Management und Wissen, Risikomanagement

Alternative Risikoformel

Bewerten wir die richtigen Dinge?

Die klassische Formel zur Risikoberechnung war in der IT nie unproblematisch – in Ermangelung anderer Modelle wurde und wird sie dennoch nicht selten genutzt. Dabei gibt es durchaus andere Möglichkeiten.

Von Genséric Cantournet, Rom, und Aleksandra Sowa, Bonn

Das Messen und Bewerten der Informationssicherheit hat mittlerweile eine gewisse Tradition – besonders hinsichtlich der Wirksamkeit relevanter Kontrollen im Rahmen von Monitoring, Continuous Auditing, interner Revision, Intrusion-Detection-Systems oder Incident- und Abuse-Management. So existieren auch zahlreiche Methoden und Modelle, die Unternehmen einsetzen, um die Effektivität ihres Sicherheitsmanagements zu prüfen. Aber messen wir überhaupt (noch) die richtigen Dinge, wenn es um die Sicherheit geht?

Inadäquate statistische Deduktionsprozesse, Metriken und Methoden können sehr wohl zu falschen Ergebnissen und folglich zu falschen Entscheidungen führen. Oft bemerkt das Management aber erst dann, wenn sich eine Organisation mit einem Sicherheitsvorfall konfrontiert sieht, dass es gegebenenfalls mit irreführenden Zahlen beliefert wurde.

Klassische Risikobewertung

Die für die Berechnung und Bewertung qualitativer wie quantitativer Risiken – für Sicherheitsvorfälle, Ausfälle und andere Gefahren der Cybersecurity – meistens verwendete Formel berücksichtigt zwei Indikatoren: die Eintrittswahrscheinlichkeit eines Security-Incidents (p) und die Höhe des Schadens, der durch diesen Vorfall verursacht werden könnte (I). Das Gesamtrisiko (R) wird als Summe der Teilrisiken kalkuliert, die aus der Betrachtung verschiedener potenzieller Sicherheitsvorfälle resultieren:

Bedauerlicherweise ist es viel leichter, Risiko zu definieren als es zu messen, wie Lawrence Gordon und Martin Loeb in ihrem wegweisenden Buch "Managing Cybersecurity Resources" [1] festgestellt haben. Die Ursachen, warum viele Organisationen auf die traditionelle Form zur Berechnung der Risiken verzichten, liegen längst nicht immer in den oft nur rudimentären statistisch-mathematischen Kenntnissen der Verantwortlichen begründet. Darüber hinaus sind sowohl die Eintrittswahrscheinlichkeit eines Sicherheitsvorfalls als auch der potenzielle Schaden eines Vorfalls oft nur schwer zu ermitteln:

  • Erstens behandeln Unternehmen Risiken mit einem hohen Impact auf die Unternehmenswerte und niedriger Eintrittswahrscheinlichkeit ganz anders als solche mit einer potenziell niedrigen Schadenshöhe und großer Häufigkeit.
  • Zweitens lassen sich Sicherheitsvorfälle mit einer niedrigen Eintrittswahrscheinlichkeit nur dann angemessen berücksichtigen, wenn sich die Risikobewertung über einen entsprechend langen Zeitraum erstreckt. Um es an einem Beispiel zu verdeutlichen: Wie sollte man in einer traditionellen Risikoformel das Risiko eines einmaligen Events, beispielsweise eines Zero-Day-Exploits, angemessen berücksichtigen?

Dynamische Risikobewertung

Die traditionelle statische Risikoformel funktioniert dann gut und liefert zuverlässige Ergebnisse, wenn den Berechnungen ein korrekter statistischer Deduktionsprozess sowie zuverlässige Datenquellen und geprüfte Datenerzeugungsmechanismen zugrunde liegen. Doch wie bereits Gordon und Loeb [1] bemerkt haben, kann der Prozess zur Identifikation von Cybersecurity-Risiken abhängig von Organisationsform, Risikoeinstellung im Management oder Risikometrik verschiedene Formen annehmen.

Liegen nur sehr wenige historische Daten vor, sollten diese individuell und besser gewichtet werden. Hierfür scheint die Bayessche Formel gut geeignet, da sie zudem praktischerweise auch Ereignisse berücksichtigt, die konsekutiv stattfinden und – einem Dominoeffekt ähnlich – aufeinander aufbauen (bedingte Wahrscheinlichkeit [4]): Die Formel von Bayes berücksichtigt damit historische Daten über zurückliegende Sicherheitsvorfälle, Attacken, Ausfälle et cetera zur Risikoeinschätzung zukünftiger Incidents.

Um die Eintrittswahrscheinlichkeit eines Vorfalls A unter der Bedingung zu kalkulieren, dass ein Ereignis B bereits eingetreten ist, verwendet man folgende Bayessche Formel [2,3,4]:

Die Häufigkeit eines Sicherheitsvorfalls A bei eingetretenem Ereignis B entspricht demnach dem Verhältnis des Eintretens beider Ereignisse (A und B) zur Wahrscheinlichkeit des Ereignisses B. Stellen A und Ac komplementäre Ereignisse dar, die als Vorbedingung von B fungieren können, so lässt sich die Formel von Bayes in folgender Form nutzen [2,3,4]:


Security & Privacy Maturity Model

Die Eingangsfrage dieses Artikels "Messen wir eigentlich die richtigen Dinge?" wurde auch vor einiger Zeit auf einem Treffen der von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) gegründeten "Electronic Communication Reference Group" gestellt. Sinnvolle Sicherheitsmetriken und der Bedarf an Modellen zur objektiven Messung von Sicherheit und Datenschutz standen im Mittelpunkt einer intensiven Diskussion, die sich im Anschluss an ein Anstoßreferat von Dr. Aleksandra Sowa und einem anschließenden spontanen Kurzvortrag von Genséric Cantournet entwickelte, deren Kerngedanken der vorliegende Beitrag zusammenfasst.

Auch im weiteren Kontext bezüglich einer EU-Datenschutz-Grundverordnung sowie einer EU-Cybersecurity-Strategie wurde der Bedarf an einem "Data Privacy & Security Maturity"-Modell festgestellt, das nunmehr gemeinsam mit der ENISA-Working-Group entwickelt werden soll. Der ISACA Germany Chapter e.V. hat hierzu unter Leitung von Dr. Sowa eine Task-Force unter dem Dach der FG Datenschutz gegründet ([externer Link] www.isaca.de/index.php/fg-start/datenschutz). Interessierte <kes>-Leser sind herzlich eingeladen, diese Arbeiten zu begleiten und zu unterstützen und werden gebeten, sich dazu gegebenenfalls direkt per E-Mail an Aleksandra.Sowa@isaca.de zu wenden.

Beispiel Zutrittsschutz

Nehmen wir ein Zutrittsberechtigungssystem als Beispiel, das die Berechtigungen zum physischen Zugang zu den Anlagen einer Organisation kontrolliert. Die Groß-Organisation beschäftigt Zehntausend Mitarbeiter und Partner, von denen aber 100 keine Zutrittsberechtigung besitzen – entsprechend sind 9900 Mitarbeiter mit solchen Berechtigungen ausgestattet. Der Anteil autorisierter Mitarbeiter liegt demnach bei 99 % (oder 0,99) gegenüber 1 % (oder 0,01) Mitarbeiter ohne Autorisierung.

Das Zutrittsberechtigungssystem im Beispiel besitzt einen Sensor, der in 95 % aller Fälle, in denen der zu kontrollierende Mitarbeiter autorisiert ist (d. h. eine Zutrittsberechtigung besitzt), die Schranke korrekterweise öffnet und keinen Alarm auslöst. Anders ausgedrückt: Das System gewährt einem autorisierten Mitarbeiter den Zutritt zu den Anlagen der Organisation mit einer Wahrscheinlichkeit von 0,95. Falls der Mitarbeiter nicht autorisiert ist (d. h. keine Zutrittsberechtigung besitzt), öffnet das System die Zutrittsschranke nicht und alarmiert über einen unberechtigten Zutrittsversuch – das erfolgt in 90 % aller Fälle (oder mit Häufigkeit von 0,9).

Das Zutrittsberechtigungssystem prüft also von Fall zu Fall folgende Alternativen:

  • der Mitarbeiter ist autorisiert (Ereignis Ac) oder nicht (A),
  • die Schranke wird geöffnet (kein Alarm – Ereignis Bc) oder nicht (Alarm wird ausgelöst – B).

Außer den erwünschten Handlungsoptionen "Zutritt für autorisierten Mitarbeiter" (Bc|Ac) und "Alarm bei unautorisiertem Zutrittsversuch" (B|A) kann das System im Fehlerfall auch einem nicht-autorisierten Mitarbeiter den Zutritt (False-Positive) ermöglichen oder bei einem autorisierten Mitarbeiter einen Alarm auslösen (False-Negative).

Wenn das Zutrittsberechtigungssystem in 95 % aller Fälle den autorisierten Mitarbeitern korrekterweise den Zutritt zu den Anlagen gewährt (Bc|Ac), so impliziert dies eine mittlere Häufigkeit von 5 % für die Verweigerung des Zutritts für autorisierte Mitarbeiter (B|Ac).

Neben den genannten "pro Zutrittsversuch"-Kennzahlen für das Berechtigungssystem ist in der Praxis erheblich interessanter, wie viele Alarme tatsächlich (im statistischen Mittel) gerechtfertigt sind – hier fragt man also nach der Wahrscheinlichkeit, dass ein Mitarbeiter wirklich unautorisiert war, wenn ein Alarm erfolgt (A|B). Dabei ist es im Übrigen unerheblich, ob man von einem Prozent tatsächlich unberechtigter Mitarbeiter/Partner ausgeht, die regelmäßig am Unternehmenstor auflaufen, oder davon, dass ein Prozent aller Zutrittsversuche von einem unberechtigten Dritten ausgehen (oder einer Mischung beider Möglichkeiten).

Das gewünschte Ergebnis liefert die Bayssche Formel in der zweiten, oben genannten Form: Neben den Wahrscheinlichkeiten für Zutrittsversuche durch autorisierte (p(Ac)=0,99) und nicht-autorisierte Mitarbeiter (p(A)=0,01) benötigt man dazu noch p(B|A), also die Wahrscheinlichkeit, dass ein Alarm ausgelöst wird, sofern ein nicht-autorisierter Mitarbeiter den Zutritt versucht (0,90), sowie p(B|Ac), also die Wahrscheinlichkeit, dass ein (Fehl-)Alarm ausgelöst wird, sofern ein autorisierter Mitarbeiter den Zutritt versucht (0,05).

Das Ergebnis besagt, dass nur bei rund 15,4 % der Alarmauslösungen tatsächlich ein nicht-autorisierter Mitarbeiter den Zutritt versucht hat – im Umkehrschluss wären 84,6 % der Alarme also unnötig, weil der auslösende Mitarbeiter eben doch autorisiert war.

Hier zeigt sich in klaren Zahlen, wie die (summarisch nur vermeintliche) Fehlalarm-Wahrscheinlichkeit von 5 %, die ja pro Zutrittsversuch eines autorisierten Mitarbeiters gilt, durch einen hohen Anteil rechtmäßiger Zutrittsversuche dramatisch in die Höhe schnellt.

Mahnung und Ermunterung

Eine Entscheidung, die nur aufgrund traditioneller Risikoberechnung getroffen wird, kann zu Schwachstellen im Sicherheitsmanagement führen und folglich die Unternehmensziele bezüglich Cybersecurity und Schutz der Sicherheits-Grundwerte verfehlen – erfahrungsgemäß passiert dies in der Praxis leider immer noch viel zu oft.

Das mediale Echo, das die spektakulären Cybersecurity-Skandale und -Attacken in den letzten Jahren begleitete, hat nicht nur zu erhöhter Aufmerksamkeit des Managements bezüglich der Organisation und Effektivität von Sicherheitsmaßnahmen und -kontrollen in ihren Organisationen geführt. Auch die internationalen Überwachungs- und Regulierungsgremien haben ein wachsames Auge auf die Aktivitäten von Unternehmen und öffentlichen Einrichtungen – Reportingsysteme, welche die Regulierer über den Zustand der Sicherheit informieren, gehören in vielen Branchen bereits zum Status quo. Hier sind auch die Bestrebungen der Europäischen Kommission zu nennen, mit der so genannten "Cybersecurity Strategy" für mehr Transparenz zu sorgen – in diesem Umfeld wurden bereits ein obligatorisches Monitoring der Kontrollen und Reporting der Cybersecurity-Incidents oder gar ein öffentliches Ranking von Sicherheitsvorfällen diskutiert.

Doch das Messen und Bewerten von Wirksamkeit, Qualität, Performance, Effizienz oder Compliance der Informations- beziehungsweise Cyber-Sicherheit sollte nicht alleine als Erfüllung gesetzlicher Vorgaben verstanden werden. Für Unternehmen gibt es gute Gründe, ihre Ausgaben und Aktivitäten auf diesem Gebiet durch fundierte Zahlen zu steuern: Hier sind unter anderem die Verbesserung der Qualität, Performance und Berechenbarkeit von Sicherheitsmaßnahmen, die Überwachung des aktuellen Status oder des Fortschritts von Maßnahmen, Prozessen, Projekten und Investitionen in die Informationssicherheit zu nennen.

All das ist nicht einfach – wie Sherlock Holmes schon sagte: Es ist zwar schwierig, die Fakten zu sammeln, aber es ist noch weitaus schwieriger, aus diesen Fakten die richtigen Schlussfolgerungen zu ziehen.

Dr. Aleksandra Sowa (ITCM) leitete das Horst Görtz Institut für Sicherheit in der Informationstechnik und ist aktuell für die Deutsche Telekom AG tätig. Genséric Cantournet ist Security Vice President, Cross Processes and Projects bei der Telecom Italia Group in Italien.

Literatur

 

[1]

L. A. Gordon, M. Loeb, Managing Cybersecurity Resources, A Cost-Benefit Analysis, McGraw-Hill, 2005, ISBN 978-0-07-145285-4

[2]

I. N. Bronstein, K. A. Semendjajew, G. Grosche, V. Ziegler, D. Ziegler, Springer-Taschenbuch der Mathematik, Springer Vieweg, 2012, ISBN 978-3-8351-0123-4

[3]

I. N. Bronstein, H. Mühlig, G. Musiol, K. A. Semendjajew, Taschenbuch der Mathematik (Bronstein), Europa-Lehrmittel, 2013, ISBN 978-3-8351-0123-4

[4]

Bedingte Wahrscheinlichkeit, Wikipedia, [externer Link] http://de.wikipedia.org/wiki/Bedingte_Wahrscheinlichkeit