Zum Hauptinhalt springen

Risikomodell

Das Risikomodell in grcproxy definiert die Parameter und Mechanismen zur Bewertung von Risiken im Informationsverbund. Grundlage der Bewertung sind Auswirkung (AW) und Eintrittswahrscheinlichkeit (EW) einer Gefährdung in Bezug auf eine konkrete Ressource. Aus diesen beiden Parametern wird ein Risikowert berechnet und in einer Risikomatrix eingeordnet.

Das Modell ermöglicht sowohl die konsistente Bewertung einzelner Risiken als auch die verdichtete Betrachtung der Gesamtrisikosituation im Informationsverbund.

Risikoparameter

Die Bewertung eines Risikos basiert auf zwei Parametern:

  • Auswirkung (AW): beschreibt den möglichen Schaden, der durch das Eintreten einer Gefährdung für eine Ressource entstehen kann. Die Bewertung sollte sich am Schutzbedarf der Ressource orientieren.
  • Eintrittswahrscheinlichkeit (EW): beschreibt, wie wahrscheinlich das Eintreten einer Gefährdung unter den gegebenen Rahmenbedingungen ist.

Für beide Parameter werden konfigurierbare Bewertungsstufen verwendet. Standardmäßig wird derzeit eine vierstufige Skala eingesetzt. Das Modell unterstützt jedoch grundsätzlich frei definierbare Matrizen mit beliebiger Anzahl von Stufen.

Risikoberechnung (EW × AW)

Das Risiko ergibt sich aus dem Produkt von Eintrittswahrscheinlichkeit und Auswirkung.

Risiko = Eintrittswahrscheinlichkeit × Auswirkung

Der konkrete Wertebereich hängt von der verwendeten Risikomatrix ab. Bei einer vierstufigen Matrix ergeben sich beispielsweise Risikowerte von 1 bis 16. Bei frei definierten Matrizen verändert sich der Wertebereich entsprechend.

Risikomatrix

Die Risikomatrix dient der strukturierten Einordnung der berechneten Risikowerte. Sie kombiniert die beiden Bewertungsdimensionen Eintrittswahrscheinlichkeit und Auswirkung.

Die Anzahl der Stufen beider Dimensionen ist konfigurierbar. Dadurch kann die Risikomatrix an unterschiedliche methodische Anforderungen angepasst werden.

Für jeden in der Matrix entstehenden Risikowert kann ein Risikolevel festgelegt werden. Die Risikolevel klassifizieren die numerischen Risikowerte fachlich, beispielsweise als niedrig, mittel, hoch oder sehr hoch. Sie sind damit von den Bewertungsstufen der Eingangsparameter AW und EW zu unterscheiden.

Die Risikomatrix bildet die Grundlage für:

  • die Bewertung einzelner Risiken
  • die Zuordnung numerischer Risikowerte zu Risikoleveln
  • die Visualisierung der Risikosituation
  • die Priorisierung von Risiken innerhalb des Informationsverbunds

Bewertungszustände eines Risikos

Zur Bewertung und Überwachung der Wirksamkeit von Sicherheitsmaßnahmen werden in grcproxy mehrere Bewertungszustände eines Risikos unterschieden:

  • Brutto-Risiko: Risiko einer Gefährdung ohne Berücksichtigung von Sicherheitsmaßnahmen
  • Netto-Risiko (nach Maßnahmen): angestrebtes Restrisiko nach Umsetzung der Basis- und Standardmaßnahmen
  • Netto-Risiko (nach erweiterten Maßnahmen): mögliches Restrisiko nach zusätzlicher Umsetzung erweiterter Maßnahmen
  • Aktuelles Risiko: derzeitiges Risiko unter Berücksichtigung des tatsächlichen Umsetzungsgrades der Maßnahmen

Diese Bewertungszustände beschreiben unterschiedliche fachliche Betrachtungen desselben Risikos. Sie sind von den Risikoleveln der Matrix zu unterscheiden.

Konsolidierte Risikoindikatoren

Neben der Bewertung einzelner Risiken werden in grcproxy auch konsolidierte Kennzahlen berechnet, um einen Überblick über die Gesamtrisikosituation im Informationsverbund zu erhalten.

Dazu werden aus allen bewerteten Risiken statistische Kennwerte gebildet:

  • Maximum (Max): höchster Risikowert
  • Durchschnitt (Avg): mittlerer Risikowert aller betrachteten Risiken
  • Median (Med): mittlerer Wert der Risikoverteilung
  • Risk Index: aggregierter Indikator für die Gesamtrisikosituation