Zum Hauptinhalt springen

Bewertung von Risiken

Die Bewertung von Risiken in grcproxy erfolgt auf Ebene einzelner Gefährdungen in Bezug auf konkrete Ressourcen. Für jede relevante Gefährdung wird ein Risikowert aus Eintrittswahrscheinlichkeit (EW) und Auswirkung (AW) ermittelt. Dabei können Risiken entweder individuell bewertet oder automatisiert anhand von Standardwerten vorbelegt werden.

Ziel der Risikobewertung ist es, Risiken konsistent, nachvollziehbar und vergleichbar zu erfassen sowie ihre Veränderung im Zeitverlauf sichtbar zu machen.

Individuelle Risikobewertung

Bei der individuellen Risikobewertung werden Eintrittswahrscheinlichkeit und Auswirkung für eine konkrete Gefährdung fachlich eingeschätzt. Aus beiden Bewertungen wird durch Multiplikation der Risikowert berechnet.

Die individuelle Bewertung ist immer dann sinnvoll, wenn für eine Gefährdung bereits belastbare Kenntnisse, Erfahrungswerte oder besondere Rahmenbedingungen vorliegen, die von allgemeinen Annahmen abweichen.

Die Bewertung erfolgt getrennt für die vorgesehenen Bewertungszustände des Risikos, insbesondere für:

  • das Brutto-Risiko ohne berücksichtigte Maßnahmen
  • das Netto-Risiko nach vorgesehenen Basis- und Standardmaßnahmen
  • das Netto-Risiko nach erweiterten Maßnahmen, soweit diese fachlich relevant sind

Das aktuelle Risiko wird demgegenüber nicht separat frei bewertet, sondern aus den bewerteten Ausgangswerten und dem tatsächlichen Umsetzungsstand der Maßnahmen abgeleitet.

Automatische Risikobewertung

Wenn für eine Gefährdung keine individuelle Bewertung vorliegt, kann grcproxy auf definierte Standardwerte zurückgreifen. Dadurch bleibt die Risikobetrachtung auch dann vollständig, wenn noch nicht alle Gefährdungen im Detail fachlich bewertet wurden.

Die automatische Risikobewertung dient insbesondere dazu,

  • neue oder noch unbewertete Gefährdungen konsistent einzuordnen
  • eine erste Vergleichbarkeit aller relevanten Risiken herzustellen
  • den Bewertungsaufwand in frühen Phasen der Einführung zu reduzieren

Die Standardwerte werden getrennt für Eintrittswahrscheinlichkeit und Auswirkung definiert. Sie können jeweils in Abhängigkeit von der Höhe des Schutzbedarfs festgelegt werden. Unterstützt werden dabei die Schutzbedarfsstufen 1 bis 4 sowie ein zusätzlicher Standardwert für Objekte, bei denen noch keine Schutzbedarfsanalyse vorliegt.

Das System wird bereits mit fachlich sinnvollen Standardwerten initial ausgeliefert. Diese Werte dienen als sofort nutzbare Ausgangsbasis, können jedoch im Menüpunkt „Automatische Risikobewertung“ frei konfiguriert und an die eigene Methodik angepasst werden.

Änderungen an diesen Standardwerten wirken sich in Echtzeit auf alle Risiken aus, für die noch keine individuelle Bewertung vorliegt. Individuell bewertete Risiken bleiben davon unberührt.

Standardwerte ersetzen keine fachliche Einzelbewertung, sondern bilden eine methodisch einheitliche und flexibel anpassbare Grundlage für die automatische Ersteinstufung unbewerteter Risiken.

Berechnung des aktuellen Risikos

Das aktuelle Risiko wird ausgehend vom Brutto-Risiko schrittweise reduziert. Die Höhe dieser Reduktion hängt davon ab,

  • wie groß der Abstand zum jeweiligen Zielwert ist
  • wie viele Maßnahmen berücksichtigt werden
  • wie weit diese Maßnahmen tatsächlich umgesetzt sind
  • und bei Basis- und Standardmaßnahmen zusätzlich von ihrer fachlichen Gewichtung

Die Ausgangswerte werden jeweils aus Eintrittswahrscheinlichkeit × Auswirkung berechnet:

  • Brutto-Risiko: R_brutto = EW_brutto × AW_brutto
  • Netto-Risiko: R_netto = EW_netto × AW_netto
  • Netto-Risiko nach erweiterten Maßnahmen: R_min = EW_min × AW_min

Die Berechnung erfolgt in zwei Schritten.

1. Reduktion vom Brutto-Risiko in Richtung Netto-Risiko

Im ersten Schritt werden Basis- und Standardmaßnahmen gemeinsam betrachtet. Für jede Maßnahme wird ihr individueller Umsetzungsstand über den Resolve-Faktor berücksichtigt. Hierbei handelt es sich um einen Wert zwischen 0 und 1, der den wirksamen Umsetzungsstand der Maßnahme beschreibt.

Zusätzlich werden die Maßnahmentypen unterschiedlich gewichtet:

  • Basismaßnahmen: Gewicht 0,5
  • Standardmaßnahmen: Gewicht 0,3

Innerhalb dieses ersten Reduktionsschritts werden Basismaßnahmen damit höher gewichtet als Standardmaßnahmen und tragen relativ stärker zur Reduktion in Richtung Netto-Risiko bei.

Der wirksame Umsetzungsgrad ergibt sich aus dem Verhältnis

S_default = Summe(Resolve-Faktor × Gewicht je Maßnahme) / Summe(aller Gewichte aller berücksichtigten Basis- und Standardmaßnahmen)

Der Nenner umfasst die Summe der Gewichte aller berücksichtigten Basis- und Standardmaßnahmen. Dadurch verteilt sich die insgesamt mögliche Reduktion auf alle Maßnahmen dieser Stufe. Mit steigender Anzahl von Maßnahmen sinkt damit der relative Einfluss der einzelnen Maßnahme auf die Gesamtreduktion.

Die tatsächliche Reduktion ergibt sich aus dem Abstand zwischen Brutto- und Netto-Risiko:

Reduktion_default = (R_brutto - R_netto) × S_default

Der Zwischenwert lautet:

R_default = R_brutto - Reduktion_default

2. Weitere Reduktion in Richtung Netto-Risiko nach erweiterten Maßnahmen

Im zweiten Schritt werden die erweiterten Maßnahmen betrachtet. Hier wird das Risiko ausgehend vom bereits reduzierten Zwischenwert weiter abgesenkt.

Der Umsetzungsgrad ergibt sich aus dem durchschnittlichen Fortschritt der erweiterten Maßnahmen:

S_extended = Summe(Resolve-Faktor aller erweiterten Maßnahmen) / Anzahl(aller berücksichtigten erweiterten Maßnahmen)

Die zusätzliche Reduktion ergibt sich aus dem Abstand zwischen dem bisherigen Zwischenwert und dem Zielwert nach erweiterten Maßnahmen:

Reduktion_extended = (R_default - R_min) × S_extended

Daraus folgt:

R_aktuell = R_default - Reduktion_extended

Kompakte Beispielrechnung

Angenommen, für eine Gefährdung wurden folgende Risikowerte bewertet:

  • Brutto-Risiko: 12
  • Netto-Risiko: 6
  • Netto-Risiko nach erweiterten Maßnahmen: 3

Schritt 1: Basis- und Standardmaßnahmen

Es gibt zwei zugeordnete Maßnahmen:

  • 1 Basismaßnahme mit Resolve-Faktor 1,0
  • 1 Standardmaßnahme mit Resolve-Faktor 0,5

Die Gewichte sind:

  • Basis: 0,5
  • Standard: 0,3

Daraus ergibt sich:

S_default = ((1,0 × 0,5) + (0,5 × 0,3)) / (0,5 + 0,3)

S_default = (0,5 + 0,15) / 0,8 = 0,8125

Die Basismaßnahme wirkt in diesem Schritt stärker, weil ihr Gewicht höher ist als das der Standardmaßnahme.

Die Reduktion in Richtung Netto-Risiko beträgt damit:

Reduktion_default = (12 - 6) × 0,8125 = 4,875

Zwischenwert:

R_default = 12 - 4,875 = 7,125

Schritt 2: Erweiterte Maßnahmen

Zusätzlich gibt es eine erweiterte Maßnahme mit Resolve-Faktor 0,5.

Damit ergibt sich:

S_extended = 0,5

Die weitere Reduktion beträgt:

Reduktion_extended = (7,125 - 3) × 0,5 = 2,0625

Aktuelles Risiko:

R_aktuell = 7,125 - 2,0625 = 5,0625

Ergebnis

Das aktuelle Risiko beträgt in diesem Beispiel 5,06.

Vereinfacht gesagt startet das System immer beim Brutto-Risiko. Danach wird berechnet, welcher Anteil der jeweils möglichen Reduktion bereits erreicht wurde. Dieser Anteil hängt vom Abstand zum Zielwert, vom Umsetzungsstand der Maßnahmen und im ersten Schritt zusätzlich von der Gewichtung der Maßnahmentypen ab.

Berechnung konsolidierter Kennzahlen

Neben der Bewertung einzelner Risiken werden aus allen betrachteten Einzelrisiken konsolidierte Kennzahlen berechnet. Sie dienen dazu, die Gesamtrisikosituation eines Informationsverbunds verdichtet darzustellen und Entwicklungen im Zeitverlauf zu beobachten.

Berücksichtigt werden dabei insbesondere:

  • Durchschnitt (Avg) als mittlerer Risikowert aller betrachteten Einzelrisiken
  • Median (Med) als mittlerer Wert der Risikoverteilung
  • Maximum (Max) als höchster einzelner Risikowert
  • Risk Index als aggregierter Gesamtindikator

Die Werte Avg, Med und Max werden immer auf Basis der jeweils betrachteten Einzelrisiken berechnet. Der Risk Index verdichtet diese drei Kennzahlen zu einem gemeinsamen Wert. Dabei werden die Kennzahlen unterschiedlich gewichtet:

  • Durchschnitt (Avg) mit 60 %
  • Median (Med) mit 30 %
  • Maximum (Max) mit 10 %

Die Formel lautet:

Risk Index = (Avg × 0,6) + (Med × 0,3) + (Max × 0,1)

Damit liegt der Schwerpunkt auf dem allgemeinen Risikoniveau aller betrachteten Einzelrisiken, während einzelne Ausreißer weiterhin berücksichtigt werden, aber mit geringerem Gewicht in die Gesamtbewertung einfließen.

Beispielrechnung

Angenommen, es liegen für die betrachteten Einzelrisiken folgende konsolidierten Kennzahlen vor:

  • Avg = 8,0
  • Med = 7,0
  • Max = 14,0

Dann ergibt sich der Risk Index wie folgt:

Risk Index = (8,0 × 0,6) + (7,0 × 0,3) + (14,0 × 0,1)

Risk Index = 4,8 + 2,1 + 1,4 = 8,3

Der Risk Index beträgt in diesem Beispiel also 8,3.

Er ermöglicht damit eine kompakte Gesamtsicht auf die Risikolage, ohne sich ausschließlich am höchsten Einzelrisiko oder nur am Durchschnitt zu orientieren.