Rufen Sie uns einfach an, und wir beraten Sie gerne zu unserem Seminar- und Studienangebot.
Unsere Ansprechpartner:
Michael Rabbat, Dipl.-Kfm.
MBA Chief Operating Officer
Claudia Hardmeier
Kunden-Center
Studienbetreuung
Institute und Kompetenzzentren
Bindeglied zu einer Vielzahl an
Unternehmen und Organisationen
3.4.2. Bewertung von Informations-Risiken
Für die Entscheidung Maßnahmen zur Reduzierung eines Informationsrisikos zu ergreifen, ist eine Bewertung der Risiken notwendig. Nur so werden Informationsrisiken miteinander vergleichbar. Aus den im Interview mit dem Risk- oder Process-Ownern gewonnenen Informationen werden Grundrisiken ermittelt und die Risiken einer Risikokategorie zugeordnet. Hierbei wird bewertet, ob es sich einerseits um ein allgemeines oder ein singuläres Risiko, oder ob es sich anderseits um ein Risiko auf operationaler, strategischer oder der Ebene der IT-Compliance handelt. Bei Zuordnung zur Risikokategorie werden ebenso der betroffene Businessprozess oder die betroffenen Supportfunktionen identifiziert. Zusätzlich kann das Risiko auf Business-Ziele übertragen werden, was für eine Scorecard zur Information Security notwendig ist (siehe Kapitel 3.5.3).
Für jedes der identifizierten Risiken wird im Anschluss im Risk-Assessment der Risiko-Wert (Risk-Value) berechnet. Dieser ergibt sich als Produkt aus einem Wert für das Ausmaß des Schadens bei Risikoeintritt (Severity), der Eintrittswahrscheinlichkeit (Probability) und der Wahrscheinlichkeit der Schadensentdeckung (Exposure). Jedem dieser drei Parameter wird ein dimensionsloser Wert zugeordnet. Tabelle 7 zeigt die für ein Risiko-Assessment verwendeten Werte für jeden der eingehenden Faktoren.
| Severity | Probability | Exposure | Value |
|---|---|---|---|
| Catastrophe 1 | can be excepted (at least one time a year) | Continuous | 1000 |
| Catastrophe 2 | Probable (at least one time in 3 years) | Regular | 500 |
| Catastrophe 3 | - | Often | 100 |
| Disaster | Improbable but possible (at least one time in 10 years) | Sometimes | 50 |
| Very serious | Rare | 20 | |
| Serious | Reasonably improbable (one time in 25 years) | Very rare | 10 |
| Important | - | - | 5 |
| Noticeable | Very improbable (one time in 50 years) | - | 1 |
| - | Virtually impossible | No exposure | 0 |
Tabelle 7: Beispiel der in eine r Risikoklassifizierung verwendeten Werteverteilung für das Schadensausmaß, die Eintrittswahrscheinlichkeit und die Wahrscheinlichkeit der Schadensentdeckung.
Die in Tabelle 7 dargestellten Werte in der Spalte „Value“ wurden auf die Bedürfnisse der Organisation angepasst und müssen kontinuierlich auf Gültigkeit überprüft werden.
Der absolute Risiko-Wert (Risk-Value) berechnet sich demnach nach:
Beispiel:
Neben der Berechnung des Risk Values wurde für ein vereinfachtes Management-Reporting zusätzlich die potentielle Schadenshöhe monetär bewertet. Diese Bewertung erfolgt durch eine Abschätzung der potentiellen Schadenshöhe auf Umsatz, Budget oder Betriebskosten. Für die Darstellung im Reporting wird lediglich die Eintrittswahrscheinlichkeit berücksichtigt, wobei man von einer Entdeckung des Schadens ausgeht.