Prozessorientierte Risikoanalyse
Prozessorientierte Risikoanalyse IT-Sicherheit wird heute zunehmend in Abhängigkeit von Geschäftsprozessen definiert. Dies muss eine zeitgemäße Risikoanalyse berücksichtigen. Aufwand und Nutzen müssen dabei aber in einem vernüftigen Verhältnis stehen.
Der klassische Risikoanalyseansatz ist eher statisch. Er beginnt mit der Definition von Untersuchungsgegenständen und Schutzzielen. Dann wird ein Bedrohungskatalog aufgestellt, es werden Schadens- und Wahrscheinlichkeitsklassen festgelegt sowie eine Toleranzgrenze für Unternehmensrisiken. Die darauf folgende Schutzbedarfsanalyse gibt Aufschluss über den maximal möglichen Schaden für einen Untersuchungsgegenstand, der bei einer Verletzung von Schutzzielen auftreten kann. Die anschließende Bedrohungs- und Risikoanalyse identifiziert die potenziellen Bedrohungen sowie Eintrittswahrscheinlichkeiten und beziffert mögliche Schäden. Das durch die Multiplikation der Eintrittswahrscheinlichkeit mit dem möglichen Schaden berechnete Risiko gilt es anschließend zu bewerten. Letztlich ist unter Abwägung wirtschaftlicher Gesichtspunkte eine Entscheidung darüber zu treffen, welche Risiken für das Unternehmen tragbar sind und welche Risiken reduziert werden müssen.
Geschäftsprozesse einbeziehen Die oben entworfene Skizze einer klassischen Risikoanalyse zeigt, dass das derart berechnete Risiko direkt an die einzelnen IT-Komponenten geknüpft wird, wobei Interdependenzen zwischen diesen Komponenten oder direkte Beziehungen zum operativ-fachlichen Prozess außer Acht bleiben. Der Schutz einer ganzen Prozesskette ist also nicht direkt im Blick der klassischen Risikoanalyse. Um hierzu geeignete Maßnahmen entwickeln zu können, bedarf es einer Analyse bestehender (IT-)Risiken, die auch den Geschäftsprozess einbezieht. Dadurch können Kausalbeziehungen in dem Sinne aufgezeigt werden, dass der Ausfall eines IT-Systems und der damit verbundene Ausfall der betriebswirtschaftlichen Prozessfunktion zum Ausfall weiterer Prozessfunktionen führt. Um eine prozessorientierte Risikoanalyse in der Praxis umzusetzen, ist natürlich Voraussetzung, dass das betreffende Unternehmen auch wirklich in Prozessen denkt, ansonsten schwebte der Ansatz im luftleeren Raum.
Modellierung Bei einer prozessorientierten Risikoanalyse müssen zunächst die Kernprozesse des Unternehmens aufgenommen und dokumentiert werden. Das kann beispielsweise mit Programmwerkzeugen wie ARIS-Toolset geschehen. Der Abstraktionsgrad der Prozessdarstellung orientiert sich dabei ganz am Umfang und der Zielstellung des Projekts, also auch an der Art der zu erhebenden Informationen. Das können einfache Fragestellungen sein wie der Ausfall einzelner betriebswirtschaftlicher Prozessketten oder aber auch die Frage, inwieweit ein auftretender Schaden in der Wertschöpfungskette einen Schneeballeffekt auslösen kann. Die Prozessmodelle müssen anschließend durch Informationsobjekte ergänzt werden, die den Ausgangspunkt für eine IT-Risikoanalyse bilden. Das bedeutet, die IT-Infrastruktur ihrer praktischen Ausprägung gemäß in ein Modell zu überführen, das die Beziehungen der realen Welt detailgenau wiedergibt. Die Modellierung muss sich dabei am praktisch Durchführbaren und nicht am theoretisch Möglichen orientieren. Durch die Modellierung sollen Informationen über die Abhängigkeiten der einzelnen Systemelemente generiert werden. Diese sind für die Berechnung der Verfügbarkeit im Rahmen der Risikoanalyse unabdingbar. Im Beispiel in der Grafik links bedeutet dies, dass die Verfügbarkeit des Anwendungssystems »Filesharing« erhoben werden muss. Dieser Wert vererbt sich dann durch die modellierte Beziehung automatisch an das Objekt »File Sharing: Vertrieb«, das im Prozessmodell wiederum mit einer Reihe von betriebswirtschaftlichen Funktionen in Beziehung steht und damit eine Aussage zu deren Verfügbarkeit machen kann. Zusätzlich bedarf es für die Ermittlung von Vertraulichkeit und Integrität einer Relation zwischen Anwendungen und den dabei verarbeiteten Daten. Im Beispiel schließt dies (unter anderem) die Modellierung der Beziehung des Objektes »File Sharing: Vertrieb« zu den einzelnen Datenobjekten ein.
Services für Prozesse Sind alle diese IT-Infrastrukturdaten erhoben und mit der Prozesslandschaft in Beziehung gebracht, müssen die Werte für eine IT-Risikoanalyse in die Objekte als Attribute eingepflegt und verdichtet werden. Das sind unter anderem Eintrittswahrscheinlichkeiten und Schadenswerte in Bezug auf den zugrunde liegenden Bedrohungskatalog (beispielsweise menschliche Fehlhandlungen, unterteilt nach Konfigurationsfehlern, organisatorischen Mängeln und so weiter). Als Ergebnis der Verdichtung erhält man auf Basis gängiger mathematischer Verfahren für die Prozessfunktion drei Risikowerte bezüglich Verfügbarkeit, Vertraulichkeit und Integrität. Sie ermöglichen Aussagen, wie hoch zum Beispiel das Risiko für einen Ausfall der Prozessfunktion aufgrund von Verfügbarkeitsproblemen in der IT ist oder in welchem Ausmaß Integritätsprobleme den Transformationsvorgang innerhalb der Prozessfunktion behindern. IT-Systeme erbringen einen Service für einen Prozess. Die Verfügbarkeit für diesen Service ergibt sich demnach beispielsweise aus der aggregierten Zuverlässigkeitsfunktion, die in Abhängigkeit von der IT-Systemmodellierung durch verschiedene Berechnungsalgorithmen, wie zum Beispiel die Serienschaltung aus der Elektrotechnik oder die Formel zur diskreten Wahrscheinlichkeitsverteilung für Binomialverteilungen von Bernoulli, ermittelt werden kann. Die errechnete Wahrscheinlichkeit muss zuletzt noch mit dem bereits ermittelten Schadenspotenzial multipliziert werden. Als Ergebnis erhält man einen Risikowert, der Führungsverantwortlichen den Einfluss von Verfügbarkeitsproblemen in der IT auf den betriebswirtschaftlichen Prozess verdeutlicht. Um einer solchen klaren Sicht willen kann es oft sinnvoll sein, die zweifellos höhere Komplexität der prozessorientierten Prozessanalyse in Kauf zu nehmen.
Sebastian Tandler ist Berater bei der Secaron AG in Hallbergmoos
