Qualitative vs. quantitative Risikoanalyse – Einleitung
Zwei fundamentale Ansätze für die Risikoanalyse sind quantitative vs. qualitative Methoden. Das Sprichwort “Drei Experten – neun Meinungen” trifft auch auf Sicherheitsexperten zu, die über aktuelle Standards und Praktiken im Risikomanagement informiert sind. Selbst wenn sie dieselbe Systembewertung vornehmen, können (und werden) sie aufgrund unterschiedlicher Bewertungsmethoden zu verschiedenen Ergebnissen in ihren Berichten gelangen.
Der quantitative Ansatz
Die quantitative Risikoanalyse verwendet konkrete, nicht-subjektive numerische Werte und statistische Analysen, um die Wahrscheinlichkeit und Auswirkungen von Risiken zu berechnen. Dabei werden numerische Werte wie Eurobeträge, statistische Zahlen und andere numerische Zuweisungen verwendet.
Ein quantitativer Ansatz folgt einem ähnlichen Muster wie die qualitative Methode. Zunächst müssen die Vermögenswerte aufgelistet werden (zusammen mit ihren Wiederbeschaffungskosten und Expositionsfaktoren). Im Folgenden muss der Auswirkungsgrad eines vollständigen oder teilweisen Verlusts des Vermögenswerts berechnet, die Wahrscheinlichkeit des negativen Ereignisses bestimmt und schließlich das Gesamtrisiko für die Organisation ermittelt werden.
Die quantitativen Methoden sind nützlich, um Risiken in monetären Werten auszudrücken und den ROI von Risikomanagemententscheidungen zu berechnen. Diese Methode wird oft in Unternehmen verwendet, bei denen eine Risikobewertung eine wichtige Rolle bei der Entscheidungsfindung spielt. Quantitative Risikoanalyse kann auch als Ergänzung zur qualitativen Methode verwendet werden, um umfassendere Erkenntnisse über die Risikosituation zu erlangen.
Der qualitative Ansatz
Qualitative (qualitative) Risikoanalyse hingegen verwendet subjektive Skalen. Diese Skalen können auch numerisch sein (eine Skala von 1 bis 10) oder aber auch subjektive Bezeichnungen aufweisen (wie beispielsweise “Hoch”, “Mittel” und “Niedrig”). Die qualitative Risikoanalyse kann auf historischen Trendanalysen, Erfahrungen, Expertenmeinungen, vorhandenen internen und externen Umweltfaktoren und anderen Eingaben basieren. Solche Faktoren sind jedoch die nicht immer quantifizierbar. Die qualitative Risikoanalyse ist angemessen, wenn Sie Risiken auf der Grundlage von Faktoren bewerten müssen, die schwer zu quantifizieren sind. Zum Beispiel solche Faktoren, die normalerweise nicht mit konkreten, wiederholbaren Werten gemessen werden.
Beispielsweise welche numerischen Werte könnten Sie einem potenziellen Verlust des Verbrauchervertrauens oder einem Reputationsschaden zuweisen? Sie könnten versuchen, es in Bezug auf entgangene Einnahmen zu formulieren oder auch am Geschäftsverlust. Sie könnten auch eine Stichprobe der Bevölkerung befragen, um festzustellen, wie viele Menschen zum Beispiel nach einem Datenverstoß Geschäfte mit der Organisation tätigen würden oder nicht. Allerdings wäre auch das subjektiv und würde nur einen kleinen statistischen Einblick in eine schwer definierbare Messung bieten.
Wann ist die qualitative Risikoanalyse geeignet?
Diese Methode eignet sich gut für kleinere Projekte oder Unternehmen, bei denen es nicht notwendig ist, eine detaillierte Risikobewertung durchzuführen. Sie ist auch dann nützlich, wenn es schwierig oder unmöglich ist, zuverlässige Daten zu sammeln oder wenn es sich um komplexe Risiken handelt, die nicht einfach quantifiziert werden können.
Die Ergebnisse der qualitativen Risikoanalyse werden oft in einer Liste von Risiken mit Bewertungen wie Rot, Gelb und Grün dargestellt. Diese Ergebnisse können als Grundlage für das Risikomanagement dienen, indem sie zur Planung und Umsetzung von Risikominderungsmaßnahmen genutzt werden.
Qualitative Risikoanalyse – als “softer” Ansatz
Die Qualitative Risikoanalyse gilt als ein “weicherer” Ansatz einer Risikoanalyse. Es werden Bewertungen für die Risiken vergeben, wie zum Beispiel Rot für hohes Risiko, Gelb für normales und Grün für niedriges Risiko. Diese Bewertungen werden basierend auf subjektiven Einschätzungen und Erfahrungen vorgenommen.
Im Gegensatz zur quantitativen Risikoanalyse, die auf der Verwendung von numerischen Daten basiert, verwendet die qualitative Methode subjektive Einschätzungen und Erfahrungen, um die Risiken zu bewerten und zu priorisieren.
Wann wird die qualitative Risikoanalyse eingesetzt?
Die qualitative Risikoanalyse eignet sich gut für kleinere Projekte oder Unternehmen, bei denen es nicht notwendig ist, eine detaillierte Risikobewertung durchzuführen. Sie ist auch dann nützlich, wenn es schwierig oder unmöglich ist, zuverlässige Daten zu sammeln. Oft wird die qualitative Risikoanalyse der quantitativen vorgezogen, wenn es sich um komplexe Risiken handelt, die nicht einfach quantifiziert werden können.
Im Bereich der Informationssicherheit ist es wichtig, potenzielle Bedrohungen innerhalb des zu schützenden Geltungsbereichs zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen. Hierbei kommen verschiedene Methoden zum Einsatz, darunter die qualitative und die quantitative Risikoanalyse.
Während die quantitative Risikoanalyse Zahlen und monetäre Werte verwendet, um das Risiko zu bewerten, basiert die qualitative Risikoanalyse auf der Bewertung von Szenarien und der Einschätzung der Bedrohung durch Expertenmeinungen. Beide Methoden haben ihre Vor- und Nachteile und sollten je nach den spezifischen Anforderungen und Gegebenheiten des Unternehmens eingesetzt werden.
Ein Beispiel für die qualitative Risikoanalyse im Bereich der Informationssicherheit ist die Identifizierung von potenziellen Bedrohungen und deren Bewertung nach Eintrittswahrscheinlichkeit und am Schadensausmaß. Anschließend werden mögliche Gegenmaßnahmen und Sicherheitsvorkehrungen bewertet und priorisiert.
Obwohl die qualitative Risikoanalyse eine nützliche Methode zur Identifizierung von Bedrohungen und Gegenmaßnahmen sein kann, ist es wichtig zu beachten, dass sie nicht so genau ist wie die quantitative Risikoanalyse. Unternehmen sollten daher sorgfältig abwägen, welche Methode am besten geeignet ist, um ihre spezifischen Anforderungen zu erfüllen.
Beispiel: Qualitative Risikoanalyse für Typ 1 Hypervisor
Im Folgenden wird eine qualitative Risikoanalyse für einen Typ 1 Hypervisor durchgeführt, auf dem die Active Directory und der Fileserver eines KMU mit 150 FTEs virtualisiert sind. Ziel der Analyse ist es, potenzielle Bedrohungen zu identifizieren und Maßnahmen zu empfehlen, um die Sicherheit des Hypervisors und der darauf gehosteten Systeme zu verbessern.
| Bedrohung | Wahrscheinlichkeit | Auswirkung | Risikostufe | Empfohlene Maßnahme |
|---|---|---|---|---|
| Menschliches Versagen | Mittel | Hoch | Hoch | Sicherheitsbewusstsein der Mitarbeiter erhöhen, Schulungen anbieten |
| Malware-Infektion | Hoch | Hoch | Kritisch | Antivirus-Software implementieren, regelmäßige Updates durchführen |
| Physische Bedrohung (z.B. Feuer oder Hochwasser) | Gering | Sehr Hoch | Kritisch | Notfallplanung und -maßnahmen umsetzen, Backup-Strategie implementieren und regelmäßig testen |
| Unbefugter Zugriff | Mittel | Hoch | Hoch | Starke Passwortrichtlinien umsetzen, Multi-Faktor-Authentifizierung implementieren, Zugriffsrechte regelmäßig prüfen |
| Systemfehler oder -ausfall | Mittel | Hoch | Hoch | Regelmäßige Wartung und Überwachung des Systems durchführen, Backup-Strategie implementieren und regelmäßig testen |
Folgende Risikomatrix ist oft bei qualitativen Risikoanalysen anzutreffen
Quantitative Risikoanalyse: Definition, Bedeutung und Vorteile
Die quantitative Risikoanalyse ist eine Methode zur Bewertung von Risiken, die in vielen Branchen und Unternehmen weit verbreitet ist. Im Gegensatz zur qualitativen Risikoanalyse, werden bei der quantitativen Risikoanalyse Zahlen und monetäre Werte verwendet. Dies ermöglicht eine genauere Bewertung des Risikos und eine bessere Entscheidungsfindung.
Die quantitative Risikoanalyse umfasst mehrere Schritte, darunter
- die Identifizierung von Risiken,
- die Bewertung der Wahrscheinlichkeit des Eintritts dieser Risiken und
- die Schätzung des finanziellen Verlustes,
der bei Eintritt eines Risikos entstehen kann. Anhand dieser Schritte werden dann konkrete Maßnahmen ergriffen, um das Risiko zu minimieren oder zu vermeiden.
Ein großer Vorteil dieser Methode ist die Möglichkeit, die finanziellen Auswirkungen von Risiken zu quantifizieren. Dadurch können Unternehmen ihre Risikobereitschaft, ihr Risikoappetit besser einschätzen und fundierte Entscheidungen treffen. Zudem bietet die quantitative Risikoanalyse eine standardisierte Methode zur Bewertung von Risiken, die eine Vergleichbarkeit zwischen und auch innerhalb Branchen ermöglicht. Auch der Vergleich zwischen verschiedenen Risiken ist dank dieser Methode möglich.
Wann wird die quantitative Risikoanalyse eingesetzt
Die quantitative Risikoanalyse wird in verschiedenen Branchen eingesetzt, darunter im Finanzwesen, im Gesundheitswesen, in der Versicherungsbranche und in der Informationstechnologie. Sie wird auch häufig bei der Planung von Großprojekten eingesetzt, um Risiken und potenzielle Verluste im Vorfeld zu identifizieren und zu minimieren.
Bei der Entscheidung qualitative vs. quantitative Risikoanalyse, ist wichtig zu beachten, dass die quantitative Risikoanalyse nicht immer die beste Methode zur Bewertung von Risiken ist. In einigen Fällen kann eine qualitative Risikoanalyse sinnvoller sein, insbesondere wenn die Risiken schwer zu quantifizieren sind oder wenn die Bewertung der finanziellen Auswirkungen nicht der Hauptfokus ist.
Insgesamt bietet die quantitative Risikoanalyse eine robuste Methode zur Bewertung von Risiken, die Unternehmen und Organisationen dabei helfen kann, fundierte Entscheidungen zu treffen und potenzielle Verluste zu minimieren.
Berechnungsmethoden im Rahmen einer quantitativen Risikoanalyse
Die quantitative Risikoanalyse ist eine Methode zur Bewertung der potenziellen Auswirkungen von Risiken auf ein Unternehmen. Es beinhaltet die quantitative Bewertung von Vermögenswerten und potenziellen Verlusten, die aus einer Bedrohung entstehen können.
Asset Value (AV)
Asset Value (AV) oder Vermögenswert bezieht sich auf den Wert eines Vermögensgegenstands oder einer Ressource, die durch eine Bedrohung gefährdet werden könnte. Dieser Wert kann monetär sein, z.B. der Wert eines Gebäudes, oder nicht-monetär, z.B. der Wert des geistigen Eigentums eines Unternehmens.
Mehr zum Thema Bewertung von Assets in diesem Beitrag.
Exposure Factor (EF)
Exposure Factor (EF) oder Expositionsfaktor bezieht sich auf den Prozentsatz des Vermögenswerts, der bei einem erfolgreichen Angriff oder Ereignis gefährdet ist. Ein EF von 50% bedeutet beispielsweise, dass die Hälfte des Wertes bei einem Angriff verloren gehen kann.
Single Loss Expectancy (SLE)
Single Loss Expectancy (SLE) oder Einzelverlust-Erwartung bezieht sich auf den monetären Wert, den ein Unternehmen verliert, wenn eine Bedrohung erfolgreich ist. Es wird berechnet, indem der Vermögenswert mit dem Expositionsgrad multipliziert wird. Zum Beispiel, wenn ein Gebäude im Wert von 1 Million Euro einem EF von 50% ausgesetzt ist, dann ist das SLE 500.000 Euro.
SLE Formel
Single loss expectancy (SLE) = Asset value (AV) × Exposure factor (EF)
Annualized Rate of Occurrence (ARO)
Annualized Rate of Occurrence (ARO) oder Jahresfrequenz bezieht sich auf die Anzahl der erwarteten Vorfälle innerhalb eines Jahres. Zum Beispiel, wenn es wahrscheinlich ist, dass es im Durchschnitt alle fünf Jahre zu einem Brand im Gebäude kommt, beträgt die ARO 0,2.
Annual Loss Expectancy (ALE)
Annual Loss Expectancy (ALE) oder Jahresverlust-Erwartung bezieht sich auf den erwarteten monetären Verlust pro Jahr, der aufgrund einer Bedrohung auftritt. Es wird berechnet, indem das SLE mit der ARO multipliziert wird. Zum Beispiel, wenn das SLE 500.000 Euro beträgt und die ARO 0,2 beträgt, beträgt die ALE 100.000 Euro pro Jahr.
Diese Begriffe sind wichtig, um eine fundierte Entscheidung darüber zu treffen, welche Schutzmaßnahmen erforderlich sind, um das Unternehmen zu schützen. Durch die Berechnung der ALE können Unternehmen die potenziellen Kosten von Sicherheitsmaßnahmen im Vergleich zum erwarteten Verlust abschätzen und eine Kosten-Nutzen-Analyse durchführen.
ALE Formel
Annual loss expectancy (ALE) = SLE × ARO
Rechenbeispiel: Verlust eines Laptops.
Unternehmen: KMU mit ca. 150 Mitarbeiter, jährlich werden 2 Laptops als verloren gemeldet.
Um eine quantitative Risikoanalyse für den Verlust eines Laptops in einem Unternehmen mit 150 Mitarbeitern durchzuführen, benötigen wir einige Schätzungen und Annahmen bezüglich der Kosten, des Aufwands und der Arbeitszeit, die mit dem Verlust verbunden sind.
Asset value (AV): Schätzen Sie den Wert eines Laptops, einschließlich der Kosten für die Hardware, Software und die darin enthaltenen Informationen. Angenommen, der Wert eines Laptops beträgt 2.000 Euro.
Exposure factor (EF): Schätzen Sie den Prozentsatz des Asset-Werts, der durch den Verlust betroffen ist. Da bei einem verlorenen Laptop sowohl die Hardware- als auch die Software-Kosten betroffen sind, setzen wir den EF auf 100% oder 1.
Single loss expectancy (SLE): Berechnen Sie den SLE, indem Sie den Asset-Wert (AV) mit dem Exposure Factor (EF) multiplizieren. In diesem Fall beträgt der SLE 2.000 Euro × 1 = 2.000 Euro.
Annual rate of occurrence (ARO): Berechnen Sie die durchschnittliche Anzahl der verlorenen Laptops pro Jahr. In einem Unternehmen mit 150 Mitarbeitern gehen jährlich 2 Laptops verloren. Daher beträgt der ARO 2.
Annual loss expectancy (ALE): Berechnen Sie den ALE, indem Sie den SLE mit dem ARO multiplizieren. In diesem Fall beträgt der ALE 2.000 Euro × 2 = 4.000 Euro.
Die quantitative Risikoanalyse zeigt also, dass das Unternehmen jährlich mit einem Verlust von 4.000 Euro rechnen muss, der sich aus dem Verlust von Laptops ergibt. Dies beinhaltet jedoch noch nicht die Kosten und den Aufwand, die mit der Arbeitszeit verbunden sind.
Arbeitszeiten, Aufwand
Um die Arbeitszeit und den Aufwand zu schätzen, betrachten wir folgende Faktoren:
Zeit für die Beschaffung und Einrichtung eines Ersatzgeräts: Angenommen, es dauert 4 Stunden, um einen neuen Laptop zu beschaffen und einzurichten. Bei einem Stundensatz von 50 Euro entstehen hierdurch Kosten von 200 Euro.
Zeit für die Wiederherstellung von Daten und Projekten: Angenommen, es dauert 8 Stunden, um Daten und Projekte vom Backup auf den neuen Laptop zu übertragen. Bei einem Stundensatz von 50 Euro entstehen hierdurch Kosten von 400 Euro.
Insgesamt beträgt der Aufwand für die Arbeitszeit pro verlorenem Laptop 200 Euro + 400 Euro = 600 Euro. Da pro Jahr 2 Laptops verloren gehen, entstehen jährliche Kosten von 1.200 Euro aufgrund von Arbeitszeit und Aufwand.
Zusammenfassend belaufen sich die geschätzten jährlichen Kosten für den Verlust von Laptops in einem Unternehmen mit 150 Mitarbeitern auf 4.000 Euro (ALE) + 1.200 Euro (Arbeitszeit und Aufwand) = 5.200 Euro.
| Parameter | Beschreibung | Wert |
|---|---|---|
| Asset Value (AV) | Wert eines Laptops | 2.000 € |
| Exposure Factor (EF) | Prozentsatz des Asset-Werts, der durch den Verlust betroffen ist | 100% (1) |
| Single Loss Expectancy (SLE) | Verlust pro Vorfall | 2.000 € |
| Annual Rate of Occurrence (ARO) | Jährliche Anzahl der verlorenen Laptops | 2 |
| Annual Loss Expectancy (ALE) | Jährlicher Verlust durch verlorene Laptops | 4.000 € |
| Arbeitszeit und Aufwand pro verlorenem Laptop | Kosten für die Beschaffung, Einrichtung und Wiederherstellung von Daten | 600 € |
| Jährliche Kosten für Arbeitszeit und Aufwand | Jährliche Kosten für die Arbeitszeit und den Aufwand bei verlorenen Laptops | 1.200 € |
| Gesamte jährliche Kosten | Gesamte jährliche Kosten für den Verlust von Laptops | 5.200 € |
Vor- und Nachteile: qualitative vs. quantitative Risikoanalyse in der Informationssicherheit
Im Bereich der Informationssicherheit ist es wichtig, potenzielle Bedrohungen für das Netzwerk zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen. Hierbei kommen verschiedene Methoden zum Einsatz, darunter die qualitative und die quantitative Risikoanalyse.
Die quantitative Risikoanalyse verwendet Zahlen und monetäre Werte, um das Risiko zu bewerten, während die qualitative Risikoanalyse auf der Bewertung von Szenarien und der Einschätzung der Bedrohung durch Expertenmeinungen basiert. Beide Methoden haben ihre Vor- und Nachteile und sollten je nach den spezifischen Anforderungen und Gegebenheiten des Unternehmens eingesetzt werden.
Vor- und Nachteile der quantitativen Risikoanalyse
Zu den Vorteilen der quantitativen Risikoanalyse gehört die Möglichkeit, das Risiko auf der Grundlage von Zahlen und monetären Werten zu bewerten, was die Diskussion von Kosten- und Nutzenaspekten erleichtert. Allerdings kann die Berechnung komplex sein und die Geschäftsleitung kann Schwierigkeiten haben, die abgeleiteten Werte zu verstehen. Ohne automatisierte Tools kann dieser Prozess auch sehr mühsam sein. Mehr Vorarbeit ist erforderlich, um detaillierte Informationen über die Umgebung zu sammeln, und es gibt keine Standards, was bedeutet, dass jeder Anbieter seine eigene Art hat, die Prozesse und Ergebnisse zu interpretieren.
Vor- und Nachteile der qualitativen Risikoanalyse
Die qualitative Risikoanalyse bietet die Möglichkeit, potenzielle Bedrohungen und Gegenmaßnahmen auf der Grundlage von Expertenmeinungen und Szenarien zu bewerten. Dies kann zu einer schnelleren und einfacheren Identifizierung von Bedrohungen führen. Allerdings sind die Bewertungen und Ergebnisse subjektiv und meinungsbasiert, was zu Einschränkungen bei der Entwicklung eines Sicherheitsbudgets führen kann. Es gibt auch keine monetären Werte, die für die Diskussion von Kosten- und Nutzenaspekten verwendet werden können. Wie bei der quantitativen Methode gibt es ebenfalls keine verpflichtende Standards.
Zusammengefasst lässt sich sagen, dass bei der Entscheidung für qualitative vs. quantitative Risikoanalyse ein Unternehmen seine spezifischen Anforderungen und Gegebenheiten berücksichtigen sollte.
Fazit: qualitative vs. quantitative Risikoanalyse
Sowohl die quantitative als auch die qualitative Risikoanalyse haben ihre Vor- und Nachteile und können je nach Situation und Umgebung unterschiedlich sinnvoll sein. Die Wahl der Methode hängt von verschiedenen Faktoren ab, wie zum Beispiel der Verfügbarkeit von Ressourcen, dem Umfang der Analyse und der Art der Risiken.
Für Unternehmen, die sich auf quantitative Daten verlassen, kann die quantitative Risikoanalyse eine bessere Wahl sein. Es ermöglicht ihnen, Risiken zu priorisieren und Entscheidungen auf der Grundlage von Zahlen zu treffen. Auf der anderen Seite kann die qualitative Risikoanalyse eine bessere Wahl für Unternehmen sein, die sich auf Expertenmeinungen und subjektive Bewertungen verlassen möchten.
Es ist auch wichtig zu beachten, dass beide Methoden keine vollständige Lösung für die Risikobewertung darstellen. Sie sind nur Werkzeuge, die zusammen mit anderen Maßnahmen wie der Implementierung von Sicherheitskontrollen und der Überwachung von Risiken verwendet werden sollten.
Unternehmen sollten insgesamt eine Risikobewertung durchführen und die am besten geeignete Methode für ihre Anforderungen auswählen. Dabei ist es entscheidend, die Analyseergebnisse als Basis für fundierte Entscheidungen zu nutzen und diese regelmäßig zu überprüfen und zu aktualisieren (KVP!). Auf diese Weise können sie effizient und zeitnah auf sich ständig verändernde Risikofaktoren reagieren.
