifiziert wurden, können sie mit Methoden wie der Maximalwirkungsanalyse oder der Spieltheorie dennoch kontrolliert werden. Denn beide Verfahren erfordern nicht, dass man die Wahrscheinlichkeit des Eintretens eines risikoreichen Ereignisses kennt.
Bob Blakley ist Principal Analyst für die Themen Sicherheit und Risikomanagement bei dem Beratungs- und Markforschungshaus Burton Group.
