Oliver Prokein IT-Risikomanagement
GABLER EDITION WISSENSCHAFT Markt- und Unternehmensentwicklung Herausgegeben von P...
67 downloads
1158 Views
997KB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Oliver Prokein IT-Risikomanagement
GABLER EDITION WISSENSCHAFT Markt- und Unternehmensentwicklung Herausgegeben von Professor Dr. Dres. h.c. Arnold Picot, Professor Dr. Professor h.c. Dr. h.c. Ralf Reichwald, Professor Dr. Egon Franck und Professorin Dr. Kathrin Möslein
Der Wandel von Institutionen, Technologie und Wettbewerb prägt in vielfältiger Weise Entwicklungen im Spannungsfeld von Markt und Unternehmung. Die Schriftenreihe greift diese Fragen auf und stellt neue Erkenntnisse aus Theorie und Praxis sowie anwendungsorientierte Konzepte und Modelle zur Diskussion.
Oliver Prokein
IT-Risikomanagement Identifikation, Quantifizierung und wirtschaftliche Steuerung
Mit Geleitworten von Prof. Dr. Dres. h. c. Arnold Picot und Prof. Dr. Günter Müller
GABLER EDITION WISSENSCHAFT
Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.
Dissertation Universität Freiburg im Breisgau, 2007
1. Auflage 2008 Alle Rechte vorbehalten © Betriebswirtschaftlicher Verlag Dr. Th. Gabler | GWV Fachverlage GmbH, Wiesbaden 2008 Lektorat: Frauke Schindler / Sabine Schöller Der Gabler Verlag ist ein Unternehmen von Springer Science+Business Media. www.gabler.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: Regine Zimmer, Dipl.-Designerin, Frankfurt/Main Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Printed in Germany ISBN 978-3-8349-0870-4
Geleitwort des Herausgebers
V
Geleitwort des Herausgebers Unternehmen müssen zur Unterstützung einer wertorientierten Unternehmensführung sowie zur Erfüllung regulatorischer Vorschriften jederzeit in der Lage sein, Ertrags- und Risikoinformationen zu ermitteln. Informations- und Kommunikationstechnologien nehmen eine zentrale Rolle bei der Ermittlung dieser Informationen ein, generieren jedoch als Ziel von Angriffen wiederum selbst Risiken, die nicht zu unterschätzen sind. Die Empirie zeigt, dass Unternehmen in jüngerer Vergangenheit zunehmend Verluste aus IT-Risiken realisiert haben. Berücksichtigt man, dass viele Unternehmen zukünftig noch mehr IT einsetzen und miteinander vernetzen werden, so ist damit zu rechnen, dass IT-Risiken im Vergleich zum Status quo noch mehr an Bedeutung gewinnen werden. Daher ist ein gezieltes Management dieser Risiken gefordert. Die bisherigen betriebswirtschaftlichen Arbeiten im Bereich des ITRisikomanagement konzentrieren sich überwiegend auf die Quantifizierung der durch den ITEinsatz induzierten zukünftig zu erwartenden Verluste. Bisher weniger betrachtet wurden die Auswirkungen des Einsatzes von Gegenmaßnahmen auf diese Verluste und deren wirtschaftliche Bewertung. Ausgehend von der Erläuterung der spezifischen Eigenschaften von IT-Risiken untersucht und bewertet der Verfasser dieser Arbeit Verfahren zur Identifikation und Quantifizierung dieser Risiken. Anschließend werden verfügbare Maßnahmen zur Steuerung von IT-Risiken kategorisiert und diskutiert, mit dem Ergebnis, dass technischen Sicherheitsmechanismen und Versicherungspolicen eine Schlüsselrolle zukommt. Im Mittelpunkt der Arbeit steht die Analyse des Trade-off zwischen den Investitionen in diese beiden Maßnahmen einerseits und der dadurch erzielbaren Reduktion der Verluste aus IT-Risiken andererseits. In einer zweistufigen Vorgehensweise wird zunächst ein einperiodiges Modell vorgestellt und darauf aufbauend eine Erweiterung zu einem mehrperiodigen Modell vorgenommen. Beide Modelle ermöglichen unter der Berücksichtigung von Budget- und Eigenkapitallimite eine wirtschaftliche Bewertung von Investitionen in technische Sicherheitsmechanismen und Versicherungspolicen. Die vorliegende Arbeit richtet sich gleichermaßen an Wissenschaft und Praxis und stellt insgesamt gesehen einen beachtenswerten Beitrag zur Frage nach der wirtschaftlichen Steuerung von IT-Risiken dar. Ich wünsche dieser Arbeit daher eine besonders lebhafte Resonanz und interessierte Aufnahme in Wissenschaft und Praxis. Prof. Dr. Dres. h.c. Arnold Picot
Geleitwort
VII
Geleitwort Die sich Unternehmen eröffnenden Chancen aus dem betrieblichen Einsatz von IT bei der Durchführung von Geschäftsprozessen und deren Vernetzung mit der Außenwelt sind unbestritten. Allerdings stehen diesen Chancen auch Risiken gegenüber, die durch das Ausnutzen von Schwachstellen der IT durch Angreifer entstehen. Zahlreiche Statistiken belegen einen nahezu exponentiellen Verlauf der Angriffe auf die IT mit erheblichen Auswirkungen auf den Unternehmenserfolg. Unternehmen reagieren auf diese Entwicklung verstärkt mit Investitionen in Sicherheitsmaßnahmen. Ein wirtschaftlich effizientes Risikomanagement wird jedoch nicht darauf gerichtet sein, möglichst alle Risiken durch die Ergreifung von Sicherheitsmaßnahmen zu eliminieren. Aus wirtschaftswissenschaftlicher Sicht stellt sich die Frage nach der ökonomischen Vorteilhaftigkeit der Investitionen in Sicherheitsmaßnahmen. Die Betriebswirtschaftslehre bietet zwar ein reichhaltiges Reservoir an Methoden an, jedoch müssen diese um die informatischen Besonderheiten erweitert werden. Diese Erweiterungen sind zentraler Gegenstand dieser Arbeit. Der Autor stellt zwei neuartige Modelle mit beeindruckender Architektur vor, die Unternehmen bei der Vermeidung von Ineffizienzen bei der Bewertung von Investitionen in Sicherheitsmaßnahmen unterstützen sollen. Neben der Berechnung der ökonomischen Vorteilhaftigkeit zum Entscheidungszeitpunkt kann durch die Berücksichtigung von der in der Praxis beobachtbaren Effekte von sinkenden Anfangsinvestitionen und einer steigenden Anzahl von Angriffen zudem gezeigt werden, dass es für Unternehmen sinnvoll sein kann, nicht sofort, sondern erst zu einem späteren Zeitpunkt in eine Sicherheitsmaßnahme zu investieren. Die Arbeit wendet somit wirtschaftswissenschaftliche Methoden auf ein wirtschaftsinformatisches Gebiet an, bleibt jedoch in der Argumentationslogik durch die gesamte Arbeit betriebswirtschaftlich und erweitert dadurch beide Fächer. Die Problemstellung darf für sich in Anspruch nehmen zugleich praktisch relevant und wissenschaftlich anspruchsvoll zu sein. Ich wünsche der Arbeit daher die verdiente Aufnahme in Wissenschaft und betriebswirtschaftlicher Praxis.
Prof. Dr. Günter Müller
Vorwort
IX
Vorwort Die vorliegende Arbeit wurde im Wintersemester 2007/08 von der Wirtschafts- und Verhaltenswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg als Dissertation angenommen. Sie bildet den Abschluss meiner Promotion am Institut für Informatik und Gesellschaft. An dieser Stelle möchte ich mich bei allen bedanken, die zum Gelingen dieser Arbeit beigetragen haben. An erster Stelle gilt mein herzlicher Dank meinem akademischen Lehrer und Doktorvater Prof. Dr. Günter Müller. Die gewährte akademische Freiheit sowie seine offene und konstruktive Kritik haben das Gelingen dieser Arbeit wesentlich gefördert. Bei den Tätigkeiten an seinem Institut konnte ich zahlreiche fachliche und persönliche Erfahrungen sammeln, die weit über die Promotion hinaus reichen und äußerst wertvoll sind. Einen besonderen Dank möchte ich Herrn Prof. Dr. Hans Ulrich Buhl, dem Inhaber des Lehrstuhls für Betriebswirtschaftslehre, Wirtschaftsinformatik & Financial Engineering an der Universität Augsburg, sowie seinen ehemaligen Mitarbeitern Herrn Dr. Ulrich Faisst und Herrn Nico Wegmann aussprechen, die ich während eines gemeinsamen Forschungsprojektes der beiden Institute kennen lernen durfte. Die lebhaften und stets zielorientierten Diskussionen sowie die daraus entstandenen nationalen und internationalen Publikationen haben maßgeblich zum Gelingen dieser Arbeit beigetragen. Herrn Prof. Dr. Heinz Rehkugler möchte ich für die Übernahme des Zweitgutachtens unter zeitlich beengten Restriktionen bedanken. Sehr erfreut hat mich die Aufnahme der Arbeit in der Schriftenreihe „Markt- und Unternehmensentwicklung“ des Deutschen Universitätsverlags/Gabler Edition Wissenschaft, unter der Herausgeberschaft von Herrn Prof. Dr. Dres. h.c. Arnold Picot, Prof. Dr. Dr. h.c. Ralf Reichwald, Prof. Dr. Egon Franck und Prof. Dr. Kathrin Möslein. Für die materielle Förderung meiner Arbeit danke ich dem Land BadenWürttemberg und der Albert-Ludwigs-Universität Freiburg. Große Unterstützung habe ich durch die Kolleginnen und Kollegen der Abteilung Telematik des Instituts für Informatik und Gesellschaft erhalten, denen ich dafür herzlich danken möchte. Insbesondere möchte ich Herrn Dr. Stefan Sackmann, Herrn Dr. Jens Strüker, Herrn Titus Faupel sowie Herrn Daniel Gille meinen Dank aussprechen, die ich als brilliante Diskussionspartner überaus zu schätzen gelernt habe. Herrn Lutz Lowis und Herrn Moritz Strasser danke ich für den ihre stete Bereitschaft bei Problemen mit dem PC und den Tücken des Textverarbeitungsprogramms.
X
Vorwort
Ein besonders großes und herzliches Dankeschön gebührt meinen Eltern, die mich während der gesamten Ausbildungszeit stets und uneingeschränkt unterstützt haben. Ohne ihre Unterstützung wäre mein persönlicher und beruflicher Werdegang nicht möglich gewesen. Es ist mir daher eine große Freude, ihnen diese Arbeit zu widmen. Oliver Prokein
Inhaltsverzeichnis
XI
Inhaltsverzeichnis Inhaltsverzeichnis................................................................................................................... XI Abbildungsverzeichnis ..........................................................................................................XV Tabellenverzeichnis............................................................................................................XVII Abkürzungsverzeichnis....................................................................................................... XIX 1
Einleitung .............................................................................................................................1
1.1
Zunehmende wirtschaftliche Bedeutung von IT-Risiken .................................................................... 1
1.2
Problemstellung und Zielsetzung der Arbeit........................................................................................ 3
1.3
Aufbau der Arbeit................................................................................................................................... 4
2
IT-Risiko und IT-Risikomanagement ...............................................................................7
2.1
Risikobegriff............................................................................................................................................ 7
2.2
IT-Risiken und Abgrenzung zu anderen Unternehmensrisiken......................................................... 9
2.2.1
Klassifikation von Unternehmensrisiken ............................................................................................. 9
2.2.2
Definition und Eigenschaften von IT-Risiken ................................................................................... 11
2.2.2.1
Definition von IT-Risiko .......................................................................................................... 11
2.2.2.2
Schutzziele................................................................................................................................ 12
2.2.2.3
Angriffe .................................................................................................................................... 13
2.3
3
Der IT-Risikomanagementprozess ...................................................................................................... 15
Identifikation und Quantifizierung von IT-Risiken.......................................................19
3.1
Identifikation von IT-Risiken .............................................................................................................. 19
3.1.1
Kollektionsmethoden ......................................................................................................................... 20
3.1.1.1
Checklisten ............................................................................................................................... 20
3.1.1.2
Befragungstechniken ................................................................................................................ 20
3.1.1.2.1
Expertenbefragungen........................................................................................................... 20
3.1.1.2.2
Self-Assessment................................................................................................................... 21
XII
Inhaltsverzeichnis 3.1.1.3
3.1.2
Analyse unternehmensinterner und -externer Daten ................................................................ 22
Kreativitätsmethoden ......................................................................................................................... 23
3.1.2.1
Brainstorming und Brainwriting............................................................................................... 23
3.1.2.2
Synektik.................................................................................................................................... 24
3.1.2.3
Delphi-Methode........................................................................................................................ 24
3.1.3
Analytische Suchmethoden................................................................................................................ 25
3.1.3.1
Fehlermöglichkeits- und Einflussanalyse ................................................................................. 25
3.1.3.2
Angriffsbäume.......................................................................................................................... 27
3.1.3.3
Hazard and Operability Studies................................................................................................ 28
3.1.3.4
Fragenkatalog ........................................................................................................................... 29
3.1.4 3.2
Bewertung der Methoden................................................................................................................... 30 Quantifizierung von IT-Risiken .......................................................................................................... 35
3.2.1
Indikator-Ansätze............................................................................................................................... 36
3.2.1.1
Schlüsselwert-Methode ............................................................................................................ 36
3.2.1.2
Modifizierter Basisindikatoransatz nach Basel II..................................................................... 38
3.2.1.3
Modifizierter Standardansatz nach Basel II.............................................................................. 40
3.2.1.4
Interner Bemessungsansatz ...................................................................................................... 43
3.2.1.5
Scorecard-Ansätze.................................................................................................................... 45
3.2.1.6
Capital Asset Pricing Model..................................................................................................... 46
3.2.2
Szenarioanalyse.................................................................................................................................. 47
3.2.3
Stochastische Methoden..................................................................................................................... 49
3.2.3.1
Vollenumeration....................................................................................................................... 49
3.2.3.2
Monte-Carlo-Simulation........................................................................................................... 53
3.2.3.2.1
Vorgehensweise................................................................................................................... 53
3.2.3.2.2
Kritische Analyse ................................................................................................................ 57
3.2.3.3
3.2.4
Extremwerttheorie .................................................................................................................... 58
3.2.3.3.1
Grundlage der klassischen Extremwerttheorie .................................................................... 58
3.2.3.3.2
Peaks-over-Threshold Methode........................................................................................... 59
3.2.3.3.3
Kritische Analyse ................................................................................................................ 62
Bayes-Netze als Kausalmethode ........................................................................................................ 63
3.2.4.1
Die Bayes Regel ....................................................................................................................... 64
3.2.4.2
Bestandteile und Eigenschaften eines Bayes-Netzes................................................................ 64
3.2.4.3
Aufbau eines Bayes-Netzes ...................................................................................................... 66
3.2.4.4
Kritische Analyse ..................................................................................................................... 71
3.2.5
Bewertung der Methoden................................................................................................................... 72
Inhaltsverzeichnis
4
XIII
Wirtschaftliche Steuerung von IT-Risiken .....................................................................79
4.1
Maßnahmen zur Steuerung von IT-Risiken....................................................................................... 79
4.1.1
Kategorisierung von Steuerungsmaßnahmen..................................................................................... 79
4.1.1.1 4.1.1.1.1
Risikoreduktion ........................................................................................................................ 79 Firewall-Konzepte ............................................................................................................... 80
4.1.1.1.2
Anti-Viren-Software ............................................................................................................ 81
4.1.1.1.3
Identifikation und Authentifikation ..................................................................................... 82
4.1.1.1.4
Einbrucherkennungssysteme ............................................................................................... 83
4.1.1.1.5
Kryptographische Verfahren................................................................................................ 84
4.1.1.1.6
Digitale Signaturen .............................................................................................................. 87
4.1.1.1.7
Public-Key-Infrastrukturen.................................................................................................. 87
4.1.1.2
Risikodiversifikation ................................................................................................................ 88
4.1.1.3
Risikovermeidung .................................................................................................................... 89
4.1.1.4
Risikovorsorge.......................................................................................................................... 89
4.1.1.5
Risikotransfer ........................................................................................................................... 91
4.1.1.5.1
Versicherungen.................................................................................................................... 91
4.1.1.5.2
Alternative-Risiko-Transfer Instrumente............................................................................. 93
4.1.2
Diskussion der Maßnahmen............................................................................................................... 98
4.1.3
Entscheidungsunterstützung bei der Ergreifung von Maßnahmen durch Matrix-Ansätze................. 99
4.2
Einperiodiges Modell zur wirtschaftlichen Steuerung .................................................................... 102
4.2.1
Annahmen ........................................................................................................................................ 103
4.2.2
Ermittlung der optimalen Investitionssumme in technische Sicherheitsmechanismen und
4.2.3
Berücksichtigung von Eigenkapital- und Budgetlimite für Investitionen ........................................ 110
Versicherungspolicen....................................................................................................................... 107
4.2.3.1
Nebenbedingung 1: Berücksichtigung von Eigenkapitallimite .............................................. 112
4.2.3.2
Nebenbedingung 2: Berücksichtigung von Budgetlimite für Investitionen............................ 113
4.2.3.3
Gleichzeitiges Vorliegen von Eigenkapital- und Budgetlimite für Investitionen................... 114
4.2.4 4.3
Limitationen des Modells................................................................................................................. 115 Mehrperiodiges Modell zur wirtschaftlichen Steuerung................................................................. 116
4.3.1
Auswahl einer geeigneten Bewertungsmethode .............................................................................. 116
4.3.1.1 4.3.1.1.1
Methoden der betriebswirtschaftlichen Investitionsrechnung ................................................ 116 Statische Methoden............................................................................................................ 116
4.3.1.1.1.1
Return on Investment und Return on Security Investment......................................... 117
4.3.1.1.1.2
Amortisationsdauer .................................................................................................... 118
4.3.1.1.1.3
Risikoadjustierte Performance Kennzahlen................................................................ 119
4.3.1.1.1.4
Economic Value Added.............................................................................................. 120
4.3.1.1.2
Dynamische Methoden ...................................................................................................... 121
4.3.1.1.2.1
Kapitalwertmethode ................................................................................................... 121
4.3.1.1.2.2
Methode des internen Zinssatzes................................................................................ 122
XIV
Inhaltsverzeichnis 4.3.1.1.2.3
Annuitätenmethode .................................................................................................... 124
4.3.1.2
Anforderungen an die Methode.............................................................................................. 125
4.3.1.3
Auswahl einer Methode.......................................................................................................... 125
4.3.2
Modell.............................................................................................................................................. 126
4.3.2.1
Annahmen .............................................................................................................................. 127
4.3.2.2
Bewertung der Vorteilhaftigkeit einer Investition zum Zeitpunkt t=0 ................................... 131
4.3.2.3
Bewertung der Vorteilhaftigkeit einer Investition zu unterschiedlichen Zeitpunkten und Ermittlung des optimalen Investitionszeitpunkts.................................................................... 133
4.3.2.4
Zusätzliche Berücksichtigung von Risiko- bzw. Budgetlimiten............................................. 137
4.3.2.5
Limitationen des Modells ....................................................................................................... 140
5
Zusammenfassung...........................................................................................................141
6
Literaturverzeichnis........................................................................................................145
Stichwortverzeichnis .............................................................................................................161
Abbildungsverzeichnis
XV
Abbildungsverzeichnis Abbildung 1:
IT-Risiko-Referenzmodell. ............................................................................ 2
Abbildung 2:
Anzahl der gemeldeten Schwachstellen......................................................... 3
Abbildung 3:
Anzahl gemeldeter Zwischenfälle aufgrund von Angriffen........................... 3
Abbildung 4:
Erwartungswert, Value-at-Risk und Expected Shortfall. ............................... 8
Abbildung 5:
Abgrenzung von Unternehmensrisiken........................................................ 10
Abbildung 6:
Kategorisierung operationeller Risiken nach ihren Ursachen...................... 11
Abbildung 7:
Bedrohungen und Angriffe........................................................................... 14
Abbildung 8:
IT-Risikomanagementprozess...................................................................... 16
Abbildung 9:
Kategorisierung von Methoden zur Identifikation von IT-Risiken.............. 19
Abbildung 10:
Beispiel eines Angriffbaums........................................................................ 27
Abbildung 11:
Kategorisierung ausgewählter Methoden zur Quantifizierung von ITRisiken ......................................................................................................... 35
Abbildung 12:
Beispielhafte Trendanalyse unterschiedlicher Risikoindikatoren................ 37
Abbildung 13:
Ermittlung einer Verlusthäufigkeits- und Verlusthöhenverteilung auf Basis von Expertenangaben.................................................................................. 48
Abbildung 14:
Verlusthäufigkeitsverteilung, Verlusthöhenverteilung und
Abbildung 15:
Verlauf der poisson-verteilten Verlusthäufigkeiten im Beispielfall. ........... 55
Abbildung 16:
Verlauf der exponential-verteilten Verlusthöhen im Beispielfall. ............... 56
Abbildung 17:
Verlauf der Gesamtverlustverteilung im Beispielfall. ................................. 57
Abbildung 18:
Verluste X1 bis X12 und korrespondierende Exzesse Y1 bis Y6 über dem
Gesamtverlustverteilung. ............................................................................. 52
Schwellenwert u........................................................................................... 60 Abbildung 19:
A-posteriori-Verteilung, A-priori-Verteilung und Likelihood-Funktion..... 64
Abbildung 20:
Beispielhafte Quantifizierung von Verlusten aus Viren befallene Mails mittels eines Bayes- Netzes.......................................................................... 67
Abbildung 21:
Deduktion im Rahmen eines Bayes-Netzes. ................................................ 70
Abbildung 22:
Induktion im Rahmen eines Bayes-Netzes. ................................................. 71
Abbildung 23:
Einsatz technischer Sicherheitsmechanismen bei Unternehmen. ................ 80
Abbildung 24:
Gleichgewichtsbedingungen im Risikotragfähigkeitskalkül........................ 89
Abbildung 25:
ART-Instrumente im Überblick. .................................................................. 94
XVI
Abbildung 26:
Abbildungsverzeichnis
Exemplarische Risikomatrix und Zuordnung von Maßnahmen zur Risikosteuerung.......................................................................................... 100
Abbildung 27:
Trade-off zwischen E(L) sowie OCC einerseits und IS andererseits......... 102
Abbildung 28:
Optimaler Sicherheits- und Versicherungslevel. ....................................... 110
Abbildung 29:
Trade-off zwischen E(L) und OCC einerseits und ISM sowie IVers
Abbildung 30:
Berücksichtigung von Eigenkapital- und Budgetlimiten. .......................... 113
Abbildung 31:
Beispielhafte Analyse unterschiedlicher Szenarien. .................................. 132
Abbildung 32:
Berechnung des Kapitalwerts NPV0 in Abhängigkeit zum
andererseits................................................................................................. 112
Investitionszeitpunkt y. .............................................................................. 135
Tabellenverzeichnis
XVII
Tabellenverzeichnis Tabelle 1:
HAZOP-Schlüsselworte. .................................................................................. 29
Tabelle 2:
Auszug eines Fragekatalogs des BSI zur Identifikation von IT-Risiken. ........ 30
Tabelle 3:
Gewichtung der Kriterien zur Bewertung der Identifikationsmethoden. ......... 31
Tabelle 4:
Punkteskala zur Beurteilung der Kriterienerfüllung ........................................ 32
Tabelle 5:
Bewertung der Methoden zur Identifikation von IT-Risiken........................... 33
Tabelle 6:
Geschäftsfelder und Betafaktoren im Rahmen des STA.................................. 40
Tabelle 7:
Übersicht der J-Werte in Abhängigkeit von der erwarteten Häufigkeit E(Q). 45
Tabelle 8:
Exemplarische Daten über Verlusthäufigkeiten und Verlusthöhen. ................ 50
Tabelle 9:
Berechnung der Gesamtverluste mit dazugehörigen Wahrscheinlichkeiten.... 50
Tabelle 10:
Datengrundlage der Gesamtverlustverteilung.................................................. 51
Tabelle 11:
Bedingte Wahrscheinlichkeiten der Verlusthöhe............................................. 68
Tabelle 12:
Bedingte Wahrscheinlichkeiten der Verlusthäufigkeiten................................. 68
Tabelle 13:
Bedingte Wahrscheinlichkeiten der Gesamtverlustverteilung. ........................ 69
Tabelle 14:
Wahrscheinlichkeiten der Gesamtverluste. ...................................................... 69
Tabelle 15:
Gewichtung der Kriterien zur Bewertung der Quantifizierungsmethoden. ..... 74
Tabelle 16:
Punkteskala zur Beurteilung der Kriterienerfüllung ........................................ 75
Tabelle 17:
Bewertung der Methoden zur Quantifizierung von IT-Risiken ....................... 76
Tabelle 18:
Klassifizierung von Risikodeckungsmassen. ................................................... 91
Tabelle 19:
Versicherbarkeit von IT-Risiken...................................................................... 93
Tabelle 20:
Szenarien für die Riskomatrix........................................................................ 101
Tabelle 21:
Vergleich der Methoden der Investitionsrechnung gemäß den Anforderungen................................................................................................ 126
Tabelle 22:
Kapitalwerte bei unterschiedlichen Investitionszeitpunkten y....................... 136
Tabelle 23:
Kapitalwerte bei unterschiedlichen Wachstumsfaktoren g ............................ 137
Tabelle 24:
Eigenkapitalunterlegung für unerwartete Schäden CCt bei Investition in y... 139
Abkürzungsverzeichnis
Abkürzungsverzeichnis AES
Advanced Encryption Standard
AMA
Ambitionierter Messansatz
ART
Alternative Risikotransfer Instrumente
ASA
Alternativen Standardansatz
BIA
Basisindikatoransatz
BKA
Bundeskriminalamt
bspw.
beispielsweise
bzgl.
bezüglich
bzw.
beziehungsweise
CAPM
Capital Asset Pricing Model
CERT
Computer Emergency Response Team
c.p.
ceteris paribus
CRM
Customer Relationship Management
CSI
Computer Security Institute
DES
Data Encryption Standard
DFG
Deutsche Forschungsgemeinschaft
d.h.
das heißt
DIPO
Database Italiano delle Perdite Operative
DoS
Denial-of-Service
e.V.
eingetragener Verein
EKL
Eigenkapitallimit
erw.
erwartet(e)
ES
Expected Shortfall
et al.
et alii (und andere)
EVA
Economic Value Added
f.
folgende
ff.
fortfolgende
FBI
Federal Bureau of Investigation
FMEA
Fehlermöglichkeits- und Einflussanalyse
FN
Fußnote
XIX
XX
Abkürzungsverzeichnis
GEV
verallgemeinerte Extremwertverteilung
ggf.
gegebenenfalls
GOLD
Global Operational Loss Database
GPD
verallgemeinerte Pareto-Verteilung
HAZOP
Hazard and Operability Studies
HGB
Handelsgesetzbuch
i.d.R.
in der Regel
i.e.S.
im engeren Sinne
i.H.v.
in Höhe von
i.S.e.
im Sinne einer/eines
i.V.m.
in Verbindung mit
IMA
interner Bemessungsansatz (englisch: internal measurement approach)
IRBS
Insurance Risk Backed Securities
IT
Informationstechnologie
KonTraG
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
NOA
Net Operating Asssets
NOPAT
Net Operating Profit After Taxes
NPV
Net Present Value (Kapitalwert)
ORX
Operational Risk eXchange association
PCAOB
Public Company Accounting Oversight Board
resp.
respektive
PAAG
Prognose-Auffinden-Ausmerzen-Gegenmaßnahmen
PGP
Pretty Good Privacy
PIN
persönliche Identifikationsnummer
PKI
Public-Key Infrastruktur
POT
Peaks-over-Threshold-Ansatz
RAROC
Risk Adjusted Return on Capital
ROI
Return on Investment
RORAC
Return on Risk Adjusted Capital
ROSI
Return on Security Investment
RPZ
Risiko-Prioritäts-Zahl
S.
Seite
SEC
Security and Exchange Commission
SPV
Special Purpose Vehicle
Abkürzungsverzeichnis
STA
Standardansatz
u.U.
unter Umständen
vgl.
vergleiche
vs.
versus
WACC
Weighted Average Cost of Capital
z.B.
zum Beispiel
zzgl.
zuzüglich
XXI
Zunehmende wirtschaftliche Bedeutung von IT-Risiken
1
1 Einleitung 1.1 Zunehmende wirtschaftliche Bedeutung von IT-Risiken In der Betriebswirtschaftslehre wächst die Überzeugung, dass Unternehmen sowohl bei der Schätzung zukünftiger Zahlungsströme als auch zur Erfüllung regulatorischer Transparenzanforderungen und gesetzlicher Publizitätspflichten (z.B. KonTraG1, Basel II2; Sarbanes-Oxley Act3) jederzeit in der Lage sein müssen, unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln.4 Die Informationstechnologie (IT) nimmt dabei eine Doppelrolle ein: Sie schafft einerseits die Voraussetzungen für die Aggregation von Daten zu aussagefähigen Ertrags- und Risikoinformationen und sie erzeugt andererseits selbst Risiken. In dieser zweiten Rolle ist die IT und die von ihr ausgehenden Risiken Gegenstand dieser Arbeit. IT-Risiken entstehen aufgrund von umgesetzten Bedrohungen, die als Angriffe bezeichnet werden. Wie im IT-Risiko-Referenzmodell (vgl. Abbildung 1) illustriert ist, nutzen Angriffe i.d.R. eine oder mehrere Schwachstellen von IT-Anwendungen aus. Schwachstellen sind Eigenschaften der IT-Anwendungen, die entweder durch handwerkliche oder methodische Fehler begründet sind. Durch den Einsatz von technischen Schutzmechanismen kann den Schwachstellen (teilweise) entgegengewirkt werden, wobei zu konstatieren ist, dass technische Schutzmechanismen i.d.R. keinen vollständigen Schutz bieten können.5 Wird eine Schwachstelle oder ein technischer Schutzmechanismus von einem Angriff überwunden, besteht die Gefahr, dass die vom Unternehmen für die IT-Anwendungen gesetzten Schutzziele verletzt werden. Schutzziele sind ein Werkzeug des IT-Sicherheitsmanagements und dienen zum Festlegen von Sicherheitsrichtlinien. Die Verletzung eines oder mehrerer Schutzziele kann zu Störungen in den von IT-Anwendungen unterstützten Geschäftsprozessen führen. Diese Ursache-Wirkungs-Relationen stellen eine besondere Eigenschaft von IT-Risiken dar und sind bei der Erfassung der finanziellen Auswirkungen von Angriffen zu berücksichtigen.
1
2 3
4 5
Vgl. z.B. Dewor und Wefers (2002), S. 242; Kuhl und Nickel (1999), S. 133; Wolf und Runzheimer (2001), S. 18; Füser, Gleißner und Meier (1999), S. 754ff; Hermann (1999), S. 1072ff. Vgl. Basler Ausschuss für Bankenaufsicht (2004), S. 7, S. 12ff., S. 146 und S. 163. Vgl. bspw. Glaum, Thomaschewski und Weber (2006), S. 11f.; Wagner und Lee (2006), S. 133; Knolmayer und Wermelinger (2006), S. 11; Brown und Nasuti (2005), S. 16ff.; Chan und Lepeak (2004), S. 34ff.; Damianides (2005), S. 78; Kaarst-Brown und Kelly (2005), S. 6f.; von der Crone und Roth (2003), S. 132. Vgl. Faisst und Buhl (2005), S. 403. Vgl. hierzu die Ausführungen in Kapitel 4.1.1.1.
2
Einleitung
Geschäftsprozesse
Prozess 1
Prozess 2
Prozess 3
IT-Anwendungen
Anwendung 1
Anwendung 2
Schwachstellen und Schutzmechanismen
Schwachstelle1
Schwachstelle2
Bedrohungen*
Schutzmechanismus 1
Bedrohung1
Bedrohung2
* umgesetzte Bedrohung = Angriff
Abbildung 1: IT-Risiko-Referenzmodell.6
Empirische Untersuchungen des Computer Emergency Response Team (CERT) der Carnegie Mellon University zeigen auf, dass die Anzahl der zwischen den Jahren 1995 und 2006 gemeldeten Schwachstellen sehr angestiegen ist (vgl. Abbildung 2). Eine gestiegene Anzahl an Schwachstellen impliziert eine größere „Angriffsfläche“ und erhöht damit für Unternehmen die Gefahr, Verluste aus Angriffen zu erleiden. Vor diesem Hintergrund überrascht es nicht, dass auch die Anzahl der gemeldeten Zwischenfällen aufgrund von Angriffen (vgl. Abbildung 3) einen ähnlichen Verlauf annimmt. Legt man zugrunde, dass mit einem Anstieg der Anzahl der gemeldeten Zwischenfälle auch die Anzahl der Verlustereignisse gestiegen ist und deren jeweilige durchschnittliche Verlusthöhe zumindest nicht gesunken ist, so folgt daraus, dass auch die Gesamtverluste durch eingetretene IT-Risiken gestiegen sind. Für deutsche Unternehmen zeigt die empirische Studie Electronic Commerce Enquête 2005, dass Unternehmen zukünftig planen, den Einsatz von IT sowie den Vernetzungsgrad weiter auszuweiten.7 Im Vergleich zum Status quo ist daher davon auszugehen, dass IT-Risiken in Zukunft noch weiter an Bedeutung gewinnen werden.
6
7
Das IT-Risiko-Referenzmodell ist in gemeinsamer Diskussion mit Prof. Dr. Günter Müller und Dr. Stefan Sackmann (Albert-Ludwigs-Universität Freiburg, Institut für Informatik und Gesellschaft, Abteilung Telematik) im Vorfeld des bei der Deutschen Forschungsgemeinschaft (DFG) eingereichten Antrags „PROMISS – Erweitertes Prozessmodell für das Management von IT-Risiken“ entstanden. Vgl. Sackmann und Strüker (2005), S. 22ff.; Prokein und Sackmann (2005), S. 14ff.; Prokein und Sackmann (2006), S. 275ff.; Prokein und Faupel (2006), S. 4f.; Prokein, Faupel und Gille (2007), S. 5f.; Faupel und Sackmann (2005), S. 12ff.; Strüker und Gille (2006), S. 21ff.
Problemstellung und Zielsetzung der Arbeit
3
1200000
10000 8000
800000 6000 4000
400000 2000 0 1996
0 1998
2000
2002
Abbildung 2: Anzahl der gemeldeten Schwachstellen.
2004
2006
1996
1998
2000
2002
2004
2006
Abbildung 3: Anzahl gemeldeter Zwischenfälle aufgrund von Angriffen.8
Quelle: In Anlehnung an CERT/CC (2006).
1.2 Problemstellung und Zielsetzung der Arbeit Unternehmen reagieren auf die angestiegene Bedeutung der IT-Risiken verstärkt mit Investitionen in technische Sicherheitsmechanismen.9 Die Investitionsbereitschaft in technische Sicherheitsmechanismen hängt in der Praxis häufig von den bestehenden Verantwortlichkeiten für die IT-Risiken ab: x
Bestehen explizite Verantwortlichkeiten, werden oftmals zu hohe Investitionen zur Reduktion von IT-Risiken durchgeführt, welche betriebswirtschaftlich teilweise nicht vorteilhaft sind (Optimierungskalkül: Risiken minimieren). Diese Gefahr besteht insbesondere, wenn Vorstände und Geschäftsführer für IT-Risiken haftbar sind.10
x
Bestehen keine expliziten Verantwortlichkeiten, besteht die Gefahr, dass IT-Risiken unterschätzt und betriebswirtschaftlich sinnvolle Investitionen nicht getätigt werden (Optimierungskalkül: Für das operative Geschäft nicht zwingend erforderliche Auszahlungen minimieren).
Eine wirtschaftliche Steuerung von IT-Risiken erfordert eine integrierte Sicht dieser beiden Optimierungskalküle. Den durch Investitionen in technische Sicherheitsmechanismen erzielbaren zukünftigen Einzahlungen i.S.e. Reduktion der erwarteten Verluste sowie den Opportunitätskosten der Eigenkapitalunterlegung für unerwartete Verluste sind die zukünftigen Auszahlungen für den Mechanismus entgegenzustellen. Diese Gegenüberstellung kann durch die
8
9 10
Das CERT hat eine Statistik bzgl. der gemeldeten Angriffe bis zum Jahr 2003 im Internet veröffentlicht (URL: http://www.cert.org/stats/cert_stats.html). Für die Jahre 2004 bis 2006 wurde eine Extrapolation auf Basis des Durchschnitts der Wachstumsfaktoren von 1999 bis 2003 vorgenommen. Vgl. Gordon et al. (2006), S. 6f. Für eine Übersicht der Rechtslage vgl. bspw. Tödtmann (2005), S. 6.
4
Einleitung
Nutzung von statischen und dynamischen Methoden der betriebswirtschaftlichen Investitionsrechnung erfolgen. Eine empirische Untersuchung bei amerikanischen Unternehmen zeigt jedoch auf, dass die Nutzung dieser Methoden zur Bewertung der ökonomischen Vorteilhaftigkeit von Investitionen in technische Sicherheitsmechanismen oftmals daran scheitert, dass die durch die Implementierung des Mechanismus erzielbare zukünftige Reduktion der erwarteten und unerwarteten Verluste aus IT-Risiken nicht berechnet werden kann.11 Aus der Sicht der Unternehmensleitung wird zur Entscheidungsunterstützung ein Modell zur betriebswirtschaftlichen Investitionsrechnung von technischen Sicherheitsmechanismen benötigt, um die Voraussetzungen für eine wirtschaftliche Steuerung von IT-Risiken zu schaffen. Das Ziel der Arbeit ist es, ein Modell zur Verfügung zu stellen, das Unternehmen bei Entscheidungen über Investitionen in technische Sicherheitsmechanismen unterstützen soll, eine wirtschaftliche Steuerung von IT-Risiken zu realisieren.
1.3 Aufbau der Arbeit In Kapitel 2 „IT-Risiko und IT-Risikomanagement“ wird der Untersuchungsgegenstand der Arbeit definiert. Zunächst wird der Begriff „Risiko“ erläutert und anschließend die IT-Risiken in die Risikolandschaft von Unternehmen eingeordnet. Somit werden die Voraussetzungen für die Vermeidung einer Doppelerfassungen von Verlustereignissen im Kontext eines ganzheitlichen Risikomanagements geschaffen. Weiter werden IT-Risiken definiert und Einzelrisiken kategorisiert. Die Definition der IT-Risiken erfolgt anhand des Konzepts der Mehrseitigen Sicherheit. Für die Kategorisierung von Bedrohungen resp. potentiellen Angriffen, welche die Einzelrisiken darstellen, werden die Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik herangezogen. Schließlich wird mit dem IT-Risikomanagementprozess eine Vorgehensweise zum Management von IT-Risiken vorgestellt, welcher die Grundlage für die Kapitel 3 und 4 darstellt. In Kapitel 3 werden Methoden zur Durchführung der ersten beiden Phasen des ITRisikomanagementprozesses „Identifikation und Quantifizierung von IT-Risiken“ kategorisiert, erläutert und bewertet. Die Methoden zur Identifikation von IT-Risiken ermöglichen die Entdeckung von Schwachstellen bei IT-Anwendungen (vgl. Abbildung 1). Basierend auf den entdeckten Schwachstellen können unternehmensrelevante Bedrohungen ermittelt werden, die die Schwachstellen ausnutzen und einen finanziellen Verlust verursachen können. In der anschließenden Quantifizierungsphase werden die zukünftig zu erwartenden Verluste aus den identifizierten unternehmensrelevanten Bedrohungen geschätzt.
11
Vgl. Gordon und Loeb (2006), S. 123.
Aufbau der Arbeit
5
Die „Wirtschaftliche Steuerung“ von IT-Risiken ist Gegenstand von Kapitel 4. Zunächst werden zur Verfügung stehende Maßnahmen zur Steuerung von IT-Risiken vorgestellt und aufgezeigt, dass technischen Sicherheitsmechanismen neben Versicherungen eine Schlüsselrolle bei der Steuerung von IT-Risiken zukommt. Zur Entscheidungsunterstützung über die Ermittlung der optimalen Investitionssumme in technische Sicherheitsmechanismen und Versicherungspolicen wird ein einperiodiges und stetiges Modell entwickelt, das den Trade-off zwischen den Investitionen einerseits und der Reduktion der erwarteten Verluste sowie den Opportunitätskosten der Eigenkapitalunterlegung andererseits berücksichtigt. Für die Berechung der Reduktion der erwarteten und unerwarteten Verluste wird das Konzept des Sicherheitsund Versicherungslevels eingeführt. Da in der Realität jedoch Investitionsentscheidungen i.d.R. über mehrere Perioden erfolgen und nur diskrete Handlungsalternativen vorliegen, wird ein mehrperiodiges Modell entwickelt, das eine betriebswirtschaftliche Bewertung von Investitionen in technische Sicherheitsmechanismen auf Basis der Kapitalwertmethode erlaubt.12 Um die in der Praxis häufig beobachtbaren Effekte von über den Zeitablauf sinkenden Anfangsinvestitionen und steigenden Verlusten berücksichtigen zu können, wird dieses Modell dahingehend erweitert, dass der optimale Investitionszeitpunkt in einen technischen Sicherheitsmechanismus ermittelt werden kann. Ferner wird das Vorliegen von Budgetlimite für Investitionen und Risikolimite für die unerwarteten Verluste berücksichtigt und aufgezeigt, wie diese die Investitionsentscheidung beeinflussen können. Als Ergebnis steht Unternehmen damit ein mehrperiodiges Modell zur betriebswirtschaftlichen Investitionsrechnung von technischen Sicherheitsmechanismen zur Verfügung, welches bei der Realisierung einer wirtschaftlichen Steuerung von IT-Risiken unterstützen kann. Die Arbeit schließt mit einer Zusammenfassung der gewonnenen Ergebnisse und der Ableitung von offenen Forschungsfragen auf dem Gebiet des IT-Risikomanagements ab.
12
Das Modell kann alternativ zur Berechnung der Vorteilhaftigkeit von Versicherungspolicen eingesetzt werden. Der Fokus dieser Arbeit liegt jedoch auf den technischen Sicherheitsmechanismen.
Risikobegriff
7
2 IT-Risiko und IT-Risikomanagement 2.1 Risikobegriff Die Anzahl der Risikodefinitionen ist sehr umfangreich und konzentriert sich primär auf die negative Abweichung eines erwarteten Zielzustandes.13 Etymologisch ist dies auch tatsächlich der Fall, denn im 16. Jahrhundert erhielt der Begriff „Risiko“ Eingang in die deutsche Sprache als Entlehnung des italienischen Wortes ris(i)co (die Klippe, die es zu umschiffen gilt) sowie des griechischen Wortes riza (die Wurzel, über die man stolpern kann). Ebenso existieren etymologische Wurzeln des Begriffs „Risiko“, die sowohl eine negative Komponente als auch eine positive Komponente betonen. Im chinesischen Schriftzeichen für Risiko Wei-ji sind die beiden Zeichen für Chance und Gefahr enthalten. Im modernen Risikomanagement wird überwiegend zwischen dem entscheidungsorientierten und ausfallorientierten Risikobegriff unterschieden. Im entscheidungsorientierten Sinne wird unter Risiko die Streuung der Zielgrößenwerte um den Erwartungswert verstanden und durch die Standardabweichung bzw. der Varianz gemessen.14 Somit beinhaltet der Begriff Risiko sowohl die Berücksichtigung einer positiven als auch einer negativen Abweichung des Zielgrößenwerts vom Erwartungswert. Das Risiko ist umso größer, je größer die Standardabweichung bzw. die Varianz ist. Beim ausfallorientierten Risikobegriff wird Risiko als Gefahr einer negativen Abweichung des tatsächlich realisierten Ergebnisses vom geplanten bzw. erwarteten Ergebniswert verstanden.15 Dem Risiko steht die Chance als positive Abweichung vom Ergebniswert gegenüber, welche jedoch bei der ausfallorientierten Risikomessung unberücksichtigt bleibt.16 Das wohl bekannteste Risikomaß aus dem Spektrum der Ausfallrisiken ist der Value-at-Risk, welcher definiert ist als der geschätzte, maximale Wertverlust einer Einzelposition oder eines Portfolios, der unter üblichen Marktbedingungen, innerhalb eines festgelegten Zeitraums, mit einer bestimmten Wahrscheinlichkeit, nicht überschritten wird.17 In Abbildung 4 wird mit einer Wahrscheinlichkeit von 95% der Verlust innerhalb der betrachteten Periode nicht mehr als 25.000 GE betragen. Üblicherweise werden die erwarteten Verluste als Standard-Risikokosten bei der Bepreisung von Produkten und Dienstleistungen berücksichtigt und stellen daher kein Risiko für das Unternehmen dar. Das Risiko beschränkt 13
14 15 16 17
Vgl. hierzu und im Folgenden Müller-Reichhart (1994), S. 9ff.; Brink und Romeike (2005), S. 58; Wagner (2000), S. 7f. Vgl. Eisele (2004), S. 10f. Vgl. Schierenbeck und Lister (2002), S. 183. Vgl. Eisele (2004), S. 12. Vgl. Schierenbeck (2001b), S. 17.
8
IT-Risiko und IT-Risikomanagement
sich in diesem Fall auf die unerwarteten Verluste (15.000 GE). Sofern die erwarteten Verluste nicht bei der Bepreisung von Produkten bzw. Dienstleistungen berücksichtigt werden, umfasst das Risiko sowohl die erwarteten als auch die unerwarteten Verluste (25.000 GE). Neben dem Value-at-Risk wird oftmals auch der Expected Shortfall als Risikomaß herangezogen.18 Dieser gibt den Durchschnitt aller Verluste an, die größer oder gleich dem Value-at-Risk sind.19 Entgegen dem Value-at-Risk stellt der Expected Shortfall ein kohärentes Risikomaß20 dar.21 Value-at-Risk (Konfidenzniveau z.B. 95%)
Wahrscheinlichkeit
Erwartungswert erwartete Verluste
Expected Shorfall
unerwartete Verluste
10.000
25.000 Verluste (in GE)
Abbildung 4: Erwartungswert, Value-at-Risk und Expected Shortfall.
Da es sich bei IT-Risiken ausschließlich um Verlustereignisse handelt, besteht das Risiko in einer negativen Abweichung vom Erwartungswert. Aus diesem Grund wird in dieser Arbeit der ausfallorientierte Risikobegriff zugrunde gelegt und das Risiko über den Value-at-Risk sowie den Expected Shortfall gemessen. Geschäftsberichten vieler deutscher Unternehmen ist zu entnehmen, dass zur Bewertung aller eingegangener Unternehmensrisiken der Value-at-Risk als einheitliches Risikomaß herangezogen und somit der ausfallorientierte Risikobegriff zugrunde gelegt wird.22 Durch die Nutzung des Value-at-Risk als einheitliches Risikomaß wird ein Vergleich der eingegangenen Unternehmensrisiken erleichtert.
18
19 20
21 22
Der Expected Shortfall wird häufig auch als Conditional-Value-at-Risk, Mean Excess Loss, Mean Shortfall oder Tail-Value-at-Risk bezeichnet (vgl. Rockafellar und Uryasev (2000), S. 21). Vgl. Rockafellar und Uryasev (2000), S. 22. Ein kohärentes Risikomaß erfüllt die vier Axiome Translationsinvarianz, Subadditivität, Positive Homogenität und Monotonie (vgl. Artzner et al. (1999), S. 209f.). Beim Value-at-Risk wird das Axiom der Subadditivität verletzt, welches besagt, dass das Gesamtrisiko von in einem Bestand zusammengefasster Einzelrisiken nicht höher sein darf als die Summe der jeweiligen Einzelrisiken. Vgl. Acerbi und Tasche (2002), S. 1490f. Vgl. DaimlerChrysler (2006), S. 71ff.; Deutsche Bank (2006), S. 58ff.; E.ON (2006), S. 173; SAP (2005), S. 84.
IT-Risiken und Abgrenzung zu anderen Unternehmensrisiken
9
Im Folgenden werden IT-Risiken in die Risikolandschaft von Unternehmen eingeordnet und anschließend definiert und erläutert.
2.2 IT-Risiken und Abgrenzung zu anderen Unternehmensrisiken 2.2.1 Klassifikation von Unternehmensrisiken Unternehmen können sich einer Vielzahl von Risiken gegenüber konfrontiert sehen, die in Abbildung 5 illustriert sind. Dabei sind zwei grundlegend unterschiedliche Arten von Risiken zu unterscheiden: Finanzrisiken und operationelle Risiken. Finanzrisiken beziehen sich auf die Finanzströme eines Unternehmens und umfassen sämtliche Risiken des Wertbereichs.23 Innerhalb der Finanzrisiken kann wiederum zwischen Liquiditätsrisiken und Erfolgsrisiken differenziert werden. Liquiditätsrisiken bezeichnen die Gefahr, dass nicht alle Zahlungsverpflichtungen fristgerecht erfüllt werden können.24 Hauptursache hierfür sind Schwankungen bei Ein- und Auszahlungen. Erfolgsrisiken hingegen mindern den Erfolg eines Unternehmens oder führen sogar zu einem Verlust und werden aus diesem Grund oftmals auch als (Eigenkapital-) Verlustrisiken bezeichnet.25 Zu unterscheiden sind Ausfallrisiken und Marktrisiken. Ausfallrisiken stellen die Gefahr einer Nichterfüllung der vertraglichen Pflichten durch einen Vertragspartner dar.26 Bei Banken treten Ausfallrisiken in erster Linie in Form von Kreditrisiken auf. Durch die Nutzung des Internet als zusätzlichen Vertriebskanal werden Ausfallrisiken auch für Unternehmen zunehmend relevant. So stellen derzeit beim E-Commerce Zahlungsverzögerungen und Zahlungsausfälle große Problemfaktoren dar.27 Von den Ausfallrisiken sind Marktrisiken abzugrenzen, welche als die Gefahr einer negativen Entwicklung des Markts verstanden werden. Hierzu zählen Aktienkursrisiken, Zinsänderungsrisiken, Währungsrisiken und Rohstoffpreisrisiken.28
23
24
25 26 27 28
WIEDEMANN betont, dass Finanzrisiken früher wie selbstverständlich nur auf Finanzdienstleistungsunternehmen beschränkt wurden. Allerdings zeigen einige Fälle aus der Unternehmenspraxis, dass auch Industrie-, Handels- und sonstige Dienstleistungsunternehmen finanziellen Risiken ausgesetzt sind und das Unternehmensergebnis wesentlich beeinflussen (vgl. Wiedemann (2003), S. 199). Vgl. Eisele (2004), S. 24. Liquiditätsrisiken lassen sich weiter in Liquiditätsspannungs-, Termin- und Abrufrisiken unterteilen (vgl. Schierenbeck (2001a), S. 11). Vgl. Schierenbeck (2001b), S. 5. Vgl. Eisele (2004), S. 26. Vgl. Raab und Siegl (2007), S. 35. Vgl. Eisele (2004), S. 27. Zum Management von Aktienkursrisiken werden überwiegend Methoden der Finanzmarkttheorie herangezogen (vgl. Rehkugler (1998), S. 9ff). Bedeutende Arbeiten auf diesem Gebiet stellen die Portfoliotheorie (vgl. Markowitz (1952)), das Capital Asset Pricing Model (vgl. Sharpe (1964)) sowie die Arbitrage Pricing Theory (vgl. Ross (1976)) dar. Ein Überblick über die zur Verfügung stehenden Methoden zur Messung und Steuerung von Zinsänderungsrisiken, Währungsrisiken und Rohstoffpreisrisiken findet sich in Schierenbeck (2001b).
10
IT-Risiko und IT-Risikomanagement
Unternehmensrisiken
Finanzrisiken
Operationelle Risiken
Liquiditätsrisiken
Erfolgsrisiken
Marktrisiken
Aktienkursrisiken
Zinsänderungsrisiken
IT-Risiken
sonstige operationelle Risiken
Ausfallrisiken
Währungsrisiken
Rohstoffpreisrisiken
Abbildung 5: Abgrenzung von Unternehmensrisiken. Quelle:
In Anlehnung an Schierenbeck (2001b), S. 5ff; Eisele (2004), S. 23 sowie Wiedemann (2003), S. 199.
Unter dem Begriff operationelles Risiko werden generell sämtliche betriebliche Risiken verstanden, die einen Verlust herbeiführen können. Die Definition operationeller Risiken kann auf direkte oder indirekte Weise erfolgen. Bei der indirekten Definition entsprechen operationelle Risiken allen Risiken, die nicht den Markt- oder Kreditrisiken zugeordnet werden können.29 Sie stellen somit eine Residualgröße dar. Direkte Definitionen von operationellen Risiken sind vielfältig, wobei sich in jüngerer Zeit die Definition des Basler Ausschusses für Bankenaufsicht durchgesetzt hat. Demnach ist das operationelle Risiko definiert als „…die Gefahr von Verlusten, die infolge einer Unzulänglichkeit oder des Versagens von internen Verfahren, Menschen oder Systemen oder infolge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein, nicht jedoch strategische Risiken.“30 Eine graphische Darstellung der einzelnen Kategorien dieser eher ursachenbezogenen Definition ist der Abbildung 6 zu entnehmen.
29 30
Vgl. Schierenbeck (2001b), S. 336; Beek und Kaiser (2000), S. 637f. Basler Ausschuss für Bankenaufsicht (2004), S. 127.
IT-Risiken und Abgrenzung zu anderen Unternehmensrisiken
11
operationelle Risiken interne Risiken
externe Risiken
personelle Risiken
Prozessrisiken
Systemrisiken
Ausgewählte Beispiele:
Ausgewählte Beispiele:
Ausgewählte Beispiele:
Ausgewählte Beispiele:
• Betrug durch Mitarbeiter
• Fehler im Zahlungssystem
• Programmierfehler
• Delikte von Drittparteien
• menschliche Fehler
• Unterbrüche im Geschäftsablauf
• Ausfall von ITSystemen • Sicherheitslücken • Viren, DoS,…
• Regulatorische Änderungen • Hackerangriffe
Abbildung 6: Kategorisierung operationeller Risiken nach ihren Ursachen. Quelle:
In Anlehnung an Schierenbeck (2001b), S. 337.
Aus der direkten Definition der operationellen Risiken sowie der Abbildung 6 geht hervor, dass Risiken, die mit dem Einsatz von IT verbunden sind, den operationellen Risiken zuzuordnen sind. IT-Risiken stellen somit eine Teilmenge der operationellen Risiken dar. Im Folgenden werden die IT-Risiken definiert und ihre Eigenschaften erläutert.
2.2.2 Definition und Eigenschaften von IT-Risiken 2.2.2.1 Definition von IT-Risiko In der vorliegenden Arbeit wird IT-Risiko definiert als die Gefahr der Realisierung von Verlusten, die infolge der Verletzung eines oder mehrerer der Schutzziele 1. Vertraulichkeit (Risiko des unbefugten Informationsgewinns) 2. Integrität (Risiko der unbefugten Modifikation von Informationen) 3. Verfügbarkeit (Risiko der unbefugten Beeinträchtigung der Funktionalität) 4. Zurechenbarkeit (Risiko der unzulässigen Unverbindlichkeit) aufgrund eines durchgeführten Angriffs unter Ausnutzung von Schwachstellen eintreten. Im Folgenden werden die Schutzziele näher erläutert und Angriffe kategorisiert.
12
IT-Risiko und IT-Risikomanagement
2.2.2.2 Schutzziele Schutzziele spiegeln den erwünschten Zustand von zu schützenden Objekten (z.B. ITAnwendung) wider und charakterisieren die Sicherheitsanforderungen an die eingesetzte IT. IT-Risiken entstehen immer dann, wenn die Schutzziele verletzt und somit nicht durchgesetzt werden können. Insbesondere bei offenen Kommunikationssystemen, wie z.B. dem Internet, kann nicht davon ausgegangen werden, dass sich alle Parteien – wie etwa interne Mitarbeiter des Unternehmens oder externe Mitarbeiter von IT-Dienstleistern, Diensteanbieter, Netzbetreiber oder Kunden – gegenseitig kennen oder gar vollständig vertrauen.31 Entsprechend bedarf es bei der Analyse der Sicherheit neben der Betrachtung externer Angreifer auch der Einbeziehung aller anderen beteiligten Parteien als potentielle Angreifer. Das Konzept der Mehrseitigen Sicherheit beinhaltet Schutzziele, die es allen Beteiligten (z.B. Mitarbeiter des Unternehmens, Kunden) ermöglichen, ihre jeweiligen Sicherheitsbedürfnisse selbst zu bestimmen, zu verhandeln und durchzusetzen.32 In den 80er Jahren wurden für die Kommunikationstechnik die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit definiert.33 Diese Dreiteilung wurde in den 90er Jahren von MÜLLER, PFITZMANN und RANNENBERG überarbeitet und um das Schutzziel der Zurechenbarkeit erweitert.34
Schutzziel Vertraulichkeit (Confidentiality) c1)
Nachrichteninhalte sollen vor allen Instanzen außer dem Kommunikationspartner vertraulich bleiben.
c2)
Die Kommunikationspartner von Nachrichten (Empfänger und/oder Sender) sollen voneinander unabhängig bleiben können und Unbeteiligte nicht in der Lage sein, sie zu beobachten.
c3)
Weder potentielle Unbeteiligte noch Kommunikationspartner sollen ohne das Einverständnis der Beteiligten den momentanen Ort eines IT-Systems bzw. dessen benutzenden Teilnehmers ermitteln können.
31 32 33 34
Vgl.Rannenberg, Pfitzmann und Müller (1999), S. 26. Vgl. Müller, Eymann und Kreutzer (2003), S. 392. Vgl. Voydock und Kent (1983), S. 143. Vgl. Pfitzmann (1993), S. 453.; Rannenberg, Pfitzmann und Müller (1996), S. 8f.; Rannenberg, Pfitzmann und Müller (1999), S. 26. Müller und Rannenberg (1999), S. 26f; Rannenberg (2000) , S. 195. sowie Gerd tom Markotten (2003), S. 16. Eine ausführliche Diskussion verschiedener Schutzziele findet sich in Rannenberg (1998).
IT-Risiken und Abgrenzung zu anderen Unternehmensrisiken
13
Schutzziel Integrität (Integrity) i1)
Fälschungen von Nachrichteinhalten sowie des Absenders sollen erkannt werden.
Schutzziel Verfügbarkeit (availability) a1)
Das Kommunikationsnetz soll die Kommunikation zwischen allen Partnern ermöglichen, die dies wünschen und denen es nicht verboten ist.
Schutzziel Zurechenbarkeit (accountability) z1:
Der Empfänger soll gegenüber einem Dritten nachweisen können, dass Instanz x eine Nachricht y gesendet hat.
z2:
Der Absender der Nachricht soll das Absenden – möglichst auch den Empfang – einer Nachricht mit korrektem Inhalt beweisen können.
z3:
Niemand kann dem Netzbetreiber Entgelte für erbrachte Dienstleistungen vorenthaltten. Zumindest erhält der Netzbetreiber bei Dienstinanspruchnahme entsprechende Beweismittel. Umgekehrt kann der Netzbetreiber nur für korrekt erbrachte Dienstleistungen Entgelte fordern.
Im Folgenden Kapitel wird aufgezeigt, welche Ursachen der Verletzung eines oder mehrerer Schutzziele zugrunde liegen.
2.2.2.3 Angriffe Aus der in Kapitel 2.2.1 aufgeführten Definition von IT-Risiko geht hervor, dass die einzelnen Schutzziele aufgrund von Angriffen (Risikoursachen) verletzt werden. Sie sind als umgesetzte Bedrohungen zu verstehen. Bedrohungen sind exogen gegeben und permanent präsent. Es lassen sich vier Kategorien von Bedrohungen bzw. Angriffen unterscheiden: Menschen, organisatorische Mängel, technisches Versagen und höhere Gewalt (vgl. Abbildung 7).35
35
In Anlehnung an Bundesamt für Sicherheit in der Informationstechnik (2005b).
14
IT-Risiko und IT-Risikomanagement
Bedrohungen
Menschen
Organisatorische Mängel
Technisches Versagen
Höhere Gewalt
Angriffe = umgesetzte Bedrohungen Abbildung 7: Bedrohungen und Angriffe. Quelle: In Anlehnung an Bundesamt für Sicherheit in der Informationstechnik (2005b).
Die Schutzziele des Konzepts der Mehrseitigen Sicherheit können durch Angriffe, die von Menschen ausgehen, verletzt werden. Hierbei ist zwischen Vorsatz und Fahrlässigkeit zu unterscheiden. Bei einer fahrlässigen Handlung wird die im Verkehr erforderliche Sorgfalt nicht beachtet (z.B. fehlerhafte Bedienung einer Anwendung). Bei vorsätzlichen Handlungen hingegen wird die konkrete Absicht verfolgt, eine Handlung durchzuführen (z.B. Hackerangriff, Virenangriff). Diese Angreifer lassen sich hinsichtlich ihrer Stärke, der Lokalität sowie des Angreifertyps kategorisieren:36 x
Stärke der Angreifer: Grundsätzlich kann zwischen allmächtigen resp. omnipräsenten und teilpräsenten Angreifern unterschieden werden.37 Ein omnipräsenter Angreifer ist in der Lage, alle Kommunikationsinhalte und die Kommunikationseinheiten einzusehen. Für diese Art von Angreifer existieren keine wirksamen technischen Sicherheitsmechanismen, um einen Angriff zu vermeiden. Teilpräsente Angreifer hingegen haben einen eingeschränkten Wirkungsbereich, welcher sich bspw. auf geographische, zeitliche, funktionsbasierte oder monetäre Mittel beziehen kann. Für diese Art von Angreifer können technische Sicherheitsmechanismen zum Schutz eingesetzt werden.
x
Externe vs. interne Angreifer: Externe Angreifer gehören dem angegriffenen Unternehmen nicht an und befinden sind räumlich oder organisatorisch außerhalb des Unternehmens, wohingegen interne Angreifer Mitglieder des angegriffenen Unternehmens sind.38
36
37 38
Vgl. Gerd tom Markotten (2003), S. 17; Eckert (2003), S. 12ff.; Müller, Eymann und Kreutzer (2003), S 391. Vgl. Müller, Eymann und Kreutzer (2003), S. 391.; Gerd tom Markotten (2003), S. 18. Vgl. Eckert (2003), S. 15.
Der IT-Risikomanagementprozess
x
15
Angreifertypen: Ferner kann eine Differenzierung von Angreifertypen vorgenommen werden, die sich i.d.R. in ihrer Motivation sowie den Methoden, die sie für einen Angriff einsetzen, unterscheiden. Als Beispiele können Hacker, Cracker, Skript Kiddies, verärgerte oder ehemalige Mitarbeiter, Spione oder Diebe genannt werden.39
Verletzungen der Schutzziele können weiter ihre Ursache in organisatorischen Mängeln haben. Als Beispiele können nicht geklärte Zuständigkeiten, unzureichende organisatorische Abläufe, fehlende oder unvollständige Richtlinien und Dokumentationen, unzureichende Verarbeitung von IT-Sicherheitskonzepten, mangelnde Fortbildung und Schulung der Mitarbeiter zum Thema IT-Sicherheit oder aber fehlende Kontrollmaßnahmen genannt werden.40 Mit dem zunehmenden Einsatz und der Vernetzung von IT steigt die Gefahr, dass das Schutzziel der Verfügbarkeit durch technisches Versagen verletzt wird. Beispiele hierfür sind der Ausfall der Stromversorgung, Defekte von Hardwarekomponenten, Versagen von Softwarekomponenten, Verlust gespeicherter Daten, Ausfall einer Datenbank oder aber Ausfall des Intra- oder Extranets.41 Schließlich können die Schutzziele durch Ereignisse verletzt werden, die der höheren Gewalt zuzuordnen sind. Hierzu zählen bspw. Elementarereignisse wie Blitz, Feuer, Wasser oder aber nicht-natürliche Ereignisse wie etwa Terroranschläge.42 Angriffe stellen die Einzelrisiken dar, für die zum einen die zukünftig zu erwartenden Verluste geschätzt und zum anderen mögliche Gegenmaßnahmen auf ihre wirtschaftliche Vorteilhaftigkeit hin geprüft werden müssen. Im Folgenden wird mit dem IT-Risikomanagementprozess eine schrittweise Vorgehensweise zum Management von IT-Risiken vorgestellt, anhand dessen sich die Kapitel 3 und 4 dieser Arbeit orientieren.
2.3 Der IT-Risikomanagementprozess Für das Risikomanagement im Allgemeinen wird in der Literatur mit großer Übereinstimmung eine Vorgehensweise anhand der vier Phasen Identifikation, Quantifizierung, Steuerung
39
40
41 42
Zu den Erläuterungen und Unterschieden der einzelnen Angreifertypen vgl. Eckert (2003); Barker (2002); Mitnick und Simon (2002); Schmidt (2002); Cross (2006); Berghel (2006); McHugh und Deek (2005). Vgl. Wiltner (2003), S. 94.; Bundesamt für Sicherheit in der Informationstechnik (2005b), S. 293ff.; Hechenblaikner (2006), S. 21f. Vgl. Bundesamt für Sicherheit in der Informationstechnik (2005b), S. 526ff.; Roßbach (2002), S. 127. Vgl. Hechenblaikner (2006), S. 20.
16
IT-Risiko und IT-Risikomanagement
und Kontrolle vorgeschlagen (vgl. Abbildung 8).43 Für das Management von IT-Risiken wird dieser gängigen Einteilung gefolgt.
Risikoidentifikation
Risikoquantifizierung
Risikosteuerung
Risikokontrolle
Abbildung 8: IT-Risikomanagementprozess. Quelle:
In Anlehnung an Hölscher (2002), S. 13.
1. Phase: Risikoidentifikation Die Risikoidentifikation hat die Definition von IT-Risiken, die Kategorisierung der existierenden Bedrohungen (Risikoursachen) sowie die Ermittlung unternehmensrelevanter Bedrohungen zum Ziel.44 Zur Definition von IT-Risiken und Kategorisierung existierender Bedrohungen bieten sich das bereits erläuterte Konzept der Mehrseitigen Sicherheit sowie die Grundschutz-Kataloge des BSI an. Um die unternehmensrelevanten Bedrohungen bestimmen zu können, ist die Identifikation von Schwachstellen bei der eingesetzten IT des betrachteten Unternehmens erforderlich. Erst nach der Kenntnis der Schwachstellen kann ermittelt werden, welche Bedrohungen diese ausnutzen können und somit für ein Unternehmen relevant sind. Die Qualität der Ergebnisse der Risikoidentifikation hat einen maßgeblichen Einfluss auf die weiteren Schritte des IT-Risikomanagementprozesses. Da es sich bei der Risikoidentifikation um eine ex-ante Analyse handelt, besteht inhärent die Gefahr, dass nicht alle Schwachstellen und unternehmensrelevante Bedrohungen identifiziert werden und in Folge dessen dem Unternehmen zusätzliche, nicht antizipierte Verluste entstehen. In Kapitel 3.1 werden Methoden erläutert und bewertet, wie Unternehmen Schwachstellen ihrer eingesetzten IT ermitteln und somit unternehmensrelevante Bedrohungen identifizieren können.
2. Phase: Risikoquantifizierung Die Quantifizierung der identifizierten IT-Risiken dient der Einschätzung, bis zu welchem Grad diese Risiken die Erreichung der Unternehmensziele gefährden können.45 Die Höhe des 43 44 45
Vgl. Hölscher (2002), S. 13; Schierenbeck (2001b), S. 13 oder Faisst (2003), S. 4. Vgl. Faisst, Prokein und Wegmann (2007), S. 514. Vgl. in Folgenden Hölscher (2006), S. 363.
Der IT-Risikomanagementprozess
17
Risikos wird i.d.R. durch die beiden Größen Verlusthäufigkeit resp. Eintrittswahrscheinlichkeit und Verlusthöhe bestimmt. Charakteristisch für die Risikoquantifizierung ist ihr Zukunftsbezug, welcher sich in unvollkommenen Informationen über die Ausprägungen dieser beiden Größen äußert. Eine Extrapolation von historisch erhobenen Daten zu diesen Größen gestaltet sich daher als äußerst schwierig. Zur Schätzung der Verlusthäufigkeit und -höhe werden aus diesem Grund verschiedene Methoden herangezogen, wobei die Genauigkeit der gewonnenen Ergebnisse stark von der Qualität und Quantität der zugrunde liegenden Daten resp. Informationen abhängt. Eine ausführliche Erläuterung und Bewertung zur Verfügung stehender Methoden zur Quantifizierung von IT-Risiken wird Kapitel 3.2 dieser Arbeit vorgenommen.
3. Phase: Risikosteuerung Aufbauend auf die Risikoquantifizierung werden Entscheidungen über den Umgang mit diesen Risiken im Rahmen der Steuerungsphase getroffen. Hierzu stehen verschiedene Maßnahmen, wie z.B. technische Schutzmechanismen oder Versicherungen, zur Verfügung. Die Schwierigkeit besteht in der wirtschaftlichen Bewertung einer Maßnahme. Hierfür ist eine Gegenüberstellung der Auswirkungen einer Maßnahme auf die zukünftig zu erwartenden Verluste aus IT-Risiken und den Auszahlungen für die Maßnahmenergreifung erforderlich. Die wirtschaftliche Steuerung von IT-Risiken bildet den Kern der Arbeit und wird in Kapitel 0 ausführlich vorgestellt.
4. Phase: Risikokontrolle Der IT-Risikomanagementprozess wird mit der Risikokontrolle abgeschlossen. Während in der Identifikations-, Quantifizierungs- und Steuerungsphase eine ex-ante Betrachtung von ITRisiken vorgenommen wird, dient die Kontrolle der ex-post Analyse der eingetretenen Verluste und der Evaluation der in den vorangegangenen Phasen getroffenen Annahmen und Entscheidungen. So ist bspw. zu untersuchen, x
ob die eingetretenen Verlustereignisse bekannter Angriffe bzw. Szenarien entsprechen und falls nicht, ob gegebenenfalls die vorgenommene Risikoklassifikation in der Identifikationsphase unvollständig war,
x
ob die eingetretenen Verlustereignisse in ihrer Verlusthäufigkeit resp. Eintrittswahrscheinlichkeit und Verlusthöhe die vorgenommene Quantifizierung in Frage stellen und
18
IT-Risiko und IT-Risikomanagement
x
ob die in der Steuerungsphase verabschiedeten Investitionen in Steuerungsmaßnahmen aus einer ex-post Sicht den gewünschten Effekt hatten.46 Bei der ex-post Analyse muss jedoch berücksichtigt werden, dass die Reduktion der Häufigkeit von Verlustereignissen i.d.R. eine stochastische Größe ist. Es kann jedoch untersucht werden, inwieweit die ex-ante angenommenen Erwartungswerte von (mehreren) ex-post Realisationen abweichen und diese daher in Frage zu stellen sind.
Zu den Aufgaben der Kontrollphase gehört darüber hinaus die fortlaufende Berichterstattung an unterschiedliche Stakeholder wie Aufsichtsbehörden sowie zuständige Verantwortliche im Management des Unternehmens.47 Der IT-Risikomanagementprozess ist kein einmaliger Ablauf, sondern ist mehrfach zu durchlaufen und die Ergebnisse sind kritisch zu überprüfen.
46 47
Vgl. Hölscher (2002), S. 16. Vgl. Piaz (2002), S. 170ff.
Identifikation von IT-Risiken
19
3 Identifikation und Quantifizierung von IT-Risiken 3.1 Identifikation von IT-Risiken Wie im IT-Risiko-Referenzmodell illustriert, nutzen Angriffe Schwachstellen der IT aus und können zu der Verletzung eines oder mehrere Schutzziele bei den IT-Anwendungen führen (vgl. Abbildung 1). Zur Identifikation der unternehmensrelevanten Bedrohungen, die zu Angriffen werden können, ist eine Schwachstellenanalyse der IT erforderlich. Erst nach Kenntnis der vorliegenden Schwachstellen kann ermittelt werden, welche Bedrohungen in der Lage sind, diese Schwachstellen auszunutzen.
Kollektionsmethoden • Checkliste
Kreativitätsmethoden
Analytische Suchmethoden
• Brainstorming und Brainwriting
• Fehlermöglichkeits- und Einflussanalyse (FMEA)
• Synektik
• Angriffsbäume
• Delphi-Methode
• HAZOP
• …
• Fragenkatalog
• Befragungstechniken - Experteninterviews - Self-Assessment
• Analyse unternehmensinterner und –externer Daten
• … • …
Abbildung 9: Kategorisierung von Methoden zur Identifikation von IT-Risiken. Quelle:
In Anlehnung an Romeike (2004b), S. 174; Piaz (2002), S. 75ff.; Leidinger (2002), S. 244ff.
Zur Identifikation von IT-Risiken stehen Unternehmen verschiedene Methoden zur Verfügung, die den Kategorien Kollektionsmethoden, Kreativitätsmethoden und analytische Suchmethoden zugeordnet werden können (vgl. Abbildung 9).48 Kollektionsmethoden haben die Sammlung risikospezifischer Daten gemeinsam und sind überwiegend zur Identifikation von bereits bekannten IT-Risiken geeignet. Kreativitätsmethoden und analytische Suchmethoden sind darüber hinaus in der Lage, zukünftige und bisher unbekannte IT-Risiken aufzudecken. Sie sind daher für ein proaktives Risikomanagement unverzichtbar. Kreativitätsmethoden basieren auf kreativen Prozessen, die durch divergentes Denken charakterisiert sind. Bei 48
Vgl. im Folgenden Romeike (2004b), S. 174ff.; Piaz (2002), S. 75ff.; Leidinger (2002), S. 244ff.
20
Identifikation und Quantifizierung von IT-Risiken
der Nutzung analytischer Suchmethoden hingegen wird ausgehend von den eingesetzten Systemen und ihren Eigenschaften aktiv nach Schwachstellen und unternehmensrelevanten Bedrohungen gesucht. Die in Abbildung 9 aufgeführten Methoden stellen gängige Methoden zur Identifikation von IT-Risiken dar und werden im Folgenden erläutert und bewertet.
3.1.1 Kollektionsmethoden 3.1.1.1 Checklisten Bei Checklisten werden über den Zeitablauf gewonnene Erfahrungen genutzt, um eine Liste von bekannten Schwachstellen und Angriffen zu erstellen.49 Das sukzessive Durchgehen der Listen ermöglicht eine Identifikation von unternehmensrelevanten Bedrohungen. Checklisten zur IT-Sicherheit finden sich bspw. auf der Homepage des Bundesamts für Sicherheit in der Informationstechnik.50 Ein großes Problem von Checklisten besteht darin, dass sie entweder wenige globale und hoch aggregierte Risiken oder aber eine Vielzahl konkreter, aber kaum aggregierter Risiken enthalten.51 Bei der Aggregation von Risiken besteht die Gefahr, dass Wechselwirkungen von Einzelrisiken nicht berücksichtigt werden. Andererseits besteht bei einer niedrigen Aggregationsstufe das Problem der mangelnden Vollständigkeit. Checklisten können daher nur als Ansatzpunkt für eine Risikoidentifikation dienen und sollten nur ergänzend zu anderen Methoden eingesetzt werden. Ungeachtet der Nachteile von Checklisten stellen sie eine in der Praxis sehr häufig eingesetzte Methode zur Risikoidentifikation dar.52
3.1.1.2 Befragungstechniken 3.1.1.2.1 Expertenbefragungen Das Ziel von Expertenbefragungen besteht darin, das Wissen von internen und externen Experten zu nutzen, um Schwachstellen und unternehmensrelevante Bedrohungen zu identifizie-
49 50 51 52
Vgl. Vaughan (1997), S. 112. http://www.bsi.bund.de/gshb/deutsch/hilfmi/check.htm Vgl. Hölscher (2006), S. 359. Vgl. Romeike (2004b), S. 175.
Identifikation von IT-Risiken
21
ren.53 Die Befragung kann entweder strukturiert oder formlos durchgeführt werden. Bei der Befragung von internen Experten, d.h. Mitarbeiter des eigenen Unternehmens, stehen vor allem die Identifikation von nicht schriftlich festgehaltenen Verlustereignissen sowie die Gewinnung zusätzlicher Informationen, z.B. über die Vorgehensweise bzw. Durchführung von Angriffen, von bekannten Verlustereignissen im Mittelpunkt. Speziell formlose Gespräche bieten ferner das Potential der Aufdeckung von Schwachstellen oder Beinahevorfällen, die dem Risikomanager bis zum Befragungszeitpunkt unbekannt waren und noch keine negativen finanziellen Auswirkungen zur Folge hatten. Eine sinnvolle Ergänzung zu den Mitarbeiterbefragungen stellt die Konsultation von externen Experten dar. Dadurch können Verlustereignisse, Schwachstellen und Angriffe anderer Unternehmen in Erfahrung gebracht werden, die auch für das eigene Unternehmen relevant sein können.54
3.1.1.2.2 Self-Assessment Die Identifikation von IT-Risiken kann ferner durch die Selbsteinschätzung (SelfAssessment) der Mitarbeiter des Unternehmens erfolgen.55 Self-Assessments verfolgen im Wesentlichen zwei Ziele:56 Einerseits soll eine Identifikation von Schwachstellen und unternehmensrelevanten Bedrohungen erreicht und andererseits das Risikobewusstsein der eigenen Mitarbeiter gefördert werden. Die Durchführung eines Self-Assessment erfolgt zumeist in Form von strukturierten Fragebögen und/oder Workshops.57 Strukturierte Fragebögen, die häufig über das Intranet eines Unternehmens zur Verfügung gestellt werden, haben den Vorteil einer einfachen und relativ kostengünstigen Erfassung von Schwachstellen mit anschließender Festlegung unternehmensrelevanter Bedrohungen. Alternativ können Self-Assessments im Rahmen von moderierten Workshops durchgeführt werden. Diese Form des Self-Assessment trägt in besonderem Maße dazu bei, das Risikobewusstsein der Mitarbeiter zu fördern. Zur Vorbereitung auf den Workshop werden die teilnehmenden Mitarbeiter i.d.R. im Vorfeld über die wesentlichen Eigenschaften des Untersuchungsgegenstands (z.B. Definition von IT-Risiken) informiert und erste Schwachstellen mittels Fragebögen oder Interviews identifiziert. Auf dem Workshop werden diese identifizierten Schwachstellen erörtert und unternehmensrelevante Bedrohungen abgeleitet sowie durch den Einsatz von Kreativitätsmethoden weitere Schwachstellen und unternehmensrelevante Bedrohungen identifiziert. Ein wesentliches Qualitätskriterium der durch Workshops gewonnenen Ergebnisse ist die Auswahl und Vorbereitung der Mitarbeiter. Zu 53 54 55 56 57
Vgl. Vaughan (1997), S. 120f. Vgl. Piaz (2002), S. 83. Vgl. Jans (2003), S. 27. Vgl. Österreichische Nationalbank (2005), S. 25. Vgl. im Folgenden Seibold (2005), S. 57 und Österreichische Nationalbank (2005), S. 26.
22
Identifikation und Quantifizierung von IT-Risiken
beachten ist, dass Self-Assessments nicht einmalig, sondern in regelmäßig wiederkehrenden Perioden durchgeführt werden sollten. Der große Vorteil dieser Methode besteht darin, dass eigene Mitarbeiter (z.B. Systemadministratoren) aufgrund der vertrauten Umgebung sowie der eingesetzten IT-Systeme die damit verbundenen Risiken oftmals besser einschätzen können als externe Experten.58 Aufgrund der wiederkehrenden Durchführung von Self-Assessments besteht jedoch die Gefahr eines Ermüdungseffekts.59 Dieser Effekt äußert sich in der Neigung der Mitarbeiter, die Ergebnisse des vorangegangenen Self-Assessment unkritisch zu übernehmen. Eine Möglichkeit dem Ermüdungseffekt entgegenzuwirken ist die Auswahl neuer Probanden. Die Konsistenz der Methodik muss stets gewährleistet sein, um eine Vergleichbarkeit der Ergebnisse zu ermöglichen. Eine aktuelle Studie zu operationellen Risiken liefert das Ergebnis, dass 97% der befragten Unternehmen Self-Assessments durchführen.60
3.1.1.3 Analyse unternehmensinterner und -externer Daten Risiken im Allgemeinen können durch die Analyse von unternehmensinternen und -externen Daten identifiziert werden.61 Zur Identifikation von IT-Risiken lassen sich unternehmensinterne Daten aus folgenden Bereichen bzw. Informationsquellen heranziehen: x
Finanz- und Rechnungswesen: Das Finanz- und Rechnungswesen erfasst sämtliche buchungsrelevanten Vorfälle eines Unternehmens. Die Wirkungsgrößen, aus denen sich retrospektiv Informationen über Angriffe ableiten lassen, sind bspw. Auszahlungen, Sachschäden, Wertberechtigungen sowie zahlungswirksame Aufwendungen. Die Wirkungsgrößen sind dahingehend zu analysieren, ob sie in Folge von Angriffen entstanden sind.62
x
IT-Audit: Bei IT-Audits wird überprüft, ob Geschäftstätigkeiten im Einklang mit den Sicherheitsrichtlinien eines Unternehmens durchgeführt werden.63 Aus diesen Informationen lassen sich Informationen über Schwachstellen (z.B. fehlende Authentifizierung) und unternehmensrelevante Bedrohungen (z.B. unbefugter Datenzugriff) gewinnen.
58 59 60 61 62 63
Vgl. Seibold (2005), S. 56. Vgl. Österreichische Nationalbank (2005), S. 26. Vgl. Petry et al. (2006), S. 13. Vgl. Vaughan (1997), S. 113ff. Vgl. Seibold (2005), S. 64. Vgl. Gutzwiller (1999), S. 1191.
Identifikation von IT-Risiken
x
23
Log-Dateien: In Log-Dateien werden Informationen über IT-unterstützte Prozessabläufe festgehalten. So kann bspw. protokolliert werden, wir oft ein Prozess abgelaufen ist, welche Dateien geöffnet wurden, wo Fehler aufgetreten sind oder welche Benutzer am Prozess beteiligt waren.64 Aus diesen Informationen können Informationen über Schwachstellen und Angriffe gewonnen werden.
Bei der Analyse unternehmensexterner Daten untersuchen Experten Verlustfälle aus Angriffen anderer Unternehmen daraufhin, ob sie auch im eigenen Unternehmen auftreten können. Diese Daten können etwa aus x
Geschäftsberichten der Konkurrenz,
x
öffentlichen Medien,
x
Berichten von Branchenverbänden sowie
x
Data-Pool-Initiativen65
entnommen werden.66
3.1.2 Kreativitätsmethoden 3.1.2.1 Brainstorming und Brainwriting Beim Brainstorming wird versucht, die Kreativität bzgl. der Identifikation von Schwachstellen und unternehmensrelevanten Bedrohungen der am Suchprozess beteiligten Personen zu fördern und zu nutzen.67 Sie ist eine der in der Praxis am häufigsten eingesetzten Methoden zur Ideenfindung.68 Die Probanden sollen in einer ungezwungenen Atmosphäre zu einer Problemstellung möglichst viele spontane Äußerungen tätigen. Wichtig hierbei ist, dass während der Sitzung keine Kritik geäußert werden darf, um die spontanen Äußerungen nicht negativ zu beeinflussen. Die richtige Auswahl der Probanden ist entscheidend. Idealerweise nehmen fünf bis sieben Probanden an einem Suchprozess teil. Beim Brainwriting stehen analog zum Brainstorming freie Gedankenäußerungen einer Gruppe von Mitarbeitern im Vordergrund.69 Dabei werden vorgebrachte Ideen eines Mitarbei-
64 65
66 67 68 69
Vgl. Accorsi (2006), S. 329f. Der Aufbau von öffentlichen Verlustdatenbanken (Data-Pool-Initiativen) für operationelle Risiken durch verschiedene Konsortien wurde vor allem durch Basel II vorangetrieben. Die gegenwärtig bekanntesten Datenkonsortien sind GOLD (Global Operational Loss Database) in Großbritannien, ORX (Operational Risk eXchange association) in der Schweiz und DIPO (Database Italiano delle Perdite Operative) in Italien. Vgl. Grüter (2006), S. 101. Vgl. Piaz (2002), S. 86. Vgl. Romeike (2004b), S. 177. Vgl. Piaz (2002), S. 87.
24
Identifikation und Quantifizierung von IT-Risiken
ters von anderen Mitarbeitern aufgegriffen und weiterentwickelt. Die Methode wird oftmals auch als 6-3-5 Methode bezeichnet, da im Idealfall sechs Mitarbeiter je drei Ideen niederschreiben und diese an die anderen Teilnehmer weiterreichen. Der Prozess wird fünf Mal wiederholt. Auch beim Brainwriting ist die Qualität der gewonnenen Ergebnisse von der Zusammensetzung der Gruppe abhängig. Beide Methoden stellen für Unternehmen eine Option dar, mit relativ geringem Aufwand Schwachstellen und unternehmensrelevante Bedrohungen zu identifizieren. Insbesondere bei der Identifikation neuer, bisher unbekannter Schwachstellen und Bedrohungen können das Brainstorming und Brainwriting einen großen Mehrwert liefern.
3.1.2.2 Synektik Die Synektik verfolgt das Ziel der Zusammenfügung scheinbar nicht zusammenhängender und irrelevanter Elemente resp. Tatbestände.70 Die zugrunde liegende Heuristik der Ideengenerierung mittels Synektik ist die Kombination sachlich scheinbar nicht zusammenhängender Wissenselemente. Durch die Reorganisation von vorhandenem Wissen sollen neue Muster generiert werden. Wie das Brainstorming und Brainwriting beruht auch die Synektik auf den spontanen Lösungsvorschlägen der Probanden.71 Im Bereich der operationellen Risiken wird die Synektik als eine geeignete Methode zur Risikoidentifikation angesehen.72 Allerdings ist zu konstatieren, dass die Methode enorm hohe Ansprüche an die Probanden stellt und mit einem hohen Aufwand verbunden ist.
3.1.2.3 Delphi-Methode Die (Standard-)Delphi-Methode73 ist eine mehrere Runden umfassende anonyme Befragung einer Gruppe von Experten mit Rückkopplung.74 Nach jeder Befragung werden der Median und verschiedene weitere Quantile berechnet und das aggregierte Gruppenergebnis den befragten Experten mitgeteilt. Durch diese Rückkopplung wird jedem einzelnen Experten die Möglichkeit eingeräumt, seine Antworten mit dem Gruppenergebnis zu vergleichen. Die Experten sollen die Ergebnisse überdenken, Stellung dazu nehmen und ggf. modifizieren. Durch eine Vielzahl an Wiederholungen wird i.d.R. eine Konvergenz der Einzelergebnisse an das
70 71 72 73
74
Vgl. Romeike (2004b), S. 178. Vgl. Piaz (2002), S. 87. Vgl. Piaz (2002), S. 87f. Es existiert eine Vielzahl von Varianten der der Delphi-Methode. Die am häufigsten eingesetzte Variante wird als Standard-Delphi-Methode bezeichnet (vgl. Seeger (1979), S. 6 und 12ff.). Vgl. Wechsler (1978), S. 23.
Identifikation von IT-Risiken
25
Gruppenergebnis erreicht.75 Ein Konsens bzgl. der optimalen Anzahl der Befragungsrunden existiert nicht. Typischerweise werden die Experten um Angabe folgender Informationen gebeten:76 x
Qualitätsangaben: Was ist möglich?
x
Quantitätsangaben: In welchem Ausmaß treten Ereignisse ein?
x
Zeitangaben: Wann treten Ereignisse ein?
x
Wahrscheinlichkeitsangaben: Welche Wahrscheinlichkeiten sind den Angaben zu Qualität, Quantität und Zeit zuzuordnen?
x
Bewertungen: Sind die Entwicklungen oder neue Möglichkeiten unter Berücksichtigung der Auswirkungen wünschenswert oder nicht?
Basierend auf diesen Angaben können für IT-Risiken Schwachstellen und unternehmensrelevante Bedrohungen identifiziert sowie wertvolle Informationen für die spätere Quantifizierung gewonnen werden. Allerdings dürfte die Anwendung dieser Methode nur bei größeren Unternehmen mit einer großen Anzahl an IT-Experten sinnvoll sein. Ist eine hohe Anzahl an Iterationen notwendig, kann dies zu einem hohen Aufwand sowie Ermüdungseffekten bei den Probanden führen.
3.1.3 Analytische Suchmethoden 3.1.3.1 Fehlermöglichkeits- und Einflussanalyse Bei der Fehlermöglichkeits- und Einflussanalyse (FMEA) handelt es sich um eine weitgehend formalisierte und analytische Methode, welche das Ziel verfolgt, mögliche Fehler in Produkten oder Prozessen schon vor ihrem Auftreten zu erkennen.77 Die Methode wurde Anfang der 1960er Jahre von der NASA mit dem Ziel der Qualitätssicherung bei den Apollo-Projekten und somit zur Entdeckung von Fehlern bei physikalischen Gütern oder Prozessen entwickelt.78 Heute wird sie auch zur Identifikation von Schwachstellen und unternehmensrelevanten Bedrohungen bei IT-Systemen eingesetzt.79
75 76 77 78 79
Vgl. Wechsler (1978), S. 30f. Vgl. Vorgrimler (2003), S. 764. Vgl. Stahl (1997), S. 14; Utelli (1998), S. 38. Vgl. Pfeifer (1996), S. 111. Vgl. Müller, Lowis und Prokein (2006), S. 25.
26
Identifikation und Quantifizierung von IT-Risiken
Die Vorgehensweise bei der Durchführung einer FMEA wird systematisch durch Formblätter unterstützt.80 Diese Formblätter beinhalten i.d.R. die drei Schritte Untersuchung, Bewertung und Optimierung und entsprechen den ersten drei Phasen des Risikomanagementprozesses (Identifikation, Quantifizierung und Steuerung). Die FMEA geht somit über die reine Identifikation hinaus. Für das Risikomanagement kommt jedoch die Hauptaufgabe dieser Methode der Identifikation zu.81 Die Bewertung und Optimierung wird anhand einer so genannten Risiko-Prioritäts-Zahl vorgenommen. Ein großer Nachteil der Risiko-Prioritäts-Zahl besteht darin, dass die voraussichtliche Verlusthöhe der identifizierten Risiken nicht ermittelt werden kann. Dieser Mangel impliziert zudem, dass keine wirtschaftliche Bewertung der ergriffenen Maßnahmen zur Steuerung der IT-Risiken vorgenommen werden kann. Aus diesem Grund wird im weiteren Verlauf dieser Arbeit auf die Vorstellung der Schritte Bewertung und Optimierung verzichtet und nur der Schritt Untersuchung vorgestellt. Bei der Untersuchung wird von einem intakten IT-System ausgegangen und daraus mögliche Schwachstellen und unternehmensrelevante Bedrohungen abgeleitet. Das IT-System (z.B. Datenbank) wird zunächst logisch in einzelne Komponenten (z.B. Account, Tabellen) zerlegt.82 Jede dieser Komponenten wird auf potentielle Schwachstellen analysiert. Oftmals wird diese Analyse von Experten mittels Brainstorming83 durchgeführt.84 Nach erfolgter Schwachstellenidentifikation wird analysiert, welche Bedrohungen diese Schwachstellen ausnutzen können. Die Komponente „Account“ könnte bspw. die Schwachstelle „Fehlen eines Passworts“ aufweisen. Im Falle des „Fehlens eines Passworts“ besteht etwa die Gefahr, dass die Bedrohung „Unbefugter Datenzugriff“ umgesetzt und somit zu einem Angriff wird.85 Ein wesentlicher Vorteil der FMEA ist die strikte Formalisierung, da systematisch mit Formblättern gearbeitet wird.86 Die sich hieraus ergebende aussagekräftige Dokumentation der identifizierten Schwachstellen und relevanten Bedrohungen kann bei Folgeanalysen zur Orientierung genutzt werden. Allerdings ist zu konstatieren, dass die FMEA aufgrund der niedrigen Abstraktion oftmals nicht in der Lage ist, Interdependenzen zwischen einzelnen Komponenten des IT-Systems zu berücksichtigen und somit Abhängigkeiten zwischen einzelnen Bedrohungen nur sehr schwer identifizierbar sind. 80
81 82 83 84 85
86
Es existiert eine Reihe von standardisierten Formblättern (z.B. VDA, QS-9000), die jedoch zur Analyse von Schwachstellen und relevanten Bedrohungen von IT-Systemen nicht ohne Weiteres eingesetzt werden können. Die Deutsche Gesellschaft für Qualität e.V. weist darauf hin, dass bei eigens entwickelten Formblättern Angaben zu Fehlern, Bewertungen und Maßnahmen mit dem jeweils Verantwortlichen, dem Erledigungstermin sowie dem Bearbeitungsstand gemacht werden müssen (vgl. Deutsche Gesellschaft für Qualität e.V. (2004), S. 20). Vgl. Piaz (2002), S. 90; Romeike (2004b), S. 176. Vgl. Hölscher (2006), S. 359f. Vgl. hierzu Kapitel 3.1.2.1. Vgl. McDermott, Mikulak und Beauregard (1996), S. 30. Die Bedrohung kann auch in detaillierter Form angegeben werden, so z.B. anhand der Verletzung der Schutzziele Vertraulichkeit (z.B. Ausspionieren von Daten), Integrität (z.B. Modifikation von Daten) und Verfügbarkeit (z.B. Löschen von Daten). Vgl. Hölscher (2006), S. 360.
Identifikation von IT-Risiken
27
3.1.3.2 Angriffsbäume Angriffsbäume bieten die Möglichkeit, potentielle Angriffe gegen ein IT-System zu erkennen und damit die Sicherheit von IT-Systemen zu beschreiben.87 Im Gegensatz zu FMEA wird bei Angriffsbäumen von einem verletzten Schutzziel eines Schutzobjektes ausgegangen und es werden mögliche Angriffswege abgeleitet.
Webseite verändern (Verletztes Schutzziel: Integrität)
Datenbank-Angriff
Zugriff auf Account
…
DNS-Spoofing
File-Server angreifen
…
…
Fehlende Authentifizierung (Account ohne Passwort)
Bedeutung der Symbole Angriffsziel
Abbildung 10:
Zwischenschritt zur Umsetzung des Angriffs
Schwachstelle
Beispiel eines Angriffbaums.
Angriffe gegen ein Schutzobjekt werden in einer Baumstruktur dargestellt (vgl. Abbildung 10). Der Wurzelknoten gibt das Angriffsziel vor. Alle Kinder des Wurzelknotens (und die Kinder dieser Knoten) geben an, wie dieses Ziel realisierbar ist. Die Blattknoten stellen die Schwachstellen dar, die wiederum Unternehmen Informationen zur Findung geeigneter Maßnahmen gegen eine unternehmensrelevante Bedrohung liefern können. Angriffsbäume können um die Zuordnung von qualitativen (z.B. Schwierigkeitsmaß der Ausnutzung von Schwachstellen, benötigte Hilfsmittel) und quantitativen (z.B. entstehende Kosten) Faktoren erweitert werden.88
87 88
Vgl. Schneier (2001), S. 309ff. Vgl. Schneier (2001), S. 310ff.
28
Identifikation und Quantifizierung von IT-Risiken
Der wesentliche Vorteil von Angriffsbäumen liegt in der potentiell erreichbaren Vollständigkeit der Identifikation aller Einzelrisiken. Werden alle möglichen Angriffswege identifiziert, können potentiell alle Schwachstellen und unternehmensrelevanten Bedrohungen erfasst werden. Allerdings ist zu konstatieren, dass sich bei komplexen IT-Systemen sehr komplexe Baumstrukturen ergeben und die Erstellung des Angriffsbaums mit erheblichem Aufwand verbunden sein kann.89
3.1.3.3 Hazard and Operability Studies Die Methode „Hazard and Operability Studies” (HAZOP) wurde ursprünglich von der chemischen Industrie zur Identifikation von Schwachstellen in technischen Systemen entwickelt.90 Im deutschen Sprachraum wird HAZOP oftmals als PAAG-Verfahren (Prognose-AuffindenAusmerzen-Gegenmaßnahmen) bezeichnet.91 Die Besonderheit von HAZOP liegt darin, dass Schwachstellen und Bedrohungen gegen ein IT-System sowohl während der Entwicklungsphase als auch nach Inbetriebnahme identifiziert werden können. Wie bei der FMEA zerlegen Experten ein IT-System logisch in einzelne Komponenten bzw. Anwendungen und visualisieren die Interaktionen der einzelnen Anwendungen in Form von Diagrammen.92 I.d.R. wird die Reihenfolge der aufgerufenen Anwendungen vom Geschäftsprozess determiniert (vgl. dazu das IT-Risiko-Referenzmodell aus Abbildung 1). Zur Visualisierung kommen Block-, Datenfluss-, Zustandsübergangs-, Zeit-, Kreis-, und objektorientierte-Diagramme in Frage. Für jede Anwendung und Interaktion werden Zielzustände definiert. Risiken können immer dann entstehen, wenn Abweichungen von einem Sollzustand möglich sind. Die Identifikation potentieller Abweichungen erfolgt systematisch durch das Heranziehen einer Liste mit vorgegebenen Schlüsselwörtern. In Tabelle 1 ist eine beispielhafte Analyse dargestellt, wie Abweichungen vom Sollzustand beim Datenaustausch zwischen zwei Anwendungen analysiert werden können. Basierend auf den identifizierten potentiellen Abweichungen erarbeitet das Team in einem weiteren Schritt mögliche Ursachen (Angriffe) für die Abweichungen aus.93 Schließlich wird analysiert, welche Gegenmaßnahmen ergriffen werden können, um den gewünschten Sollzustand trotz des Vorliegens von Bedrohungen zu erreichen. HAZOP weist eine hohe Flexibilität bei der Formulierung von Abweichungen und Erwartungen auf. Allerdings ist die Identifikation von IT-Risiken mittels HAZOP mit einem enormen Aufwand verbunden, da i.d.R. mehrere Sitzungen erforderlich sind. Zudem hat sie die Tendenz einer zu strengen Festlegung 89 90 91 92 93
Vgl. Schneier (2001), S. 315. Vgl. Kletz (1997), S. 263. Vgl. Minz (2004), S. 104. Vgl. Redmill, Chudleigh und Catmur (1997), S. 284ff. Vgl. Redmill, Chudleigh und Catmur (1997), S. 289.
Identifikation von IT-Risiken
29
von Sicherheitszielen und kann in Folge dessen eine Überreaktion bei den zu ergreifenden Gegenmaßnahmen hervorrufen.94 Ferner wird von einem statischen Umfeld ausgegangen. Änderungen in Geschäftsprozessen und Neuerungen machen die Ergebnisse der Analyse weitgehend hinfällig. Schlüsselwort nein/nicht mehr weniger sowohl als auch
teilweise
Bedeutung Ziel wird nicht erreicht quantitative Zunahme (Mehr Inputs als benötigt) quantitative Abnahme (weniger Inputs als benötigt) qualitative Zunahme (Sollzustand wird erreicht, jedoch passiert etwas zusätzliches) qualitative Abnahme (Nur Teile der Sollfunktion werden erreicht)
Umkehrung
Logisches Gegenteil
anders als
Vollständige Substitution
Beispiel keine Daten werden zwischen Anwendungen ausgetauscht mehr Daten als angenommen werden ausgetauscht weniger Daten als angenommen werden ausgetauscht Daten werden korrekt ausgetauscht, können aber aufgrund mangelnder Rechenkapazität nicht verarbeitet werden Qualität der Daten teilweise mangelhaft, so dass der aufbauende Teilprozess nicht ausgeführt werden kann ausgetauschte Daten bewirkten das Gegenteil (z.B. Verkauf statt Kauf) Sonstige Ereignisse, die im Gegensatz zum Normalbetrieb eintreten können (z.B. Stromausfall)
Tabelle 1:
HAZOP-Schlüsselworte.
Quelle:
In Anlehnung an Redmill, Chudleigh und Catmur (1997), S. 288; Münchbach (2001), S. 164.
3.1.3.4 Fragenkatalog Beim Einsatz von Fragenkatalogen wird ein Risikomanager durch eine Serie von detaillierten Fragen, deren Antworten Hinweise auf Schwachstellen und Bedrohungen beinhalten, zu ITRisiken geführt.95 Sie sind eng verwandt mit Checklisten, erlauben jedoch als derivative Methode von Checklisten, Interviews, Dokumentanalyse und Inspektionen eine tiefergehende Analyse.96 Das Bundesministerium für Sicherheit in der Informationstechnik hat bspw. standardisierte Fragebögen zur Identifikation von IT-Risiken ausgearbeitet. Ein Auszug aus dem Fragenkatalog zur „Vergabe von Zugriffsrechten“ ist in Tabelle 2 illustriert. (Standardisierte) Fragenkataloge erfordern die Kenntnis potentieller Angriffe und setzen daher auf Ergebnisse anderer Identifikationsmethoden auf.97 Sie bieten Unternehmen eine sehr kostengünstige Form der Identifikation von unternehmensrelevanten Bedrohungen. Im Falle
94 95 96 97
Vgl. Münchbach (2001), S. 165. Vgl. Vaughan und Vaughan (2001), S. 56. Vgl. Piaz (2002), S. 90. Vgl. Piaz (2002), S. 90.
30
Identifikation und Quantifizierung von IT-Risiken
standardisierter Fragenkatalogen besteht allerdings das Problem, dass unternehmensspezifische Faktoren oftmals nicht berücksichtigt werden können.
Ist für jedes IT-System bzw. jede IT-Anwendung festgelegt worden, welche Personen welche Zugriffsrechte haben? Liegen aktuelle Dokumentationen der vergebenen Zugriffsrechte vor? Wer führt diese und wo liegen sie vor? …
…
ja
teilweise
nein
Kommentare
͛
͛
͛
Wo ist das dokumentiert?
͛
͛
͛
…
…
…
Tabelle 2:
Auszug eines Fragekatalogs des BSI zur Identifikation von IT-Risiken.
Quelle:
In Anlehnung an Bundesamt für Sicherheit in der Informationstechnik und Bundes (1999), S. 8.
3.1.4 Bewertung der Methoden Im Folgenden werden die vorgestellten Methoden durch eine einfache Nutwertanalyse bewertet. Die Durchführung der Nutzwertanalyse erfolgt in drei Schritten:98 1. Definition und Gewichtung von Kriterien, 2. Festlegung einer Punkteskala zur Beurteilung der Kriterienerfüllung, 3. Bewertung der Methoden.
Ad 1) Definition und Gewichtung von Kriterien Oberstes Ziel der Identifikationsphase ist eine vollständige Identifizierung aller unternehmensrelevanten Bedrohungen.99 I.d.R. dürfte dieses Ziel jedoch nur in den seltensten Fällen realisiert werden, da Angreifer den Hard- und Softwareentwicklern oftmals einen Schritt voraus sind. So ist bspw. häufig zu beobachten, dass Hacker eine Schwachstelle bei einer als sicher geltenden Anwendung identifizieren und anschließend ausnutzen. Wenige Zeit später wird oftmals ein „Patch“100 angeboten, der diese Schwachstelle schließen soll. Da eine vollständige Identifikation aller zukünftig unternehmensrelevanten Bedrohungen in den seltensten Fällen realisiert werden kann, ist es für Unternehmen besonders wichtig, Existenz bedrohende Risiken zu identifizieren. Als Existenz bedrohende Risiken werden jene
98 99 100
In Anlehnung an Zangemeister (1976), S. 60. Vgl. Hechenblaikner (2006), S. 26. Ein „Patch“ ist eine (Zusatz-)Software, die Schwachstellen in einer Software beheben soll (vgl. Eckert (2003), S. 45f.). Beim Betriebssystem Windows wird ein „Patch“ als „Service Pack“ bezeichnet.
Identifikation von IT-Risiken
31
Bedrohungen verstanden, deren Umsetzung einen sehr hohen finanziellen Verlust verursachen kann. Kriterium
Punkte
I1
Vollständige Identifizierung
50
I2
Identifikation Existenz bedrohender Risiken
30
I3
Aufwand
20
¦ Tabelle 3:
100
Gewichtung der Kriterien zur Bewertung der Identifikationsmethoden.
Die Durchführung der einzelnen Methoden ist jeweils mit unterschiedlichem Aufwand verbunden. Ungeachtet des Potentials der Methode, Schwachstellen und Bedrohungen vollständig identifizieren zu können, ist es für Unternehmen stets vorteilhaft, wenn mit der Durchführung der Methode ein geringer Aufwand verbunden ist. Zur Gewichtung der Kriterien werden gemäß ihrer Bedeutung 100 Punkte auf die einzelnen Kriterien verteilt (vgl. Tabelle 3). Da das oberste Ziel der Identifikationsphase eine möglichst vollständige Identifikation der Risiken ist, wird diesem Kriterium die höchste Bedeutung beigemessen. Dem Kriterium „vollständige Identifikation“ werden 50 zugeteilt. Aufgrund der beschriebenen Problematik einer vollständigen Identifikation sollte die Methode zumindest in der Lage sein, die Existenz bedrohenden Risiken zu ermitteln. Dem Kriterium „Identifikation Existenz bedrohender Risiken“ werden 30 Punkten zugeteilt. Es wird davon ausgegangen, dass bei Eintritt von Existenz bedrohenden Risiken dem Unternehmen höhere Verluste entstehen als an Aufwand für eine mögliche Identifikation anfallen würde. Daher wird dem Kriterium geringer „Aufwand“ eine geringere Bedeutung beigemessen als dem Kriterium „Identifikation Existenz bedrohender Risiken“ und folglich 20 Punkte zugeteilt. Ad 2) Festlegung einer Punkteskala zur Beurteilung der Kriterienerfüllung Jeder Methode werden für jedes Kriterium Punkte zwischen 1 und 3 zugeteilt. Die Bedeutung der Punkte in Bezug auf die Erfüllung der in Ad 1) definierten Kriterien sind der Tabelle 4 zu entnehmen.
32
Identifikation und Quantifizierung von IT-Risiken Punkte
Kriterium
I1
Vollständige Identifizierung
1
2
3
schlecht geeignet
befriedigend geeignet
gut geeignet
schlecht geeignet
befriedigend geeignet
gut geeignet
hoch
mittel
gering
Identifikation I2
Existenz bedrohender Risiken
I3
Aufwand
Tabelle 4:
Punkteskala zur Beurteilung der Kriterienerfüllung
Ad 3) Bewertung der Methoden Zur Bewertung der einzelnen Methoden werden die Punkte aus der Gewichtung der Kriterien (vgl. Tabelle 3) mit den Punkten der Erfüllung der Kriterien (vgl. Tabelle 4) multipliziert. Die Ergebnisse sind in Tabelle 5 illustriert. Checklisten können aufgrund der angesprochenen Aggregationsproblematik nur als Ansatzpunkt für eine Risikoidentifikation dienen und sollten stets in Kombination mit anderen Methoden eingesetzt werden.101 Sie sind sowohl zur vollständigen Identifikation als auch zur Identifikation Existenz bedrohender IT-Risiken schlecht geeignet. Als positiv ist der i.d.R. geringe Aufwand zu nennen, der mit der Durchführung der Methode verbunden ist. Expertenbefragungen eignen sich insbesondere zur Erfassung von Existenz bedrohenden Risiken. Für eine vollständige Identifikation sind Expertenbefragungen eher schlecht geeignet. I.d.R. ist mit Expertenbefragungen ein eher geringer Aufwand verbunden. Durch Self-Assessments können vor allem häufig auftretende Schwachstellen und unternehmensrelevante Bedrohungen identifiziert werden. Allerdings ist eine vollständige Identifikation unwahrscheinlich, da die Methode bei der Identifikation Existenz bedrohender Risiken an ihre Grenzen stößt. Aufgrund der hohen Anzahl an Mitarbeiterbefragungen ist bei der Durchführung der Methode mit einem mittleren Aufwand zu rechnen. Die Analyse unternehmensinterner Daten ist überwiegend zur Identifikation von Risiken mit hoher Eintrittswahrscheinlichkeit und geringem Schadensausmaß geeignet. Die Identifikation von Existenz bedrohenden Risiken ist befriedigend möglich. Hierzu ist die Analyse unternehmensexterner Daten besser geeignet. Die Durchführung beider Methoden ist mit einem eher hohen Aufwand verbunden.
101
Vgl. Hölscher (2006), S. 359.
Identifikation von IT-Risiken
33
Von den Kreativitätsmethoden sind das Brainstorming und Brainwriting aus zweierlei Gründen besonders positiv hervorzuheben: Einerseits sind sie gut zur Identifikation von Existenz bedrohenden Risiken geeignet bei gleichzeitig relativ geringem Aufwand. Andererseits erfordern diverse andere Identifikationsmethoden (z.B. FMEA, Angriffsbäume oder HAZOP) Informationen, die sich nur durch kreatives Denken gewinnen lassen. Hierbei können Brainstorming und Brainwriting als Methoden eingesetzt werden. Kriterien
Gewichtung
I1
I2
I3
50
30
20
Methode
= 100
Gesamt-
Punkte
punkte
Checklisten
1
1
3
140
Expertenbefragungen
1
3
3
200
Self-Assessments
2
1
2
170
2
2
1
180
1
3
1
160
1
3
3
200
Synektik
1
2
2
150
Delphi-Methode
2
1
1
150
Angriffsbäume
3
3
1
260
FMEA
2
3
2
230
HAZOP
2
3
2
230
Fragenkatalog
2
2
3
220
Analyse unternehmensinterner Daten Analyse unternehmensexterner Daten Brainstorming/ Brainwriting
Tabelle 5:
Bewertung der Methoden zur Identifikation von IT-Risiken
Die Synektik ist aufgrund ihrer Komplexität weniger zur vollständigen Identifikation von ITRisiken geeignet. Durch den hohen Grad an Kreativität eignet sie sich prinzipiell zur Identifikation von Existenz bedrohenden Risiken. Der Aufwand wird aufgrund der Komplexität der Methode als eher hoch eingeschätzt. Da bei der Delphi-Methode eine Vielzahl an Mitarbeitern befragt wird, können potentiell sehr viele unternehmensrelevante Bedrohungen identifiziert werden. Allerdings ist sie weniger zur Identifikation von Existenz bedrohenden Risiken geeignet und ihre Durchführung aufgrund der hohen Anzahl an Iterationen mit einem hohen Aufwand verbunden.
34
Identifikation und Quantifizierung von IT-Risiken
Angriffsbäume wurden speziell zur Identifikation von IT-Risiken entwickelt. Durch die Topdown Vorgehensweise wird sie von allen Methoden dem Anspruch einer vollständigen Identifikation am ehesten gerecht. Allerdings ist mit dem Einsatz dieser Methode ein hoher Aufwand verbunden. Angriffsbäume empfehlen sich daher besonders bei solchen IT-Systemen, deren negative Beeinträchtigung einen sehr hohen finanziellen Schaden für das Unternehmen verursacht. Im Vergleich zu Angriffsbäumen sind die FMEA und HAZOP weniger aufwändig, jedoch aufgrund der niedrigen Abstraktion oftmals nicht in der Lage, Abhängigkeiten zwischen Angriffen aufzuzeigen. Die Identifikation von Existenz bedrohenden Risiken ist mit beiden Methoden möglich. Fragenkataloge setzen die Kenntnis von Bedrohungen sowie Schwachstellen voraus und erfordern daher Ergebnisse anderer Identifikationsmethoden. Bei Kenntnis dieser Bedrohungen stellen sie ein sehr geeignetes Mittel zur Identifikation von IT-Risiken dar. StandardFragebögen enthalten Hinweise über Schwachstellen und Bedrohungen von den bei Unternehmen und sonstigen Konsumenten am häufigsten eingesetzten IT-Systemen. Sie stellen für Unternehmen, die wenige proprietäre und überwiegend standardisierte IT-Systeme einsetzen, eine sehr kostengünstige Form der Risikoidentifikation dar. Insgesamt zeigt die Analyse, dass die analytische Suchmethoden Angriffsbäume, FMEA, HAZOP und Fragenkataloge am besten zur Identifikation von IT-Risiken geeignet sind. In vielen Fällen dürfte eine Kombination der Methoden sehr hilfreich sein. Da viele Unternehmen überwiegend standardisierte IT-Systeme einsetzen und für diese Systeme standardisierte Fragenkataloge existieren, können die Unternehmen mit dieser Methode bei relativ geringem Aufwand eine Vielzahl der IT-Risiken identifizieren. Für proprietären IT-Systeme und jene standardisierte IT-Systeme, die zur Unterstützung kritischer Geschäftsprozesse eingesetzt werden, sind besonders Angriffsbäume sowie die FMEA und HAZOP zu empfehlen. Sind die IT-Risiken identifiziert, erfolgt nach dem IT-Risikomanagementprozess in einem nächsten Schritt ihre Bewertung. Im Folgenden werden Methoden zur Quantifizierung der ITRisiken nach ihren Eigenschaften klassifiziert, erläutert und bewertet.
Quantifizierung von IT-Risiken
35
3.2 Quantifizierung von IT-Risiken Die gegenwärtig am häufigsten diskutierten Methoden zur Quantifizierung von IT-Risiken können grundsätzlich den Kategorien x
Indikator-Ansätze,
x
Befragungstechniken und Szenarioanalyse,
x
stochastische Methoden und
x
Kausal-Methoden
zugeordnet werden (vgl. Abbildung 11).102
Methoden zur Quantifizierung von IT-Risiken
Indikator-Ansätze
• Schlüsselwert-Methode (Risikoindikatoren)
Befragungstechniken und Szenarioanalyse • Befragungstechniken - Experteninterviews
• Modifizierter BasisindikatorAnsatz nach Basel II
- Self-Assessments
Stochastische Methoden
Kausal-Methoden
• Vollenumeration
• Bayes-Netze
• Monte-Carlo-Simulation
• Neuronale Netze
• Extremwertmethode
• Szenarioanalyse
• Modifizierter Standard-Ansatz nach Basel II • Interner Bemessungsansatz • Scorecard-Ansätze • Capital Asset Pricing Model
Abbildung 11:
Kategorisierung ausgewählter Methoden zur Quantifizierung von IT-Risiken
Quelle:
In Anlehnung an Faisst und Kovacs (2003)
Indikator-Ansätze fokussieren auf eine bestimmte Kennzahl respektive auf ein Kennzahlensystem, anhand dessen das vorliegende IT-Risiko indirekt ermittelt wird. Dabei werden einerseits auf Basis empirischer Untersuchungen und andererseits auf Basis von Expertenmeinungen Indikatoren gewählt, für die ein Zusammenhang mit der Höhe des IT-Risikos vermutet wird. Bei Befragungstechniken und der Szenarioanalyse wird versucht, die Verluste von ITRisiken durch mündliche oder schriftliche Befragungen von Experten zu quantifizieren. Stochastische Methoden hingegen benutzen statistische Verteilungsfunktionen zur Schätzung der
102
Die Kategorisierung erfolgt in Anlehnung an Faisst und Kovacs (2003), S. 345. Oftmals wird in der Literatur auch eine Kategorisierung nach Top-down und Bottom-up sowie qualitativen und quantitativen Methoden vorgenommen (vgl. z.B. Jovic und Piaz (2001), S. 926).
36
Identifikation und Quantifizierung von IT-Risiken
Verluste aus IT-Risiken. Anhand von historischen Daten bzgl. der Verlusthäufigkeit und -höhe von IT-Risiken werden Aussagen über die erwarteten und unerwarteten Verluste getroffen. Bei Kausal-Methoden werden speziell Zusammenhänge zwischen den identifizierten Risikoursachen und/oder -indikatoren und den daraus resultierenden Schäden unter Zuhilfenahme statistischer Methoden untersucht. Im Folgenden werden die in Abbildung 11 aufgeführten Methoden zur Quantifizierung von IT-Risiken mit Ausnahme der Befragungstechniken und den Neuronalen Netzen vorgestellt. Der Verzicht der Erläuterung der Befragungstechniken geht aus zwei Gründen hervor: Zum einen wurde die Vorgehensweise bereits in Kapitel 3.1.1.2 erläutert. Die Quantifizierung erfordert bei beiden Methoden (Experteninterviews und Self-Assessments) lediglich zusätzliche Angabe zu Verlusthäufigkeiten und Verlusthöhen. Zum anderen sind diese beiden Methoden oftmals Bestandteil von Szenarioanalysen. Versuche, operationelle Risiken in der Praxis mit neuronalen Netzen zu quantifizieren, haben sich als äußerst schwierig erwiesen. Dies wird vor allem mit der hohen Komplexität der Methode bei Vorliegen einer Vielzahl an Einflussfaktoren zur Erfassung der kausalen Zusammenhänge von Bedrohungen und Verlusten begründet.103 Zudem ist es mit Neuronalen Netzen nur sehr schwer möglich, Verlusten mit niedriger Eintrittswahrscheinlichkeit und extrem hohen Verlustausmaß zu berücksichtigen. Im Bereich der operationellen Risiken haben sich Bayes-Netze als Kausalmethode als anwendbar gezeigt.104
3.2.1 Indikator-Ansätze 3.2.1.1 Schlüsselwert-Methode Die Schlüsselwert-Methode ist eine qualitative Methode zur Bewertung von IT-Risiken. Im Mittelpunkt dieser Methode stehen so genannte Risikoindikatoren. Diese sind quantifizierbare Messgrößen, die auf IT-Risiken hinweisen, welche sich zukünftig in Verlusten äußern können.105 Die Ermittlung der Risikoindikatoren erfolgt durch Analyse von Bedrohungen. Für jede Bedrohung muss analysiert werden, welche Faktoren bei ihrer Umsetzung eine Erhöhung oder Reduktion der erwarteten Verlusthäufigkeit und der -höhe bewirken. Sofern Risikoindikatoren
103 104 105
Vgl. Cruz (2003), S. 166. Vgl. King (2001), S. 227ff.; Giudici (2004), S. 131ff.; Alexander (2003a), S. 285ff. Vgl. Seibold (2005), S. 120; Wegmann (2005), S. 510.; Das (2006), S. 475.
Quantifizierung von IT-Risiken
37
mit den Verlusten korrelieren, können über die Entwicklung der Risikoindikatoren Aussagen über die Entwicklung der Verluste gemacht werden.106
Veränderungsrate (in %)
Risikoindikatoren für die Verlusthäufigkeit des Angriffs „Virenimport durch E-Mail Empfang“ könnten bspw. die „Anzahl der empfangenen Mails“ oder das „niedrige Risikobewusstsein der Mitarbeiter“ (in Bezug auf das fahrlässige Öffnen von E-Mail Anhängen) sein. Je mehr E-Mails empfangen werden und je höher der relative Anteil der Mitarbeiter mit niedrigem Risikobewusstsein ist, desto häufiger gelangen mit Viren infizierte E-Mails auf einen Rechner. In Abbildung 12 ist eine beispielhafte Trendanalyse dargestellt, welche einen linearen Zusammenhang zwischen der Entwicklung der Verluste aus IT-Risiken und den Risikoindikatoren „Anzahl empfangender E-Mails“ und „niedriges Risikobewusstsein der Mitarbeiter“ unterstellt. Ein 1%-iger Anstieg der Risikoindikatoren bewirkt jeweils einen 1%-igen Anstieg der Verluste. Es wird angenommen, dass die Anzahl empfangener E-Mails insgesamt ansteigt und der relative Anteil der Mitarbeiter mit niedrigem Risikobewusstsein aufgrund einer Mitarbeiterschulung reduziert werden kann.
20% 15% 10% 5% 0% -5%
0
5
10
15
20
25
30
Zeit (in Monaten)
-10% -15% Anzahl empfangener E-Mails relativer Anteil der Mitarbeiter mit niedrigem Risikobewusstsein Entwicklung der Verluste aus IT-Risiken
Abbildung 12:
Beispielhafte Trendanalyse unterschiedlicher Risikoindikatoren.
Quelle:
In Anlehnung an Piaz (2002), S. 126.
Die Vorteile der Risikoanalyse liegen in dem relativ unaufwendigen Umsetzungsaufwand.107 Die Ergebnisse können wertvolle Hinweise zur Identifikation von möglichen Steuerungsmaßnahmen geben, wie das Beispiel der Mitarbeiterschulung zeigt. Als Nachteil ist zu konstatieren, dass der Zusammenhang zwischen der Entwicklung der Risikoindikatoren und den Verlusten aus IT-Risiken höchstens eine Approximation darstellen kann. Zudem erlaubt der qualitative Charakter dieser Analyse keine absolute Bewertung. Die Schlüsselwert-Methode sollten daher ergänzend zu quantitativen Methoden zur Risikoquantifizierung eingesetzt werden.
106 107
Vgl. Piaz (2002), S. 125. Vgl. Piaz (2002), S. 126.
38
Identifikation und Quantifizierung von IT-Risiken
3.2.1.2 Modifizierter Basisindikatoransatz nach Basel II Der Basisindikatoransatz (BIA) ist eine in Basel II aufgeführte Methode zur Berechnung der Verluste und erforderlichen Eigenkapitalausstattung von operationellen Risiken. Der Ansatz wurde für die Bankenbranche entwickelt, kann prinzipiell jedoch auch von Unternehmen anderer Branchen angewendet werden. Die Höhe der Verluste und des zu unterlegenden Eigenkapitals ergibt sich aus der Multiplikation des Durchschnittswerts der Bruttoerträge der vorangegangenen drei Jahre mit einem von Ausschuss vorgegebenen Faktor Į:
n
(1)
CC BIA
¦ BE
t
Į
t 1
n
wobei: CCBIA = Eigenkapitalanforderung nach dem Basisindikatoransatz; BEt = jährlicher (positiver) Bruttoertrag der letzten drei Jahre; n= Anzahl der letzten drei Jahre mit positivem Bruttoertrag; Į = vom Basler Ausschuss für Bankenaufsicht vorgegebener Prozentsatz, derzeit 15 %108
Den Bruttoertrag definiert der Ausschuss als Nettozinsertrag zzgl. des zinsunabhängigen Ertrags.109 Der Basler Ausschuss für Bankenaufsicht beabsichtigt, dass der Bruttoertrag 1) vor Wertberichtigungen ermittelt wird, 2) betriebliche Aufwendungen, inkl. Zahlungen an Anbieter ausgelagerter Dienstleistungen, nicht berücksichtigt werden, 3) keine realisierten Gewinne oder Verluste aus Wertpapiergeschäften im Anlagebuch enthält und 4) weder sporadische noch außerordentliche Erträge und Einkünfte aus Versicherungsgeschäften beinhaltet. Sind ein oder mehrere Werte des Bruttoertrag Null oder negativ, werden diese Werte bei der Berechnung des Durchschnitts weder im Zähler noch im Nenner berücksichtigt. Dies hat i.d.R. Verzerrungen zur Folge, weshalb sich der Ausschuss vorbehält, geeignete Maßnahmen zu ergreifen. Da IT-Risiken eine Teilmenge operationeller Risiken darstellen, kann der BasisindikatorAnsatz durch Erweiterung des Zählers von Gleichung (1) um die Variable į (wobei gilt: 0 d į d 1 ) zur Quantifizierung von IT-Risiken genutzt werden. Die Variable į spiegelt den re-
lativen Anteil der IT-Risiken an den gesamten operationellen Risiken wider. Die Eigenkapitalausstattung und Höhe der IT-Risiken berechnen sich gemäß:
108
109
Bei der Nutzung des BIA von Unternehmen anderer Branchen ist zu überprüfen, ob dieser Prozentsatz einen geeigneten Wert darstellt oder ggf. ein anderer Wert zugrunde gelegt werden muss. Vgl. Basler Ausschuss für Bankenaufsicht (2004), S. 128.
Quantifizierung von IT-Risiken
39
n
(2)
CC BIA-IT
¦ BE
t
Įį
t 1
n
Zur Anwendung des BIA sind keinen speziellen Mindestanforderungen nachzukommen. Allerdings sind Banken aufgefordert, bei der Verwendung dieses Ansatzes die im Dokument „Sound Practices for the Management and Supervision of Operational Risk“110 vom Ausschuss aufgeführten Leitlinien zu befolgen.111 Der Vorteil des Basisindikator-Ansatzes liegt in der leichten Implementierung und der universellen Anwendbarkeit für jede Bank. Für kleine Banken mit relativ geringen Geschäftsaktivitäten kann der Basisindikatoransatz u.U. durchaus geeignet sein. Insbesondere für Banken, die lediglich mit einem Geschäftsbereich agiert, oder einzelne Geschäftsbereiche nicht differenzieren können, ist der Ansatz geeignet.112 Allerdings steht diesem Ansatz auch eine Vielzahl an Nachteilen gegenüber. So ist vor allem die mangelnde Risikosensitivität des Indikators Bruttoertrag zu nennen.113 Der vom Basler Ausschuss unterstellte kausale Zusammenhang zwischen dem Bruttoertrag und der Höhe des operationellen Risikos ist oftmals nicht gegeben. Zusätzlich erwirtschaftete Erträge erhöhen die Eigenkapitalanforderungen, was im diametralen Widerspruch zu den geschäftspolitischen Zielen der Bank steht.114 Probleme ergeben sich auch bei der Bewertung der ökonomischen Vorteilhaftigkeit von Maßnahmen zur Risikosteuerung. Der Grund liegt darin begründet, dass für eine derartige Bewertung eine ursachenbezogene Quantifizierung notwendig ist.115 Entsprechend können die Eigenkapitalanforderungen durch Variation des Verhaltens des Managements nicht beeinflusst und die Qualität des Managements nicht bewertet werden.116 Ferner ist anzumerken, dass der Bruttoertrag als Indikator nicht den spezifischen Charakter einzelner Organisationseinheiten Rechnung trägt. So bleiben sämtliche Organisationseinheiten, die keinen Bruttoertrag generieren (z.B. Stabsstellen), unberücksichtigt.117
110 111
112
113 114 115 116 117
Basel Committee on Banking Supervision (2003). Vgl. Basler Ausschuss für Bankenaufsicht (2004), S. 128. Eine detaillierte Definition der Geschäftsfelder ist im Anhang 6 (S. 207) des Dokuments aufgeführt. Vgl. The Industry Technical Group on Operational Risk (2000), S. 10; Hechenblaikner (2006), S. 126ff.; Hölscher, Kalhöfer und Bonn (2005), S. 494. Vgl. Hechenblaikner (2006), S. 126ff.; Hölscher, Kalhöfer und Bonn (2005), S. 494. Vgl. Zentraler Kreditausschuss (2001), S. 114f. Vgl. Gramlich und Gramlich (2002), S. 73. Vgl. Zentraler Kreditausschuss (2001), S. 114f.; Pézier (2003), S. 53. Vgl. Grüter (2006), S. 48.
40
Identifikation und Quantifizierung von IT-Risiken
3.2.1.3 Modifizierter Standardansatz nach Basel II Der Standardansatz (STA) nach Basel II ist ein weiterer Ansatz zur Ermittlung des zu unterlegenden Eigenkapitals aus operationellen Risiken. Auch bei diesem Ansatz dient der Bruttoertrag als Indikator. Im Gegensatz zum BIA werden die Geschäftstätigkeiten im Rahmen des STA in acht Geschäftsfelder unterteilt (vgl. Tabelle 6).118 Da dem STA die Geschäftsfelder von Banken zugrunde liegen, kann dieser Ansatz nicht ohne weiteres von Unternehmen anderer Branchen genutzt werden. Eine Übertragung des STA auf Unternehmen anderer Branchen erfordert eine Definition der Unternehmens-Geschäftsfelder sowie die Bestimmung der geschäftsfeldspezifischen Betafaktoren. Geschäftsfeld
Betafaktor
1
Unternehmensfinanzierung/-beratung
ȕ1=18 %
2
Handel
ȕ2=18 %
3
Retail-Geschäft
ȕ3=12 %
4
Firmenkundengeschäft
ȕ4=15 %
5
Zahlungsverkehr und Wertpapierabwicklung
ȕ5=18 %
6
Depot- und Treuhandgeschäfte
ȕ6=15 %
7
Vermögensverwaltung
ȕ7=12 %
8
Wertpapierprovisionsgeschäft
ȕ8=12 %
Tabelle 6:
Geschäftsfelder und Betafaktoren im Rahmen des STA.
Quelle:
In Anlehnung an Basler Ausschuss für Bankenaufsicht (2004), 130.
Innerhalb jedes Geschäftsfeldes wird der Bruttoertrag ermittelt und mit einem vom Ausschuss vorgegebenen Faktor ȕ multipliziert. Die Gesamtkapitalanforderung wird als 3-JahresDurchschnitt aus der Addition der Kapitalanforderungen für die einzelnen Geschäftsfelder ermittelt. Dabei kann eine negative Kapitalanforderung aus einem Geschäftsfeld mit einer positiven Kapitalanforderung aus einem anderen Geschäftsfeld zur Gänze verrechnet werden. Sofern die Summe der einzelnen Kapitalanforderungen eines Jahres einen negativen Wert annimmt, so ist für dieses Jahr die Eingaben für den Zähler gleich Null zu setzen. Formal ergibt sich die Eigenkapitalanforderung CC gemäß:
118
Vgl. Basler Ausschuss für Bankenaufsicht (2004), S. 130.
Quantifizierung von IT-Risiken
(3)
CCSTA
41
3
8
t 1
i 1
¦ max ª«¬¦ BE
t,i
ȕi ,0º »¼
3
wobei: KSTA = Eigenkapitalanforderung nach dem Standardansatz; BEt,i = erzielter Bruttoertrag im Jahr t innerhalb des Geschäftsfeldes i; ȕi = vom Ausschuss festgelegter Prozentsatz des Geschäftsfeldes i.
Basierend auf dem STA sieht der Basel Ausschuss zusätzlich einen alternativen Standardansatz (ASA) vor. Der ASA kann von Banken alternativ zum STA angewandt werden, sofern diese ihre nationale Bankenaufsicht überzeugen können, dass dieser eine bessere Basis darstellt, um bspw. eine doppelte Anrechung von Risiken zu vermeiden.119 Die Berechnung der Eigenkapitalanforderung bei der Anwendung des ASA entspricht den Vorgaben des STA mit Ausnahmen der beiden Geschäftsfelder „Retail-Geschäft“ und „Firmenkundengeschäft“. Der Bruttoertrag wird für diese beiden Geschäftsfelder durch den Risikoindikator „Darlehen und Kredite“ ersetzt.120 Dieser Indikator wird mit einem festen Faktor m sowie den beiden Beta-Faktoren dieser Geschäftsfelder aus dem STA multipliziert. Die Eigenkapitalanforderung für das Retail-Geschäft berechnet sich gemäß Gleichung (4) (analog für das Geschäftsfeld „Firmenkundengeschäft“ mit ȕ=15 %): (4)
CC RB
ȕ RB m LA RB
wobei: CCRB = Eigenkapitalanforderung im Retail-Geschäft; ȕRB = Beta-Faktor des Retail-Geschäfts; m = fester Faktor mit Wert 0,035; LARB = jährlich ausstehende Gesamtvolumen der Retail-Darlehen und -Kredite (ohne Risikogewichtung und ohne Abzug von Wertberichtigungen) im Durchschnitt der letzten drei Jahre.
Zur Berechnung der gesamten Eigenkapitalanforderung werden die Anforderungen der einzelnen Geschäftsfelder – analog zum STA – aufsummiert. Der ASA erlaubt es Banken auch, ihr Retail- und Firmenkundengeschäft zusammenzufassen und mit einem Beta-Faktor von 15 % zu multiplizieren.121 Ferner räumt der Ansatz die Möglichkeit ein, dass Banken, die nicht in der Lage sind, die Bruttoerträge aller anderen sechs Geschäftsfeldern einzeln zu ermitteln, die Bruttoerträge für diese Geschäftsfelder zu aggregieren und mit einem Beta-Faktor i.H.v. 18 % zu multiplizieren. Zur Quantifizierung der IT-Risiken kann Gleichung (3) um die Variable įi (wobei gilt: 0 d į i d 1 ) erweitert werden, welche den relativen Anteil der IT-Risiken an den operationellen
119
120 121
Vgl. Basler Ausschuss für Bankenaufsicht (2004), S. 129. Hat einen Bank den Wechsel vom STA zum ASA vorgenommen, darf sie ohne die Erlaubnis der nationalen Bankenaufsicht nicht mehr zum STA zurückkehren. Vgl. Basler Ausschuss für Bankenaufsicht (2004), S. 129. Vgl. Basler Ausschuss für Bankenaufsicht (2004), S. 129.
42
Identifikation und Quantifizierung von IT-Risiken
Risiken im jeweiligen Geschäftsfeld i angibt. Die Eigenkapitalanforderungen nach dem modifizierten Standardansatz berechnen sich wie folgt:
(5)
CCSTA-IT
3
8
t 1
i 1
¦ max ª«¬¦ BE
t,i
ȕi įi ,0º »¼
3
Damit eine Bank den STA anwenden darf, müssen mindestens die drei nachfolgenden generellen Anforderungen erfüllt sein:122 1. Das oberste Verwaltungsorgan bzw. die Geschäftsleitung muss aktiv in die Überwachung des Risikomanagement-Systeme für operationelle Risiken involviert sein, 2. Die Bank muss über ein Risikomanagement-System für operationelle Risiken verfügen, das konzeptionell solide und fest implementiert ist, 3. Die Bank muss über ausreichende Ressourcen zur Umsetzung des Ansatzes sowohl in den wichtigsten Geschäftsfeldern als auch in den Kontroll- und Revisionsbereichen verfügen. Darüber hinaus stellt der Basler Ausschuss für international tätige Banken weitere Auflagen.123 Im Wesentlichen betreffen diese das unternehmensweite Risikomanagement-System, die Sammlung von internen Verlustdaten, das interne Berichtswesen an die Geschäftsleitung bzw. das oberste Verwaltungsorgan sowie die Überprüfung des Bewertungssystems für operationelle Risiken. Im Gegensatz zum BIA liegt der Vorteil sowohl beim STA als auch beim ASA darin, dass sie die Geschäftsfeldstrukturen von Banken im Rahmen der Risikoabschätzung besser Rechnung tragen.124 Weiter ist positiv anzumerken, dass der STA und ASA wenige Daten erfordern sowie leicht umgesetzt werden können. Im Wesentlichen entsprechen die Nachteile des STA und des ASA denen des BIA. Insbesondere ist der unterstellte kausale Zusammenhang zwischen dem Bruttoertrag und der Höhe des operationellen Risikos zu bemängeln.125 Ferner kann es einer Bank Schwierigkeiten bereiten, die eigene Geschäftsstruktur in die vom Basler Ausschuss vorgegebenen Geschäftseinheiten zu unterteilen.126
122 123 124 125 126
Vgl. Basler Ausschuss für Bankenaufsicht (2004), S. 131. Vgl. Basler Ausschuss für Bankenaufsicht (2004), S. 131f. Vgl. Pézier (2003), S. 54. Vgl. Boos und Schulte-Mattler (2001), S. 551. Vgl. Grüter (2006), S. 54.
Quantifizierung von IT-Risiken
43
3.2.1.4 Interner Bemessungsansatz Die Risk Management Group hat im Zuge der Diskussionen um mögliche Quantifizierungsverfahren für operationelle Risiken im Rahmen von Basel II den so genannten internen Bemessungsansatz als Verfahren vorgeschlagen.127 Dieser Ansatz soll Banken die Möglichkeit einräumen, interne sowie externe Daten über Verlustereignisse bei der Berechnung der Eigenkapitalanforderungen für operationelle Risiken zu berücksichtigen. Wie der BIA und der STA wurde auch der interne Bemessungsansatz für die Bankenbranche entwickelt. Auch dieser Ansatz kann prinzipiell bei Anpassung der entsprechenden Variablen von jedem Unternehmen genutzt werden. Da IT-Risiken eine Teilmenge operationeller Risiken darstellen, kann der interne Bemessungsansatz auch zur Quantifizierung von IT-Risiken genutzt werden. Bei der Anwendung des internen Bemessungsansatzes wird wie folgt vorgegangen:128 1. Die Aktivitäten einer Bank werden in verschiedenen Geschäftsfelder j unterteilt. Darüber hinaus werden einzelne Verlustereignisse i definiert und jedem Geschäftsfeld zugeordnet. 2. Für jede Kombination i,j wird der ein so genannter Gefährdungsindikator (Exposure Indicator) EIi,j festgelegt, welcher als Approximationswert für das Ausmaß der Gefährdung dient. In Bezug auf die IT-Risiken ist dies bspw. die Anzahl an E-Mails, die eine Bank in einer bestimmten Periode empfängt. 3. Zusätzlich zu jedem Gefährdungsindikator wird die Eintrittswahrscheinlichkeit pro Verlustereignis PEi,j in jedem Geschäftsfeld festgelegt. So wäre bspw. denkbar, dass in einem bestimmten Geschäftsfeld durchschnittlich eine von hundert E-Mails mit einem Virus infiziert ist (PEi,j.= 0,01). Die Multiplikation des Gefährdungsindikators mit der Eintrittswahrscheinlichkeit (EIi,j . PEi,j) entspricht der erwarteten Häufigkeit des Verlustereignisses E(Q) im betrachteten Geschäftsfeld. Werden in einem Geschäftsfeld bspw. 1.000 E-Mails pro Periode empfangen und die Eintrittswahrscheinlichkeit pro Schadensereignis nehme den Wert 0,01 an, so ergibt sich eine erwartete Häufigkeit von Viren infizierten E-Mails i.H.v. 10.129 Weiter wird die durchschnittliche Verlusthöhe (LGEi,j) pro Verlustereignis und Geschäftsfeld bestimmt. Der erwartete Verlust berechnet sich als Produkt der erwarteten Häufigkeit mit der erwarteten Verlusthöhe (E(L)i,j) pro Verlustereignis (E(L)i,j = E(Q)i,j . LGEi,j = EIi,j . PEi,j . LGEi,j). Richtet ein
127
128 129
Vgl. Basel Committee on Banking Supervision (2001c), S. 33f. Der interne Bemessungsansatz wurde in einem Arbeitspapier vom September 2001 als ein mögliches Verfahren vorgestellt, der die Mindestanforderungen der fortgeschrittenen Bemessungsansätze erfüllt. Der Ansatz wurde nicht in das endgültige Konsultationspapier übernommen, stellt jedoch weiterhin eine mögliche Quantifizierungsmethode dar. (vgl. Österreichische Nationalbank (2005), S. 36) Vgl. Basel Committee on Banking Supervision (2001a), S. 8f. 1.000 . 0,01 = 10.
44
Identifikation und Quantifizierung von IT-Risiken
Virus im Durchschnitt einen Schaden i.H.v. 500 GE an, so nimmt der erwartete Verlust den Wert 5.000 GE130 an. 4. Von der Aufsicht wird weiter der so genannte Ȗ-Faktor festgelegt, der für jede i,jKombination die erwarteten Verluste in unerwartete Verluste überführt und die Eigenkapitalanforderung bestimmt.131 Die Höhe des Ȗ-Faktors hängt von der erwarteten Häufigkeit E(Q) von Verlustereignissen ab. Die Eigenkapitalanforderung CC für die Gesamtbank berechnet sich gemäß: (6)
CCIMA
¦¦Ȗ i
i, j
EI i, j PE i, j LGEi, j
j
¦¦ Ȗ i
i, j
E(L)i, j
j
Bei der Bestimmung des Gamma-Faktors geht der Basler Ausschuss von einer Binomialverteilung aus, welche sich für kleine PI der Poisson-Verteilung annähert.132 Unter Annahme poisson-verteilter Verlusthäufigkeiten Q und konstanten durchschnittlichen Verlusthöhen LGE gilt nach ALEXANDER:133 (7)
CC Ȗ E(Q) LGE
(8)
CC
sowie
L0,999 E(L)
wobei: CC = Ökonomische Eigenkapitalunterlegung (unerwartete Verluste); Ȗ = Gamma-Faktor; E(Q) = Er wartungswert der Verlust häufigkeitsverteilung Q; LGE = durchschnittlich erwartete Verlusthöhe; L0,999 = 99,9 % Quantil der Verlustverteilung L; E(L) = Erwartungswert der Verlustverteilung L.
Durch Gleichsetzung von (7) und (8) erhält man:
(9)
Ȗ
L0,999 E(L) E(Q) LGE
L0,999 E(L) E(L)
Q0,999 E(Q) E(Q)
wobei: Ȗ = Gamma-Faktor; L0,999 = 99,9 % Quantil der Verlustverteilung L; E(L) = Erwartungswert der Verlustverteilung L; E(Q) = Erwartungswert der Verlust häufigkeitsverteilung Q; LGE = durchschnittlich erwartete Verlusthöhe; Q0,999 = 99,9 % Quantil der Verlusthäufigkeitsverteilung Q.
Für das 99,9%-Quantil der Verlusthäufigkeitsverteilung nimmt der Gamma-Faktor die in Tabelle 7 aufgeführten Werte an und kann prinzipiell für jedes Unternehmen genutzt werden. ALEXANDER legt diese Werte zur Quantifizierung von unerwarteten Verlusten zugrunde.
130 131 132 133
1.000 . 0,01 . 500 GE = 5.000 GE Vgl. Basel Committee on Banking Supervision (2001b), S. 9 und 24. Vgl. Alexander (2003b), S. 148f. Vgl. Alexander (2003b), S. 148ff.
Quantifizierung von IT-Risiken
45
Da keine empirischen Untersuchungen für IT-Risiken bekannt sind, wird unterstellt, dass sich die unerwarteten Verluste für IT-Risiken ebenfalls mit diesen Werten berechnen lassen. Der interne Bemessungsansatz weist den Vorteil auf, dass sich – auch bei Vorliegen relativ weniger historischer Daten – die unerwarteten Verluste bei einem 99,9 % Quantil durch die Multiplikation der erwarteten Verluste mit dem Gamma-Faktor berechnen lassen. Allerdings weist diese Methode zwei Nachteile auf. Zum einen wird von konstanten durchschnittlichen Verlusthöhe ausgegangen und keine Verteilung zugrunde gelegt. Zum anderen ist der funktionale Zusammenhang zwischen den erwarteten und den unerwarteten Verluste durch den Gamma-Faktor zu bemängeln.134 E(Q) Q0,999 J
100 131,805
50 72,751
40 60,452
30 47,812
20 34,714
10 20,662
0,318
0,455
0,511
0,594
0,736
1,066
E(Q)
8
6
5
4
3
2
Q0,999
17,630
14,449
12,771
10,956
9,127
7,113
J
1,204
1,408
1,554
1,739
2,042
2,556
E(Q)
1
0,9
0,8
0,7
0,6
0,5
Q0,999
4,868
4,551
4,234
3,914
3,584
3,255
J
3,868
4,056
4,292
4,591
4,974
5,510
E(Q)
0,4
0,3
0,2
0,1
0,05
0,01
Q0,999
2,908
2,490
2,072
1,421
1,065
0,904
J
6,269
7,300
9,362
13,205
20,306
89,401
Tabelle 7:
Übersicht der J-Werte in Abhängigkeit von der erwarteten Häufigkeit E(Q).
Quelle:
In Anlehnung an Alexander (2003b), S. 151.
3.2.1.5 Scorecard-Ansätze Bei Scorecard-Anstätzen werden zunächst für jede Geschäftseinheit des Unternehmens Verluste aus IT-Risiken ermittelt und ein Zielwert festgelegt.135 Somit setzen Scorecard-Ansätze auf andere Methoden zur Quantifizierung von IT-Risiken auf. Auf Basis von Scorecards werden die quantifizierten Verluste sukzessive adjustiert.136 Scorecards beruhen auf Risikokennzahlen oder ganzen Kennzahlensystemen sowie Risikoindikatoren und erfassen sowohl quantitative als auch qualitative Faktoren, die die Höhe der Verluste aus IT-Risiken beeinflus-
134 135 136
Vgl. Brink (2002), S. 109. Vgl. Wagner (2002), S. 164. Vgl. Stickelmann (2002), S. 34.
46
Identifikation und Quantifizierung von IT-Risiken
sen.137 Durch die Zuteilung von Scores wird eine Normalisierung der Faktoren und somit eine einheitliche Basis geschaffen, um die Auswirkungen von Veränderungen der Faktoren auf die Höhe der Verluste erfassbar zu machen.138 Durch die Bildung von Szenarien können zukunftsgerichtete Informationen in die Adjustierung einfließen.139 Werden die festgelegten Zielwerte überschritten, ist zu überprüfen, welche Steuerungsmaßnahmen zur Verfügung stehen und ob die Ergreifung dieser unter wirtschaftlichen Aspekten sinnvoll ist. In jüngerer Zeit wurde eine Vielzahl an Scoring-Ansätzen entwickelt,140 wobei sich bisher kein Industriestandard etabliert hat.141 Der bekannteste Vertreter dieser Ansätze ist die Balanced Scorecard.142 Scorecard-Ansätze stellen eine Synthese von qualitativen und quantitativen Faktoren zur Risikomessung dar. Oftmals bedienen sich Scorecard-Ansätze Ergebnissen anderer Methoden zur Risikoquantifizierung, so z.B. Ergebnisse von Expertenbefragungen und Szenarioanalysen. Der Nachteil von Scoring-Ansätzen liegt in der hohen Abhängigkeit von Expertenschätzungen.
3.2.1.6 Capital Asset Pricing Model Das Capital Asset Pricing Model (CAPM) ist in seiner Grundform ein Ein-Perioden-Modell zur Ermittlung der risikoadjustierten Eigenkapitalkosten eines Unternehmens.143 Eine wesentliche Prämisse des Modells ist die Informationseffizienz des Kapitalmarktes. Die Markteffizienzhypothese besagt, dass Wertpapierpreise respektive -kurse vollständig durch die verfügbaren Informationen ohne Verzögerung reflektiert werden.144 Bekannt gewordene Verluste durch IT-Risiken machen sich daher in Form von Aktienkursschwankungen bemerkbar.145 Zur Quantifizierung der IT-Risiken wird die gesetzmäßige Beziehung zwischen Rendite und Risiko herangezogen. Das CAPM gibt Aufschluss darüber, welche Renditeforderungen (erwartete Rendite) die Eigenkapitalgeber an das Unternehmen haben und welcher Preis sich bei einzelnen Wertpapieren im Marktportfolio einstellt.146 Formal lässt sich dies wie folgt ausdrücken:147
137 138 139 140 141 142
143 144 145 146 147
Vgl. Faisst, Huther und Schneider (2002), S. 28. Vgl. Hoffman (2002), S. 250; Suyter (2002), S. 90. Vgl. Basel Committee on Banking Supervision (2001c), S. 35. Vgl. Simons (1999); Blunden (2003);Scandizzo (2005). Vgl. Faisst, Huther und Schneider (2002), S. 28. Zur Balanced Scorecard vgl. Kaplan und Norton (1992); Kaplan und Norton (1996); Kaplan und Norton (1997). Vgl. Sharpe (1964), S. 427ff. Vgl. Fama (1991), S. 1575. Vgl. Peter, Vogt und Kraß (2000), S.660 und Das (2006), S. 473 für operationelle Risiken. Vgl. Perridon und Steiner (2004), S. 263. Vgl. Sharpe und Alexander (1999), S. 204.
Quantifizierung von IT-Risiken
(10) wobei
ȝi
47
r (ȝ M r) ȕi
ȝi = erwartete Rendite des i-ten Wertpapiers, r = Zinssatz der risikolosen Anlage, ȝM = erwartete Rendite des Marktportfolios, ȕi = Beta-Faktor des i-ten Wertpapiers
Im Zentrum der Betrachtung steht hierbei der Beta-Faktor. Er ist Ausdruck für das systematische Risiko eines Wertpapiers und misst die Sensitivität des Wertpapiers i gegenüber Veränderungen der Rendite des Marktportfolios. Je nach Ausmaß des systematischen Risikos variieren die Eigenkapitalkosten des Unternehmens. Der Beta-Faktor berücksichtigt alle Risikoklassen, so auch die IT-Risiken.148 Das Ausmaß von IT-Risiken kann unter Abzug anderer messbarer Risikokomponenten und dem Risikokapital eruiert werden.149 Die Vorteile des CAPM Ansatzes liegen in der hohen Verfügbarkeit externer Daten.150 Er eignet sich insbesondere zur Ermittlung der Verluste aus Risiken mit hohem Verlustausmaß mit gleichzeitig niedriger Eintrittswahrscheinlichkeit.151 Allerdings steht den Vorteilen eine Vielzahl von Nachteilen gegenüber. Zunächst muss die Vielzahl der Prämissen des CAPM und die hohen Marktimplikation sehr kritisch hinterfragt werden.152 Die Veränderung des Aktienkurses wird von vielen Faktoren beeinflusst. Es ist äußerst schwierig, die durch das IT-Risiko induzierte Veränderung herauszufiltern.153 Nachdem die gängigsten Indikator-Ansätze erläutert wurden, wird im Folgenden aufgezeigt, wie IT-Risiken mittels einer Szenarioanalyse quantifiziert werden können.
3.2.2 Szenarioanalyse Den Kern einer Szenarioanalyse bildet die Ermittlung und Analyse von potentiellen Verlustereignissen durch Expertenwissen, die noch nicht unbedingt eingetreten sind, jedoch für die Zukunft als möglich und relevant für das Unternehmen eingeschätzt werden.154 Folglich kommen Szenarioanalysen überwiegend dann zum Einsatz, wenn wenige oder überhaupt keine historische Verlustereignisse bekannt sind.155 Unter dem Vorbehalt der Subjektivität der Expertenschätzungen können durch Szenarioanalysen potentielle Verlustereignisse ermittelt werden. Zur mathematischen und statistischen Ermittlung der (un-)erwarteten Verluste müs-
148 149 150 151 152 153 154 155
Vgl. Ceske, Hernandez und Sanches (2000), S. 11. Vgl. Jovic und Piaz (2001), S. 926. Vgl. Peter, Vogt und Kraß (2000), S.660; Das (2006), S. 473. Vgl. Schierenbeck (2001b), S. 341. Vgl. Jovic und Piaz (2001), S. 926. Vgl. Das (2006), S. 473. Vgl. Wegmann (2005), S. 509; Mißler-Behr (1993), S. 9ff. Vgl. Lim und Kriele (2006), S. 36; Peccia (2003), S. 275.
48
Identifikation und Quantifizierung von IT-Risiken
sen Experten, oftmals im Rahmen von Expertenbefragungen oder Self-Assessments, Angaben zu mindestens den folgenden quantitativen Zielgrößen machen:156 x
Verlusthäufigkeit: Erwartungswert und Standardabweichung,
x
Verlusthöhe: Erwartungswert, geschätzter maximale Verlust innerhalb eines Konfidenzniveaus und Standardabweichung.
Aus diesen Angaben lassen sich Verlusthäufigkeits- und Verlusthöhenverteilungen bestimmen (vgl. Abbildung 13).
Wie häufig tritt das Verlustereignis pro Jahr ein? Î z.B. 40 Mal pro Jahr
Wahrscheinlichkeit
Beispielhafter Verlauf der Poisson-Verteilung Erwartungswert
40
Wie hoch ist der Verlust, der nur in einem von 20 Ereignissen überschritten wird (Konfidenzniveau 95%)? Î z.B. 250.000 GE
Beispielhafter Verlauf der Lognormal-Verteilung Wahrscheinlichkeit
Wie groß ist der erwartete Verlust pro Ereignis? Î z.B. 80.000 GE
Verlusthäufigkeit
Erwartungswert
80.000
Konfidenzniveau (95%)
250.000 Verlusthöhe
Abbildung 13:
Ermittlung einer Verlusthäufigkeits- und Verlusthöhenverteilung auf Basis von Expertenangaben
Quelle:
In Anlehnung an Wegmann (2005), S. 509.
Die Abschätzung der erwarteten und unerwarteten Verluste ergibt sich durch die Faltung dieser beiden Verteilungen mittels Monte-Carlo-Simulation.157 Dies ermöglicht die Abschätzung der erwarteten und unerwarteten Verluste aus dem analysierten Szenario. Charakteristisch für eine Szenarioanalyse ist, dass nicht nur ein Szenario, sondern mehrere Szenarien erstellt werden. Die erstellten Szenarien werden durch eine Zuweisung von Eintrittswahrscheinlichkeiten gewichtet und bewertet.158
156 157
158
Vgl. Wegmann (2005), S. 509; Brink (2006), S. 19. Vgl. Kapitel 3.2.3.2 zum Vorgehen der Faltung von Verlusthäufigkeits- und Verlusthöhenverteilungen zu einer Gesamtverlustverteilung mittels Monte-Carlo-Simulation. Zur Gewichtung und Bewertung einzelner Szenarien vgl. Brauers und Weber (1986), S. 633ff.
Quantifizierung von IT-Risiken
49
Szenarioanalysen bieten Unternehmen die Möglichkeit, auch bei Vorliegen keiner oder weniger historischer Daten in Kombination mit einer Monte-Carlo-Simulation Aussagen über die (un-)erwarteten Verluste von Ereignissen zu machen. Auch für Unternehmen, denen bereits historische Daten über Verlustereignisse vorliegen, können Szenarioanalysen bei der Berücksichtigung von Verlustereignissen mit seltenem Auftreten aber hohem Ausmaß wertvolle Informationen liefern. Allerdings ist zu konstatieren, dass die gewonnenen Ergebnisse auf der Qualität der subjektiven Einschätzungen beruhen. Werden nur wenige Angaben zu den Zielvariablen gemacht, ist eine exakte Quantifizierung der IT-Risiken kaum möglich.159 Im Folgenden wird vorgestellt, wie eine Quantifizierung von IT-Risiken mittels stochastischer Methoden erfolgen kann.
3.2.3 Stochastische Methoden Bei stochastischen Methoden wird über das Vorliegen von historischen Daten bzw. Zufallszahlen zu Verlusthäufigkeiten und -höhen eine Gesamtverlustverteilung gebildet. Ziel ist die Ermittlung von Risikomaßen wie der Erwartungswert, der Value-at-Risk und der Expected Shortfall. Da für IT-Risiken gegenwärtig keine Verlustverteilungen bekannt sind, wird davon ausgegangen, dass sie wie die operationellen Risiken eine rechtsschiefe bzw. linkssteile Gesamtverlustverteilung aufweisen.160 Gängige stochastische Methode zur Quantifizierung von operationellen Risiken sind die die Vollenumeration, die Monte-Carlo-Simulation sowie die Extremwertmethode. Alle drei Methoden können unabhängig von den zugrunde liegenden Verteilungen eingesetzt werden. Sollten IT-Risiken keine rechtsschiefe Gesamtverlustverteilung aufweisen, können diese Methoden dennoch zum Einsatz kommen.
3.2.3.1 Vollenumeration Bei der analytischen Berechnung der Gesamtverlustverteilung mittels Vollenumeration werden alle möglichen Kombinationen von Verlusthäufigkeiten und Verlusthöhen kombiniert und zu einer Gesamtverlustverteilung aggregiert. Eine Prämisse dieses Verfahrens ist die Unabhängigkeit von Verlusthäufigkeiten und Verlusthöhen.161 Bei Vorliegen einer Verlusthäufigkeitsverteilung f(q) (wobei q = Anzahl der Verluste und es gilt: q t 0 n IN ) sowie einer Verlusthöhenverteilung g(x | q) (wobei x = Höhe der Ver-
159 160 161
Vgl. Ebnöther et al. (2003), S. 10. Vgl. Schierenbeck (2001b), S. 343. Vgl. Hölscher, Kalhöfer und Bonn (2005), S. 500.
50
Identifikation und Quantifizierung von IT-Risiken
luste und es gilt: x t 0 x IR ) lässt sich eine Gesamtverlustverteilung h(x) ermitteln, welche folgende Form aufweist: n
h(x)
(11)
³
g(x | q) f(q) dq
i 1
In Tabelle 8 sind beispielhafte Daten über Verlusthäufigkeiten und Verlusthöhen illustriert, welche sich in Verteilungen überführen lassen (vgl. Abbildung 14). Verlusthäufigkeitsverteilung f(q)
Verlusthöhenverteilung g(x|q)
Wahrscheinlichkeit
Verlusthäufigkeit
Wahrscheinlichkeit
(Häufigkeit in %)
(Anzahl)
(Häufigkeit in %)
40 %
0
60 %
50 %
1
30 %
50.000 GE
10 %
2
10 %
100.000 GE
Tabelle 8:
Verlusthöhe 10.000 GE
Exemplarische Daten über Verlusthäufigkeiten und Verlusthöhen.
Zur Ermittlung der Gesamtverlustverteilung werden sämtliche Kombinationen von Verlusthäufigkeiten und -höhen erfasst. Aufsteigend nach der Anzahl der Verlustfälle aus Tabelle 8 wird für jede mögliche Kombination der Gesamtverlust mit der dazugehörenden Wahrscheinlichkeit berechnet (vgl. Tabelle 9). Anzahl der
1. Verlust
2. Verlust
Gesamtverlust
Wahrschein-
Verluste
(in GE)
(in GE)
(in GE)
lichkeit
(1)
(2)
(3) = (1) + (2)
0
0
0
0
40,0 %
1
10.000
0
10.000
30,0 %
1
50.000
0
50.000
15,0 %
1
100.000
0
100.000
5,0 %
2
10.000
10.000
20.000
3,6 %
2
10.000
50.000
60.000
1,8 %
2
10.000
100.000
110.000
0,6 %
2
50.000
10.000
60.000
1,8 %
2
50.000
50.000
100.000
0,9 %
2
50.000
100.000
150.000
0,3 %
2
100.000
10.000
110.000
0,6 %
2
100.000
50.000
150.000
0,3 %
2
100.000
100.000
200.000
0,1 %
Tabelle 9:
Berechnung der Gesamtverluste mit dazugehörigen Wahrscheinlichkeiten.
Die Wahrscheinlichkeit, dass kein Verlustereignis – und somit auch kein Verlust – eintritt, beträgt 40 %. Ein Verlustereignis, welches mit einer Wahrscheinlichkeit von 50 % eintritt, kann
Quantifizierung von IT-Risiken
51
1) mit einer Wahrscheinlichkeit von 60 % zu einen Verlust i.H.v. 10.000 GE, 2) mit einer Wahrscheinlichkeit von 30 % zu einem Verlust i.H.v. 50.000 GE oder 3) mit einer Wahrscheinlichkeit von 10 % zu einem Verlust i.H.v. 100.000 GE führen. Somit tritt bspw. ein Gesamtverlust i.H.v. 50.000 GE mit einer Wahrscheinlichkeit von 15 % (0,5 . 0,3) ein. Schließlich werden alle Kombinationen ermittelt, die mit einer Häufigkeit von zwei Verlustereignissen eintreten können. Ein Gesamtverlust i.H.v. 60.000 GE tritt bspw. zwei Mal mit einer Wahrscheinlichkeit von 1,8 % (0,1 . 0,6 . 0,3) auf. Die Gesamtverluste und die dazugehörigen Wahrscheinlichkeiten aus Tabelle 9 bilden den Ausgangspunkt zur Ermittlung der Gesamtverlustverteilung. Um diese Verteilung zu bilden, werden die Gesamtverluste aus Tabelle 9 der Höhe nach sortiert. Kombinationen, welche den gleichem Gesamtverlust aufweisen, werden zusammengefasst und die Wahrscheinlichkeiten entsprechend addiert.162
Tabelle 10:
Gesamtverlust
Wahrscheinlichkeit h(x)
kumulierte Wahrscheinlichkeit
0
40,0 %
40,0 %
10.000
30,0 %
70,0 %
20.000
3,6 %
73,6 %
50.000
15,0 %
88,6 %
60.000
3,6 %
92,2 %
100.000
5,9 %
98,1 %
150.000
0,6 %
99,9 %
200.000
0,1 %
100 %
Datengrundlage der Gesamtverlustverteilung.
In Tabelle 10 sind die Daten aufgeführt, welche die Grundlage für die in Abbildung 14 illustrierte Gesamtverlusterteilung bilden. Der erwartete Verlust der Gesamtverlustverteilung berechnet sich aus dem Produkt der erwarteten Verlusthäufigkeit mit der erwarteten Verlusthöhe: Erw. Verlusthäufigkeit = 40 % . 0 + 50 % . 1 + 10 % . 2 = 70 %, Erw. Verlusthöhe = 60 % . 10.000 GE + 30 % . 50.000 GE + 10 % .100.000 GE = 31.000 GE,
162
Bspw. tritt in der Tabelle 9 tritt ein Gesamtverlust i.H.v. 60.000 GE zwei Mal mit einer Wahrscheinlichkeit vom 1,8 % auf. Diese beiden Kombinationen werden zusammenfasst und die Wahrscheinlichkeiten addiert (vgl. Tabelle 10). Analog wird bei den Gesamtverlusten i.H.v. 100.000 GE, 110.000 GE und 150.000 GE vorgegangen.
52
Identifikation und Quantifizierung von IT-Risiken
Erw. Verlust = Erw. Verlusthäufigkeit . Erw. Verlusthöhe = 70 % . 31.000 GE = 21.700 GE. Die in Tabelle 10 aufgeführten kumulierten Wahrscheinlichkeiten bilden weiter die Grundlage zur Ermittlung des unerwarteten Verlustes bzw. des Value-at-Risk. Bei einem Konfidenzniveau i.H.v. 99,9 % wird der Verlust nicht mehr als 150.000 GE betragen. Bei einem erwarteten Verlust i.H.v. 21.700 GE nimmt der Value-at-Risk den Wert 128.300 GE (150.000 GE – 21.700 GE) an.
Verlusthöhenverteilung Wahrscheinlichkeit
Wahrscheinlichkeit
Verlusthäufigkeitsverteilung 100%
50%
0% 0
1
100%
50%
0% 10.000
2
Häufigkeit der Verluste (Anzahl)
50.000
100.000
Höhe der Verluste (in GE)
Gesamtverlustverteilung 100,0%
Wahrscheinlichkeit
80,0%
Max. Verlustpotential (Konfidenzniveau: 99,9%) = 150.000 GE
Erwarteter Verlust = 21.700 GE
60,0%
Value-at-Risk (Konfidenzniveau: 99,9%) = 128.300 GE
40,0%
20,0%
0,0% 0
10
20
50
60
100
110
150
200
Verluste (in Tausend GE)
Abbildung 14:
Verlusthäufigkeitsverteilung, Verlusthöhenverteilung und Gesamtverlustverteilung.
Die Ermittlung des Value-at-Risk mittels der Vollenumeration ist vorwiegend bei einer einfachen Datenkonstellation geeignet.163 Bei Vorliegen einer Vielzahl von Daten ist die Anwendung dieser Methoden mit einem enormen Berechnungsaufwand verbunden. Sofern sich die einzelnen Verteilungen nicht in diskreter Form darstellen lassen, z.B. als Ergebnisse von Sze-
163
Vgl. hierzu und im Folgenden Hölscher, Kalhöfer und Bonn (2005), S. 500f.
Quantifizierung von IT-Risiken
53
narioanalysen, kann diese Methode nicht angewandt werden. I.d.R. wird dann auf die MonteCarlo-Simulation zurückgegriffen.
3.2.3.2 Monte-Carlo-Simulation 3.2.3.2.1 Vorgehensweise Bei Anwendung der Monte-Carlo-Simulation wird auf Basis von Zufallszahlen für die Verlusthäufigkeits- und Verlusthöhenverteilung eine Gesamtverlustverteilung generiert.164 Gängige Verlusthäufigkeitsverteilungen sind die Binomial-, negative Binomial-, Poisson-, geometrische, hypergeometrische und die Pascal-Verteilung.165 Geeignete Verteilungen für die Verlusthöhen stellen bspw. die Lognormal-, Wald-, Exponential-, Weibull-, Pareto-, Gamma-, Cauchy-, Beta- sowie die Rayleigh-Verteilung dar.166 Basierend auf historischen Daten von Verlustereignissen aus IT-Risiken wird durch die Treffung von Verteilungsannahmen und der Definition erforderlicher Parameter eine theoretische Verlusthäufigkeits- sowie eine Verlusthöhenverteilung angepasst. Die Güte der theoretischen Anpassungen kann mittels des Chi-Quadrat-Anpassungstests, des Anderson-Darling-Tests, des Cramer-von-Mises-Tests sowie des Kolmogorov-Smirnov-Anpassungstests vorgenommen werden.167 Unter der idealisierten Annahme, dass die Verlusthäufigkeits- und Verlusthöhenverteilung unabhängig voneinander sind, wird eine zweistufige Monte-Carlo-Simulation durchgeführt:168 Zunächst wird aus der Verlusthäufigkeitsverteilung eine zufällige Anzahl (N) von Verlusten gezogen. Anschließend wird aus der Verlusthöhenverteilung N-mal eine dazugehörige Verlusthöhe gezogen. Das Ergebnis dieses Vorgangs ist ein Szenario, welches durch eine Anzahl (N) von Verlustereignissen und deren jeweilige Verlusthöhe x1, x2, … , xN charakterisiert werden kann.169 Der Gesamtverlust dieses Szenarios ergibt sich aus der Summe der einzelnen Verlustereignisse: N
(12)
S
¦x
i
i 0
164 165 166 167 168 169
Vgl. Haubenstock und Hardin (2003), S. 184. Vgl. Cruz (2003), S. 87ff.; Wiedemann (2004), S. 251ff.; Alexander (2005), S. 288. Vgl. Cruz (2003), S. 49ff. Vgl. Grüter (2006), S. 168 und 184. Vgl. im Folgenden Peter, Vogt und Kraß (2000), S. 671. Vgl. Hölscher, Kalhöfer und Bonn (2005), S. 502.
54
Identifikation und Quantifizierung von IT-Risiken
Dieser Vorgang wird hinreichend oft durchgeführt, bis die Konvergenz der Ergebnisse sichergestellt ist. Werden a Szenarien generiert, so weist jedes Szenario eine Wahrscheinlichkeit
1 auf.170 Zur Ermittlung des Value-at-Risk wird eine Urliste erstellt, in der die durch die a Simulation erzeugten Gesamtverluste der Größe nach absteigend sortiert werden.171 Der Vervon
lust für das Konfidenzniveau Į entspricht dem >(1 Į) n 1@ -ten Wert der Urliste. Werden bspw. 10.000 Szenarien generiert, so stellt der 101-te Wert der Urliste den maximal erwarteten Verlust bei einem Konfidenzniveau i.H.v. 99 % dar.172 Der Value-at-Risk ergibt sich aus der Differenz des ermittelten Gesamtverlusts zum definierten Konfidenzniveau abzüglich des erwarteten Verlustes.
Beispielhafte Ermittlung des Value-at-Risk mittels Monte-Carlo-Simulation
Im Folgenden wird aufgezeigt, wie sich der Value-at-Risk für den Angriff „Virenimport durch E-Mail Empfang“ mittels Monte-Carlo-Simulation berechnen lässt.173 Die Verlusthäufigkeitsverteilung sei poisson-verteilt.174 Die Wahrscheinlichkeitsfunktion der Poisson-Verteilung ist gegeben durch:175
(13)
f(q | ȝ)
ȝq ° eȝ q! , ° ® ° 0 ° ¯
für q t 0 und ȝ t 0 sonst
wobei: ȝ = Erwartungswert; q = Zufallsvariable (Verlusthäufigkeit); e = Basis der natürlichen Logarithmen
Der Erwartungswert und die Varianz sind bei der Poisson-Verteilung identisch: (14)
ȝ
np
wobei: n = Anzahl der Transaktionen (hier: Anzahl empfangener Mails); p = Eintrittswahrscheinlichkeit pro Verlustereignis
170 171 172 173
174
175
Vgl. Hölscher, Kalhöfer und Bonn (2005), S. 502. Vgl. Wiedemann (2004), S. 302. (1 - 0,99) . 10.000 + 1 = 101. Für die im Folgenden durchgeführte Simulation wurde die Software Crystal Ball 7© verwendet. Diese kann unter http://www.decisioneering.com/crystal_ball/ bezogen werden. Untersuchungen zeigen, dass die Poisson-Verteilung für Verlusthäufigkeiten bei operationellen Risiken eine geeignete Verteilung darstellt (vgl. Chavez-Demoulin und Embrechts (2004); Fontnouvelle et al. (2003)). Vgl. Bortz (1999), S. 71f.
Quantifizierung von IT-Risiken
55
Im Durchschnitt sei jede 100-ste empfangene E-Mail mit einem Virus infiziert (p=0,01). Für die betrachtete Periode wird damit gerechnet, dass 4.000 E-Mails (n=4.000) empfangen werden. Nach Gleichung (14) nimmt die erwartete Verlusthäufigkeit der mit Viren infizierten EMails in der betrachteten Periode den Wert 40 an ( ȝ
4.000 0,01 40 ). Für die Poisson-
Verteilung gilt nach Gleichung (13):
(15)
f(q | 40)
40q e q! 40
Ihr Verlauf ist in Abbildung 15 illustriert. 0,07 0,06 0,05 0,04 0,03 0,02 0,01
Abbildung 15:
55 ,0 0 58 ,0 0 61 ,0 0
46 ,0 0 49 ,0 0 52 ,0 0
40 ,0 0 43 ,0 0
31 ,0 0 34 ,0 0 37 ,0 0
22 ,0 0 25 ,0 0 28 ,0 0
0,00
Verlauf der poisson-verteilten Verlusthäufigkeiten im Beispielfall.
Die Verlusthöhen seien durch eine Exponentialverteilung gegeben, welche folgende Wahrscheinlichkeitsfunktion aufweist:176
(16)
f( x | Ȝ)
Ȝ e Ȝ x , ° ® ° 0 ¯
für x t 0 und Ȝ t 0 sonst
wobei: Ȝ = Parameter der Exponentialverteilung; x = Verlusthöhe; e = Basis der natürlichen Logarithmen
Der Erwartungswert (EW) sowie die Varianz (Var) der Verlusthöhen X sind gegeben durch: (17)
EW(X)
1 Ȝ
(18)
Var(X)
1 Ȝ2
176
Vgl. Cruz (2003), S. 52.
56
Identifikation und Quantifizierung von IT-Risiken
Der Erwartungswert der Verluste aus dem Import eines Virus durch E-Mails betrage 4.000 GE. Der Parameter der Exponentialverteilung nimmt gemäß Gleichung (17) den Wert Ȝ = 0,00025 an. Für die Exponentialverteilung gilt nach Gleichung (16): f( x | 0,00025)
(19)
0,00025 e 0 , 00025x
Der Verlauf der Exponentialverteilung ist in Abbildung 16 veranschaulicht. Erwartungswert = 4.000 GE
Wahrscheinlichkeit
0,06 0,05 0,04 0,03 0,02 0,01 0,00 0
4.281
8.563
12.844
17.126
Verlusthöhe in GE
Abbildung 16:
Verlauf der exponential-verteilten Verlusthöhen im Beispielfall.
Die Gesamtverlustverteilung wird mittels Zufallszahlen der Verlusthäufigkeits- und Verlusthöhenverteilung generiert. Werden 10.000 Szenarien gebildet, nimmt die Gesamtverlustverteilung den in Abbildung 17 dargestellten Verlauf an. Durch die Unabhängigkeitsannahme der beiden Verteilungen berechnet sich der erwartete Verlust aus dem Produkt der erwarteten Verlusthäufigkeit und Verlusthöhe und nimmt den Wert 160.000 GE an. Das maximal erwartete Verlustpotential bei einem Konfidenzniveau von 95,0 % beträgt 472.705 GE. Der Valueat-Risk berechnet sich aus der Differenz dieser beiden Werte und beträgt 312.705 GE.
Quantifizierung von IT-Risiken
57
Max. erw. Verlustpotential (Konfidenzniveau = 95,0%) = 472.705 GE
Erwartungswert = 160.000 GE
0,09 unerwarteter Verlust (Value-at-Risk) = 312.705 GE
Wahrscheinlichkeit
0,08 0,07 0,06 0,05 0,04 0,03 0,02 0,01 0 6.137,11
128.565,16
250.993,21
373.421,26
495.849,32
Verluste in GE
Abbildung 17:
Verlauf der Gesamtverlustverteilung im Beispielfall.
3.2.3.2.2 Kritische Analyse Die Monte-Carlo-Simulation bietet aufgrund ihrer Verteilungsunabhängigkeit eine sehr hohe Flexibilität bei der Quantifizierung von IT-Risiken. Es lassen sich nahezu alle Ausprägungsformen historischer Verlusthäufigkeits- und Verlusthöhenverteilungen an theoretische Verteilungen anpassen. Die Monte-Carlo-Simulation erlaubt es zudem, unter der Annahme standardnormalverteilter Zufallsvariablen, Korrelationseffekte bei der Quantifizierung zu berücksichtigen.177 Unkorrelierte standardnormalverteilte Zufallsvariablen können durch die Anwendung der Cholesky-Faktorisierung in korrelierte Standardnormalverteilte Zufallsvariablen überführt werden. JORION konnte für ein Portfolio mit Optionen zeigen, dass die MonteCarlo-Simulation im Vergleich zu allen anderen Methoden zur Ermittlung des Value-at-Risk die genauesten Ergebnisse liefert.178 Gleichzeitig verursacht die Monte-Carlo-Simulation jedoch den größten Rechenaufwand, der in der Literatur als der größte Kritikpunkt aufgeführt wird.179 Dies betrifft zum einen die Simulation selbst und zum anderen die Findung geeigneter theoretische Verteilungen und die Durchführung der notwendigen Anpassungstests. In Folge dessen besteht ein Trade-off zwischen der Genauigkeit der Ergebnisse und dem Rechenaufwand, der bspw. von TUOR für verschiedene Wertpapier-Portfolios untersucht wurde.180
177 178 179 180
Vgl. Wiedemann (2004), S. 53ff. und 305f. Vgl. Jorion (2000), S. 227ff. Vgl. Oehler und Unser (2002), S. 161; Schierenbeck (2001b), S. 95. Vgl. Tuor (2003).
58
Identifikation und Quantifizierung von IT-Risiken
3.2.3.3 Extremwerttheorie Liegen einem Unternehmen nur wenige Daten über extreme Verlustereignisse vor, besteht bei der Anwendung der Monte-Carlo-Simulation die Gefahr, dass die Risiken mit geringer Eintrittswahrscheinlichkeit und hohem Schadensausmaß einen zu geringen Einfluss auf das Quantifizierungsergebnis haben. Dieser Problematik kann mit der Verwendung der Extremwerttheorie entgegengewirkt werden. Sie versucht eine Funktion für die Anpassung der Verteilungsschwänze (Tail) zu finden respektive die extremen Verlustereignisse jenseits eines definierten Schwellenwerts eigenständig zu definieren und erlaubt die Berechnung des Value-atRisk sowie des Expected Shortfall.181
3.2.3.3.1 Grundlage der klassischen Extremwerttheorie Die klassische Extremwerttheorie fokussiert die größten Werte einer Stichprobe und beschreibt das Verhalten von Exzedenten über einer hohen Schwelle. Für eine Stichprobe X1, …, Xn, (identische und unabhängige Zufallsvariablen) werden in einem ersten Schritt die so genannte partiellen Maxima M1 = X1, Mn = max(X1, …, Xn), n IN betrachtet.182 Der Satz von FISHER-TIPPETT ist die Grundlage der Extremwerttheorie:183 Sei (Xn) eine Folge von identischen und unabhängigen Zufallsvariablen mit Verteilungsfunktion F. Sofern normierende Konstanten an > 0, bn R und eine nicht-degenerierende Verteilungsfunktion H existieren, so dass gilt (20)
lim P(M n d a n x b n ) lim Fn (a n x b n ) H(x), x R n of n of
dann ist H eine der folgenden Verteilungsfunktionen:
(21)
181
182 183
Fréchet
H(x) ĭĮ (x)
0, ® -Į ¯exp(-x ),
xd0 x!0
Į>0
Vgl. Chavez-Demoulin, Embrechts und Neslehová (2006), S. 2639; Chavez-Demoulin und Embrechts (2004), S. 3. Vgl. Borkovec und Klüppelberg (2000), S. 223. Vgl. Embrechts, Klüppelberg und Mikosch (1997), S. 121 und Borkovec und Klüppelberg (2000), S. 223f.
Quantifizierung von IT-Risiken
59
(22)
Weibull
H(x) Ȍ Į (x)
(23)
Gumbel
H(x) ȁ(x)
exp(-(-x)Į ), ® ¯0,
xd0
Į>0
x!0
exp( e x )
xR
Durch die Einführung des Gestaltungsparameters ȟ durch JENKINSON-VON MISES kann die Verteilungsfunktion H folgendermaßen dargestellt werden:184
(24)
H ȟ (x)
°exp§ 1 ȟ x 1ȟ ·, ¨ ¸ ¹ ® © °¯exp exp( x) ,
wenn ȟ z 0 wenn ȟ
0
wobei gilt: 1 + ȟ . x > 0. Diese Darstellung wird als verallgemeinerte Extremwertverteilung (GEV) bezeichnet. Je nachdem, welchen Wert der Form-Parameter ȟ annimmt, können Fréchet-, die Weibull- und die Gumbel-Verteilung abgebildet werden:
(25)
ȟ
1 !0 Į
(26)
ȟ
(27)
ȟ
0
1 0 Į
entspricht der Fréchet-Verteilung ĭĮ (x)
entspricht der Weibull-Verteilung Ȍ Į (x) entspricht der Gumbel-Verteilung / (x)
Die Grenzwertverteilung H in (20) und (24) hängt ausschließlich vom Tail der Verteilungsfunktion F ab.185 Zur Ermittlung des Value-at-Risk sowie des Expected Shortfall eignet sich die Peaks-overThreshold Methode, die im Folgenden vorgestellt wird.
3.2.3.3.2 Peaks-over-Threshold Methode Die Peaks-over-Threshold Methode (POT) betrachtet identische und unabhängig verteilte Zufassvariablen X mit unbekannter Verteilungsform.186 Die Zufallszahlen X lassen sich als Ver-
184 185
Vgl. Embrechts, Klüppelberg und Mikosch (1997), S. 152. Vgl. Borkovec und Klüppelberg (2000), S. 224.
60
Identifikation und Quantifizierung von IT-Risiken
Verlusthöhe
luste aus schlagend gewordenen IT-Risiken deuten. In Abbildung 18 sind beispielhafte Zufallsvariablen Xj (mit j = 1, … ,12) abgebildet, der Schwellenwert u sowie die Exzesse Yi (mit i = 1, … ,6) der Zufallsvariablen Xj (mit j = 1, … ,12). Für eine hohe Schwelle u sei Nu die Anzahl der Exzesse über dem Schwellenwert u (im Beispiel Nu = 6) und es gilt: Yi = Xj – u für alle i = 1, … ,Nu und j = 1, … ,n unter der Bedingung dass Xj > u.
X5
X2 Y1
Y2
Y3 X3
Y6
X6 Y4
Y5
X12
X10
u X1
X8
X4
X11 X9
X7
Zeit (t) Abbildung 18:
Verluste X1 bis X12 und korrespondierende Exzesse Y1 bis Y6 über dem Schwellenwert u.
Quelle:
In Anlehnung an Embrechts, Klüppelberg und Mikosch (1997), S. 353.
Die Verteilungsfunktion der Zufallsvariablen X ist gegeben durch: (28)
F(x)=P(X x)
Das Verteilungsende (Tail) dieser Funktion F 1 - F ist gegeben durch:187
(29)
Fu (y) p{X u ! y | X ! u}
1 - F(u y) 1 F(u)
F(u y) ,yt0 F(u)
wobei: X = Zufallsvariable (Verlusthöhe), u = Schwellenwert, Y = Zufallsvariable über dem Schwellenwert u, F(…) = Wahrscheinlichkeitsverteilung.
186 187
Vgl. Embrechts, Klüppelberg und Mikosch (1997), S. 352ff. Vgl. Borkovec und Klüppelberg (2000), S. 227.
Quantifizierung von IT-Risiken
61
Durch eine Äquivalenzumformung folgt: (30)
F(u y) F(u) Fu (y), y t 0
Typischerweise wird F(u) wie folgt bestimmt:
(31)
F(u)
Nu n
Nach dem PICKANDS-BALKEMA-DE-HAAN-Theorem188 nähert sich bei einem hinreichend hohen Schwellenwert u der Tail Fu (y) an den Tail der verallgemeinerten Paretoverteilung (GPD) Gȟ,ȕ (y) an:189 (32)
Fu (y) | G ȟ,ȕ (y)
Der Tail der GDP ist gegeben durch:190
(33)
Gȟ,ȕ (y)
1 ȟ °§¨1 ȟ y ·¸ °¨ ¸ ȕ ¹ ®© y ° ȕ °¯1 e
falls [ z 0 falls [
0
wobei: ȟ = Gestaltungsparameter, ȕ Skalierungsparameter, y = Zufallsvariable über dem Schwellenwert u.
Während die GEV die Grenzverteilungen von normierten Maxima angibt, gibt die GDP die Grenzverteilungen von skalierenden Exzessen über einem Schwellenwert an.191 Die Schätzung der Gestaltungsparameter ȟ (ausgedrückt durch ȟˆ ) sowie des Skalierungsparameters ȕ (ausgedrückt durch ȕˆ ) kann durch die Maximum-Likelihood-Methode oder der Methode der wahrscheinlichkeitsgewichteten Momente vorgenommen werden.192 Durch Substitution von (31) und (33) i.V.m. (32) in (30) kann der Tailschätzer wie folgt ausgedrückt werden:193
188 189 190 191 192 193
Vgl. Pickands III (1975), S. 199; Balkema und de Haan (1974), S. 792. Vgl. Embrechts, Klüppelberg und Mikosch (1997), S. 354. Vgl. Embrechts, Klüppelberg und Mikosch (1997), S. 353. Vgl. Embrechts, Klüppelberg und Mikosch (1997), S. 164. Vgl. Embrechts, Klüppelberg und Mikosch (1997), S. 356ff. Vgl. Embrechts, Klüppelberg und Mikosch (1997), S. 354.
62
Identifikation und Quantifizierung von IT-Risiken
^
(34)
F ( u y)
Nu n
-
1
ˆ § y· ȟ ¨¨1 ȟˆ ¸¸ ȕˆ ¹ ©
Durch Inversion erhält man die Schätzung des Value-at-Risk für einen gegebenen Schwellenwert u zum Konfidenzniveau Į:194
^
(35)
VaR Į
ȟ· § ȕ ¨ § Nu · ¸ u ¨1 ¨¨ ¸ ¸ ¸ ȟ ¨© © n 1 Į ¹ ¸¹
wobei: u = Schwellenwert, ȕ = Schätzer von ȕ, ȟ = Schätzer von ȟ, Nu = Anzahl der Exzesse über dem Schwellenwert u, n = gesamte Anzahl an Verlusten, Į = Konfidenzniveau
Der Expected Shortfall (ES) weist zum Value-at-Risk folgende Relation auf:195 (36)
ESĮ
VaR Į E>X - VaR Į | X ! VaR Į
@
Die Schätzung des Expected Shortfall lässt sich berechnen als: ^
^
(37)
ESĮ
VaR Į ȕˆ ȟˆ u 1 ȟˆ 1 ȟˆ
3.2.3.3.3 Kritische Analyse Die Extremwerttheorie eignet sich insbesondere dann zur Quantifizierung von IT-Risiken, wenn der Tail der Verlustverteilung stark ausgeprägt ist. Der Vorteil liegt darin, dass nicht die gesamte Zeitreihe modelliert werden muss, sondern es genügt, wenn der Teil der Zeitreihe adäquat beschrieben werden kann, der über einer hohen Schwelle liegt.196 Eine weitere positive Eigenschaft der Extremwertmethode ist die Möglichkeit der Berechnung, sowohl des Value-at-Risk als auch des Expected Shortfall. Für Marktrisiken konnte festgestellt werden, dass der geschätzte Value-at-Risk mittels der POT-Methode einen deutlich höheren Wert annimmt als die Schätzung des Value-at-Risk mit
194
195 196
Vgl. Embrechts, Furrer und Kaufmann (2004), S. 224; Embrechts, Klüppelberg und Mikosch (1997), S. 354; Chavez-Demoulin, Embrechts und Neslehová (2006), S. 2640. Vgl. McNeil (1999), S. 7; Chavez-Demoulin und Embrechts (2004), S. 6. Vgl. Borkovec und Klüppelberg (2000), S. 222.
Quantifizierung von IT-Risiken
63
historischer Simulation sowie der Delta-Normal-Methode.197 Der Grund hierfür ist die Konzentration der POT-Methode auf den Tail der Verteilung. Aufgrund dieser Eigenschaft sind ähnliche Ergebnisse bei einem Vergleich der Ergebnisse einer Monte-Carlo-Simulation mit der POT-Methode zu erwarten. Bei Anwendung der POT-Methode müssen zur Schätzung des Tail eine Menge mathematischer Annahmen getroffen werden, die in der Praxis sehr schwierig verifiziert werden können.198 Dies birgt die Gefahr eines Modellrisikos. Zudem existiert keine anerkannte Vorgehensweise für die Bestimmung des Schwellenwerts u. I.d.R. wird dieser auf Basis subjektiver Entscheidungen festgelegt. Ferner ist zu konstatieren, dass die Berücksichtigung von Korrelationen aufgrund der Notwendigkeit der Berücksichtigung mehrerer Dimensionen eine enorme Komplexität aufweist und praktisch nicht möglich ist.199
3.2.4 Bayes-Netze als Kausalmethode Die klassische Statistik führt Wahrscheinlichkeiten für zufällige Ereignisse aus einem Zufallsexperiment ein, welche sich als relative Häufigkeiten interpretieren lassen (A-prioriWahrscheinlichkeit).200 Die Bayes-Statistik erweitert diesen Begriff der Wahrscheinlichkeiten und führt die Wahrscheinlichkeiten von unbekannten Parametern ein, die Informationen über die A-priori-Wahrscheinlichkeit eines Ereignisses enthalten. Die A-priori-Wahrscheinlichkeit wird durch die Berücksichtigung dieser zusätzlichen Informationen modifiziert. Als Ergebnis steht die A-posteriori Wahrscheinlichkeit eines Ereignisses (vgl. Abbildung 19) zur Verfügung.
197 198 199 200
Vgl. Emmer, Klüppelberg und Trüstedt (1998), S. 7. Vgl. Embrechts (2000), S. 453. Vgl. Peter, Vogt und Kraß (2000), S. 673. Vgl. Koch (2000), S. 1.
64
Identifikation und Quantifizierung von IT-Risiken
Wahrscheinlichkeit
A-priori-Verteilung Likelihood-Funktion A-posteriori-Verteilung
Parameter A - posteriori - Verteilung v A - priori - Verteilung u Likelihood - Funktion
Abbildung 19:
A-posteriori-Verteilung, A-priori-Verteilung und Likelihood-Funktion.
Quelle:
In Anlehnung an Alexander (2003b), S. 137; Cruz (2003), S. 182.
3.2.4.1 Die Bayes Regel Die Grundlage der Bayes-Statistik bildet das Bayes-Theorem der bedingten Wahrscheinlichkeiten von Ereignissen. Bei zwei Ereignissen A und B stellt die bedingte Wahrscheinlichkeit P(A|B) die Wahrscheinlichkeit des Eintretens von Ereignis A unter der Bedingung, dass Ereignis B zuvor eingetreten ist, dar. Die bedingte Wahrscheinlichkeit berechnet sich nach der Bayes-Regel:201
(38)
P(A | B)
P(B | A) P(A) P(B)
wobei: P(A|B) = bedingte Wahrscheinlichkeit (A-posteriori Wahrscheinlichkeit), P(B|A) = bedingte Wahr scheinlichkeit (Likelihood), P(A) = Wahrscheinlichkeit des Eintretens von Ereignis A (A-priori Wahr scheinlichkeit) und P(B) = Wahrscheinlichkeit des Eintretens von Ereignis B
3.2.4.2 Bestandteile und Eigenschaften eines Bayes-Netzes Ein Bayes-Netz dient dazu, Entscheidungen in Systemen zu treffen, in denen Unsicherheiten auftreten.202 Das Netz stellt einen gerichteten azyklischen Graphen dar, der aus Knoten und
201 202
Vgl. Koch (2000), S. 14. Vgl. Koch (2000), S. 157.
Quantifizierung von IT-Risiken
65
Kanten besteht.203 Die Knoten stellen Zufallsvariablen dar und die Kanten (Wirkungspfeile) beschreiben die bedingten Abhängigkeiten zwischen den Zufallsvariablen (vgl. Abbildung 20). Für Knoten ohne Eltern204 müssen A-priori-Wahrscheinlichkeiten und für Knoten mit Eltern205 bedingte Wahrscheinlichkeiten definiert werden.206 Die Festlegung von Knoten und Kanten erlaubt es Unternehmen Ursache-WirkungsRelationen abzubilden.207 Die Ergebnisse von Schwachstellenanalysen oder anderen Methoden zur Identifikation von IT-Risiken können zur Bestimmung der Ursachen herangezogen werden.208 Die Festlegung von Knoten und Kanten erlaubt es Unternehmen ferner, ihre ITInfrastruktur sowie ihre Geschäftsprozesse transparent abzubilden. Dies eröffnet die Möglichkeit einer Analyse der Wirkungen von IT-Risiken. Änderungen in Geschäftsprozessen oder der IT-Infrastruktur können durch eine Modifikation der Knoten und Kanten berücksichtigt werden.209 Eine weitere Eigenschaft von Bayes-Netzen stellt die Möglichkeit einer Verknüpfung von objektiven historischen Daten (ex-post) mit subjektiven Einschätzungen (ex-ante) dar.210 Somit können sowohl quantitative als auch qualitative Informationen berücksichtigt werden.211 Je nach Ausgestaltung des Netzes können auch die Ergebnisse quantitativer oder qualtitativer Natur sein. Wird das Netz derartig ausgestaltet, dass sowohl die Verlusthäufigkeit als auch die Verlusthöhe in Form von stochastischen Verteilungen dargestellt werden, so können diese beiden Verteilungen entweder direkt im Bayes-Netz zusammengeführt oder aber als Input für eine Monte-Carlo-Simulation genutzt werden.212 Werden die beiden Verteilungen direkt im Bayes-Netz zusammengeführt, geschieht dies unter Berücksichtigung bedingter Wahrscheinlichkeiten. Im Gegensatz zur Monte-Carlo-Simulation wird die Prämisse von voneinander unabhängigen Verteilungen aufgehoben. In beiden Fällen ist es möglich, die Verluste innerhalb eines Konfidenzniveaus – und somit den Value-at-Risk – zu bestimmen. Die zentralen Mechanismen von Bayes-Netzen sind die Deduktion und Induktion von Wahrscheinlichkeiten, d.h. eine vorwärts und rückwärts orientierte Abschätzung von Wahrscheinlichkeiten.213 Bei der Deduktion wird ausgehend von einem eingetretenen Ereignis (B) auf ein davon abhängiges Ereignis (A) geschlossen wohingegen bei der Induktion ausgehend von einem eingetretenen Ereignis (A) auf das verursachende Ereignis (B) zurück geschlossen wird. 203 204
205 206 207 208 209 210 211 212 213
Vgl. Alexander (2003a), S. 287; King (2001), S. 235 sowie Cruz (2003), S. 167. In Abbildung 20: Betriebssystem, Art der Viren, Risikobewusstsein der Mitarbeiter sowie Anzahl empfangener Mails. In Abbildung 20: Verlusthöhe, Verlusthäufigkeit und Gesamtverlust. Vgl. Alexander (2003a), S. 287. Vgl. Cruz (2003), S. 178 sowie King (2001), S.142. Vgl. Lee (2001), S. 7ff. Vgl. King (2001), S. 144. Vgl. Cruz (2003), S. 181. Vgl. Grüter (2006), S. 234. Vgl. Adusei-Poku (2005), S. 78ff; Neil, Fenton und Tailor (2005), S. 968ff. Vgl. Grüter (2006), S. 236.
66
Identifikation und Quantifizierung von IT-Risiken
Diese Mechanismen erlauben es Unternehmen, Szenario- und Sensitivitätsanalysen durchzuführen.214
3.2.4.3 Aufbau eines Bayes-Netzes Der Aufbau eines Bayes-Netzes stellt große Herausforderung an Unternehmen. Die Problematik liegt darin, dass keine allgemeine Vorgehensweise zum Aufbau eines Bayes-Netzes existiert und dieser i.d.R. von Unternehmen zu Unternehmen und Risiko zu Risiko unterschiedlich ist. GRÜTER schlägt den Aufbau eines Bayes-Netzes in drei Schritten vor:215 1. Festlegung des Bereichs der Risikomessung und der Zielgröße: Der Bereich der Risikomessung ist frei wählbar. I.d.R. werden entweder die Organisationsstruktur eines Unternehmens oder aber die Geschäfts- oder Teilprozesse als Bereich definiert. Zudem können Risikoindikatoren als Bereich definiert werden. Als Zielgrößen kommen entweder qualitative oder quantitative Größen in Frage. Da mittels qualitativen Größen jedoch keine Aussagen über die wertmäßige Höhe der eingegangenen Risiken ermittelt werden kann, erscheint eine quantitative Ermittlung der Gesamtverlustverteilung sinnvoll. 2. Ermittlung der Ursachen und Definition der Ursache-Wirkungs-Beziehungen: Zur Ermittlung der Ursachen können die Ergebnisse von Methoden zur Identifikation von IT-Risiken herangezogen werden. Es bietet sich an, ausgehend von der Zielgröße (Wirkung) sukzessive auf die Ursachen zurückzuschließen. 3. Parametrisierung des Netzes: Zur Funktionalisierung des Netzes ist es weiter notwendig, A-priori-Wahrscheinlichkeiten bei Elternknoten sowie bedingte Wahrscheinlichkeiten bei untergeordneten Knoten zu definieren. Hierzu bietet sich entweder eine qualitative oder quantitativ-empirische Lösung an. Bei der qualitativen Parametrisierung wird zur Bestimmung der Wahrscheinlichkeiten auf Expertenwissen zurückgegriffen. Der quantitativ-empirische Lösungsansatz sieht vor, die Wahrscheinlichkeiten aus gesammelten historischen Daten abzuleiten. Wie Bayes-Netze zur Quantifizierung von IT-Risiken in Unternehmen eingesetzt werden können, wird im Folgenden anhand eines Beispiels gezeigt.
214 215
Vgl. Alexander (2003a), S. 287. Vgl. im Folgenden Grüter (2006), S. 237ff.
Quantifizierung von IT-Risiken
67
Entwicklung eines einfachen Beispielnetzes zur Quantifizierung von IT-Risiken
Ein Unternehmen verfolgt das Ziel der Ermittlung von Verlusten aus über E-Mail importierten Viren. Dabei wird eine quantitative Zielgröße in Form des Gesamtverlusts festgelegt (vgl. Abbildung 20). Der Gesamtverlust wird durch die Verlusthäufigkeit sowie die Verlusthöhe bestimmt. Die Verlusthöhe wiederum hängt vom eingesetzten Betriebssystem sowie der Art der Viren ab wohingegen die Verlusthäufigkeit von der Anzahl empfangener E-Mails und dem Risikobewusstsein der Mitarbeiter abhängt. Betriebssystem
Risikobewusstsein der Mitarbeiter
Art der Viren
Anzahl empfangener E-Mails
Angriff auf Betriebssystem A A
A
0,9
0,9
B
0,1
A und B
0,1
0,1
B B
0,1
Betriebssystem
Verlusthöhe
0-1.000
3
1.001-2.000
2
2.001-5.000
1
hoch
3
mittel
2
niedrig
1
0,6
0,8 0,25 0,15
Risikobewusstsein der Mitarbeiter
Art der Viren
Verlusthöhe
0-500
3
501-1.000
2
0,4
1.001-1.500
1
0,4
Anzahl empfangener E-Mails
Verlusthäufigkeit
0,408 0,345 0,247
0,2
Verlusthäufigkeit
0-10
3
11-20
2
21-50
1
0,5049 0,3206 0,1745
Gesamtverlust
Gesamtverlust
Abbildung 20:
0-15.000
4
15.001-30.000
3
30.001-50.000
2
50.001-100.000
1
0,3032 0,4135 0,1555 0,1278
Beispielhafte Quantifizierung von Verlusten aus Viren befallene Mails mittels eines BayesNetzes.
Ermittlung der Wahrscheinlichkeitsverteilung der Verlusthöhen: Das Unternehmen setzt zu 90 % Rechner mit dem Betriebssystem A und zu 10 % Rechner des Betriebssystem B ein. Vereinfachend sei angenommen, dass die sich im Umlauf befindlichen Viren darin unterscheiden, welches Betriebssystem angegriffen wird. Dem Unternehmen ist bekannt, dass 80 % der Viren das Betriebssystem A, 10 % das Betriebssystem B und weitere 10 % sowohl das Betriebssystem A als auch B angreifen. Zur Ermittlung der Verlusthöhe müssen zunächst bedingte Wahrscheinlichkeiten gebildet werden, welche in Tabelle 11 illustriert sind.
68
Identifikation und Quantifizierung von IT-Risiken
Art der Viren
Verlusthöhe
Betriebssystem
Angriff auf
Angriff auf
Betriebssystem A
Betriebssystem B
Angriff auf Betriebssystem A und B
A
B
A
B
A
B
0-1.000
0,3
1
1
0,2
0,2
0,2
1.001-2.000
0,4
0
0
0,7
0,5
0,5
2.001-5.000
0,3
0
0
0,1
0,3
0,3
Tabelle 11:
Bedingte Wahrscheinlichkeiten der Verlusthöhe.
Die Anwendung der Bayes-Regel liefert das Ergebnis, dass 40,8 % der Verluste zwischen 1 und 1.000 GE, 34,5 % der Verluste zwischen 1.001 und 2.000 GE und 24,7 % der Verluste zwischen 2.001 und 5.000 GE liegen (vgl. Abbildung 20). Ermittlung der Wahrscheinlichkeitsverteilung der Verlusthäufigkeiten: Die im Unternehmen beschäftigten Mitarbeiter weisen unterschiedliche Grade des Risikobewusstseins (hoch/mittel/niedrig) auf. Mitarbeiter mit hohem Risikobewusstsein erkennen die Gefahr einer mit Viren infizierten E-Mail am ehesten, Mitarbeiter mit niedrigem Risikobewusstsein am wenigsten. Ferner hängen die Verlusthäufigkeiten von der Anzahl empfangener Mails ab. Aus der Vergangenheit ist bekannt, dass während einer Periode in 20 % der Fälle zwischen 0 und 500 E-Mails, in 40 % der Fälle zwischen 501 und 1.000 E-Mails und in weiteren 40 % der Fälle zwischen 1.001 und 1.500 E-Mails empfangen werden. Die bedingten Wahrscheinlichkeiten sind der Tabelle 12 zu entnehmen.
Die Anwendung der Bayes-Regel liefert das Ergebnis, dass in einer Periode zu 50,49 % zwischen 0 und 10, zu 32,06 % zwischen 11 und 20 und zu 17,45 % zwischen 21 und 50 Viren empfangen werden (vgl. Abbildung 20). Anzahl empfa-
0-500
ngener Mails
501-1.000
1.001-1.500
Risikobewusstsein der
hoch
mittel
niedrig
hoch
mittel
niedrig
hoch
mittel
niedrig
0-10
0,7
0,6
0,4
0,7
0,5
0,4
0,4
0,3
0,2
11-20
0,2
0,3
0,4
0,2
0,3
0,5
0,4
0,4
0,4
21-50
0,1
0,1
0,2
0,1
0,2
0,1
0,2
0,3
0,4
Verlusthäufigkeit
Mitarbeiter
Tabelle 12:
Bedingte Wahrscheinlichkeiten der Verlusthäufigkeiten.
Ermittlung der Wahrscheinlichkeitsverteilung der Gesamtverluste: Zur Ermittlung der
Wahrscheinlichkeitsverteilung der quantitativen Zielgröße Gesamtverluste müssen die bedingten Wahrscheinlichkeiten festgelegt werden, die in Tabelle 13 aufgeführt sind.
Quantifizierung von IT-Risiken
69
Verlusthäufigkeit
11-20
21-50
0-
1.001-
2.001-
0-
1.001-
2.001-
0-
1.001-
2.001-
1.000
2.000
5.000
1.000
2.000
5.000
1.000
2.000
5.000
0-15.000
0,5
0,5
0,3
0,2
0,2
0,1
0,15
0,1
0,05
15.001-30.000
0,3
0,4
0,5
0,5
0,45
0,6
0,35
0,35
0,2
30.001-50.000
0,2
0,05
0,1
0,2
0,15
0,2
0,3
0,1
0,15
50.001-100.000
0
0,05
0,1
0,1
0,2
0,1
0,2
0,45
0,6
Verlusthöhe
Gesamtverlust
0-10
Tabelle 13:
Bedingte Wahrscheinlichkeiten der Gesamtverlustverteilung.
Nach Anwendung der Bayes-Regel ergeben sich die in Tabelle 14 illustrierten Wahrscheinlichkeiten der Gesamtverluste. Verlusthöhen und Verlusthäufigkeiten sind daher nicht unabhängig voneinander. Gesamtverlust
Wahrscheinlichkeit
kumulierte Wahrscheinlichkeiten
0-15.000 GE
30,32 %
30,32 %
15.001 – 30.000 GE
41,35 %
71,67 %
30.001 - 50.000 GE
15,55 %
87,22 %
50.001 – 100.000 GE
12,78 %
100 %
Tabelle 14:
Wahrscheinlichkeiten der Gesamtverluste.
Durch die kumulierten Wahrscheinlichkeiten kann der Value-at-Risk (vgl. Tabelle 14) abgeleitet werden. In dem stark vereinfachten Beispiel wird mit einer Wahrscheinlichkeit von 87,22 % der Verlust aus dem Virenimport durch E-Mails nicht mehr als 50.000 GE betragen. Ist ein Bayes-Netz in dieser Form aufgebaut, können deduktive und induktive Berechnungen durchgeführt werden.
Deduktive und Induktive Berechnungen
Die beiden zentralen Mechanismen von Bayes-Netzen sind die Deduktion (wirkungsorientiert) und Induktion (ursachenorientiert) von Wahrscheinlichkeiten. Bei der Deduktion wird analysiert, wie sich die Wahrscheinlichkeiten im Bayes-Netz ändern, wenn sich Änderungen bei den Ursachen ergeben. So kann im Beispielnetz analysiert werden, welche Auswirkungen es hat, wenn nur Mitarbeiter mit niedrigem Risikobewusstsein im Unternehmen arbeiten (vgl. Abbildung 21). Im Vergleich zur Abbildung 20 zeigt sich, dass sowohl die A-posteriori Verteilungen der Verlusthäufigkeiten als auch die der Gesamtverluste negativ beeinflusst werden, d.h. Verluste häufiger eintreten und sich in Folge dessen die Gesamtverlustverteilung nach rechts verschiebt.
70
Identifikation und Quantifizierung von IT-Risiken
Betriebssystem
Risikobewusstsein der Mitarbeiter
Art der Viren
Anzahl empfangener E-Mails
Angriff auf Betriebssystem A A
A
0,9
0,9
0,1
A und B
0,1
0,1
B B
0,1
Betriebssystem
Verlusthöhe
0-1.000
3
1.001-2.000
2
2.001-5.000
1
hoch
3
0
0-500
3
mittel
2
0
501-1.000
2
0,4
niedrig
1
1.001-1.500
1
0,4
0,8
B
1
Risikobewusstsein der Mitarbeiter
Art der Viren
Verlusthöhe
Anzahl empfangener E-Mails
Verlusthäufigkeit
0,408 0,345 0,247
0,2
Verlusthäufigkeit
0-10
3
11-20
2
21-50
1
0,3127 0,4509 0,2364
Gesamtverlust
Gesamtverlust
Abbildung 21:
0-15.000
4
15.001-30.000
3
30.001-50.000
2
50.001-100.000
1
0,2464 0,4260 0,1678 0,1598
Deduktion im Rahmen eines Bayes-Netzes.
Die Ergebnisse deduktiver Simulationen können wertvolle Hinweise bei Szenarioanalysen sowie der Abschätzung von Verlustpotentialen bei sich verändernden Risikoursachen liefern.216 Während die deduktive Simulation die Auswirkungen von sich verändernden Risikoursachen analysiert, so analysiert die induktive Simulation, welche Ursachen bestimmte Wirkungen bedingen. In Abbildung 22 ist die Ursachenstruktur aufgeführt, bei der der Gesamtverlust zwischen 50.001 und 100.000 GE realisiert wird. Derartige Analysen können wertvolle Hinweise für die Ergreifung von Maßnahmen zur Risikosteuerung geben.
216
Vgl. Grüter (2006), S. 246.
Quantifizierung von IT-Risiken
71
Betriebssystem
Risikobewusstsein der Mitarbeiter
Art der Viren
Anzahl empfangener E-Mails
Angriff auf Betriebssystem A
0,9354
2
A
3
B
2
B 0,0646 1
A und B
Betriebssystem
Verlusthöhe
0-1.000
3
1.001-2.000
2
2.001-5.000
1
1
hoch
3
mittel
2
niedrig
1
0,5303
0,8258
0,2822
0,0583 0,1159
0,1875
Risikobewusstsein der Mitarbeiter
Art der Viren
Verlusthöhe
0-500
3
501-1.000
2
1.001-1.500
1
0,4244 0,3618
0,3355 0,5042
Anzahl empfangener E-Mails
Verlusthäufigkeit
0,2138
0,1603
Verlusthäufigkeit
0-10
3
11-20
2
21-50
1
0,1657 0,3375 0,4968
Gesamtverlust
Gesamtverlust 0-15.000 0 4
15.001-30.000 0 3
30.001-50.000 0 2
50.001-100.000
Abbildung 22:
1
1
Induktion im Rahmen eines Bayes-Netzes.
3.2.4.4 Kritische Analyse Die Abbildung von Ursachen-Wirkungs-Relationen ermöglicht es Unternehmen, die Kausalkette zwischen Bedrohungen, technischer Sicherheitsmechanismen, IT-Anwendungen und Geschäftsprozesse bei der Quantifizierung von IT-Risiken zu berücksichtigen. In Verbindung mit deduktiven und induktiven Simulationen kann diese Transparenz wertvolle Informationen zur Durchführung von Szenarioanalysen sowie zur Ergreifung von Maßnahmen zur Risikosteuerung liefern. Die Möglichkeit der Verknüpfung von objektiven historischen Daten und subjektiven Einschätzungen hat für Unternehmen zwei Vorteile: Zum einen können BayesNetze auch bei einer wenig umfangreichen historischen Datengrundlage angewandt werden und zum anderen können Erwartungen über zukünftige quantitative und qualitative Änderungen bei Bedrohungen, IT-Infrastruktur sowie Geschäftsprozessen berücksichtigt werden. Schwierigkeiten bei Bayes-Netzen stellen vor allem der Aufbau und die damit verbundene Anzahl an Informationen zu (bedingten) Wahrscheinlichkeiten dar. Der Aufbau eines Bayes-
72
Identifikation und Quantifizierung von IT-Risiken
Netzes beruht auf objektiven Daten und subjektiven Einschätzungen von Experten.217 Fehler bei der Aufstellung der Ursache-Wirkungs-Relationen können zu einer fehlerhaften Quantifizierung führen. Sind bei einzelnen Knoten sehr viele Zustände definiert und die Abhängigkeiten im Netz sehr intensiv, so müssen sehr viele Informationen über (bedingte) Wahrscheinlichkeiten vorliegen oder festgelegt werden. Ist das Netz zudem einer hohen Dynamik ausgesetzt, so müssen viele dieser (bedingten) Wahrscheinlichkeiten häufig neu festgelegt werden. Die Betreibung und Pflege eines Bayes-Netzes kann daher mit sehr hohem Aufwand verbunden sein.218
3.2.5 Bewertung der Methoden Analog zur Vorgehensweise bei der Bewertung der Methoden zur Risikoidentifikation werden die Methoden zur Quantifizierung von IT-Risiken mittels einer einfachen Nutwertanalyse bewertet. Die Durchführung der Nutzwertanalyse erfolgt in drei Schritten:219 1. Definition und Gewichtung von Kriterien, 2. Festlegung einer Punkteskala zur Beurteilung der Kriterienerfüllung 3. Bewertung der Methoden.
Ad 1) Definition und Gewichtung von Kriterien
Für eine wirtschaftliche Steuerung ist das Vorhandensein einer hohen Risikosensitivität, d.h. dass die zur Verfügung stehenden Maßnahmen zur Risikosteuerung sich möglichst an den tatsächlichen IT-Risiken orientierten, erforderlich.220 Ungenaue Quantifizierungsergebnisse können sich negativ auf die wirtschaftliche Steuerung auswirken. Gegenwärtig nutzen Unternehmen zur Risikoquantifizierung überwiegend Methoden zur Bestimmung des Value-at-Risk.221 Um IT-Risiken mit anderen Risikoarten vergleichen zu können, sollte die Methode die Berechnung des Value-at-Risk unterstützen. Somit stellt sich die Anforderung nach der Unterteilung der Gesamtverluste in erwartete und unerwartete Verluste.
217 218 219 220
221
Vgl. Adusei-Poku (2005), S. 23. Vgl. Grüter (2006), S. 249. In Anlehnung an Zangemeister (1976), S. 60. Der Begriff Risikosensitivität bedeutet aus bankaufsichtsrechtlicher Sicht auch, dass die Eigenkapitalunterlegung für Risiken möglichst genau dem tatsächlichen Risikostatus entspricht. Vgl. die Geschäftsberichte von DaimlerChrysler (2006), S. 71ff.; Deutsche Bank (2006), S. 58ff.; E.ON (2006), S. 173; SAP (2005), S. 84.
Quantifizierung von IT-Risiken
73
Aus der Erläuterung der einzelnen Methoden geht hervor, dass teilweise sehr unterschiedliche Anforderungen an das Datenmaterial gestellt werden. Eine empirische Umfrage bei 48 Kreditinstituten in Deutschland liefert das Ergebnis, dass die Nutzung von Methoden, welche hohe Anforderungen an das Datenmaterial stellen, zurzeit noch nicht möglich ist.222 Vor dem Hintergrund, dass diese Branche aufgrund von Basel II verstärkt um den Aufbau von Datenbanken über Verlustereignisse über operationelle Risiken bemüht ist, ist damit zu rechnen, dass der Aufbau von Datenbanken bei anderen Branchen weniger weit fortgeschritten ist.223. Aufgrund dieser Datenproblematik sollte die Methode möglichst geringen Anforderungen an das Datenmaterial stellen. Die vorgestellten Methoden nutzen unterschiedliche Faktoren zur Quantifizierung des Risikopotentials. Hierbei kann zwischen qualitativen (z.B. Risikobewusstsein der Mitarbeiter) und quantitativen (z.B. Verlusthäufigkeit und -höhe) Faktoren unterschieden werden. Idealerweise sollten die Methode sowohl qualitative als auch quantitative Faktoren berücksichtigen können. Schließlich ist mit der Durchführung der einzelnen Methoden ein jeweils unterschiedlicher Aufwand verbunden. Für Unternehmen ist es stets vorteilhaft, wenn mit der Durchführung der Methode ein geringer Aufwand verbunden ist. Zur Gewichtung der Kriterien werden gemäß ihrer Bedeutung 100 Punkte auf die einzelnen Kriterien verteilt (vgl. Tabelle 15). Das wichtigste Kriterium, welches eine Quantifizierungsmethode mit Hinblick auf eine wirtschaftliche Steuerung der IT-Risiken erfüllen sollte, ist die Risikosensitivität. Nur wenn die Ergebnisse der Risikoquantifizierung möglichst den tatsächlich eintretenden Risiken entsprechen, kann eine wirtschaftliche Steuerung erfolgen. Dem Kriterium „Risikosensitivität“ wird daher die höchste Bedeutung beigemessen und 30 Punkte zugeteilt. Da im Rahmen einer wirtschaftlichen Steuerung von IT-Risiken die Einzahlungen i.S.e. Risikoreduktion den Auszahlungen für die Maßnahme gegenübergestellt werden müssen, ist die Unterteilung der Gesamtverlustverteilung in erwartete und unerwartete Verluste sehr hilfreich. Somit lassen sich zum einen die Standardrisikokosten (erwartete Verluste) und zum anderen die Eigenkapitalunterlegung zur Sicherstellung der Risikotragfähigkeit für unerwartete 222 223
Vgl. Petry et al. (2006), S. 11. Zu beachten ist ferner, dass während der Aufbauphase der Datenbanken überwiegend Ereignisse erfasst werden, die häufig auftreten und nur relativ geringe Verluste verursachen. Zur Beschaffung von Informationen über Verlustereignisse, die relativ selten auftreten und einen hohe Verlust verursachen, können externe Datenquellen herangezogen werden. Bei der Nutzung von externen Daten muss jedoch berücksichtigt werden, dass die finanziellen Auswirkungen der Verlustereignisse anderer Unternehmen stark von dessen Strukturen und Aktivitäten abhängig sind. Entsprechend können diese Verluste nur unter sehr großem Vorbehalt auf das eigene Unternehmen übertragen werden (vgl. Wegmann (2005), S. 508). Zur Übertragung ist eine Skalierung notwendig. Hierzu können bspw. Faktoren wie die Bilanzsummen, Aufwendungen oder Erträge herangezogen werden (vgl. Österreichische Nationalbank (2005), S. 29)
74
Identifikation und Quantifizierung von IT-Risiken
Verluste berechnen. Dem Kriterium „Unterteilung der Gesamtverluste in erwartete und unerwartete Verluste“ wird die zweihöchste Bedeutung beigemessen und 25 Punkte zugeteilt. Kriterium
Punkte
Risikosensitivität
30
Unterteilung der Gesamtverluste in erwartete und
25
unerwartete Verluste Anforderungen an das Datenmaterial
20
Berücksichtigung qualitativer und quantitativer Faktoren
15
Aufwand
10
¦ Tabelle 15:
100
Gewichtung der Kriterien zur Bewertung der Quantifizierungsmethoden.
Da gegenwärtig den meisten Unternehmen nur wenige Daten über Verlustereignisse aus ITRisiken vorliegen dürften, sollte die Methode geringe Anforderungen an das Datenmaterial stellen. Dem Kriterium „Anforderungen an das Datenmaterial“ werden 20 Punkte zugeteilt. Durch die gleichzeitige Berücksichtigung von qualitativen und quantitativen Daten im Rahmen der Risikoquantifizierung kann der Datenproblematik etwas entgegengewirkt werden. Dem Kriterium „Berücksichtigung von qualitativen und quantitativen Daten“ werden 15 Punkte zugeteilt. Schließlich wird dem Kriterium „Aufwand“ die geringste Bedeutung beigemessen und 10 Punkte zugeteilt.
Ad 2) Festlegung einer Punkteskala zur Beurteilung der Kriterienerfüllung
Jeder Methode werden für jedes Kriterium Punkte zwischen 1 und 3 zugeteilt. Die Bedeutung der Punkte in Bezug auf die Erfüllung der in Ad 1) definierten Kriterien sind der Tabelle 16 zu entnehmen.
Quantifizierung von IT-Risiken
75 Punkte
Kriterium Q1
Risikosensitivität
1
2
3
nicht vorhanden
teilweise vorhanden
vorhanden
möglich,
Unterteilung der Q2
Gesamtverluste in erwartete und un-
Konfidenzniveau für nicht möglich
kann jedoch nicht
erwartete Verluste
Q3
unerwartete Verluste
variiert werden
Anforderung an das
hoch
Datenmaterial
mittel
möglich, Konfidenzniveau für unerwartete Verluste kann variiert werden
gering
Berücksichtigung Q4
qualitativer und quantitativer
nur qualitative Faktoren
nur quantitative
qualitative und
Faktoren
quantitative Faktoren
mittel
gering
Faktoren Q5
Umsetzungsaufwand
Tabelle 16:
noch
Punkteskala zur Beurteilung der Kriterienerfüllung
Ad 3) Bewertung der Methoden
Zur Bewertung der einzelnen Methoden werden die Punkte aus der Gewichtung der Kriterien (vgl. Tabelle 15) mit den Punkten der Erfüllung der Kriterien (vgl. Tabelle 16) multipliziert. Die Ergebnisse sind in Tabelle 17 illustriert. Durch Nutzung der Schlüsselwert-Methode wird versucht, auf Basis von qualitativen und/oder quantitativen Risikoindikatoren die Entwicklung der Verluste aus IT-Risiken abzuschätzen, was mit einem i.d.R. geringen Umsetzungsaufwand verbunden ist. Eine Risikosensitivität liegt nicht vor und die Unterteilung der Gesamtverluste in erwartete und unerwartete Verluste ist nicht möglich. Beim modifizierten Basisindikator-Ansatz nach Basel II werden die IT-Risiken aus dem Bruttobetrag einer Bank bzw. eines Unternehmens abgeleitet. Eine Risikosensitivität ist nicht gegeben und eine Unterteilung zwischen erwarteten und unerwarteten Verluste nicht möglich. Die Methode weist den Vorteil auf, dass der Bruttoertrag leicht zu ermitteln ist und die Methode daher keine hohen Anforderungen an das Datenmaterial stellt. Der Aufwand ist daher als eher gering einzustufen. Der modifizierte Standard-Ansatz nach Basel II legt bei der Quantifizierung der IT-Risiken ebenfalls den Bruttoertrag als Risikoindikator zugrunde. Der Basler Ausschuss für Bankenaufsicht argumentiert, dass aufgrund der differenzierten Betrachtung der einzelnen Geschäfts-
76
Identifikation und Quantifizierung von IT-Risiken
felder im Vergleich zum Basisindikator-Ansatz eine höhere Risikosensitivität erreicht wird.224 Diese differenziertere Betrachtung impliziert jedoch einen vergleichsweise höheren Aufwand. Eine Unterteilung der Gesamtverluste in erwartete und unerwartete Verluste ist jedoch nicht möglich. Kriterien
Gewichtung
Q1
Q2
Q3
Q4
Q5
30
25
20
15
10
Methode Schlüsselwert-
= 100
Gesamt
Punkte
punkte
1
1
3
3
3
190
1
1
3
2
3
175
2
1
3
2
2
195
3
3
2
2
2
255
3
3
1
3
1
240
1
1
2
2
2
145
Szenarioanalyse
1
1
3
3
3
190
Vollenumeration
3
3
1
2
1
225
3
3
1
2
1
225
Extremwerttheorie
3
3
2
2
1
245
Bayes-Netze
3
3
1
3
1
240
methode Modifizierter BasisindikatorAnsatz nach Basel II Modifizierter Standard-Ansatz nach Basel II Interner Bemessungsansatz Scorecard-Ansätze Capital Asset Pricing Model
Monte-CarloSimulation
Tabelle 17:
Bewertung der Methoden zur Quantifizierung von IT-Risiken
Der interne Bemessungsansatz erzielt die höchste Punktzahl aller analysierten Methoden. Die Methode weist den großen Vorteil auf, dass aufgrund der durchschnittlichen Verlusthöhen und der Berücksichtigung eines Gefährdungsindikators die Ermittlung der erwarteten und
224
Vgl. Basel Committee on Banking Supervision (2004), S. 127.
Quantifizierung von IT-Risiken
77
unerwarteten Verluste mit relativ wenigen Daten erfolgen kann. Allerdings können die unerwarteten Verluste nur zu einem Konfidenzniveau von 99,9% ermittelt werden. Eine Variation des Konfidenzniveaus ist nicht möglich. Der Basler Ausschuss geht von einer hohen Risikosensitivität aus.225 Der Umsetzungsaufwand ist aufgrund der relativ geringen Datenanforderung als mittel einzustufen. Bei Scorecard-Ansätze ist besonders positiv hervorzuheben, dass auf Basis von qualitativen und quantitativen Faktoren die Auswirkungen zukünftiger Handlungen auf die erwarteten und unerwarteten Verluste berechnet werden können. Dies setzt jedoch voraus, dass die erwarteten und unerwarteten Verluste zuvor mit einer anderen Methode quantifiziert wurden. Eine Risikosensitivität ist gegeben. Da im Rahmen von Scorecard-Ansätzen viele qualitative und quantitative Faktoren ermittelt werden müssen, sind die Anforderung an das Datenmaterial sowie der Umsetzungsaufwand relativ hoch. Das Capital Asset Pricing Model erzielt im Vergleich zu den anderen Methoden die wenigsten Punkte. Die Methode weist keine Risikosensitivität auf und es ist nicht möglich, die Gesamtverluste in erwartete und unerwartete Verluste zu unterscheiden. Zwar sind relativ viele Daten über die Renditeanforderungen der Eigenkapitalgeber vorhanden, eine Abgrenzung der durch IT-Risiken induzierten Kursschwankungen von anderen Einflussfaktoren gestaltet sich jedoch als äußerst schwierig. Von einer Verwendung des CAPM zur Quantifizierung von ITRisiken wird abgeraten. Bei der Szenarioanalyse werden Verlusthäufigkeits- und Verlusthöhenverteilungen mit i.d.R. sehr wenigen qualitativen und/oder quantitativen Daten ermittelt, was einen geringen Umsetzungsaufwand impliziert. Die alleinige Durchführung einer Szenarioanalyse erlaubt zwar die Berechnung von erwarteten Verluste aus IT-Risiken, unerwartete Verluste können jedoch erst durch Anwendung weiterer Methoden, wie etwa der Monte-Carlo-Simulation, ermittelt werden. Aus diesem Grund ist auch keine Risikosensitivität gegeben. Mit der Durchführung einer Vollenumeration sowie Monte-Carlo-Simulation wird auf Basis von quantitativen historischen Daten über Verlustereignisse eine Gesamtverlustverteilung generiert. Eine Unterteilung der Gesamtverluste in erwartete und unerwartete Verluste zu jedem Konfidenzniveau ist möglich. Probleme ergeben sich insbesondere aufgrund der hohen Anforderung an das Datenmaterial, denn um aussagekräftige Ergebnisse zu erhalten, ist eine hohe Anzahl an empirischen Daten über Verlustereignisse erforderlich. Bei Vorliegen dieser Daten liefern beide Methoden sehr risikosensitive Ergebnisse. Allerdings ist mit der Nutzung beider Methoden ein relativ hoher Umsetzungsaufwand verbunden. Der Einsatz der Extremwertmethode ist immer dann empfehlenswert, wenn die Verlustverteilung einen ausgeprägten Tail aufweist. Da nicht die gesamte Zeitreihe modelliert werden 225
Vgl. Basel Committee on Banking Supervision (2001c), S. 5.
78
Identifikation und Quantifizierung von IT-Risiken
muss, sondern es genügt, wenn der Teil der Zeitreihe adäquat beschrieben werden kann, der über einer hohen Schwelle liegt, sind die Anforderungen an das Datenmaterial weniger hoch als bei der Vollenumeration oder Monte-Carlo-Simulation, jedoch spezifischer. Eine aktuelle Untersuchung im Bereich der operationellen Risiken liefert allerdings das Ergebnis, dass bei vielen Unternehmen noch keine ausreichende Datengrundlage vorhanden ist, um durch die Anwendung der Extremwerttheorie aussagefähige Ergebnisse zu erhalten.226 Aufgrund der erforderlichen Schätzung vieler Parameter ist ein hoher Aufwand verbunden. Die Risikosensitivität ist vorhanden und der Value-at-Risk kann bestimmt werden. Bayes-Netze erlauben eine transparente Abbildung der Kausalkette zwischen Bedrohungen, eingesetzter IT-Infrastruktur und Geschäftsprozesse. Der große Vorteil der Methode liegt darin, dass sowohl qualitative als auch quantitative Faktoren bei der Quantifizierung der Verluste aus IT-Risiken berücksichtigt werden können. Eine Unterteilung in erwartete und unerwartete Verluste zu unterschiedlichen Konfidenzniveaus ist möglich und eine Risikosensitivität vorhanden. Allerdings ist der Aufbau eines Netzes i.d.R. mit einem hohen Aufwand verbunden und stellt hohe Anforderungen an das Datenmaterial.
Insgesamt zeigt die Analyse, dass sich der interne Bemessungsansatz gegenwärtig am besten zur Quantifizierung von IT-Risiken eignet. Mit dieser Methode können trotz Vorliegen einer relativ geringen Anzahl an historischen Daten über Verlustereignisse Aussagen über die erwarteten und unerwarteten Verlusten (Konfidenzniveau: 99,9%) gemacht werden. Die Herausforderung für eine wirtschaftliche Steuerung von IT-Risiken besteht nun in der Berechnung einer möglichen Reduktion der erwarteten und unerwarteten Verluste aufgrund der Ergreifung von Steuerungsmaßnahmen.
226
Vgl. Chavez-Demoulin, Embrechts und Neslehová (2006), S. 2637.
Maßnahmen zur Steuerung von IT-Risiken
79
4 Wirtschaftliche Steuerung von IT-Risiken Das Ziel einer wirtschaftlichen Steuerung von IT-Risiken ist es, die zuvor identifizierten und quantifizierten unter Kosten-/Nutzen-Aspekten gezielt zu beeinflussen und zu reduzieren. Da IT-Risiken Verluste darstellen, wirkt sich dies positiv auf das Unternehmensergebnis aus. Für eine ökonomische Bewertung der Maßnahmen ist es erforderlich, die Auszahlungen für Investitionen in Steuerungsmaßnahmen der dadurch erzielbaren Reduktion von IT-Risiken gegenüberzustellen. Eine empirische Untersuchung liefert das Ergebnis, dass für die Berechung der durch die Ergreifung von Steuerungsmaßnahmen erzielbaren Reduktion der IT-Risiken keine adäquate betriebswirtschaftliche Methode zur Verfügung steht.227 Im Folgenden werden zunächst die zur Verfügung stehenden Maßnahmen zur Steuerung von IT-Risiken vorgestellt und diskutiert (Kapitel 4.1). Darauf aufbauend wird in Kapitel 4.2 ein einperiodiges und stetiges Modell entwickelt, das den Trade-off zwischen Investitionen in ausgewählte Steuerungsmaßnahmen einerseits und IT-Risiken andererseits aufzeigt und optimiert. Da in der Realität jedoch nur diskreten Handlungsalternativen vorliegen und Investitionen i.d.R. über mehrere Jahre hinweg getätigt werden, wird in wird in Kapitel 4.3 ein weiteres mehrperiodiges Modell vorgestellt, welches eine wirtschaftliche Bewertung von Investitionen in Steuerungsmaßnahmen erlaubt.
4.1 Maßnahmen zur Steuerung von IT-Risiken Zur Steuerung von IT-Risiken stehen Maßnahmen zur Verfügung, die den Kategorien Risikoreduktion, -diversifikation, -vermeidung, -vorsorge und -transfer zugeordnet werden können.
4.1.1 Kategorisierung von Steuerungsmaßnahmen 4.1.1.1 Risikoreduktion Bei der Risikoreduktion wird generell versucht, die Häufigkeit und/oder das Schadensausmaß zu reduzieren. Dies kann für IT-Risiken insbesondere durch den Einsatz von technischen Si-
227
Vgl. Gordon und Loeb (2006), S. 124.
80
Wirtschaftliche Steuerung von IT-Risiken
cherheitsmechanismen und organisatorischen Maßnahmen erreicht werden, welche oftmals ein komplementäres Verhältnis zueinander aufweisen.228 Organisatorischer Maßnahmen hängen von der verfolgten Risikopolitik des Unternehmens ab und sind daher unternehmensspezifisch. Im Folgenden wird daher der Fokus auf die technischen Sicherheitsmechanismen gelegt.229 Ein Überblick über die am häufigsten eingesetzten technischen Sicherheitsmechanismen bei Unternehmen ist in Abbildung 23 illustriert.
98%
Firewall
97%
Anti-Viren Software 70%
Server-basierte Zugriffskontrollliste Einbrucherkennungssystem
69% 63%
Verschlüsselung bei Datenübertragung 48%
Verschlüsselung bei Datenspeicherung Passwortschutz bei Anmeldung
46% 39%
Application-level Firewall
38%
Smart card
36%
Public Key Infrastructure
32%
Wireless security system (z.B. Kryptographie) Biometrie andere
20% 4%
Abbildung 23:
Einsatz technischer Sicherheitsmechanismen bei Unternehmen.
Quelle:
In Anlehnung an Gordon et al. (2006), S. 16.
Im Folgenden werden die Mechanismen kurz erläutert.
4.1.1.1.1 Firewall-Konzepte Firewalls kontrollieren den Netzverkehr zwischen einem inneren und einem äußeren Netzwerk (meist das Internet). Das innere Netzwerk wird durch die Filterung und Protokollierung des Datenverkehrs geschützt. Der Schwerpunkt liegt darin, ein internes Netzwerk vor Angriffen aus einem äußeren Netzwerk zu schützen.230 Firewalls können als eine Grenze angesehen
228
229
230
Vgl. Seibold (2005), S. 162ff. sowie Gerd tom Markotten (2003), S. 29ff. So hängt die Konfiguration eines technischen Sicherheitsmechanismus i.d.R. von den organisatorischen Vorgaben des Unternehmens ab (z.B. Festlegung der Zugriffsrechte einzelner Personen auf bestimmte Daten). Ein Überblick über mögliche organisatorische Maßnahmen findet sich bspw. in den IT-GrundschutzKatalogen des BSI ( Bundesamt für Sicherheit in der Informationstechnik (2005b), S. 812ff.). Vgl. Müller, Eymann und Kreutzer (2003), S. 408.
Maßnahmen zur Steuerung von IT-Risiken
81
werden, um Eindringlinge abzuwehren. Innerhalb des internen Netzwerkes und hinter der Firewall können zusätzliche Firewalls eingesetzt werden, um weitere Teile des internen Netzwerkes zu schützen. Eine Firewall kann zudem den Verkehr vom internen ins äußere Netzwerk überwachen, bspw. durch die Unterbindung des Zugriffs bestimmter Anwendungen auf das Internet. Grundsätzlich bestehen drei Möglichkeiten, wie man eine Firewall überwinden kann:231 1. Umgehung: Unternehmensnetzwerke haben i.d.R. sehr viele Verbindungen nach außen. Vernetzt sich ein Unternehmen bspw. mit einem Geschäftspartner, dessen Netzwerk schlechter geschützt ist als das des Unternehmens, so können Angreifer über das Netz des Geschäftspartners ins Unternehmensnetz gelangen. 2. Einschmuggeln eines Programms: Angreifer können versuchen, die Firewall zu täuschen, so dass diese den Angreifer für vertrauenswürdig und autorisiert hält. Dabei erstellt der Angreifer i.d.R. ein Programm, das einen Programmierfehler im System ausnutzt, um eine Verbindung zwischen dem Angreifer außerhalb der Firewall und dem Computer innerhalb des Netzwerkes herzustellen. 3. Übernahme: Einige Firewalls führen fehlerhafte Software aus oder setzten auf unsicheren Betriebssystemen auf. Über die Schwachstellen der Software oder des Betriebssystems kann ein Angreifer auf den Computer gelangen und von dort aus die Firewall neu konfigurieren. Eine Firewall erschwert es Angreifern einen Angriff durchzuführen, sie kann jedoch keine vollständige Sicherheit gewährleisten.
4.1.1.1.2 Anti-Viren-Software Viren, Würmer und Trojaner stellen gegenwärtig eine der größten Bedrohung für Unternehmen dar.232 Den Angriffen können Unternehmen durch den Einsatz von Anti-Viren-Software entgegenwirken. Die auf dem Markt verfügbaren Anti-Viren Software lassen sich in eine oder mehrere der folgenden drei Kategorien einordnen:233 1. Scanner: Informationen im Speicher und auf Speichermedien werden nach erkennbaren Muster bekannter Viren untersucht.
231 232 233
Vgl. im Folgenden Schneier (2001), S. 183. Vgl. Bundesamt für Sicherheit in der Informationstechnik (2005a), S. 16f. Vgl. Harley, Slade und Gattiker (2002), S. 198.
82
Wirtschaftliche Steuerung von IT-Risiken
2. Aktivitätsüberwachungsprogramme: Ausgeführte Operationen werden überwacht und bei Entdeckung eines gefährlichen Ereignisses eine Warnung abgegeben. 3. Änderungserkennungssoftware: Diese Art von Software speichert einen Schnappschuss des Systems und macht den Benutzer auf Änderungen aufmerksam. Anti-Viren-Software kann keinen vollständigen Schutz vor Viren, Würmern und Trojanern gewähren. Aktive und der Software bekannte Viren werden i.d.R. automatisch erkannt und blockiert, alle der Software nicht bekannten Viren können jedoch nicht erfasst und blockiert werden.234
4.1.1.1.3 Identifikation und Authentifikation Der erste Schritt der Kontaktaufnahme mit einem Informationssystem ist i.d.R. die Identifikation und Authentifikation.235 Durch die Identifikation wird dem System mitgeteilt, welche Person oder welche Anwendung zugreifen möchte. Die anschließende Authentifikation dient dem Beweis, dass dies tatsächlich die identifizierte Person oder eine Anwendung ist, die sie vorgibt zu sein. Einen Schritt weiter geht die Zugangskontrolle. Nach erfolgter Identifikation und Authentifikation wird der entsprechenden Person oder der Anwendung ein Handlungsspielraum zugeteilt und somit definiert, welche Aktionen ausgeführt werden dürfen und welche nicht (Autorisierung).236 Zur Identifikation und Authentifikation werden überwiegend folgende drei Verfahren eingesetzt:237 1. Benutzername und Passwörter: Ein Informationssystem kann durch Benutzername (Identifikation) und Passwort (Authentifikation) vor unerlaubtem Zugriff auf bestimmte Informationen geschützt werden. Idealerweise wird ein kryptographischer HashWert238 des Passworts in einer Datei gespeichert, um das Auslesen eines Passworts im Klartext zu vermeiden. Bei der Eingabe des Passworts berechnet das Informationssystem den Hash-Wert und vergleicht diesen mit dem in der Datei gespeicherten HashWert. Stimmen beide überein, wird Zugang gewährt. Sofern ein Angreifer in Besitz einer Kopie der Datei mit den Hash-Werten gelangt, können so genannte Brute-ForceAngriffe durchgeführt werden. Dabei wird jede mögliche Kombination von Zeichen, Zahlen und Symbolen ausprobiert und ein Hash-Wert berechnet. Stimmt der HashWert mit einem der in der Datei gespeicherten Hash-Werte überein, ist das gesuchte 234 235 236 237 238
Vgl. Harley, Slade und Gattiker (2002), S. 185. Vgl. Schneier (2001), S. 127. Vgl. Müller, Eymann und Kreutzer (2003), S. 408. Vgl. im Folgenden Schneier (2001), S. 128ff. Ein Hash-Wert ist der Ausgabewert einer Einweg-Hash-Funktion. Angenommen, f(x) sei eine Einweg-HashFunktion. Ist x gegeben, so kann f(x) relativ einfach berechnet werden. Ist hingegen f(x) gegeben, so kann x nur mit sehr hohem Aufwand berechnet werden (vgl. Müller, Eymann und Kreutzer (2003), FN 6, S. 398).
Maßnahmen zur Steuerung von IT-Risiken
83
Passwort gefunden. Angreifer können heutzutage bei entsprechendem Zeitaufwand alle Passwörter knacken, die sich Benutzer in vernünftigem Rahmen merken können. 2. Biometrie: Biometrie stellt eine weitere Form der Identifikation und Authentifikation dar. Beispiele für biometrische Erkennungsverfahren sind Fingerabdrücke, Handschrift-, Stimmenproben- oder Gesichtserkennung. Ähnlich wie bei den Passwörtern werden die biometrischen Merkmale in einer Datei gespeichert. Probleme ergeben sich bei Entwendung dieser Datei: Können Passwörter relativ problemlos neu generiert werden, so ist dies bei biometrischen Merkmalen praktisch nicht möglich (z.B. Stimme). Generell sind biometrische Merkmale schwer zu fälschen, jedoch gibt es auch hier Möglichkeiten, wie man Biometrie überwinden kann (z.B. Kopie einer Unterschrift). 3. Zugriff-Token: Schließlich kann die Identifikation und Authentifizierung mittels eines physischen Kennzeichens, auch als Zugriff-Token bezeichnet, durchgeführt werden. Beispiele hierfür sind Smart-Cards, Bankkarten oder SIM-Karten für Mobiltelefone. Die Authentifizierung erfolgt nicht an einer Person, sondern an dem ZugriffToken. Bei Diebstahl oder Kopie eines Zugriff-Token können somit Unberechtigte Zugriff auf ein Informationssystem erlangen. Aus diesem Grund werden ZugriffToken oftmals mit einem Passwort bzw. einer persönlichen Identifikationsnummer (PIN) kombiniert (z.B. bei einer Bankkarte).
4.1.1.1.4 Einbrucherkennungssysteme Ergänzend zu Firewalls können so genannte Einbruchserkennungssysteme (Intrusion Detection-Systems) als Präventivabwehr eingesetzt werden.239 Sie dienen zum einen der Aufdeckung von internen Angriffen, gegen die Firewalls und Authentifikationsverfahren machtlos sind. Zum anderen sollen sie warnen, wenn ein externer Angreifer versucht, eine Firewall zu überwinden. Ergänzend zu den Einbrucherkennungssystemen existieren Systeme zur Verhinderung (Intrusion-Prevention-System) sowie zur automatischen Abwehr (Intrusion Response) von Angriffen. Es lassen sich zwei Arten von Einbrucherkennungssystemen unterscheiden:240 1. Missbrauchserkennung: Das Einbrucherkennungssystem wird zur Erkennung von im Voraus definierten Angriffen programmiert. Ähnlich wie beim Virusdetektor werden einzelne Datenpakete nach Bitstrings untersucht, die auf einen definierten Angriff hindeuten. Allerdings ist es diesem System nur möglich solche Angriffe zu entdecken,
239 240
Vgl. Müller, Eymann und Kreutzer (2003), S. 411. Vgl. im Folgenden Schneier (2001), S. 188f.
84
Wirtschaftliche Steuerung von IT-Risiken
die im Voraus definiert wurden. Selbst bei bekannten Angriffen kann durch die Änderung der Reihenfolge von Befehlen oder aber einer anderen Aufteilung der Pakete das System getäuscht werden. 2. Entdeckung von Anomalien: Diese Art von Einbrucherkennungssystemen führt statistische Modellierungen eines Netzwerkes durch und legt danach fest, was normal und was anormal ist. Der Alarm wird bei einer Anomalie ausgelöst und kann auf Regeln (dem System ist bekannt, was normal ist), Statistiken (das System stellt statistisch fest, was normal ist) oder aber auf einem lernfähigen Expertensystem basieren. Auch bei diesem System gibt es Möglichkeiten zur Überwindung. So besteht bspw. in der Lernphase des Systems die Gefahr, dass ein System gehackt wird und dieses Vorgehen dann als normal eingestuft wird. Einbrucherkennungssysteme sind somit nicht in der Lage, alle Angriffe zu erkennen. Sie können jedoch sehr hilfreich sein, um bei erkannten Angriffen Informationen über die Verlusthäufigkeiten und -höhen zu sammeln.
4.1.1.1.5 Kryptographische Verfahren Kryptographische Verfahren, die auch als Verschlüsselungsverfahren bezeichnet werden, bilden die Grundlage vieler technischer Sicherheitsmechanismen und lassen sich in drei unterschiedliche Gruppen einteilen: Symmetrische, asymmetrische und hybride Verschlüsselungsverfahren.241
Symmetrische Verschlüsselungsverfahren
Die älteste Form der Verschlüsselung stellt die symmetrische Kryptographie dar. Sowohl der Sender als auch der Empfänger besitzen einen gemeinsamen Schlüssel zum Ver- und Entschlüsseln.242 Der Schlüssel darf nur den beiden Kommunikationspartnern bekannt sein und muss vor weiteren Netzteilnehmern geheim gehalten werden. Aus diesem Grund werden symmetrische Verschlüsselungsverfahren auch als Secret-Key-Verfahren bezeichnet. Aktuelle und bekannte symmetrische Verschlüsselungsalgorithmen sind DES (Data Encryption Standard), Triple DES und AES (Andvanced Encryption Standard).243
241 242 243
Vgl. Gerd tom Markotten (2003), S. 21. Vgl. Strobel (2003), S. 54. Vgl. Eckert (2003), S. 249ff.
Maßnahmen zur Steuerung von IT-Risiken
85
Symmetrische Verschlüsselungsverfahren weisen den Vorteil auf, dass die Verschlüsselung sehr schnell erfolgt. Daher werden große auszutauschende Datenmengen oftmals mit symmetrischen Verfahren verschlüsselt. Allerdings weist diese Art der Verschlüsselung auch drei Nachteile auf:244 Dadurch, dass der Schlüssel vor anderen Netzteilnehmern geheim gehalten werden muss, besteht das Problem der sicheren Schlüsselübergabe. Sofern ein Schlüssel kompromittiert ist, können alle Nachrichten entschlüsselt werden, die mit diesem Schlüssel chiffriert wurden. Verwenden jeweils zwei Netzbenutzer einen eigenen Schlüssel, so müssen bei einer hohen Anzahl an Netzteilnehmern sehr viele Schlüssel generiert werden. Für ein Netz mit n Benutzern sind demnach n . (n-1) / 2 Schlüssel erforderlich.
Asymmetrische Verschlüsselungsverfahren
Bei asymmetrischen Verschlüsselungsverfahren – auch Public-Key-Cryptography genannt – wird ein Schlüsselpaar für jeden Kommunikationspartner verwendet.245 Jedes Schlüsselpaar besteht aus einem privaten und einem öffentlichen Schlüssel.246 Der Sender verschlüsselt einen Klartext mit dem öffentlichen Schlüssel des Empfängers, der den empfangenen verschlüsselten Text wiederum mit seinem privaten Schlüssel entschlüsselt. Der öffentliche Schlüssel ist jedem Netzteilnehmer zugänglich, wohingegen der private Schlüssel nur seinem Besitzer bekannt sein darf. Somit müssen bei der asymmetrischen Kryptographie keine geheimen Schlüssel zwischen den beiden Kommunikationspartnern ausgetauscht werden.247 Das erste und derzeit bekannteste asymmetrische Verschlüsselungsverfahren ist der so genannte RSA-Algorithmus, der nach den Initialen seiner Entwickler RIVEST, SHAMIR und ADLEMAN benannt ist.248 Die Sicherheit beruht dabei auf der Schwierigkeit der Faktorisierung großer Zahlen.249 Im Vergleich zur symmetrischen Kryptographie müssen bei der asymmetrischen Kryptographie bei einer großen Anzahl an Netzteilnehmern deutlich weniger Schlüssel generiert wer-
244 245
246 247 248 249
Vgl. Schneier (1996), S. 34. Dieses Verfahren geht auf die theoretische Arbeit von DIFFIE und HELLMAN zurück (vgl. Diffie und Hellman (1976)). Vgl. Müller, Eymann und Kreutzer (2003), S. 401. Vgl. Eckert (2003), S. 264. Vgl. Rivest, Shamir und Adleman (1978). Vgl. Schneier (1996), S. 532. Sowohl der öffentliche als auch der private Schlüssel hängen von einem Paar großer Primzahlen ab. Die Wiederherstellung des Klartextes aus einem öffentlichen Schlüssel und dem chiffrierten Text ist nahezu äquivalent zur Faktorisierung des Produkts der beiden Primzahlen.
86
Wirtschaftliche Steuerung von IT-Risiken
den.250 Allerdings ist zu konstatieren, dass die Verschlüsselung bei asymmetrischen Verschlüsselungsverfahren deutlich langsamer erfolgt als bei symmetrischen (Faktor Einhundert im Vergleich DES und RSA).251 Daher werden asymmetrische Verschlüsselungsverfahren überwiegend bei kleineren auszutauschenden Datenmengen eingesetzt.
Hybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren stellen eine Kombination aus symmetrischen und asymmetrischen Verschlüsselungsverfahren dar. Dabei wird der Vorteil der effizienten Verschlüsselung großer Datenmengen aus den symmetrischen und der einfache Schlüsselaustausch mittels eines öffentlichen Schlüssels aus den asymmetrischen Verschlüsselungsverfahren genutzt.252 Beim Beginn der Kommunikation generiert der Sender zunächst einen symmetrischer Sitzungsschlüssel, verschlüsselt diesen anschließend per asymmetrischem Verfahren und schickt ihn an den Empfänger.253 Der Empfänger wiederum kann den symmetrischen Sitzungsschlüssel nur mit seinem privaten Schlüssel entschlüsseln. Die auszutauschenden Daten werden mit dem symmetrischen Sitzungsschlüssel ver- und entschlüsselt. Ein Beispiel für ein solches hybrides Verschlüsselungsverfahren enthält die von ZIMMERMANN entwickelte Software Pretty Good Privacy (PGP).254 Die Algorithmen kryptographischer Verschlüsselungsverfahren können auf drei verschiedene Arten von Angreifern geknackt werden, die sich in der hier aufgeführten Reihenfolge mit steigendem Aufwand der Datenbeschaffung und abnehmendem Aufwand der Überwindung der Sicherheitsmechanismen unterscheiden:255 1. Ciphertext-Only-Angriff: Aus einer verschlüsselten Nachricht wird der Klartext zurückzugewonnen. 2. Known-Plaintext-Angriff: Der Angreifer rekonstruiert den Schlüssel mit einer Kopie des Klartexts (Plaintext) und des verschlüsselten Texts. 3. Chosen-Plaintext-Angriff: Der Angreifer schleust sich in den Verschlüsselungsvorgang so ein, dass er eine zu verschlüsselnde Nachricht vorgibt. Er gelangt anschließend an die verschlüsselte Nachricht und ist in der Lage, den Schlüssel aufzudecken.
250 251 252 253 254 255
Vgl. Müller, Eymann und Kreutzer (2003), S. 401. Vgl. Schneier (1996), S. 535. Vgl. Gerd tom Markotten (2003), S. 23. Vgl. Müller, Eymann und Kreutzer (2003), S. 404. Vgl. Zimmermann (1995). Vgl. Schneier (2001), S. 84f.
Maßnahmen zur Steuerung von IT-Risiken
87
4.1.1.1.6 Digitale Signaturen Das Ziel der digitalen Signatur ist die Sicherstellung, dass eine Nachricht bzw. ein Dokument tatsächlich von einem bestimmten Sender stammt (Zurechenbarkeit) und auf dem Weg zum Empfänger nicht verändert wurde (Integrität).256 Technisch basiert die digitale Signatur auf asymmetrischen Verschlüsselungsverfahren sowie kryptographischen Prüfsummenverfahren.257 Der RSA ist gegenwärtig der am häufigsten eingesetzte Algorithmus.258 Wie bei den asymmetrischen Verschlüsselungsverfahren werden auch bei der digitalen Signatur ein privater sowie ein öffentlicher Schlüssel generiert. Der Sender verschlüsselt bei der digitalen Signatur das zu versendende elektronische Dokument mit seinem privaten Schlüssel. Der private Schlüssel entspricht der Signatur des Senders, da nur er über diesen verfügt. Aus Effizienzgründen wird nicht das ganze Dokument verschlüsselt resp. signiert. Auf das zu signierende Dokument wird eine Hash-Funktion angewendet und ein Hash-Wert, welcher auch als Prüfziffernfolge bezeichnet wird, fester Länge259 gebildet. Dieser Hash-Wert wird anschließend mit dem privaten Schlüssel signiert.260 Erreicht das Dokument den Empfänger, benötigt dieser den öffentlichen Schlüssel des Senders zum Entschlüsseln des Hash-Werts. Aus dem Originaldokument ermittelt der Empfänger noch einmal einen Hash-Wert mit derselben Hash-Funktion und vergleicht anschließend beide Hash-Werte miteinander.261 Sofern sie übereinstimmen, wurde das Dokument während der Übertragung nicht verändert und der Sender des Dokuments kann eindeutig identifiziert werden. Die digitale Signatur weist jedoch die Schwäche auf, dass eine eindeutige Zuordnung des öffentlichen Schlüssels nicht garantiert werden kann.262 Diese Schwachstelle erfordert digitale Zertifikate mit dem Zweck der eindeutigen Zuordnung zwischen öffentlichem Schlüssel und dessen Eigentümer. Public-Key-Infrastrukturen sind in der Lage, dieses Problem zu lösen.
4.1.1.1.7 Public-Key-Infrastrukturen Public-Key-Infrastrukturen (PKI) bilden das organisatorische Umfeld von digitalen Signaturen.263 Elemente von PKIs bilden die asymmetrische Kryptographie, digitale Zertifikate, Zerti-
256 257 258 259 260 261 262 263
Vgl. Grzebiela (2002b), S. 84. Vgl. Tanenbaum (1996), S. 613ff. Vgl. Gerd tom Markotten (2003), S. 24. Meist 128 oder 160 Bit. Vgl. Schneier (2001), S. 91. Vgl. Gerd tom Markotten (2003), S. 25. Vgl. Gerd tom Markotten (2003), S. 29. Vgl. Müller, Eymann und Kreutzer (2003), S. 429.
88
Wirtschaftliche Steuerung von IT-Risiken
fizierungsstellen und Zertifizierungsrichtlinien.264 Im Wesentlichen unterscheiden sich PKIs darin, welche „Instanz“ die Aufgabe der Zertifizierung wahrnehmen soll. Es kann zwischen dem hierarchischen Ansatz und dem Web-of-Trust unterschieden werden. Bei einer hierarchischen PKI wird die Zertifizierung und Verwaltung der Schlüssel von einer spezialisierten, vertrauenswürdigen Instanz durchgeführt.265 Diese Instanz verifiziert die Informationen, welche vom Antragsteller für ein Zertifikat übermittelt werden und überprüft die Richtigkeit dessen Identität. Bei erfolgreicher Überprüfung wird dem Antragsteller ein Zertifikat ausgestellt. Beim Web-of-Trust hingegen werden die Zertifikate nicht von einer vertrauenswürdigen Instanz, sondern von anderen Netzteilnehmern ausgestellt.266 Jeder Netzteilnehmer hat die Möglichkeit, den öffentlichen Schlüssel eines anderen Kommunikationspartners mit seinem eigenen privaten Schlüssel zu signieren. Je öfter der öffentliche Schlüssel eines Absenders durch andere Netzteilnehmer signiert wurde, desto größer ist Wahrscheinlichkeit für den Empfänger, dass dieser Schlüssel wirklich dem Absender gehört.267 Somit wird über das Prinzip „Deine Freunde sind auch meine Freunde“ ein Vertrauensnetz geschaffen, welches den Teilnehmern relativ einfach und mit wenig Vorbereitung erlaubt, geschützte Nachrichten untereinander auszutauschen.
4.1.1.2 Risikodiversifikation Die Risikodiversifikation kann als eine Spezialform der Risikoreduktion angesehen werden.268 Dabei wird versucht, ein einzelnes Risiko in mehrere, möglichst nicht positiv miteinander korrelierte Einzelrisiken aufzuspalten.269 Die Verlusthäufigkeit resp. Eintrittswahrscheinlichkeit bleibt i.d.R. unberührt. Ziel ist es, die Verlusthöhe zu reduzieren.270 Vor dem Hintergrund, dass Viren i.d.R. auf ein bestimmtes Betriebssystem abzielen,271 wäre eine mögliche Diversifikationsstrategie, verschiedene Betriebssysteme (z.B. Microsoft Windows und Linux) einzusetzen. Die Eintrittswahrscheinlichkeit, dass eine E-Mail mit einem Virus infiziert ist, ändert sich durch den Einsatz verschiedener Betriebssysteme nicht. Allerdings kann die Verlusthöhe reduziert werden, da oftmals nur eines der beiden Betriebssysteme vom Virus negativ beeinträchtigt wird.
264 265 266 267 268 269 270 271
Vgl. Költzsch (2002), S. 3. Vgl. Müller, Eymann und Kreutzer (2003), S. 434. Vgl. Gerd tom Markotten (2003), S. 30. Vgl. Grzebiela (2002b), FN 72, S. 86. Vgl. Piaz (2002), S. 145. Vgl. Schierenbeck (2001b), S. 347. Vgl. Romeike (2004a), S. 238f. Vgl. Bain et al. (2001), S. 16.
Maßnahmen zur Steuerung von IT-Risiken
89
4.1.1.3 Risikovermeidung Bei der Risikovermeidung wird versucht, die Verlusthäufigkeit oder die Verlusthöhe vollständig auf Null zu reduzieren.272 Ein Beispiel hierfür ist ein Entschluss, ein CRM-System k abzuschalten, da die Ausfallzeiten zu hoch sind. Dies impliziert jedoch, dass jegliche Chancen aus Personalisierungsaktivitäten nicht mehr realisiert werden können. Entsprechend sollten derartig drastische Maßnahmen nur zum Einsatz kommen, wenn keine sinnvollere Alternative zur Risikosteuerung zur Verfügung steht.
4.1.1.4 Risikovorsorge Bei der Risikovorsorge sammelt eine Unternehmung selbst Deckungsmassen an, um Verluste aus schlagend gewordene IT-Risiken aufzufangen. Diese Möglichkeit zur Risikosteuerung nimmt eine Sonderrolle ein. Unabhängig davon, ob die zur Verfügung stehenden Steuerungsmöglichkeiten ergriffen werden oder nicht, müssen für verbleibende Risiken Deckungsmassen vorgehalten werden. Dies ergibt sich aus dem Risikotragfähigkeitskalkül, welches die Forderung stellt, dass ausschließlich nicht Existenz gefährdende Risiken übernommen werden dürfen. Dabei können zwei Grundsätze formuliert werden (vgl. Abbildung 24):273
Grundsatz (1)
Festgestelltes (Total-) Risikopotential
< _
verfügbare Risikodeckungsmassen
Grundsatz (2)
Realisierte Verluste aus Risikopositionen
< _
allokierte Risikodeckungsmassen
V1
+
V2
+…
Vn
Vi = realisierter Verlust in Bereich i Li = Risikolimit für den Bereich i
Abbildung 24:
Gleichgewichtsbedingungen im Risikotragfähigkeitskalkül
Quelle:
In Anlehnung an: Schierenbeck (2001b) , S. 16.
272 273
Vgl. Romeike (2004a), S. 235f. Vgl. Schierenbeck (2001b), S. 16.
L1
+
L2
+…
Ln
90
Wirtschaftliche Steuerung von IT-Risiken
1. Das kalkulierte (Total-) Risiko- resp. Verlustpotential darf die verfügbaren Risikodeckungsmassen nicht übersteigen. 2. Auftretende Verluste durch schlagend gewordene (IT-) Risiken sind durch die Fixierung von Risikolimiten konsequent zu begrenzen. Der Grundsatz (1) soll sicherstellen, dass die verfügbaren Risikodeckungsmassen größer sind als die eingegangenen Risiken resp. das festgestellte totale Risikopotential. Der Grundsatz (2) knüpft an der Notwendigkeit an, den einzelnen Teilbereichen einer Unternehmung Risikolimite vorzugeben, für die entsprechend Risikodeckungsmassen allokiert werden müssen. Im Rahmen der Ermittlung des totalen Risikopotentials müssen zunächst alle Einzelrisiken quantifiziert und anschließend aggregiert werden. Sollten die Einzelrisiken untereinander nicht korrelieren, ergibt sich das totale Risikopotential aus der einfachen Addition der Einzelrisiken. Andernfalls müssen bei der Risikoquantifizierung Korrelationseffekte berücksichtigt werden. Als Deckungsmassen kommen verschiedene Elemente des Eigenkapitals in Frage, welche in Tabelle 18 dargestellt sind:274 1. Risikodeckungsmassen erster Klasse: Diese Risikodeckungsmassen dienen primär der Vorsorge von Risiken, welche mit einer hohen Wahrscheinlichkeit eintreten. 2. Risikodeckungsmassen zweiter Klasse: Zu den Risikodeckungsmassen zweiter Klasse zählen Mittel, die problemlos und ggf. unter Verletzung anderer unternehmerischer Ziele beschafft werden können. Sie werden für Risiken benötigt, die mit einer relativ geringen Wahrscheinlichkeit eintreten. Entsprechend stellt die Inanspruchnahme dieser Mittel eher die Ausnahme als die Regel dar. 3. Risikodeckungsmassen dritter Klasse: Im Falle von Risiken mit äußerst geringer Eintrittswahrscheinlichkeit können weiter Deckungsmassen in Anspruch genommen werden, die jedoch ein Unternehmen in seiner Geschäftstätigkeit enorm beeinflussen. Durch die Eigenkapitalunterlegung entstehen Unternehmen Opportunitätskosten, da diese Mittel für keine weiteren (risikobehafteten) Geschäfte zur Verfügung stehen. Werden die erwarteten Verluste als Standardrisikokosten bei der Mindestmargenkalkulation berücksichtigt, sind nur die unerwarteten Verluste mit Eigenkapital zu unterlegen. Andernfalls müssen auch die erwarteten Verluste mit Eigenkapital unterlegt werden.
274
Vgl. Kremers (2002), zitiert in: Hölscher (2002), S. 23.
Maßnahmen zur Steuerung von IT-Risiken Klassen der Risikodeckungsmassen x
91
Finanzielle
Erfolgsrechnerische
Risikodeckungsmassen
Risikodeckungsmassen
überschüssige Cashflows (nach
x
Übergewinn
Fremdkapital-Zinsen, Dividenden, geplanten
1. Klasse
Investitionen und sonstigen geplanten Ausgaben)
2. Klasse
3. Klasse
x
nicht ausgeschöpfte Kreditlinien
x
Mindestgewinn
x
Neukreditaufnahme
x
Stille Reserven
x
leicht liquidierbare Finanzanlagen
x
veräußerbare Forderungen
x
sonstige liquidierbare
x
Offene Rücklagen
Vermögensgegenstände
x
Grundkapital (incl. Contingent
x
Liquiditätszufluss durch Contingent Capital
Capital)
oder Kapitalerhöhung Tabelle 18:
Klassifizierung von Risikodeckungsmassen.
Quelle:
In Anlehnung an Hölscher (2002), S. 24.
4.1.1.5 Risikotransfer Im Rahmen des Risikotransfers überträgt ein Unternehmen die Verluste aus schlagend gewordenen IT-Risiken auf externe Träger. Dies kann zum einen durch den Abschluss einer Versicherung und zum anderen durch so genannte Alternative-Risiko-Transfer (ART) Instrumente geschehen.275
4.1.1.5.1 Versicherungen Die traditionelle Form des Risikotransfers stellen Versicherungen dar. Das Risiko wird erst nach dem Eintritt eines Verlustereignisses auf die Versicherung als externen Träger transferiert. Der Versicherbarkeit von IT-Risiken sind jedoch Grenzen gesetzt. Zur Überprüfung der Versicherbarkeit von Risiken wird in der versicherungsökonomischen Literatur sehr häufig der von KARTEN276 entwickelte entscheidungsorientierte Ansatz herangezogen.277 Nach diesem Ansatz sind fünf Kriterien zu überprüfen:278
275 276
Vgl. Hölscher (2002), S. 15. Vgl. Karten (1972).
92
Wirtschaftliche Steuerung von IT-Risiken
x
Eindeutigkeit: Sowohl der Eintritt eines Verlustereignisses als auch die Höhe des Verlustes muss objektiv nachprüfbar sein.
x
Zufälligkeit: Das Kriterium der Zufälligkeit fordert, dass zum Zeitpunkt des Vertragsabschlusses ein Verlustereignis ungewiss und unbeeinflussbar sein muss.
x
Schätzbarkeit: Um die Versicherungsprämie berechnen zu können, muss die Versicherung in der Lage sein, die durchschnittliche erwartete Verlusthäufigkeit und -höhe des Ereignisses zu schätzen. Dies geschieht i.d.R. aus historischen Daten. Gerade bei IT-Risiken liegt das Problem vor, dass relativ wenig historische Daten verfügbar sind.279
x
Größe: Unter dem Kriterium Größe wird der größtmögliche Verlust verstanden, der durch ein Verlustereignis eintreten kann. Dies entspricht im Prinzip den Eigenschaften des Value-at-Risk.280 Die Quantifizierung des größtmöglichen Verlustes ist bspw. erforderlich, um Deckungsobergrenzen zu definieren.
x
Unabhängigkeit: Positiv korrelierte Einzelrisiken sollten ausgeschlossen werden, negativ korrelierte Einzelrisiken sind hingegen wünschenswert. Liegt keine Unabhängigkeit der Einzelrisiken vor, so besteht die Gefahr der Kumulierung von Risiken. Die Kumulierung von Verlusten bedeutet, dass mehrere Versicherungsnehmer gleichzeitig einen Verlust erleiden. Als Beispiele können Sicherheitslücken bei häufig eingesetzter Software oder aber Virenangriffe aufgeführt werden.281
GRZEBIELA hat die Versicherbarkeit von Internet- und IT-Risiken anhand des von KARTEN entwickelten Kriterienkatalogs überprüft. Die Analyse liefert das Ergebnis, dass nur die IT-Risiken aus der Verletzung der Schutzziele Integrität und Verfügbarkeit versichert werden können (vgl. Tabelle 19).282 Ungeachtet der prinzipielle Versicherbarkeit sind niedrige Deckungsgrenzen ein wesentlicher Grund, weshalb nicht für jedes dieser Einzelrisiken eine Versicherung auf dem Markt angeboten wird. Ein Lösungsansatz dieses Problems ist die Ausdehnung der Kapazitätsgrenzen der Versicherer mittels Rückversicherung. IT-Risiken, die sich aus der Verletzung des Schutzziels Zurechenbarkeit ergeben, sind derzeit noch nicht versicherbar. Der Grund liegt in der äußerst schwierigen Beweisbarkeit und dem fehlenden eindeu-
277
278 279
280 281 282
Vgl. Grzebiela (2002b), S. 52. Weitere Kriterienkataloge wurde bspw. entwickelt von: Vaughan und Vaughan (2001), S. 41f.; Lucius (1979), S. 206ff. und Berliner und Bühlmann (1986), S. 95ff. Vgl. Karten (1972), S. 287ff. Vgl. Gordon, Loeb und Sohail (2003), S. 82. DAVE O’NEILL, der im Jahre 2001 als Vize Präsident von e-business solutions bei Fidelity and Deposit beschäftigt war, hat sich zur Problematik des Mangels an historischen Daten und der damit verbundenen Schwierigkeit der Prämienkalkulation wie folgt geäußert: „These insurance products are so new, the $64,000 question is: Are we charging the right premium for the exposure?“ (vgl. Radcliff (2001)). Der Value-at-Risk wurde erst nach der Veröffentlichung des Ansatzes von KARTEN entwickelt. Vgl. Grzebiela (2002b), S. 58. Vgl. im Folgenden Grzebiela (2002b), S. 128f.
Maßnahmen zur Steuerung von IT-Risiken
93
tigen kausalen Zusammenhang. Ebenso nicht versicherbar sind IT-Risiken, die sich aus der Verletzung des Schutzziels Vertraulichkeit ergeben. Die Beweisbarkeit sowie die Identifikation des Schuldigen gestaltet sich in den meisten Fällen als sehr schwierig oder ist erst gar nicht möglich. Ein weiteres Problem stellt die Quantifizierung der entstandenen Schäden dar. Schutzziele Vertraulichkeit Integrität Verfügbarkeit Zurechenbarkeit Tabelle 19:
Versicherbarkeit nein
Problematik Eindeutig kausaler Zusammenhang, Beweisbarkeit, Quantifizierungsprobleme
ja
Niedrige Deckungsgrenzen
ja
Niedrige Deckungsgrenzen
(derzeit) nein
Eindeutig kausaler Zusammenhang, Beweisbarkeit
Versicherbarkeit von IT-Risiken.
Quelle: In Anlehnung an Grzebiela (2002a), S. 7; Grzebiela (2002b), S. 128; Grzebiela (2001), S. 420.
Zu beachten ist ferner, dass technische Sicherheitsmechanismen und Versicherungen oftmals ein komplementäres Verhältnis aufweisen. So ist häufig ist ein bestimmtes Mindestmaß an technischen Sicherheitsmechanismen (so genannte Obliegenheiten) erforderlich, um ITRisiken erst versicherbar zu machen.283 Darüber hinaus wird vielfach das eingesetzte System als Einflussfaktor bei der Berechnung der Prämie284 berücksichtigt. So verlangt bspw. das Versicherungsunternehmen J.S. Wurzler höhere Prämien, wenn der Versicherungsnehmer Microsoft NT als Betriebssystem einsetzt.285 Der Stand der technischen Sicherheitsmechanismen ist somit einerseits Bedingung für die Versicherbarkeit von spezifischen IT-Risiken, andererseits auch bestimmendes Merkmal für die Versicherungsprämie.286 Den Ineffizienzen und Grenzen der Versicherbarkeit kann prinzipiell mit ART-Instrumenten begegnet werden, welche im Folgenden diskutiert werden.
4.1.1.5.2 Alternative-Risiko-Transfer Instrumente In jüngerer Zeit werden neben Versicherungen, als klassisches Instrument des Risikotransfers, die ART-Instrumente als neue Möglichkeit des Transfers von Risiken diskutiert. Eine allgemeingültige Definition des Begriffs ART existiert in der Literatur jedoch nicht. ARTInstrumente weisen folgende Kernmerkmale auf:287
283 284 285 286 287
Vgl. Grzebiela (2002b), S. 126f. Zur Berechnung einer Versicherungsprämie vgl. z.B. Stögbauer (2002), S. 201f.; Böhme (2005), S. 31ff. Vgl. Bryce (2001); Luening (2001). Vgl. Prokein und Grzebiela (2006), S. 325. Vgl. European Commission (2000), S. 6; SwissRe (1999), S. 5; Romeike (2000), S. 607.
94
Wirtschaftliche Steuerung von IT-Risiken
x
Sie sind maßgeschneidert auf kundenspezifische Probleme,
x
es erfolgt i.d.R. eine Deckung über mehrere Jahre,
x
der Risikoausgleich erfolgt über die Zeit und innerhalb des Portfolios (Bilanzschutzkonzepte),
x
sie bewältigen aus der Sicht des konventionellen Marktes Risiken, die nicht versicherbar sind,
x
teilweise wird der Kapitalmarkt als Finanzierungsinstrument benutzt.
Bei ART-Instrumenten kann zwischen ART-Instrumenten i.e.S. und so genannte hybriden Instrumenten unterschieden werden (vgl. Abbildung 25).
Risikotransfer Risikovorsorge
Selbsttragen von Risiken
Traditioneller Risikotransfer
Alternativer Risikotransfer i.e.S.
Versicherungen
• Verbriefung • Versicherungsderivate • bedingte Kapitalaufnahme
Hybride Instrumente • Captives • Finite-Risk Deckungen • Mulitline-Multiyear-Deckungen
Abbildung 25:
ART-Instrumente im Überblick.
Quelle:
In Anlehnung an Hölscher (2002), S. 17.
Bei den Instrumenten des alternativen Risikotransfer i.e.S. werden die Risiken auf den Kapitalmarkt transferiert und somit die Teilnehmer des Kapitalmarkts zu den Trägern der Risiken. Zu diesen Instrumenten zählen die Verbriefung von Risiken, Versicherungsderivate und die bedingte Kapitalaufnahme. x
Verbriefung von Risiken: Bei der Verbriefung von Risiken („Securitization“) kann zwischen der primären und der sekundären Verbriefung unterschieden werden. Der
Maßnahmen zur Steuerung von IT-Risiken
95
Risikotransfer bei der primären Verbriefung geschieht über so genannte Risk Bonds.288 Risk Bonds sind Anleihen mit schadenabhängigem Kapitaldienst. Sie entsprechen in ihrer Grundform einer festverzinslichen Anleihe und sind dadurch charakterisiert, dass mit ihnen i.d.R. eine weitaus höhere Rendite erzielt werden kann als dies bei festverzinslichen Wertpapieren (z.B. Staatsanleihen) der Fall ist.289 Die Höhe der Zinszahlungen und/oder die Höhe der Rückzahlung des Nennwertes hängen unmittelbar vom Verlustverlauf ab.290 Bei Eintritt des Verlustes vermindern sich die Zinszahlung und/oder die Rückzahlung des Nennwertes nach Maßgabe der Verlusthöhe. Aus der Sicht der Investoren sind Risk Bonds durchaus attraktiv. Da sie sehr gering mit anderen Wertpapieren korrelieren, erzielt der Investor Diversifikationseffekte in seinem Portefeuille.291 Bei der sekundären Verbriefung gründet ein Unternehmen ein Special Purpose Vehicle (SPV), welches das Risiko übernimmt.292 Das SPV wiederum refinanziert diese Übernahme durch die Ausgabe von Insurance Risk Backed Securities (IRBS) am Kapitalmarkt. Die Funktionsweise der IRBS ist äquivalent zu der der Risk Bonds. Die Verbriefung von Risiken ist sehr gut geeignet, um IT-Risiken auf den Kapitalmarkt zu transferieren.293 Die wichtigste Voraussetzung für eine erfolgreiche Verbriefung ist eine klare, eindeutige und transparente Darstellung des Risikos.294 Entscheidend hierbei ist vor allem eine exakte Quantifizierung der Risiken. Im Bereich der operationellen Risiken wird die Verbriefung ebenfalls als ein geeignetes Instrument angesehen und diskutiert. Es wurden bereits Modelle zur Reduktion des Nennwerts und der Zinszahlung beim Eintritt eines Verlustes entwickelt.295 x
288 289
290 291 292 293 294 295 296
Versicherungsderivate: Bei Versicherungsderivaten handelt es sich um Termingeschäfte, deren Basiswert ein den Verlustverlauf abbildender Index ist.296 Der Wert hängt somit vom zugrunde liegenden Verlustsindex ab. Werden Risiken in hohem Ausmaß schlagend, so steigt der Verlustindex, et vice versa. Der Transfer von Risiken wird ähnlich wie bei herkömmlichen Finanzderivaten erreicht. Sofern das abzusichernde Risiko exakt durch den Verlustindex abgebildet wird, ist eine vollständige Risikoübernahme möglich („Perfect Hedging“).
Vgl. Hase (1998), S. 291. Vgl. Hölscher (2002), S. 17. Festverzinsliche Wertpapiere sind risikolose Geldanlagen. Risk Bonds hingegen sind risikobehaftet. Damit Investoren einen Anreiz zum Kauf dieser haben, muss mit ihnen eine höhere Rendite erzielt werden können als bei festverzinslichen Geldanlagen. Vgl. Albrecht und Schradin (1998), S. 578. Vgl. Deistler, Ehrlich und Heidorn (1999), S. 1121f. Vgl. Swiss Re (2006), S. 6f. Hase (1998), S. 292. Vgl. Grzebiela (2002b), S. 164. Vgl. Müller (1997), S. 602. Vgl. Cruz (2003), S. 240ff. Vgl. im Folgenden Hölscher (2002), S. 18.
96
Wirtschaftliche Steuerung von IT-Risiken
Problematisch ist die Definition und Bewertung eines Verlustindex für IT-Risiken.297 Solange kein Verlustindex für IT-Risiken entwickelt und Investoren kein Vertrauen in diesen Index haben, sind Versicherungsderivate kein Lösungsansatz zum Transfer von IT-Risiken. x
Bedingte Kapitalaufnahme: Bei der bedingten Kapitalaufnahme wird im Falle eines zukünftigen Verlusteintritts die Zuführung von Kapital vereinbart. Dieses Instrument ist besonders bei Existenz bedrohenden Risiken geeignet. Bei der einfachen Form der bedingten Kapitalaufnahme ist es Unternehmen möglich, innerhalb eines bestimmten Zeitraums Fremd- oder Eigenkapital in Form von Genussrechten oder Vorzugsaktien zu vorher festgelegten Konditionen aufzunehmen.298 Auslöser dieser Kapitalaufnahme ist i.d.R. das Erreichen einer bestimmten Verlusthöhe. Eine komplexere Form der bedingten Kapitalaufnahme ist der Kauf einer Put-Option, die zusätzlich zum Aktienkurs des Unternehmens noch an ein im Voraus definierte Verlustereignisses angeknüpft ist.299 Ein Unternehmen kauft eine Put-Option auf den eigenen Aktienkurs. Sofern das Verlustereignis eintritt und der Kurs unter einen bestimmten Wert sinkt, kann das Unternehmen die Put-Option ausüben und somit zusätzliches Kapital zu dem bei Vertragsabschluss vereinbarten Ausübungspreis aufnehmen.300 Bisher existieren nur wenige Transaktionen mittels bedingter Kapitalaufnahme. Die erste Transaktion wurde 1995 durchgeführt. Bis zum Jahr 2003 wurden nur 16 Transaktionen durchgeführt.301
Zielen ART-Instrumente ausschließlich auf den Transfer der Risiken ab, so kombinieren hybride Instrumente Elemente der Risikovorsorge und des Risikotransfers.302 Zu den hybriden Instrumenten zählen Captives, Finite-Risk und Mulitline/Multiyear Deckungen. x
297 298 299 300
301 302 303 304 305
Captives: Eine Captive Insurance Company – oder kurz Captive – ist eine zum Unternehmen gehörende Erst- oder Rückversicherungsgesellschaft.303 Sie dient primär dem Zweck der Aufnahme von Risiken, die im Unternehmen entstehen.304 Da die Captive ein Teil des Unternehmens ist, werden die Risiken zunächst nicht transferiert. Der Transfer wird durch den Zugang zum Rückversicherungsmarkt eröffnet, welcher gegenüber dem Erstversicherungsmarkt Vorteile in Form einer höheren Flexibilität bei der Ausgestaltung von Verträgen sowie deutlich günstigeren Konditionen aufweist.305 Um einer möglichst geringen Besteuerung der Gewinne zu unterliegen, sind Captives
Vgl. Grzebiela (2002b), S. 164. Vgl. Eickstädt (2001), S. 86. Vgl. SwissRe (1999), S. 27. Sofern das Ereignis individuell auf das Unternehmen definiert wurde, ergibt sich ein Moral Hazard Problem, da das entsprechende Unternehmen die Schadenshöhe selbst beeinflussen kann (vgl. SwissRe (1999), S 27). Vgl. SwissRe (2003), S. 34. Vgl. Hölscher (2002), S. 18. Vgl. Grzebiela (2002b), S. 139. Vgl. Hölscher (2002), S. 18. Vgl. Hölscher (2002), S. 19.
Maßnahmen zur Steuerung von IT-Risiken
97
überwiegend in „Steueroasen“ angesiedelt.306 Captives sind insbesondere bei Risiken geeignet, welche auf traditionelle Markten nicht oder nur sehr teuer transferiert werden können.307 Von einer grundsätzlichen Eignung dieses Instruments zum Transfer von IT-Risiken kann ausgegangen werden.
306
307 308 309 310 311 312
313 314 315
x
Finite-Risk Deckungen: Das wesentliche Merkmal von Finite-Risk Deckungen ist die begrenzte Risikoübernahme durch einen Versicherer.308 Finite-Risk Deckungen gleichen einem abgesicherten Ansparvorgang.309 Ein Unternehmen leistet periodische Zahlungen in Form von Prämien an einen Versicherer, welcher diese zinsbringend am Geld- und Kapitalmarkt angelegt.310 Die Prämienkalkulation basiert allgemein auf der Annahme, dass der Gesamtwert der erwarteten Verlustzahlungen dem vereinbarten Gesamtdeckungslimit entspricht. Die Gesamtdeckungssumme hat der Versicherungsnehmer über entsprechende Prämienzahlungen aufzubringen. Zusätzlich garantiert die Versicherung i.d.R. eine begrenzte Risikoübernahme.311 Beim Eintritt eines Verlustereignisses werden zunächst die durch Prämienzahlungen angesammelten Mittel verwendet. Sofern der entstandene Verlust diese Mittel übersteigt, stellt die Versicherung den Differenzbetrag bis zu einer im Voraus vereinbarten Höchstgrenze zur Verfügung. Dieser Differenzbetrag ist in den Folgeperioden vom Unternehmen durch erhöhte Prämien zu tilgen, was für das betroffene Unternehmen impliziert, dass Verlustzahlungen über mehrere Jahre verteilt werden. Da somit das jeweilige Risiko nicht vollständig transferiert, sondern zum großen Teil selbst finanziert wird, ist die Übertragung des versicherungstechnischen Risikos312 bei Finite-Risk Verträgen limitiert. Tritt der tatsächliche Verlust geringer aus als ursprünglich erwartet, so wird dem Unternehmen i.d.R. ein bestimmter Anteil der entrichteten Prämien zurückerstattet.313 Prinzipiell können IT-Risiken mit Hilfe von Finite-Risk Deckungen begegnet werden.314
x
Multiline/Multiyear Deckungen: Dieses Instrumente stellt eine Kombination aus mehreren Versicherungssparten (Multiline) dar. Dahinter steckt die Idee, Risiken nicht mehr einzeln, sondern gebündelt bzw. kombiniert zu bewältigen.315 Ziel ist es, möglichst viele interne Diversifikations- und Ausgleichseffekte zu erreichen und zu nut-
Captives können anhand zahlreicher Kriterien klassifiziert und anhand unterschiedlicher Erscheinungsformen differenziert werden (vgl. Grzebiela (2002b), S. 140ff.; Eickstädt (2001), S. 102ff.; Schierenbeck und Lister (2001), S. 360; Brühwiler, Stahlmann und Gottschling (1999), S. 193; Romeike (2004c), S. 259ff.; Wöhrmann (2002), S. 462ff.), auf die jedoch im Rahmen dieser Arbeit nicht weiter eingegangen wird. Vgl. Grzebiela (2002b), S. 163. Vgl. Swiss Re (2003), S. 27. Vgl. Hölscher (2002), S. 19. Vgl. Patterson (1997), S. 608; Rücker (2000), S. 380. Vgl. Hölscher (2002), S. 19. Die Gefahr einer Abweichung des tatsächlichen Schadenverlaufs von den Annahmen der Prämienkalkulation (vgl. Schierenbeck und Hölscher (1998), S. 762). Vgl. Schopp (2002), S. 496. Vgl. Grzebiela (2002b), S. 163. Vgl. Eickstädt (2001), S. 123.
98
Wirtschaftliche Steuerung von IT-Risiken
zen.316 Im Vergleich zu klassischen Versicherungsverträgen beinhalten Mulitline/Multiyear Deckungen sehr flexible Regelung für den Selbstbehalt, weshalb sie eine größere Vorsorgekomponente besitzen.317 Einerseits ist es möglich, Selbstbehalte für einzelne Sparten und andererseits eine Obergrenze des Selbstbehalts für den gesamten Versicherungsvertrag festzulegen. Bei letzterer Möglichkeit kann der Gesamtumfang der Risikoselbsttragung durch den Versicherungsnehmer nach oben begrenzt werden. I.d.R ist die Volatilität des Schadensverlaufs im Selbstbehalt eines Risikoportfolios geringer als die Summe der Volatilitäten der einzelnen Risikoklassen.318 Der Versicherungsnehmer erreicht somit ein besseres Verhältnis von Risiko zu eingesetztem Kapital.319 Somit kann dasselbe Risiko mit weniger Kapitaleinsatz respektive ein höheres Risiko mit gleichem Kapitaleinsatz übernommen werden. Ein wesentlicher Vorteil ergibt sich aus stabileren Risikokosten, da die Prämienzahlungen auf mehrere Jahre (Multiyear) fixiert werden.320 Des Weiteren kann der Versicherungsnehmer beträchtliche Effizienzgewinne realisieren, da Verhandlungs- und Koordinationskosten mit einer geringeren Anzahl an involvierten Versicherern sinken. Ein wesentlicher Nachteil der Multiline/Multiyear Deckungen spiegelt sich in den hohen Transaktionskosten wider. Multiline/Multiyear Deckungen können nur maßgeschneidert strukturiert werden, sofern der Anbieter einen umfassenden Einblick in die Risikolage seiner Kunden erhält.321 Dies ist auf beiden Seiten mit erheblichen Transaktionskosten verbunden. Ferner wächst mit der Konzentration auf einen oder wenige Multiline/Multiyear Deckungen die Abhängigkeit des Versicherungsnehmers vom Versicherer.322 Aufgrund der sehr hohen Transaktionskosten sind Multiline/Multiyear Deckungen weniger für den Transfer von IT-Risiken geeignet.323
4.1.2 Diskussion der Maßnahmen Technische Sicherheitsmechanismen und organisatorische Maßnahmen (Risikoreduktion), der Risikotransfer sowie die Risikodiversifikation sind Maßnahmen, die oftmals parallel ergriffen und ergänzend eingesetzt werden können. Bei der Risikodiversifikation wird entgegen dem Trend zur Standardisierung redundante und alternative Technologie vorgehalten, um aus der Homogenität der Informationssysteme resultierende Schwachstellen zu schließen. Diese Vorhaltung kann mit sehr hohen Kosten verbunden sein. Beim Risikotransfer sind gegenwärtig 316 317 318 319 320 321 322 323
Vgl. SwissRe (1999), S. 23; Eickstädt (2001), S. 124. Vgl. Hölscher (2002), S. 19. Vgl. SwissRe (1999), S. 24. Vgl. Eickstädt (2001), S. 125. Vgl. SwissRe (2001), S. 24. Vgl. SwissRe (2001), S. 25. Vgl. Brühwiler, Stahlmann und Gottschling (1999), S. 69. Vgl. Grzebiela (2002b), S. 164.
Maßnahmen zur Steuerung von IT-Risiken
99
vor allem Versicherungslösungen von Interesse, da ART-Instrumente, abgesehen von Captives als unternehmenseigene Versicherungen, noch in den Anfängen stehen. Allerdings zeigen die Untersuchungen, dass nur Risiken aus der Verletzung der Schutzziele Integrität und Verfügbarkeit versicherbar sind. Der Risikoreduktion in Form von technischen Sicherheitsmechanismen kommt aus zweifacher Hinsicht eine Schlüsselrolle zu. Zum einen sind sie oftmals Voraussetzung für das Angebot von Versicherungen und/oder beeinflussen die Höhe der Prämienzahlungen. Zum anderen setzen technische Sicherheitsmechanismen genau an den Schwachstellen von IT-Systemen an. Allerdings konnte gezeigt werden, dass technische Schutzmechanismen keinen vollständigen Schutz bieten können. Angreifern stehen Möglichkeiten zur Verfügung, wie technische Schutzmechanismen überwunden werden können. Dennoch stellen sie ein probates Mittel dar, um zumindest bekannten Angriffen ex-ante (teilweise) entgegenzuwirken. Die Risikovorsorge und Risikovermeidung müssen gesondert betrachtet werden. Risikovermeidung bedeutet, dass keine Chancen i.S.v. Effizienz- und/oder Effektivitätssteigerungen durch den Einsatz von IT realisiert werden können. Diese Maßnahme sollte nur in Anspruch genommen werden, wenn die verbleibenden Risiken nach der Ergreifung von Maßnahmen zur Risikoreduktion, -diversifikation und dem -transfer größer sind als die erzielbaren Effizienzund/oder Effektivitätssteigerungen aus dem IT Einsatz. Risikovorsorge muss stets betrieben werden, denn nach dem Risikotragfähigkeitskalkül dürfen nur so viele Risiken eingegangen werden, wie Eigenkapital zur Verfügung steht. Den Unternehmen entstehen dadurch Opportunitätskosten, da diese Mittel für keine weiteren (risikobehafteten) Geschäfte zur Verfügung stehen.
4.1.3 Entscheidungsunterstützung bei der Ergreifung von Maßnahmen durch Matrix-Ansätze Werden im Rahmen der Quantifizierungsphase die Eintrittswahrscheinlichkeiten sowie die Verlusthöhen für Einzelrisiken ermittelt, so können diese in einer so genannten Riskomatrix eingetragen werden.324 Bei der Erstellung der Risikomatrix werden sowohl Werte der Eintrittswahrscheinlichkeiten als auch der Verlusthöhen in Kategorien eingeteilt (vgl. Abbildung 26). Eine allgemeingültige Definition der Kategorien in ihrer Anzahl und Bezeichnung existiert nicht. Die Kategorien der Eintrittswahrscheinlichkeiten können aufgrund ihrer Normierung auf 100 % relativ gut definiert werden (Im Beispiel: 0 % bis 25 % sehr gering, 26 % bis 50 % gering usw.). Etwas schwieriger gestaltet sich die Festlegung der Kategorien für die
324
Vgl. Schierenbeck (2001b), S. 344.
100
Wirtschaftliche Steuerung von IT-Risiken
Verlusthöhe, da diese nach oben hin nicht normiert ist. Somit ist der Abgrenzung der einzelnen Kategorien durch ein hohes Maß an Subjektivität gekennzeichnet.325 Die Risikomatrix wird i.d.R. in vier Quadranten unterteilt (vgl. im Folgenden Abbildung 26 i.V.m. Tabelle 20):326 Eintrittswahrscheinlichkeit
sehr hoch
2 Risiken vermindern (Risikoreduktion und/oder Risikodiversifikation)
Risiken vermeiden (Risikovermeidung)
eher hoch 1
eher gering 3 Risiken selbst tragen
Risiken transferieren
(Risikovorsorge)
(Risikotransfer)
sehr gering 4 gering
mittel
groß
katastrophal
Verlusthöhe in GE
Abbildung 26:
Exemplarische Risikomatrix und Zuordnung von Maßnahmen zur Risikosteuerung.
Quelle:
In Anlehnung an Schierenbeck (2001b), S. 344 i.V.m. Rachlin (1998), S. 119 und Piaz (2002), S. 144f..
Alle Risiken, die sich im ersten Quadranten des kartesischen Koordinatensystems befinden, sollten vermieden werden. Als Beispiel kann der Verlust eines Datenträgers (z.B. USB-Stick) genannt werden, auf dem sich sensible Unternehmensdaten befinden. In diesem Fall würde ein Unternehmen beschließen, die Nutzung von USB-Sticks beim mobilen Einsatz zu verbieten. Jene Risiken, die sich im zweiten Quadranten befinden, sollten vermindert werden. Dies kann durch Maßnahmen zur Risikoreduktion und -diversifikation geschehen. Beim Import von Viren könnte ein Virenscanner implementiert (Risikoreduktion) und/oder unterschiedlicher Betriebssysteme (Risikodiversifikation) genutzt werden.
325 326
Vgl. Baum, Coenenberg und Günther (2004), S. 194. Vgl. Rachlin (1998), S. 119.
Maßnahmen zur Steuerung von IT-Risiken
101
Die Risiken des dritten Quadranten sollten selbst getragen werden, was der Risikovorsorge entspricht. Im Beispiel müsste für Verluste aus einer fehlerhaften Konfiguration eines E-Mail Client entsprechend Eigenkapital vorgehalten werden. Schließlich sollten die Risiken des vierten Quadranten transferiert werden. So sollte sich z.B. ein Unternehmen zum Schutz der IT-Infrastruktur vor Hochwasser versichern. Szenario
1 2 3
4
Tabelle 20:
Angriff Verlust des Datenträgers bei mobilem Einsatz Virenimport über E-Mail Fehlerhafte Konfiguration eines E-Mail Client Zerstörung der IT-Infrastruktur aufgrund von Hochwasser
Eintrittswahrscheinlichkeit (relative Häufigkeit)
Verlusthöhe
eher hoch
groß
sehr hoch
mittel
eher gering
gering
sehr gering
katastrophal
Szenarien für die Riskomatrix.
Für eine ökonomische Steuerung von IT-Risiken ist die Risikomatrix jedoch nicht geeignet. Die Handlungsempfehlungen basieren auf keinen ökonomischen Analysen und dienen höchstens zur Priorisierung der Überprüfung von Steuerungsmöglichkeiten auf ihre ökonomische Vorteilhaftigkeit. Letztlich ist für alle Risiken, unabhängig von der Position in der Risikomatrix, zu überprüfen, ob die zur Verfügung stehenden Möglichkeiten zur Risikosteuerung ökonomisch vorteilhaft sind oder nicht. Die Risikovorsorge nimmt auch hier eine Sonderstellung ein, denn alle verbleibenden Risiken müssen nach dem Risikotragfähigkeitskalkül mit Eigenkapital unterlegt werden. Aufgrund dieser Nachteile der Risikomatrix wurden quantitative Modelle entwickelt, um die ökonomische Vorteilhaftigkeit von Investitionen in Steuerungsmaßnahmen unter Berücksichtigung der Eigenkapitalunterlegung für unerwartete Verluste (nach dem Risikotragfähigkeitskalkül) beurteilen zu können.
102
Wirtschaftliche Steuerung von IT-Risiken
4.2 Einperiodiges Modell zur wirtschaftlichen Steuerung Zur Entscheidungsunterstützung über die Durchführung von Investitionen in Maßnahmen zur Steuerung von operationellen Risiken wurden bereits erste Ansätze entwickelt. So betrachtet bspw. FAISST in einem einperiodigen Modell den in Abbildung 27 dargestellten Trade-off zwischen Auszahlungen für Steuerungsmaßnahmen IS einerseits und den Auszahlungen, die durch die erwarteten Verluste E(L) sowie durch die Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste OCC hervorgerufen werden, andererseits.327 Erwartete negative Zahlungswirkungen ȝ(ı)
Risiko ı ȝ(ı)
IS
E(L)
OCC
Abbildung 27:
Trade-off zwischen E(L) sowie OCC einerseits und IS andererseits.
Quelle:
In Anlehnung an Faisst (2003), S. 9.
Die Funktion P(ı) in Abbildung 27 ergibt sich als Summe der Auszahlungen aufgrund von E(L), OCC und IS. Je niedriger die Auszahlungen für Steuerungsmaßnahmen IS sind, desto höher ist das durch die Standardabweichung ausgedrückte Risiko ı. Mit einem höheren Risiko ı verbunden sind steigende Auszahlungen aufgrund von zu erwartenden Verlusten E(L) und durch die Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste OCC. Dieses Modell wurde von FAISST und PROKEIN weiterentwickelt, welches den Trade-off zwischen Investitionen in technische Sicherheitsmechanismen und Versicherungspolicen einerseits und den erwarteten Verlusten sowie den Opportunitätskosten andererseits darstellt und im Folgenden vorstellt wird.328
327
328
Da die Opportunitätskosten nur für unerwartete Verluste anfallen, impliziert dies, dass die erwarteten Verluste als Standard-Risikokosten bei der Bepreisung von Produkten bzw. Dienstleistungen berücksichtigt sind. Faisst und Prokein (2005): An Optimization Model for the Management of Security Risks in Banking Companies. Proceedings of the 7th International IEEE Conference on E-Commerce Technology 2005, München, 19.-22. Juli 2005, S. 266-273.
Einperiodiges Modell zur wirtschaftlichen Steuerung
103
4.2.1 Annahmen Dem Modell liegen folgende Annahmen 1 bis 4 (in Kursivschrift) zugrunde:
Annahme 1: Betrachtungshorizont Der Betrachtungszeitraum beträgt eine Periode.
Annahme 2: Betrachtung eines einzelnen Informationssystems Betrachtet wird ein einzelnes, offenes Informationssystem, von dem angenommen wird, dass es keine Korrelationen zu anderen Informationssystemen aufweist.
Annahme 3: Relevante Zahlungsgrößen Die erwarteten negativen Zahlungswirkungen ȝ für das betrachtete Informationssystem setzen sich zusammen aus den erwarteten Verlusten aufgrund schlagend gewordener IT-Risiken E(L), den Opportunitätskosten aufgrund des zu unterlegenden Eigenkapitals OCC für unerwartete Verluste sowie den Investitionen in technische Sicherheitsmechanismen ISM und Versicherungspolicen IVers:
(39)
ȝ
E(L) OCC ISM I Vers
Die stochastischen Zahlungsgrößen erwartete Verluste sowie die deterministischen Zahlungsgrößen Opportunitätskosten der Eigenkapitalunterlegung für unerwartete Verluste329, Investitionen in technische Sicherheitsmechanismen und Investitionen in Versicherungspolicen werden ex-ante geschätzt.
Annahme 3a: Erwartete Verluste Zur Quantifizierung der erwarteten Verluste aus IT-Risiken E(L) wird der interne Bemessungsansatz herangezogen und modifiziert.
(40)
329
E(L)
E[(a N) (b LGE)]
Da nur die unerwarteten Verluste mit Eigenkapital unterlegt werden, wie unterstellt, dass die erwarteten Verluste bei der Bepreisung von Produkten und/oder Dienstleistungen berücksichtigt werden.
104
Wirtschaftliche Steuerung von IT-Risiken
(a E(N)) (b LGE)
(a Ȝ) (b LGE) wobei: E(N) = Ȝ:= erwartete Verlusthäufigkeit330; a:= relativer Anteil der erfolgreichen Attacken; b:= relativer Anteil der nicht versicherten Schäden; LGE:= konstante durchschnittliche Verlusthöhe.
Der erwartete Verlust E(L) ergibt sich durch die Multiplikation des Erwartungswertes der Verlusthäufigkeit von Ȝ (mit Ȝ > 0) mit der als konstant angenommenen Verlusthöhe von Ereignissen LGE (mit LGE > 0). Es wird angenommen, dass Unternehmen Ȝ ex-ante durch Investitionen in technische Sicherheitsmechanismen um den so genannten Sicherheitslevel SL reduzieren können. Der Sicherheitslevel drückt aus, um wie viel Prozent die erwartete Verlusthäufigkeit durch die Implementierung technischer Sicherheitsmechanismen reduziert werden kann (SL = 1-a). Um die Implementierung von technischen Sicherheitsmechanismen zu berücksichtigen, wird die erwartete Verlusthäufigkeit mit der Variablen a (mit 0 < a 1)331 multipliziert, welche den relativen Anteil der erfolgreichen Attacken repräsentiert. Es wird ferner angenommen, dass Unternehmen ex-post durch den Abschluss einer Versicherung die Verlusthöhe LGE um den so genannten Versicherungslevel (IL = 1-b) reduzieren können. Um die Auswirkungen einer Versicherung auf die erwarteten Verluste zu berücksichtigen, wird die als konstant angenommene Verlusthöhe LGE mit der Variablen b (mit b < 0 1)332 multipliziert, welche als der relative Anteil der nicht versichten Verluste definiert ist. Der interne Bemessungsansatz geht von Binomial verteilten Verlusthäufigkeiten aus. Für eine große Anzahl erfasster Angriffe mit einer geringen Eintrittswahrscheinlichkeit nähert sich die Binomial-Verteilung der Poisson-Verteilung an.333 Im Folgenden wird eine PoissonVerteilung zugrunde gelegt, welche die Eigenschaft aufweist, dass der Erwartungswert der Varianz ı2 (wobei ı = Standardabweichung) entspricht. Es gilt: (41)
330
331
332
333
ı2
a Ȝ .
Im Folgenden wird der Erwartungswert der Zufallsvariablen N als Ȝ bezeichnet. Beim internen Bemessungsansatz ist die erwartete Verlusthäufigkeit E(N) = Ȝ als das Produkt aus dem so genannten Gefährdungsindikator EI mit der Eintrittswahrscheinlichkeit pro Gefährdungsindikator PE definiert (vgl. Kapitel 3.2.1.4). Implementiert ein Unternehmen bspw. eine Firewall, die 95 % aller Angriffe erfolgreich abwehrt (d.h. SL = 0,95), so nimmt a den Wert 0,05 an. Wird kein technischer Sicherheitsmechanismus implementiert, so gilt: a = 1. Im Modell wird davon ausgegangen, dass kein Sicherheitsmechanismus 100 % der Angriffe abwehren kann, weshalb a den Wert Null nicht annehmen kann. Schließt ein Unternehmen eine Versicherung ab, mit der 90 % des entstandenen Schadens transferiert werden kann (d.h. IL = 0,9), so nimmt b den Wert 0,1 an. Wird keine Versicherungspolice abgeschlossen oder handelt es sich um Risiken, die die Schutzziele Verfügbarkeit und Zurechenbarkeit verletzten, so nimmt b den Wert Eins an. Ferner wird aufgrund des Versicherungskriteriums „Größe“ angenommen, dass nicht die gesamte Schadenshöhe (LGE) transferiert werden kann, sondern nur ein prozentualer Anteil, weshalb b den Wert Null nicht annehmen kann. Vgl. Bortz (1999), S. 71f.
Einperiodiges Modell zur wirtschaftlichen Steuerung
105
Für konstante durchschnittliche Verlusthöhen aus IT-Risiken ist die Standardabweichung gegeben durch: (42)
ı E(L)
a Ȝ (b LGE)
Annahme 3b: Opportunitätskosten der Eigenkapitalunterlegung Nach dem internen Bemessungsansatz berechnet sich das zu unterlegende Eigenkapital CC gemäß:
(43)
Ȗ E(L)
CC
Da das zu unterlegende Eigenkapital gebundenes Kapital darstellt, impliziert dies, dass mit diesem Kapital keine Geschäftsaktivitäten mehr durchgeführt werden können und Unternehmen somit bei einem Zinssatz r Opportunitätskosten i.H.v.
(44)
OCC
r CC
r Ȗ E(L)
entstehen.
Die Opportunitätskosten der Eigenkapitalunterlegung stellen eine deterministische Zahlungsgröße dar. Die Standardabweichung nimmt entsprechend den Wert Null an: (45)
ı OCC
0
Annahme 3c: Investitionen in technische Sicherheitsmechanismen Die Eintrittswahrscheinlichkeit resp. Häufigkeit eines Verlustes wird durch Investitionen in Sicherheitsmechanismen ex-ante reduziert:
(46) wobei gilt:
I SM
§ Ȝ LGE · ¨ ȕ 1¸ > @ a Ȝ LGE © ¹ ISM = 0 für a = ȕ = 1, ansonsten ISM > 0.
Wie der Gleichung (46) zu entnehmen ist, besteht unter Berücksichtigung von Annahme 3a ein umgekehrt proportionaler Zusammenhang zwischen dem prozentualen Anteil erfolgreicher Angriffe a und dem Preis respektive der Investitionssumme ISM bei einem konstanten
106
Wirtschaftliche Steuerung von IT-Risiken
Kalibrierungsfaktor ȕ. Mit Hilfe dieses Kalibrierungsfaktors wird die Sensitivität dieses Zusammenhangs bestimmt (wobei gilt: 0 < ȕ 1). Eine Zunahme an Investitionen in technische Sicherheitsmechanismen impliziert einen geringeren erwarteten Verlust sowie geringere Opportunitätskosten der Eigenkapitalunterlegung, et vice versa. Die Investitionen in technische Sicherheitsmechanismen stellen eine deterministische Zahlungsgröße dar. Daraus resultiert, dass die Standardabweichung den Wert Null annimmt: (47)
ı SM
0.
Annahme 3d: Investitionen in Versicherungspolicen Im Falle der Versicherbarkeit334 reduzieren Investitionen in Versicherungspolicen die Verlusthöhe ex-post:
(48) wobei
I Vers
§ Ȝ LGE · ¨ į 1¸ > @ b Ȝ LGE © ¹
IVers = 0 für b = į = 1, ansonsten IVers > 0.
Analog zu den Investitionen in technische Sicherheitsmechanismen wird auch hier ein umgekehrt proportionaler Zusammenhang zwischen den Investitionen IVers und dem prozentualen Anteil der nicht versicherten Verlusthöhe b bei einem konstanten Kalibrierungsfaktor į unterstellt (wobei gilt: 0 < į 1). Der Kalibrierungsfaktor bestimmt die Sensitivität des umgekehrt proportionalen Zusammenhangs. Eine Zunahme der Investitionen in Versicherungspolicen IVers führt zu geringeren erwarteten Verlusten und Opportunitätskosten, et vice versa. Analog zu den Investitionen in technische Sicherheitsmechanismen stellen die Investitionen in Versicherungspolicen eine deterministischen Zahlungsgröße dar, so dass gilt: (49)
ı Ins
0.
Annahme 4: Lösungsraum mit stetigen ı und deren Abbildung auf ȝ(ı) Jedes ı (0, f) kann durch die stetige Funktion ȝ(ı) abgebildet werden. Es kann nur ein ı realisiert werden, Kombinationen sind nicht möglich.
334
Nach Grzebiela (2002b) können nur Bedrohungen, welche die Schutzziele Integrität und Verfügbarkeit verletzten, versicht werden (vgl. Kapitel 4.1.1.5.1)
Einperiodiges Modell zur wirtschaftlichen Steuerung
107
4.2.2 Ermittlung der optimalen Investitionssumme in technische Sicherheitsmechanismen und Versicherungspolicen Zur Bestimmung des optimalen Sicherheits- und Versicherungslevel (SL*, IL*) und den daraus ableitbaren optimalen Investitionssummen in technische Sicherheitsmechanismen I*SM und Versicherungspolicen I*Vers wird ein risikoneutralen Entscheider unterstellt, der das Ziel der Minimierung der negativen Zahlungsauswirkungen ȝ verfolgt. Die erwarteten negativen Zahlungswirkungen ergeben sich durch Substitution von (40), (44), (46) und (48) in (39):
(50)
ȝ
(1 r Ȗ) (a Ȝ) (b LGE)
Ȝ LGE Ȝ LGE 2 (a Ȝ LGE)ȕ (b Ȝ LGE)į
Die erste und zweite Ableitung von (50) nach a ergibt: (51)
wȝ wa
Ȝ (1 r Ȗ) (b LGE) ȕ
(52)
w 2ȝ wa
ȕ (ȕ 1)
Ȝ LGE (Ȝ LGE)ȕ a ȕ 1
Ȝ LGE !0 (Ȝ LGE)ȕ a ȕ 2
Mit (51) ist die notwendige und mit (51) sowie (52) die hinreichende Bedingung für ein Auszahlungsminimum erfüllt. Setzt man Gleichung (51) gleich Null, erhält man nach einer Äquivalenzumformung: 1
(53) a
§ ȕ Ȝ LGE · ȕ1 ¨ ¸ © b (1 r Ȗ) ¹ Ȝ LGE
Die Ableitung von (50) nach b ergibt:
(54)
wȝ wb
Ȝ (1 r Ȗ) (a LGE) į
(55)
w 2ȝ wb
į (į 1)
Ȝ LGE (Ȝ LGE)į bį1
Ȝ LGE !0 (Ȝ LGE)į bį2
108
Wirtschaftliche Steuerung von IT-Risiken
Mit der Gleichung (54) ist die notwendige und mit (54) sowie (55) die hinreichende Bedingung für ein Auszahlungsminimum erfüllt. Setzt man (54) gleich Null, erhält man nach einer Äquivalenzumformung: 1
(56) b
§ į Ȝ LGE · į1 ¨ ¸ © a (1 r Ȗ) ¹ Ȝ LGE
Substitution von (56) in (53) führt zu a* und (53) in (56) zu b*: 1 į ȕ(į 1)
(57)
a*
§ · ȕ(į 1)į ȕ(1į) (Ȝ LGE) ȕ(į 1)į ¨¨ ¸ į ¸ © į (r Ȗ 1) ¹
(58)
b*
§ · ȕ(į1)į į(1ȕ) (Ȝ LGE) ȕ(į 1)į ¨¨ ¸ ȕ ¸ © ȕ (r Ȗ 1) ¹
1 ȕ į(ȕ 1)
Nach der Annahme 3a sind der optimale Sicherheits- (SL*) sowie der Versicherungslevel (IL*) definiert als: (59)
SL* = 1-a*
(60)
IL* = 1-b*
Die Berechnung erfolgt nach Substitution von (57) in (59) und (58) in (60):
(61)
1 ª º į ȕ(į 1) § · ȕ(į1)į » ȕ(1į) SL* 1 «(Ȝ LGE)ȕ(į1)į ¨¨ ¸ į ¸ « » © į r Ȗ 1 ¹ ¬ ¼
(62)
IL*
1 ª º ȕ į(ȕ 1) · ȕ(į1)į » § į (1ȕ) ¸ 1 «(Ȝ LGE)ȕ(į1)į ¨¨ ȕ ¸ « » © ȕ r Ȗ 1 ¹ ¬ ¼
Durch die Substitution von (57) und (58) in (50) lässt sich das Minimum der negativen Zahlungswirkungen ȝ*=ȝ(a*,b*) und daraus die optimalen Investitionssummen in technische Sicherheitsmechanismen I*SM und Versicherungspolicen I*Vers berechnen:
Einperiodiges Modell zur wirtschaftlichen Steuerung
(63)
(64)
I *SM
109
Ȝ LGE ª § · 2 į ȕ (1 į) «Ȝ LGE ¨©¨ (1 į)ȕ į ¸¹¸ §¨ į ¨ « © į (1 r Ȗ) «¬
I*Vers
§ · 1 ¨¨ ¸¸ º · © (1 į)ȕ į ¹ » ¸¸ » ¹ ¼»
ȕ
Ȝ LGE § · 1 ª ¨¨ ¸¸ º § · 2ȕ ·© (1į)ȕ į ¹ » į(1ȕ) «Ȝ LGE ¨©¨ (1į)ȕį ¸¹¸ §¨ ¸ į » « © ȕ (1 r Ȗ) ¹ ¼ ¬
į
1
1
Abbildung 28 zeigt alle möglichen ȝ(a,b)-Kombinationen und die korrespondierenden Sicherheits- und Versicherungslevel (SL,IL) bei gegebenen ȕ und į. Die Fläche besitzt genau eine optimale Lösung in ihrem Minimum ȝ*=ȝ(a*,b*) und entsprechend eine effiziente (SL*,IL*)-Kombination.
Beispiel 1: Minimum der negativen Zahlungswirkungen
Der Abbildung 28 liegen folgende Wert zugrunde: ȕ = 0,2; į = 0,6; r = 0,1; LGE = 1.000 GE; Ȝ = 0,3 und Ȗ = 7,3335. Basierend auf diesen Werten beträgt der optimale Sicherheitslevel SL* = 0,58 (mit a*=0,42) und der optimale Versicherungslevel IL* = 0,9 (mit b=0,1). Das Unternehmen würde 112,99 GE in technische Sicherheitsmechanismen und 36,99 GE in Versicherungspolicen investieren. Der erwartete Verlust beträgt 13,18 GE und die Opportunitätskosten der Eigenkapitalunterlegung 9,62 GE. Die Höhe der erwarteten negativen Zahlungswirkungen beläuft sich auf 172,78 GE.
335
Vgl. Tabelle 7.
110
Wirtschaftliche Steuerung von IT-Risiken
P
IL SL
Abbildung 28:
Optimaler Sicherheits- und Versicherungslevel.336
Ergebnis 1: Bei Erfüllung der Annahmen existiert für alle Werte ȕ und į genau ein Minimum der negativen Zahlungswirkungen ȝ*= ȝ(a*,b*).
4.2.3 Berücksichtigung von Eigenkapital- und Budgetlimite für Investitionen Da Kapital in Unternehmen ein knappes Gut darstellt, liegen in der Praxis oftmals Eigenkapital- und Budgetlimite für Investitionen vor, welche die Steuerung von IT-Risiken beeinflussen. In diesem Kapitel wird aufgezeigt, wie diese Limite als Nebenbedingungen die erwarteten negativen Zahlungswirkungen ȝ und somit auch die Investitionsentscheidungen beeinflussen. Um die Auswirkungen zu analysieren, werden zunächst die erwarteten negativen Zahlungswirkungen ȝ in eine Funktion in Abhängigkeit der Standardabweichung gebracht. Die Stan-
336
Gemäß der Annahme 2a gilt: a,b ]0; 1] und SL,IL [0; 1[. Je näher SL und IL an den Wert 1 approximieren, desto größer sind die erwarteten negativen Zahlungswirkungen ȝ. Aus diesem Grund sind letztere nicht nach oben beschränkt. Aus Illustrationsgründen wurden in der Abbildung 28 lediglich alle SL,ILKombinationen im Wertebereich zwischen [0; 0,99] abgebildet.
Einperiodiges Modell zur wirtschaftlichen Steuerung
111
dardabweichung der erwarteten negativen Zahlungswirkungen ȝ ergibt sich aus der Berücksichtigung von (42), (45), (47) und (49): (65)
ıȝ
ı E(L)
(66)
a Ȝ
a Ȝ (b LGE) ı 2E(L) b LGE 2
Im Folgenden wird ı E(L) als ı bezeichnet. Durch die Substitution von (66) in (40), (44), (46) und (48) können die erwarteten Verluste E(L), die Opportunitätskosten der Eigenkapitalunterlegung OCC, die Investitionen in technische Sicherheitsmaßnahmen ISM sowie die Investitionen in Versicherungspolicen IVers in Abhängigkeit der Standardabweichung ausgedrückt werden:
(67)
E(L)
ı2 b LGE
(68)
OCC
rȖ
(69)
(70)
ISM
I Ins
ı2 b LGE
ı2 § ı2 · a b2 LGE ¨ 2 ¸ © b LGE ¹
ȕ
1
ı2 ı2 § · a b 2 LGE ¨ ¸ a b LGE ¹ ©
į
1
Durch die Substitution von (67), (68), (69) und (70) in (39) berechnen sich die erwarteten negativen Zahlungswirkungen ȝ(ı) gemäß:
(71)
ȝ
ȕ į § ı2 1 §¨ § b 2 LGE · § a b LGE · ·¸ ·¸ ¨1 r Ȗ ¨ ¸ ¨ ¸ ¸ 2 b LGE ¨ a b ¨© © ı 2 ¹ © ı2 ¹ ¹ ¸¹ ©
Die Gleichung (71) beschreibt ȝ(ı) als eine stetige Funktion in Abhängigkeit der Standardabweichung ı. ȝ(ı) bildet den Definitionsbereich ı (0, f) auf den Abbildungsbereich ȝ(ı) (ȝ * , f) eindeutig ab. Abbildung 29 illustriert den Trade-off zwischen den erwarteten
Verlusten E(L) sowie den Opportunitätskosten der Eigenkapitalunterlegung OCC einerseits
112
Wirtschaftliche Steuerung von IT-Risiken
und den Investitionen in technische Sicherheitsmechanismen ISM sowie Versicherungspolicen IVers andererseits. Die erwarteten negativen Zahlungswirkungen ȝ(ı) besitzen genau ein Minimum in ȝ*= ȝ(ı*).
ȝ ı
ȝ E(L)
ȝ* OCC
I
ı* Abbildung 29:
ISM I Vers
ı
Trade-off zwischen E(L) und OCC einerseits und ISM sowie IVers andererseits.
Beispiel 2: Berechnung der optimalen Standardabweichung
Analog zum Beispiel 1 werden folgende Werte angenommen: ȕ = 0,2; į = 0,6; r = 0,1; LGE = 1.000 GE; Ȝ = 0,3, Ȗ = 7,3337, SL* = 0,58 (mit a* = 0,42), IL* = 0,9 (mit b* = 0,1) und ȝ* = 172,78. Durch die Substitution dieser Werte in (71) ergibt sich ein eine optimale Standardabweichung338 i.H.v. ı* = 36,17.
4.2.3.1 Nebenbedingung 1: Berücksichtigung von Eigenkapitallimite Mit dem Setzen von Eigenkapitallimite bestimmt ein Unternehmen die Höhe des Risikos, welches es bereit ist, zu tragen. Im Folgenden wird angenommen, dass ein Unternehmen ein Eigenkapitallimit EKL für das betrachtete Informationssystem festlegt. Dadurch kann die Menge der realisierbaren Lösungen beschränkt werden. Um dies aufzuzeigen, werden zwei Eigenkapitallimite EKLi (i=1,2) betrachtet, welche in Abbildung 30 illustriert sind.
337 338
Vgl. Tabelle 7. Das Minimum der erwarteten negativen Zahlungswirkungen ȝ*= ȝ(a*,b*) ergibt sich aus der Gleichung (50) in Verbindung mit den Gleichungen (57) und (58). Die dazugehörige optimale Standardabweichung lässt sich aus Gleichung (71) in Verbindung mit ȝ* berechnen.
Einperiodiges Modell zur wirtschaftlichen Steuerung
113
EKL1 schneidet die erwarteten negativen Zahlungswirkungen bei einer Standardabweichung i.H.v. ı EKL . Generell beschränkt sich der Lösungsraum auf alle (ȝ, ı)-Kombinationen, welche 1
links von EKL liegen. Beim Vorliegen von EKL1 ist das Unternehmen weiter in der Lage, das Minimum der negativen Zahlungswirkungen (ȝ*, ı*) zu realisieren. Setzt ein Unternehmen hingegen ein Eigenkapitallimit i.H.v. EKL2, so schneidet dieses die erwarteten negativen Zahlungswirkungen bei einer Standardabweichung i.H.v. ı EKL . Das Minimum der negativen 2
Zahlungswirkungen (ȝ*, ı*) liegt außerhalb des Lösungsraums, was impliziert, dass im besten Falle die suboptimale Lösung (ȝ EKL , ı EKL ) realisiert werden kann. 2
2
Ergebnis 2: Liegt das Eigenkapitallimit rechts von der optimalen Lösung (ȝ*, ı*), kann weiterhin die optimale Lösung realisiert werden, et vice versa.
ȝ ı
BL1
EKL1
EKL2
BL2
ȝ EL
ȝ* OCC
I ı BL Abbildung 30:
1
ı EKL
2
ı*
ı EKL
1
ı BL
2
ISM I Vers
ı
Berücksichtigung von Eigenkapital- und Budgetlimiten.
4.2.3.2 Nebenbedingung 2: Berücksichtigung von Budgetlimite für Investitionen In der Praxis wird der Einsatz der auf dem Markt verfügbaren technischen Sicherheitsmechanismen und/oder Versicherungspolicen oftmals durch Budgetlimite BL für Investitionen beschränkt. Die hat zur Folge, dass nicht alle (ȝ, ı)-Kombinationen realisiert werden können, was anhand zweier unterschiedlicher Limite BLi (i=1,2) aufgezeigt werden soll (vgl. Abbildung 30).
114
Wirtschaftliche Steuerung von IT-Risiken
Beim Vorliegen des BL1 stehen genügend Investitionsmittel zur Verfügung, um das Minimum der negativen Zahlungswirkungen (ȝ*, ı*) zu realisieren. Der Lösungsraum beschränkt sich auf alle (ȝ, ı)-Kombinationen, welche rechts von BL1 liegen. Wird das Budgetlimit hingegen i.H.v. BL2 gesetzt, so stehen nicht ausreichend viele Investitionsmittel zur Verfügung, um die optimale Lösung (ȝ*, ı*) zu verwirklichen. Ergebnis 3: Liegt das Budgetlimit für Investitionen links von der optimalen Lösung (ȝ*, ı*), kann weiterhin die optimale Lösung erreicht werden, et vice versa.
4.2.3.3 Gleichzeitiges Vorliegen von Eigenkapital- und Budgetlimite für Investitionen Beim gleichzeitigen Vorliegen von Eigenkapital- sowie Budgetlimite für Investitionen sind drei Fälle zu unterscheiden (vgl. Abbildung 30): 1. Optimale Lösung realisierbar: Angenommen ein Unternehmen setzt ein Eigenkapitallimit i.H.v. EKL1 und ein Budgetlimit für Investitionen i.H.v. BL1. In diesem Fall können alle Lösungen im Bereich zwischen BL1 und EKL1 – und somit auch die optimale Lösung (ȝ*, ı*) – realisiert werden. 2. Nur suboptimale Lösungen realisierbar: Würde hingegen BL1 rechts von der optimalen Lösung (ȝ*, ı*) liegen, so könnte diese nicht mehr realisiert werden, da nicht genügend Investitionsmittel zur Verfügung stehen, um das Risiko auf ı* zu reduzieren. 3. Keine Lösung realisierbar: Sollte ein Unternehmen ein Eigenkapitallimit i.H.v. EKL2 und ein Budgetlimit i.H.v. BL2 festlegen, so kann keine (ȝ, ı)-Kombination realisiert werden. Mit dem vorhandenen Budgetlimit kann das Risiko maximal auf ı BL
2
reduziert werden. Die zur Verfügung stehenden Mittel zur Sicherstellung der Risikotragfähigkeit des Unternehmens reichen jedoch nicht aus, um alle Risiken mit Eigenkapital zu unterlegen. In diesem Fall könnte das Informationssystem nicht weiter betrieben werden.
Einperiodiges Modell zur wirtschaftlichen Steuerung
115
Ergebnis 4: Liegt das Budgetlimit links vom Eigenkapitallimit, können alle dazwischen liegenden (ȝ, ı)-Kombinationen realisiert werden. Sofern die optimale Lösung (ȝ*, ı*) zwischen den beiden Limiten liegt, kann diese erreicht werden. Ist dies nicht der Fall, können nur suboptimale Lösungen realisiert werden. Liegt das Budgetlimit hingegen rechts vom Eigenkapitallimit, kann keine (ȝ, ı)-Kombinationen verwirklicht werden, da die verfügbaren Risikodeckungsmassen in Form der Eigenkapitalausstattung nicht zur Sicherstellung der Risikotragfähigkeit ausreichen.
4.2.4 Limitationen des Modells Dem Modell liegt eine einperiodige Betrachtung zugrunde. Investitionsentscheidungen werden i.d.R. über mehrere Perioden hinweg und unter Berücksichtigung der Zeitpräferenz des Geldes getroffen. Im Modell wird ein einzelnes, offenes Informationssystem betrachtet, von dem ausgegangen wird dass keine Korrelationen zu anderen Informationssystemen bestehen. Korrelationen zu anderen Informationssystemen werden somit nicht berücksichtigt. Die Berücksichtigung solcher Korrelationen kann zu anderen Ergebnissen führen. Aus Vereinfachungsgründen werden konstante Verlustshöhen angenommen. Wird diese Prämisse aufgehoben und wird zusätzlich die Standardabweichung der Verlusthöhen berücksichtigt, hat dies Auswirkungen auf die erwarteten negativen Zahlungswirkungen und somit auch auf Investitionsentscheidungen. Ferner wird angenommen, dass Investitionen in technische Sicherheitsmechanismen sowie Versicherungspolicen im Lösungsraum ı (0, f) abgebildet werden können. Dies ist auf die Eigenschaften der stetigen Funktion ȝ(ı) zurückzuführen. Zum einen dürften in der Realität nur diskrete Handlungsalternativen vorliegen. Zum anderen lässt der unterstellte umgekehrte proportionale Zusammenhang zwischen den Investitionen und der Reduktion der erwarteten Verluste sowie der Opportunitätskosten der Eigenkapitalunterlegung nicht zu, dass zwei Alternativen mit gleichem Sicherheits- bzw. Versicherungslevel und unterschiedlichen Preisen vorliegen. Um dieser Limitation Rechnung zu tragen, wird ein Modell benötigt, welches die Berechnung der ökonomischen Vorteilhaftigkeit von diskreten Handlungsalternativen erlaubt. Im Folgenden wird ein Modell vorgestellt, welches in der Lage ist, Investitionen in einzelne technische Sicherheitsmechanismen, die über mehrere Perioden hinweg andauern, ökonomisch zu bewerten.
116
Wirtschaftliche Steuerung von IT-Risiken
4.3 Mehrperiodiges Modell zur wirtschaftlichen Steuerung Die betriebswirtschaftliche Investitionsrechnung stellt verschiedene Methoden zur Verfügung, um die ökonomische Vorteilhaftigkeit von Investitionen zu ermitteln. Diese Methoden werden zunächst vorgestellt und anhand von definierten Anforderungen eine geeignete Methode ausgewählt. Anschließend wird ein Modell zur Entscheidungsunterstützung über Investitionen in technische Sicherheitsmechanismen vorgestellt. Das Modell bewertet technische Sicherheitsmechanismen zum Schutz gegen zum Zeitpunkt t=0 – aufgrund von identifizierten Angriffsszenarien – bekannte IT-Risiken.339 In t=0 nicht identifizierte Angriffsszenarien und damit verbundene IT-Risiken werden nicht betrachtet. Zunächst werden Annahmen getroffen und anschließend die Vorteilhaftigkeit von technischen Sicherheitsmechanismen zum Zeitpunkt t=0 untersucht. In einem weiteren Schritt wird das Modell um zusätzliche Annahmen – wie im Zeitablauf sinkende Anfangsinvestitionen und zugleich steigende IT-Risiken – erweitert, und die Vorteilhaftigkeit zu allen Zeitpunkten zwischen t=0 und t=T (Betrachtungshorizont) untersucht, um daraus den optimalen Investitionszeitpunkt zu bestimmen. Schließlich werden zusätzlich Risiko- bzw. Budgetlimite betrachtet und deren Auswirkungen untersucht.
4.3.1 Auswahl einer geeigneten Bewertungsmethode 4.3.1.1 Methoden der betriebswirtschaftlichen Investitionsrechnung 4.3.1.1.1 Statische Methoden Statische Methoden zeichnen sich dadurch aus, dass sie unterschiedliche Zeitpunkte der jeweiligen Rechnungsgrößen nicht berücksichtigen und in Folge dessen auf eine Ab- oder Aufzinsung verzichten.340 Für alle Perioden werden Zahlungsströme in gleicher Höhe angenommen, weshalb den Methoden – mit Ausnahme der Amortisationsrechnung – ein einperiodischer Betrachtungshorizont zugrunde liegt. Bei diesen Methoden handelt es sich um einfache Berechnungen, deren zu bestimmenden Werte i.d.R. aus den Informationen des betrieblichen Rechnungswesens ableiten lassen. Im Folgenden werden der Return on Investment341, Return on Security Investment, Amortisationsdauer, Economic Value Added sowie risikoadjustierte Performance-Kennzahlen vorgestellt.342
339
340 341
342
Für zum Entscheidungszeitpunkt t=0 unbekannte Angriffszenarien existieren i.d.R. keine technischen Sicherheitsmechanismen, die bewertet werden könnten (vgl. Schneier (2001), S. 19). Vgl. Thommen und Achleitner (2006), S. 613. Der Return on Investment wird oftmals auch als Rentabilitätsvergleichsrechnung bezeichnet (vgl. Perridon und Steiner (2004), S. 51). Zu den statischen Verfahren zählen weiter die Kosten- und Gewinnvergleichsrechnung (vgl. Schierenbeck (2003), S. 342ff.). Beide Verfahren haben den Nachteil, dass gleich viel Kapital gebunden ist (vgl.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
117
4.3.1.1.1.1 Return on Investment und Return on Security Investment Das Entscheidungskriterium beim Return on Investment (ROI) ist die Periodenrentabilität, welche die Gewinne durch Investitionsobjekte zum Kapitaleinsatz ins Verhältnis setzt:
(72)
ROI
Gewinn vor Zinsen Kapitaleinsatz
Dabei ist zu beachten, dass die Gewinne vor Steuern berechnet werden.343 Werden die kalkulatorischen Zinsen gewinnmindernd verrechnet werden, so entsteht eine Renditeziffer, welche sich schlecht mit der von einem Investor geforderten Mindestverzinsung i.H.d. kalkulatorischen Zinssatzes vergleichen lässt. Hinsichtlich des Kapitaleinsatzes besteht in der Literatur kein Konsens, ob mit dem ursprünglichen oder durchschnittlichen Kapitaleinsatz gerechnet werden soll.344 Wichtig ist, dass bei allen Investitionsobjekten konsistent eine der beiden Möglichkeiten angewandt wird. Unabhängig von der Verwendung einer der beiden Größen für den Kapitaleinsatz ändert sich nichts an der relativen Vorteilhaftigkeit mehrerer Investitionsalternativen. Es ist stets diejenige Investition zu wählen, welche die größte Periodenrentabilität aufweist. Investitionsalternativen, welche eine Rentabilität aufweisen, die kleiner ist als die Mindestverzinsung i.H.d. kalkulatorischen Zinssatzes, sind nicht durchzuführen. Bei Vorliegen mehrerer Investitionsalternativen ist stets diejenige auszuwählen, die den höheren ROI aufweist. Speziell für den IT-Sicherheitsbereich wurde ein modifizierter ROI entwickelt, der als Return on Security Investment (ROSI) bezeichnet wird. Weder in der Theorie noch in der Praxis herrscht jedoch Einigkeit über eine genaue Definition. So zeigen bspw. die Ergebnisse einer von der ISF-Group durchgeführten internationalen Umfrage aller Branchen, dass die befragten Unternehmen unter dem Begriff ROSI unterschiedliche Methoden verstehen, die von einfachen statischen Methoden, wie dem ROI, bis hin zu dynamischen Methoden, wie der Kapitalwertmethode, reichen.345 Nach SONNENREICH drückt der ROSI die Rentabilität eines technischen Schutzmechanismus aus, welcher anhand eines Vergleichs des gesenkten ITRisikos durch die Implementierung eines technischen Schutzmechanismus mit den Kosten für den Mechanismus ermittelt wird:346
343 344
345 346
Kruschwitz (2005), S. 35f.). Der Return on Investment stellt eine verbesserte Form beider Verfahren dar, indem die erzielbaren Gewinne der Investitionsobjekte zu ihrem Kapitalbedarf ins Verhältnis gesetzt werden. Daher wird im weiteren Verlauf dieser Arbeit sowohl auf die Erläuterung der Kosten- als auch der Gewinnvergleichsrechnung verzichtet. Vgl. Kruschwitz (2005), S. 36. Vgl. Kruschwitz (2005), S. 36; Schierenbeck (2003), S. 350; Perridon und Steiner (2004), S. 52; Thommen und Achleitner (2006), S. 621. Vgl. Information Security Forum (2005), S. 17. Vgl. Sonnenreich (2005), S. 1.
118
Wirtschaftliche Steuerung von IT-Risiken
(73)
ROSI
quantifizierte Risiken anteilige Risikoreduktion - Kosten der Maßnahme Kosten der Maßnahme
In Bezug auf die Vorteilhaftigkeit von Investitionen gelten dieselben Aussagen wie beim ROI. Weder der ROI noch der ROSI berücksichtigen zum einen nicht, wie lange das Kapital gebunden bleibt und zum anderen nicht, ob und zu welchen Konditionen die Kapitaldifferenzen alternativ angelegt werden können.347
4.3.1.1.1.2 Amortisationsdauer Eine weitere Methode zur Ermittlung der Vorteilhaftigkeit einer Investitionsmaßnahme ist die Berechnung der Amortisationsdauer, welche auch Kapitalrückfluss-, Pay-off- oder Pay-backMethode genannt wird.348 Dabei wird die Zeitdauer ermittelt, nach der sich die getätigte Investition selbst refinanziert hat, d.h. die zukünftigen Einzahlungen die Auszahlungen übersteigen. Im Gegensatz zum ROI und ROSI arbeitet die Amortisationsdauer nicht mit periodisierten Erfolgsgrößen und der Betrachtungszeitraum beträgt mehr als eine Periode.349 Sie stellt somit eine mehrperiodige statische Methode dar. Bei der Berechnung der Amortisationsdauer unterscheidet man zwischen zwei Methoden: Der Kumulationsmethode und der Durchschnittsmethode.350 Bei der Kumulationsmethode werden mit dem Investitionszeitpunkt t=0 beginnend alle Einzahlungen und Auszahlungen pro Periode schrittweise aufaddiert, bis die kumulierten Einzahlungen den kumulierten Auszahlungen entsprechen. Diese Methode ist insbesondere dann geeignet, wenn – entgegen der Prämisse der statischen Methoden – der Gewinnverlauf unregelmäßig verrechnet wird. 351 Sofern die Rückflüsse der Investition in jeder betrachteten Periode (nahezu) gleich sind, kann die Durchschnittsmethode angewandt werden. Nach dieser berechnet sich die Amortisationsdauer gemäß:352
(74)
347 348 349 350 351 352
Amortisationsdauer
ursprünglicher Kapitaleinsatz durchschnittlicher Rückfluss pro Jahr
Vgl. Thommen und Achleitner (2006), S. 622. Vgl. Perridon und Steiner (2004), S. 53ff. Vgl. Kruschwitz (2005), S. 38. Vgl. Thommen und Achleitner (2006), S. 622ff. Vgl. Schierenbeck (2003), S. 351. Vgl. Kruschwitz (2005), S. 40.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
119
Die Vorteilhaftigkeit von Investitionsmaßnahmen ist gegeben, wenn 1) die vorgegebene Amortisationszeit (Soll-Zeit) größer ist als die effektiv berechnete Amortisationszeit (Ist-Zeit) und 2) beim Vergleich mehrere Investitionsalternativen eine Alternative die geringere Amortisationszeit aufweist als alle anderen. Die Amortisationsdauer weist jedoch den Mangel auf, dass keine Aussage über die Rentabilität einer Investition gemacht werden kann. So gibt die Amortisationsdauer keine Antwort darauf, ob die Mindestverzinsung i.H.d. kalkulatorischen Zinssatzes erreicht wurde oder nicht.353 Zudem besteht bei der Amortisationsdauer die Gefahr einer Unterbewertung für diejenigen Investitionsobjekte, die erst nach der Amortisationsdauer zu einem – im Vergleich der Vorperioden – überproportionale Ertragsentwicklung führen.354 Der Einsatz der Amortisationsdauer zur Bewertung von Investitionsobjekten kann daher die Rentabilitätsrechnung nicht ersetzten, sondern sollte vielmehr ergänzend eingesetzt werden. Durch ihren Einsatz erhält man bspw. eine zusätzliche Grundlage für die Abschätzung des Investitionsrisikos, welches als die Unsicherheit der Rückgewinnung des Kapitaleinsatzes zu verstehen ist.355 Je kürzer die Amortisationsdauer, desto geringer wird das Investitionsrisiko eingeschätzt.
4.3.1.1.1.3 Risikoadjustierte Performance Kennzahlen So genannte risikoadjustierte Performance Kennzahlen (RAPM) bewerten den Erfolg eines Geschäfts im Verhältnis zum damit eingegangenen Risiko. Die allgemeine Formel lautet:356 (75)
RAPM
(risikoadjustierte) Etragsgröße (risikoadjustierte) Kapitalgröße
Aus dieser allgemeinen Formel lassen sich mehrere Kennzahlen ableiten, die sich dahingehend unterscheiden, ob die Risikoanpassung im Zähler (z.B. RAROC357) oder im Nenner (z.B. RORAC358) erfolgt.359 Je größer die RAPM-Kennzahl, desto vorteilhafter ist die Investition. Bei Vorliegen mehrerer Investitionsalternativen ist diejenige, welche den größten Wert aufweist, auszuwählen.
353 354 355 356 357 358 359
Vgl. Thommen und Achleitner (2006), S. 624. Vgl. Kappler und Rehkugler (1991), S. 929. Vgl. Schierenbeck (2003), S. 352. Vgl. Willinsky (2001), S. 154.; Grimmer (2003), S. 55. Return on Risk Adjusted Capital. Risk Adjusted Return on Capital. Vgl. Eisele (2004), S. 224ff.; Vgl. Schierenbeck und Lister (2002), S. 200.; Dresel (2003), S. 187; Schierenbeck (2001b), S. 45; Lister (1997), S. 208ff.
120
Wirtschaftliche Steuerung von IT-Risiken
4.3.1.1.1.4 Economic Value Added Der Economic Value Added (EVA) ist eine weitere Messgröße zur ökonomischen Bewertung in ein Investitionsobjekt. Er stellt einen Residualgewinn dar und ermöglicht die Berechnung des in Geldeinheiten gemessenen Betrages, den eine Unternehmung innerhalb einer Periode nach Abzug aller Kosten erwirtschaftet hat.360 Bei der Berechnung des EVA in seiner Grundform werden drei Wertelemente berücksichtigt: 1) Der buchhalterische betriebliche Gewinn nach Abzug aller Steuern NOPAT (Net Operating Profit After Taxes), 2) das gesamte im betriebliche Geschäft gebundene Vermögen NOA (Net Operating Assets) und 3) der Kapitalkostensatz in Form des WACC (Weighted Average Cost of Capital).361 Aus diesen drei Elementen lässt sich der EVA gemäß der „capital charge“ Formel berechnen als:362 (76)
EVA NOPAT - (NOA WACC)
wobei: EVA = Economic Value Added; NOPAT = Net Operating Profit After Taxes; NOA = Net Operating Assets; WACC = Weighted Average Cost of Capial
Die „capital charge“ Formel bringt zum Ausdruck, dass ein Übergewinn erst dann vorliegt, wenn auch die Finanzierungskosten des betrieblich gebundenen Vermögens erwirtschaftet werden. Der EVA kann alternativ auch mit der so genannten „value spread“ Formel berechnet werden:363 (77)
EVA (ROI - WACC) NOA
wobei: EVA = Economic Value Added; ROI = Return on Investment; WACC = Weighted Average Cost of Capital
Die „value spread“ Formel drückt aus, dass Werte nur dann geschaffen werden, wenn die Differenz zwischen der Vermögensrendite in Form des ROI und des Kapitalkostensatzes in Form des WACC positiv ist. Eine Investition ist immer dann vorteilhaft, wenn der EVA größer Null ist. Bei Vorliegen mehrerer Alternativen ist diejenige mit dem größeren EVA vorzuziehen. Als positive Kritik des EVA-Konzepts ist zu nennen, dass der EVA sowohl als prospektive Bewertung als auch als retrospektive Performancemessung eingesetzt werden kann.364 Aller-
360 361 362 363
364
Vgl. Steiner und Wallmeier (1999), S. 7. Vgl. Hostettler (1997), S. 19 und Langguth und Marks (2003), S. 616. Vgl. Hostettler (1997), S. 19. Vgl. Hostettler (1997), in FN 172, S. 46 sowie S. 54; Langguth und Marks (2003), S. 616 und Ballwieser (2000), S. 163. Vgl. im Folgenden Steiner und Wallmeier (1999), S. 7f.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
121
dings eignet sich der EVA als Erfolgmaß – zumindest aus theoretischer Sicht – nicht uneingeschränkt. So beruht bspw. die Gewinnermittlung auf dem Konzept der Geldkapitalerhaltung mit der Konsequenz einer buchhalterischen Abgrenzung.
4.3.1.1.2 Dynamische Methoden Die dynamischen Methoden zur Investitionsrechnung versuchen einige Schwächen der statischen Methoden zu beseitigen und unterscheiden sich im Wesentlichen in zwei Punkten:365 Zum einen werden im Gegensatz zu den statischen Methoden keine Durchschnittswerte, sondern Zahlungsströme über die Dauer des Investitionsvorhabens herangezogen. Zum anderen wird berücksichtigt, dass Ein- und Auszahlungen zu unterschiedlichen Zeitpunkte anfallen. Durch die Diskontierung der Zahlungsströme wird die Zeitpräferenz des Geldes berücksichtigt. Im Folgenden wird die Kapitalwertmethode, die Methode des internen Zinssatzes sowie die Annuitätenmethode vorgestellt.
4.3.1.1.2.1 Kapitalwertmethode Bei der Kapitalwertmethode wird der Barwert sämtlicher mit einer Investition verbundenen Zahlungsströme mit dem Diskontierungszinssatz i ermittelt. Die Differenz der auf den Investitionszeitpunkt abgezinsten Einzahlungen und Auszahlungen wird als Kapitalwert oder Net Present Value (NPV) bezeichnet und berechnet sich gemäß:366 T
(78)
NPV0
I0 ¦ t 1
Et At LT (1 i) t (1 i)T
wobei: NPV0 = Kapitalwert zum Zeitpunkt t=0; I0 = Anfangsinvestition zum Zeitpunkt t = 0; Et = periodige Einzahlungen; At = periodige Auszahlungen; LT = Liquiditätserlös in Periode T
Bei der Kapitalwertmethode werden die Zahlungsströme einer Investition mit einer Alternativinvestition gemessen, die sich zum Kalkulationszinsfuß verzinst.367 Der Kapitalwert dieser Handlungsalternative nimmt den Wert Null an. Durch die Diskontierung wird die Investition mit einer Alternative, die sich zum Kalkulationszinssatz verzinst, verglichen. Entsprechend ist
365 366
367
Vgl. Thommen und Achleitner (2006), S. 626. Vgl. Perridon und Steiner (2004), S. 61; Thommen und Achleitner (2006), S. 629; Schierenbeck (2003), S. 353f. Vgl. Schneider (1990), S. 80.
122
Wirtschaftliche Steuerung von IT-Risiken
eine Investition immer dann vorteilhaft, wenn der Kapitalwert größer als Null ist, et vice versa. Bei Vorliegen mehrerer Investitionsobjekte ist dasjenige auszuwählen, welches den höchsten Kapitalwert aufweist. Aus der Gleichung (78) geht hervor, dass zwischen dem Kalkulationszinnsatz und dem Kapitalwert eine enge Beziehung steht. Je höher der Kalkulationszinnsatz, desto einen niedrigeren Wert nimmt c.p. der Kapitalwert an. In ihrer Grundform geht die Kapitalwertmethode von einem vollkommenen Kapitalmarkt und flacher Zinskurve aus. Es besteht jedoch die Möglichkeit, eine nicht-flache Zinsstruktur sowie unterschiedliche Soll-und Haben-Zinssätze, wie sie im unvollkommenen Kapitalmarkt vorliegen, zu berücksichtigen.368 Die Kapitalwertmethode bietet ferner die Möglichkeit, einen Break-Even-Zeitpunkt der Investition zu bestimmen. Der Break-Even-Zeitpunkt gibt an, zu welchen Zeitpunkt t die aufkumulierten diskontierten Einzahlungen den aufkumulierten diskontierten Auszahlungen entsprechen und der Kapitalwert Null beträgt. Bei Vorliegen mehrerer Investitionsalternaiven mit gleich hohem Kapitalwert wird ein risikoneutraler Entscheider stets diejenige Alternative mit dem kleinsten Break-Even-Zeitpunkt wählen.
4.3.1.1.2.2 Methode des internen Zinssatzes Eine weitere Methode zur Beurteilung der Vorteilhaftigkeit von Investitionen in technische Sicherheitsmaßnahmen stellt die Methode des internen Zinssatzes dar. Sie basiert auf der Formel der Kapitalwertmethode und gibt an, bei welchem Zinssatz der Kapitalwert Null beträgt.369 Die Berechnung des internen Zinssatzes erfolgt durch Auflösen der Gleichung (79) nach i. Der Zinssatz stellt eine Rentabilitätskennziffer dar und wird auch als interne Verzinsung der Investition bezeichnet.370
T
(79)
NPV0
I0 ¦ t 1
Et At LT (1 i) t (1 i)T
!
0
wobei: NPV0 = Kapitalwert zum Zeitpunkt t=0; I0 = Anfangsinvestition zum Zeitpunkt t = 0; Et = periodige Einzahlungen; At = periodige Auszahlungen; LT = Liquiditätserlös in Periode T
Da es sich hierbei um eine Gleichung T-ten Grades handelt, bereitet die Auflösung der Gleichung nach i – sofern T > 2 – Schwierigkeiten. Hierzu können entweder das Iterationsverfah-
368 369 370
Vgl. Kruschwitz (2005), S. 69ff. Vgl. Kappler und Rehkugler (1991), S. 932. Vgl. Thommen und Achleitner (2006), S. 631.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
123
ren nach Newton371 oder aber eine lineare Interpolation zweier Versuchszinssätze als Näherungsverfahren eingesetzt werden.372 Obwohl die Funktion des Kapitalwerts keine Linearität aufweist, liefert letztere Vorgehensweise Ergebnisse, deren Genauigkeit im Allgemeinen ausreicht. Je kleiner das Interpolationsintervall gewählt wird, desto geringer ist die Differenz aus dem durch lineare Interpolation berechneten Zinssatz und dem tatsächlichen internen Zinssatz.373 Der ermittelte interne Zinssatz reicht allerdings nicht aus, um Aussagen über die Vorteilhaftigkeit einer Investition treffen zu können. Dies erfordert den Vergleich des internen Zinssatzes mit einem Zinssatz, der eine geforderte Mindestverzinsung des gebundenen Kapitals repräsentiert.374 Eine Investition ist genau dann vorteilhaft, wenn der interne Zinsfuß über der geforderten Mindestverzinsung liegt, et vice versa. Bei Vorliegen mehrerer Investitionsalternativen ist diejenige mit dem höheren internen Zinssatz zu wählen. Die Methode des internen Zinssatzes weist jedoch erhebliche Schwächen auf, was zu Beginn der siebziger Jahre zu einer Diskussionen führte, ob diese Methode aus den Lehrbüchern entfernt werden solle.375 Die mathematische Ermittlung des internen Zinssatzes wird durch die Lösung einer Polynomgleichung T-ten Grades erreicht (vgl. Gleichung (79)). Nach dem Fundamentalsatz der Algebra kann jedoch eine derartige Polynomgleichung T Lösungen aufweisen, die entweder reell oder komplex sind.376 Neben der eindeutigen Lösung, d.h. ein reeller interner Zinssatz, kommen jedoch zwei weitere Lösungen in Frage:377 Zum einen kann die Methoden aufgrund der Eigenschaften von Polynomgleichungen mehrere Ergebnisse liefern (Mehrdeutigkeit). Hierbei stellt sich die Frage, wie eine Investition beurteilt werden soll, welche mehrere Renditen gleichzeitig verspricht. Zum anderen kann die Methode das Ergebnis liefern, dass überhaupt kein interner Zinssatz existiert (Nichtexistenz). Auch dieses Ergebnis ist äußerst kritisch zu beurteilen, denn eine Investition muss immer eine Rendite aufweisen, auch wenn diese negativ ausfällt. Sofern keine ausdrücklichen Annahmen über die Wiederanlage von Einzahlungsüberschüssen resp. die Finanzierung von Auszahlungsüberhängen bei den einzelnen Zahlungszeitpunkten gesetzt werden, so liegt der Methode des internen Zinssatzes die Prämisse zugrunde, dass die Einzahlungsüberschüsse zum internen Zinssatz angelegt und Auszahlungsüberhänge durch Kreditaufnahmen mit Konditionen i.H. des internen Zinssatzes finanziert werden.378 Daher kann es vorkommen, dass bei zwei unterschiedlichen Investitionen A und B die Methode des internen Zinssatzes Investition A favorisiert, die Kapitalwertmethode hingegen B. Da die Wiederanlage zum Kalkulationszinsfuß einer Alternativ-
371 372 373 374 375 376 377 378
Vgl. Homburg (2000), S. 401; Vgl. Schierenbeck (2003), S. 359. Vgl. Perridon und Steiner (2004), S. 66. Vgl. Schierenbeck (2003), S. 359. Vgl. Haberstock und Dellmann (1971), zitiert in Kruschwitz (2005), FN 40, S. 107. Vgl. Beutelspacher (1995), S. 159 f.; Fischer (1995), S. 68. Vgl. Kruschwitz (2005), S. 106f.; Franke und Hax (2004), S. 173ff. Vgl. Schneider (1990), S. 87f. und S. 90.
124
Wirtschaftliche Steuerung von IT-Risiken
verzinsung im Gegensatz zur Wiederanlage zum internen Zinsfuß jedoch sehr viel realistischer ist, ist die Kapitalwertmethode vorzuziehen.379
4.3.1.1.2.3 Annuitätenmethode Die Annuitätenmethode stellt eine modifizierte Form der Kapitalwertmethode dar.380 Wohingegen die Kapitalwertmethode den Kapitalwert als Differenz zwischen den über alle Perioden hinweg diskontierten Ein- und Auszahlungen ermittelt, rechnet die Annuitätenmethode diesen Kapitalwert in uniforme, d.h. gleich große, jährliche Zahlungen um.381 Der Kapitalwert einer Investition wird unter Berücksichtigung von Zinseszinsen gleichmäßig über die gesamte Periode verteilt. Die Berechnung der Annuität erfolgt in zwei Schritten:382 Zunächst wird unter Verwendung der Gleichung (78) der Kapitalwert berechnet. Darauf aufbauen wird der Kapitalwert mit so genannten Wiedergewinnungsfaktoren resp. Annuitätenfaktoren, die sich als reziproker Wert der Rentenbarwertfaktoren ergeben, multipliziert. Die Formel für die Annuität einer Investition lautet:
(80)
A
NPV0 RBFTi i
wobei: A = Annuität; NPV0 = Kapitalwert zum Zeitpunkt t=0; RBFT = Rentenbarwertfaktor bei Vorliegen des Zinssatzes i und Zeitpunkt T
Eine Investition ist dann vorteilhaft, wenn die Annuität größer als Null ist. Bei Vorliegen mehrerer Investitionsalternative ist diejenige zu wählen, welche die größte Annuität aufweist.383 Im Vergleich zur Kapitalwertmethode weist die Annuitätenmethode jedoch den Nachteil auf, dass schwankende Zinssätze über den Zeitablauf nicht berücksichtigt werden können.384 Es bleibt einzig die Möglichkeit, mit durchschnittlichen Zinssätzen für den Planungszeitraum zu rechnen.
379 380 381 382 383 384
Vgl. Kruschwitz (2005), S. 109. Vgl. Kappler und Rehkugler (1991), S. 934. Vgl. Wöhe (1996), S. 760. Vgl. Thommen und Achleitner (2006), S. 633. Vgl. Kück (1994), S. 256. Vgl. Schneider (1990), S. 82.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
125
4.3.1.2 Anforderungen an die Methode Zur Bewertung von technischen Sicherheitsmechanismen sollte die eingesetzte Investitionsbewertungsmethode folgenden Anforderungen genügen:385 Abbildung von mehrperiodigen Laufzeiten der Maßnahmen: Technische Sicherheitsmechanismen werden zu einem bestimmten Zeitpunkt implementiert bzw. ergriffen und dann i.d.R. über mehrere Perioden hinweg in der Unternehmung durchgeführt. Die Bewertungsmethode sollte daher die relevanten Bewertungsgrößen über mehrere Perioden abbilden können. Berücksichtigung der Zeitpräferenz: Ein Unternehmen als Investor besitzt eine Zeitpräferenz, die sich durch seine Möglichkeit zur Wiederanlage erklären lässt. So kann ein Unternehmen – im Vergleich zur Investition in einen technischen Sicherheitsmechanismus – in alternative Anlagen investieren. Daher fordert es eine Mindestverzinsung für das für die Implementierung von technischen Schutzmechanismen gebundene Kapital. Berücksichtigung der ökonomischen Eigenkapitalunterlegung für unerwartete Verluste: Wie bereits in Kapital 4.1.1.4 erläutert, entstehen Unternehmen zur Sicherstellung der Risikotragfähigkeit Opportunitätskosten für die Eigenkapitalunterlegung für unerwartete Verluste.386 Die Implementierung von technischen Sicherheitsmechanismen dürfte auch zur Verringerung der unerwarteten Verluste und damit der Opportunitätskosten der ökonomischen Eigenkapitalunterlegung beitragen.
4.3.1.3 Auswahl einer Methode Der Tabelle 21 ist zu entnehmen, dass keine Methode den definierten Anforderungen genügt. Die Abbildung von mehrperiodigen Laufzeiten wird nur von der Amortisationsdauer, der Kapitalwertmethode, der internen Zinssatzmethode sowie der Annuitätenmethode berücksichtigt. Erstere weist jedoch gegenüber den anderen drei Methoden den Nachteil auf, dass die Zeitpräferenz des Geldes nicht berücksichtigt wird. Alle sonstigen Verfahren genügen diesen beiden Anforderungen nicht. Die ökonomische Eigenkapitalunterlegung für unerwartete Verluste wird nur vom Economic Value Added (EVA) sowie den risikoadjustierten Performance Kennzahlen (RAPM) berücksichtigt.
385 386
Vgl. Faisst, Prokein und Wegmann (2007), S. 516ff. Werden die erwarteten Verluste nicht bei der Bepreisung von Produkten bzw. Dienstleistungen berücksichtigt, so muss auch für diese Eigenkapital unterlegt werden.
126
Wirtschaftliche Steuerung von IT-Risiken
ROI
ROSI
Amortisationsdauer
RAPM
EVA
Kapital- Interne wertZinsatzmethode methode
Abbildung von mehrperiodigen Laufzeiten der Maßnahmen
-
-
D
-
-
D
D
Berücksichtigung der Zeitpräferenz
-
-
-
-
-
D
D
Berücksichtigung der ökonomischen Eigenkapitalunterlegung für unerwartete Schäden
-
-
-
D
D
-
-
Tabelle 21:
Annuitätenmethode D D
-
Vergleich der Methoden der Investitionsrechnung gemäß den Anforderungen.
Keine der vorgestellten Methoden entspricht damit allen gestellten Anforderungen. Die Kapitalwertmethode (und damit verbunden die interne Zinssatzmethode und Annuitätenmethode) entspricht jedoch den gestellten Anforderungen bereits in zwei von drei Kriterien. Die Kapitalwertmethode wird daher im folgenden Modell um die Berücksichtigung der ökonomischen Eigenkapitalunterlegung für unerwartete Verluste angepasst. Die mit der Kapitalwertmethode gewonnenen Ergebnisse können auch zur Anwendung der internen Zinssatzmethode sowie der Annuitätenmethode genutzt werden.
4.3.2 Modell Das im Folgenden vorgestellte Modell wird von einem führenden, internationalen Finanzdienstleister zur Entscheidungsunterstützung über die Durchführung von technischen Sicherheitsmaßnahmen eingesetzt und wurde im Rahmen eines gemeinsamen Projekts mit dem IIG Abteilung Telematik an der Universität Freiburg sowie dem Lehrstuhl WI-IF und dem Kernkompetenzzentrum IT&Finanzdienstleistungen an der Universität Augsburg von FAISST, PROKEIN und WEGMANN entwickelt.387
387
Faisst, Prokein und Wegmann (2007): Ein Modell zur dynamischen Investitionsrechnung von ITSicherheitsmaßnahmen. In: Zeitschrift für Betriebswirtschaft, 5/2007, S. 511-538.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
127
4.3.2.1 Annahmen Dem Modell liegen folgende Annahmen 1 bis 4 (in Kursivschrift) zugrunde:
Annahme 1: Technischer Sicherheitsmechanismus zum Schutz von Vermögenswerten Betrachtet wird ein technischer Sicherheitsmechanismen, der zum Schutz von Vermögenswerten (z. B. Fortgang des Geschäftsbetriebs, Markenwert der Unternehmung, etc.) eingesetzt wird. Wechselwirkungen zwischen verschiedenen technischen Schutzmechanismen sowie Vermögenswerten werden vereinfachend nicht berücksichtigt.
Annahme 2: Bewertung der Vorteilhaftigkeit Ausgehend von einem risikoneutralen Entscheider soll die Vorteilhaftigkeit von technischen Sicherheitsmechanismen anhand des Kapitalwerts NPV0 in t=0 bewertet werden. Der Kapitalwert NPV0 setzt sich zusammen:
x
einerseits aus der Anfangsinvestition I0 (mit I0t0) zum Zeitpunkt t=0, zzgl. den zusätzlichen laufenden Auszahlungen für Betrieb und Wartung des technischen Sicherheitsmechanismus Ct (mit Ctt0) zu den Zeitpunkten t=1 bis t=T,388 sowie
x
andererseits aus der – durch die Implementierung des technischen Sicherheitsmechanismus bewirkten – Reduktion der erwarteten Verluste ¨E(Lt) zzgl. der Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste ¨OCCt jeweils zu den Zeitpunkten t=1 bis t=T.389
Vereinfachend sollen die jeweiligen Zahlungen390 der Periode ]t-1;t] für 1 t T (mit t IN über eine Laufzeit von T) nachschüssig zu den Zeitpunkten t=1 bis t=T anfallen.391 Ebenso vereinfachend werde ein konstanter risikoloser Zinssatz icalc (mit icalc t0) zugrunde gelegt.392
388 389
390
391 392
Diese fallen zusätzlich zu Auszahlungen bereits bestehender technischer Schutzmechanismen an. Bewertet werden die – durch den zu bewertenden zusätzlichen technischen Sicherheitsmechanismus bewirkte – Reduktion der erwarteten Verluste sowie die Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste, sofern diese des betrachteten technischen Sicherheitsmechanismus direkt zugeordnet werden können. Die verminderten Auszahlungen in Form von ¨E(Lt) und ¨OCCt werden als Einzahlungen aufgefasst. Als Basis des Modells dienen Zahlungsströme, da diese im Vergleich zu buchhalterischen Größen bewertungsunabhängig und somit als objektive Entscheidungsgrundlage geeignet sind (vgl. Franke und Hax (2004)). Die von t abhängigen Eingangsgrößen können für jeden Zeitpunkt t unterschiedliche Werte annehmen. Bei Annahme einer nicht-flachen Zinsstrukturkurve können die Zahlungsüberschüsse der Laufzeit T zu den Zeitpunkten t=0 bis t=T auf den Zeitpunkt t=0 mit dem risikolosen Zinssatz icalc,p (jeweils für die Perioden p ෛ N mit 1pT zwischen den Zeitpunkten t=p-1 und t=p) diskontiert werden. Der Kapitalwert berechnet sich
128
Wirtschaftliche Steuerung von IT-Risiken
Der Kapitalwert NPV0 ist daher:393 T
(81)
NPV0
I 0 ¦ t 1
ǻE(L t ) ǻOCC t C t (1 i calc ) t
Annahme 3: Erwartete Verluste und deren Reduktion durch die Implementierung eines technischen Sicherheitsmechanismus Annahme 3.1: Erwartete Verluste Die erwarteten Verluste E(Lt) (mit E(Lt) t0) werden durch Multiplikation der erwarteten Verlusthäufigkeit von Ereignissen E(Qt) (mit E(Qt) t0) mit der erwarteten durchschnittlichen Verlusthöhe LGEt (mit LGEt t0) ermittelt. Dabei seien die Verlusthäufigkeit von Ereignissen Qt und deren Höhe voneinander unabhängig. Es gilt für die erwarteten Verluste E(Lt) jeweils zu den Zeitpunkten t=1 bis t=T:
(82)
E(Lt) = E(Qt) . LGEt
Die Implementierung eines technischen Sicherheitsmechanismus führt zu einer Reduktion der erwarteten Verlusthäufigkeit von Ereignissen E(Qt). Vereinfachend wird die Verlusthöhe eines Ereignisses LGEt nach der Implementierung eines technischen Sicherheitsmechanismus jeweils in durchschnittlich erwarteter Höhe angenommen.
Annahme 3.2: Erwartete Verlusthäufigkeit von Ereignissen Die erwartete Verlusthäufigkeit von Ereignissen E(Qt) ergibt sich durch Multiplikation der erwarteten Häufigkeit versuchter Angriffe E(Nt) (mit E(Nt) t0) mit (1-SLt). Die Häufigkeit versuchter Angriffe Nt sei exogen gegeben. SLt bezeichnet den Sicherheitslevel, d.h. den Anteil der versuchten Angriffe, der durch den eingesetzten technischen Sicherheitsmechanismus ab-
T
dann wie folgt: NPV 0
I 0 ¦ t 1
ǻE(L t ) ǻOCC t C t . Von dieser Erweiterung wird zur Vereinfat
1 i
calc , p
p 1
393
chung im Folgenden abgesehen. Da bereits ein Risikoabschlag im Zähler (in Form der Opportunitätskosten der Eigenkapitalunterlegung für unerwartete Verluste) vorgenommen wird, würde ein weiterer Risikozuschlag (bspw. durch den WACC) im Nenner eine unzulässige Vermischung von Risikoabschlags- und Risikozuschlagsmethode bedeuten. Daher wird ein risikoloser Zinssatz angewendet. Es wird davon ausgegangen, dass ein technischer Sicherheitsmechanismus am Ende der Laufzeit nicht veräußert wird. Sollte dies für ein Unternehmen dennoch möglich sein, müssten entsprechend der Gleichung (79) die dadurch erzielbaren Einzahlungen weiter berücksichtigt werden.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
129
gewehrt werden kann (mit 0SLt1).394 Es gilt für die erwartete Verlusthäufigkeit von Ereignissen E(Qt) jeweils zu den Zeitpunkten t=1 bis t=T:
(83)
E(Qt) = E(Nt) . (1 – SLt)
Annahme 3.3: Erwartete durchschnittliche Verlusthöhe eines Ereignisses Die erwartete durchschnittliche Verlusthöhe eines Ereignisses LGEt ergibt sich durch die Multiplikation des im Falle eines Schadensereignisses durchschnittlich betroffenen Vermögenswerts AVt (mit AVt t0) mit dem Faktor (1-ILt). Die Übertragbarkeitsquote ILt (mit 0 ILt 1) zu den Zeitpunkten t=1 bis t=T beschreibt die Übertragung von eingetretenen Verlusten auf Dritte (z.B. aufgrund bestehender Versicherungspolicen, Outsourcing-Verträge, etc.). Es gilt für die erwartete durchschnittliche Verlusthöhe eines Ereignisses LGEt jeweils zu den Zeitpunkten t=1 bis t=T:
(84)
LGEt = AVt . (1 – ILt )
Durch die Implementierung des technischen Sicherheitsmechanismus verbessert sich der Sicherheitslevel, sofern ǻSLt = (SLt - SL0) > 0 gilt (mit SL0 als Sicherheitslevel zum Zeitpunkt t=0 vor Implementierung des technischen Sicherheitsmechanismus und SLt als Sicherheitslevel zu den Zeitpunkten t=1 bis t=T nach Implementierung des technischen Sicherheitsmechanismus). Ist ǻSLt t 0 und sind zugleich die erwarteten versuchten Angriffe E(Nt), die durchschnittlich betroffenen Vermögenswerte AVt sowie die Übertragbarkeitsquote ILt konstant, so gilt für die Reduktion der erwarteten Verluste ǻE(Lt) durch die Implementierung des technischen Sicherheitsmechanismus: (85)
394
ǻE(Lt)t0 mit ǻE(Lt) = ǻSLt . E(Nt) . (1 – ILt) . AVt.
Der Sicherheitslevel beschreibt somit die Leistungsfähigkeit eines technischen Sicherheitsmechanismus. Denkbar wäre, dass Angreifer über den Zeitablauf Möglichkeiten finden, einen bestehenden technischen Sicherheitsmechanismus zu überlisten. Der Sicherheitslevel sinkt ab diesem Zeitpunkt auf ein niedriges Niveau; im Extremfall kann der technische Sicherheitsmechanismus dem Angriff nicht mehr entgegenwirken. In diesem Fall würde der Sicherheitslevel den Wert Null annehmen.
130
Wirtschaftliche Steuerung von IT-Risiken
Annahme 4: Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste: Die Verlusthäufigkeit von Ereignissen Qt unterliege der Poisson-Verteilung.
Da nach Annahme 4 eine poissonverteilte Verlusthäufigkeit von Ereignissen Qt und zugleich nach Annahme 3 die Verlusthöhe eines Schadensereignisses LGEt als Durchschnitt betrachtet wird, ist es möglich, aus den erwarteten Verlusten E(Lt) mit Hilfe eines von E(Qt) abhängigen Gamma-Faktors die zu einem bestimmten Konfidenzniveau bestehenden unerwarteten Verluste zu ermitteln und daraus die notwendige Eigenkapitalunterlegung CCt zu bestimmen (vgl. Kapitel 3.2.1.4):395 (86)
CCt = Ȗt . E(Lt) Ȗt = Gamma-Faktor in Abhängigkeit von E(Qt) zu den Zeitpunkten t=1 bis t=T.
mit
Die Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste betragen: (87) mit
OCCt = CCt . iopp iopp= Opportunitätskostenzinssatz des Eigenkapitals.
Pro Einheit gebundenem Eigenkapital entstehen Opportunitätskosten, die mit dem Opportunitätskostenzinssatz iopp ausgedrückt werden. Dabei gilt i. d. R. iopp > icalc. Durch eine Verbesserung des Sicherheitslevels SLt folgt auch eine Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste ǻOCCt . Die Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste durch die Implementierung eines technischen Sicherheitsmechanismus ǻOCCt beträgt: (88) mit
ǻOCCt = (iopp . Ȗ0 . E(L0)) – (iopp . Ȗt. E(Lt)) = iopp. ( Ȗ0 . E(L0) – Ȗt. E(Lt)) Ȗ0 = Gamma-Faktor zum Zeitpunkt t=0, Ȗt = Gamma-Faktor zu den Zeitpunkten t=1 bis t=T.
Der erste Term der Gleichung (88) entspricht den Opportunitätskosten für unerwartete Verluste vor Implementierung des technischen Sicherheitsmechanismus OCC0, der zweite Term stellt die Opportunitätskosten für unerwartete Verluste OCCt nach Implementierung des technischen Sicherheitsmechanismus zu den Zeitpunkten t=1 bis t=T dar.
395
Bei der Ermittlung der Eigenkapitalunterlegung wird davon ausgegangen, dass erwartete Schäden bereits in der betrachteten Periode budgetiert wurden. Ist dies nicht der Fall, müssen diese ebenfalls mit Eigenkapital unterlegt werden.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
131
4.3.2.2 Bewertung der Vorteilhaftigkeit einer Investition zum Zeitpunkt t=0 Im Folgenden wird die Vorteilhaftigkeit der Implementierung eines (zusätzlichen) technischen Sicherheitsmechanismus zum Zeitpunkt t=0 bewertet. Ergebnis 1: Anhand des Kapitalwerts NPV0 kann die Vorteilhaftigkeit eines technischen Sicherheitsmechanismus beurteilt werden. Bei Vorliegen nur einer Alternative gilt folgende Empfehlung:
x
Für NPV0>0: den technischen Sicherheitsmechanismus implementieren bzw.
x
für NPV00: den technischen Sicherheitsmechanismus nicht implementieren.
Bei Vorliegen mehrerer, sich ausschließender Alternativen soll die Alternative mit dem größten Kapitalwert NPV0 durchgeführt werden, sofern dieser größer null ist. Ergebnis 1 setzt voraus, dass die in den Annahmen vorgestellten Eingangsgrößen zur Bestimmung des Kapitalwerts bekannt und über den Zeitablauf konstant sind. Die Eingangsgrößen dürften unterschiedlich leicht bestimmbar sein, wie sich in der praktischen Umsetzung des Modells zeigte. Während die Anfangsinvestition I0 und die zusätzlichen laufenden Auszahlungen für Betrieb und Wartung des technischen Sicherheitsmechanismus Ct anhand der Projektkalkulation meist einfach zu bestimmen sein dürften, sind die zukünftige Reduktion der erwarteten Verluste ǻE(Lt) und die Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste ǻOCCt auf Basis von, häufig für Simulationen unzureichenden, historischen Daten und Expertenmeinungen zu schätzen. Gerade die Verlusthäufigkeit und -höhe von Ereignissen dürften i. d. R. schwierig bestimmbar sein. Mit der Analyse unterschiedlicher Szenarien können dennoch Aussagen über die Vorteilhaftigkeit des technischen Sicherheitsmechanismus bei Vorliegen bspw. unterschiedlicher erwarteter Verlusthäufigkeiten von versuchten Angriffen pro Jahr E(Nt), unterschiedlicher Sicherheitslevel SLt (und somit auch unterschiedlichen erwarteten Verlusthäufigkeiten erfolgreicher Angriffe pro Jahr E(Qt)) sowie unterschiedlichen durchschnittlich erwarteten Verlusthöhen eines Schadensereignisses LGEt jeweils getroffen werden (vgl. Beispiel 1).396
396
Die in Beispiel 1 aufgeführte Analyse unterschiedlicher Szenarien kann durch die Anwendung verschiedener Verfahren erweitert werden, indem den einzelnen Szenarien gemäß ihrer Bedeutung Wahrscheinlichkeiten zugeordnet werden Brauers und Weber (1986)).
132
Wirtschaftliche Steuerung von IT-Risiken
Beispiel 1: Analyse unterschiedlicher Szenarien bei ungenau vorliegenden Eingangsgrößen
Das Beispiel 1 illustriert, dass auch bei einer ungenau vorliegenden reduzierten Verlusthäufigkeit von Ereignissen ¨E(Qt) sowie einer ungenau vorliegenden durchschnittlichen Verlusthöhen eines Ereignisses LGEt Aussagen über die Vorteilhaftigkeit eines technischen Sicherheitsmechanismus getroffen werden können. Betrachtet werde dazu die Entscheidung über die Einführung von Portsecurity in zugangsgesicherten Räumen. Portsecurity ist eine SicherheitsSoftware, die über die so genannte MAC-Adresse der Netzwerkkarte einen Computer identifiziert und nur dann eine Kommunikation zulässt, wenn die richtige Netzwerkkarte an das Netz angeschlossen ist. Folgende Eingangsgrößen und Parameter sind tendenziell in der Praxis leichter abzuschätzen und werden daher als bekannt angenommen: Laufzeit T=5 Jahre, Übertragbarkeitsquote ILt=0 %, Anfangsinvestition I0 = 800.000 €, Auszahlungen für laufenden Betrieb und Wartung Ct =125.000 €, Opportunitätskostenzinssatz der Eigenkapitalunterlegung iopp=8 % sowie Kalkulationszinssatz icalc=5 %. Erwartete Häufigkeit erfolgreicher Angriffe pro Jahr 0,10 0,01 0,001
Abbildung 31:
Erwartete Häufigkeit versuchter Angriffe pro Jahr 10,00 1,00 0,1
Empfehlung: Sicherheitsmechanismus implementieren Empfehlung: Sicherheitsmechanismus nicht implementieren
NPV0= NPV0= NPV0=
-1.150.030 € NPV0= 570.366 € NPV0= 17.774.321 € -1.319.690 € NPV0= -1.126.236 € NPV0= 808.300 € -1.328.479 € NPV0= -1.214.125 € NPV0= -70.592 € 40.000 € 400.000 € 4.000.000 € Durchschnittliche Verlusthöhe eines Ereignisses
Beispielhafte Analyse unterschiedlicher Szenarien.
Für die nachfolgende Analyse unterschiedlicher Szenarien werde vereinfachend der Sicherheitslevel vor Einführung des Sicherheitsmechanismus auf SL0=90 %397 gesetzt und der Sicherheitslevel nach Einführung des Sicherheitsmechanismus auf SLt = 99 %, wobei auch der Sicherheitslevel prinzipiell variiert werden könnte. Abbildung 31 zeigt, dass die Entscheidungsempfehlung auf Basis des Kapitalwerts für die betrachteten Eingangsgrößen unterschiedlich ausfällt. Die in Beispiel 1 aufgeführten Szenarien können als Ausgangspunkt für weitergehende Analysen dienen. So können einzelne Szenarien zusätzlich mit bekannten Wahrscheinlichkeiten belegt werden, um darauf eine Gesamtentscheidung zu stützen. Wir können Ergebnis 2 festhalten:
397
Z.B. aufgrund zugangsgesicherten Räumen.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
133
Ergebnis 2: Auch wenn die zugrunde liegenden Eingangsgrößen nur ungenau vorliegen, so
können mit der Analyse unterschiedlicher Szenarien dennoch Aussagen über die Vorteilhaftigkeit von technischen Sicherheitsmechanismen getroffen werden. Die zur Berechnung des Kapitalwerts NPV0 notwendigen Eingangsgrößen können zusätzlich auch für weitere Kennzahlen als alternative Entscheidungsgrundlage verwendet werden. So ist es möglich mit Hilfe der Eingangsgrößen auch statische Kennzahlen, wie bspw. den Return on Investment (ROI) oder die Amortisationsdauer sowie den Internen Zinssatz (IRR) – als weitere dynamische Bewertungsmethode neben der Kapitalwertmethode – zu berechnen. Im vorgestellten Modell wurde die Anfangsinvestition bislang nur zum Zeitpunkt t=0 betrachtet. In der Realität ist aber beobachtbar, dass Anfangsinvestition für technische Sicherheitsmechanismen im Zeitablauf sinken können, zugleich aber die bereits zum Zeitpunkt t=0 bekannten erwarteten und unerwarteten Verluste steigen. Im folgenden Abschnitt werden daher entsprechende zusätzliche Annahmen getroffen, um die Vorteilhaftigkeit eines technischen Sicherheitsmechanismus zu unterschiedlichen Zeitpunkten zu untersuchen und so den optimalen Investitionszeitpunkt zu ermitteln.
4.3.2.3 Bewertung der Vorteilhaftigkeit einer Investition zu unterschiedlichen Zeitpunkten und Ermittlung des optimalen Investitionszeitpunkts Im Folgenden soll der Entscheidungsraum erweitert werden und die Möglichkeit bestehen, nicht nur zum Zeitpunkt t=0, sondern jeweils zu jedem Zeitpunkt zwischen t=0 und t=T (d.h. für alle tN0 und 0t
Technische Sicherheitsmechanismen unterliegen oftmals einem kontinuierlichen Preisrückgang. Die im Folgenden formulierte Annahme A5 beruht auf dem Vorliegen von Skaleneffekten. Es wird davon ausgegangen, dass die Höhe der Anfangsinvestition für einen technischen Sicherheitsmechanismus bei Implementierung zu einem späteren Zeitpunkt sinkt. Des Weiteren wird angenommen, dass auch zu späteren Zeitpunkten der zum Zeitpunkt t=0 verfügbare technische Sicherheitsmechanismus ebenso verfügbar ist, jedoch auf Grund des technologischen Fortschritts nur innerhalb des Zeithorizonts T (bis zur Ablösung durch eine neue Technologie) eingesetzt werden kann.
134
Wirtschaftliche Steuerung von IT-Risiken
x
Zugleich steigt, wie oben dargestellt, die Anzahl der Angriffe auf die IT von Unternehmungen. Daher wird eine periodig wachsende Häufigkeit erwarteter versuchter Angriffe E(Nt) im Folgenden abgebildet.
Das Modell wird dazu um die Annahmen A5 und A6 erweitert, die eine dynamische Betrachtung von einer im Zeitablauf sinkenden Anfangsinvestition It und – aufgrund der Steigerung der erwarteten versuchten Angriffe E(Nt) – zugleich steigenden Auszahlungen durch erwartete Verluste E(Lt) sowie durch Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste OCCt ermöglichen. Die Unternehmung sieht sich einem Trade-off gegenüber, welcher durch die Wahl des optimalen Investitionszeitpunkts y* zwischen den Zeitpunkten t=0 bis t=T-1 gelöst werden soll. Im Einzelnen wird zur dynamischen Betrachtung einer im Zeitablauf sinkenden Anfangsinvestition Annahme A2 durch Annahme A5 erweitert.
Annahme 5: Degressionsfaktor der Anfangsinvestition: Die Anfangsinvestition I0 kann nun zu jedem Zeitpunkt t innerhalb eines Gesamtbetrachtungshorizonts zwischen t=0 und t=T-1 geleistet werden. Die Anfangsinvestition wird fortan mit It beschrieben. Im Zeitablauf wird von einer Degression der Höhe der Anfangsinvestition It zum Zeitpunkt t mit einem bekannten Faktor (1-d)t (mit 0d<1) ausgegangen und es gilt: It = I0 . (1-d)t. 398
Zur dynamischen Betrachtung im Zeitablauf steigender Auszahlungen durch erwartete Verluste E(Lt) und durch Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste OCCt werden die Annahmen 3 und 4 durch Annahme 6 erweitert.
Annahme 6: Wachstumsfaktor der erwarteten Häufigkeit versuchter Angriffe: Die erwartete Häufigkeit versuchter Angriffe E(N0) zum Zeitpunkt t=0 wird zum Zeitpunkt t mit dem bekannten Faktor (1+g)t (mit gt0) multipliziert und es gilt: E(N )= (1 + g)t . E(N )399. t
0
Aufgrund von Annahme (A6) betragen die erwarteten Schäden E(Lt) für den Zeitpunkt t:
398
399
Vereinfachend wird d als konstant angenommen. Weiterhin wäre ein dt denkbar, das zu jedem Zeitpunkt t angepasst werden kann. Ebenso vereinfachend wird g als konstant angenommen. Weiterhin wäre ein gt denkbar, das zu jedem Zeitpunkt t angepasst werden kann.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
135
E(Lt) = (1 – SLt) . E(Nt) . (1 – ILt) . AVt (89) = (1 – SLt) . E(N0) . (1 + g)t . (1 – ILt) . AVt. Nach Implementierung zum Zeitpunkt y ermittelt sich die Reduktion der in den kommenden Zeitpunkten t>y nachschüssig anfallenden Auszahlungen durch erwartete Verluste ǻE(Lt) (mit t>y) wie folgt: (90)
ǻE(Lt) = ǻ SLt . (1 + g)t . E(N0) . (1 – ILt) . AVt (mit y
Die Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste ǻOCCt beträgt nach der Implementierung für t>y:400 (91)
ǻOCCt = (iopp . Ȗ0 . E(L0)) – (iopp . Ȗt. E(Lt)) (mit y
Als Zielfunktion ZF dient der Kapitalwert NPV0(y), der nach dem Investitionszeitpunkt y (mit yN0 und 0 y < T) zu maximieren ist: (92)
ZF : max NPV0 ( y) y
Für den Kapitalwert NPV0(y) des technischen Sicherheitsmechanismus in Abhängigkeit zum Investitionszeitpunkt y gilt (93), wie in Abbildung 32 dargestellt: II
I y
NPV0 (y)
¦ t 1
(93)
(E(L t ) OCC t ) (1 i calc ) t
¦
t y 1
( ' E(L t ) ǻOCC t ) (1 i calc ) t
t 0
1
y y+1
I 0 (1 d) y (1 i calc ) y IV
Abbildung 32:
T
T
T
Ct
¦ (1 i
t y 1
calc
)t
III
Berechnung des Kapitalwerts NPV0 in Abhängigkeit zum Investitionszeitpunkt y.
Wie aus Abbildung 32 ersichtlich wird, sinkt die Anfangsinvestition c.p. je später der Investitionszeitpunkt y ist, zugleich steigen jedoch die erwarteten und unerwarteten Verluste (und 400
Bei der Ermittlung der Opportunitätskosten einer Eigenkapitalunterlegung unerwarteter Verluste erweitert sich die Formel zur Berechnung des Gamma-Faktors wie folgt: E(Qt)=E(N0) . (1 + g)t . (1-SLt).
136
Wirtschaftliche Steuerung von IT-Risiken
somit die Opportunitätskosten einer Eigenkapitalunterlegung unerwarteter Verluste). Dies bedeutet auch, dass nach Implementierung des technischen Sicherheitsmechanismus ǻE(Lt) und ǻOCCt mit t höher werden, allerdings aufgrund der Begrenzung des Betrachtungshorizonts T der Kapitalwert aller ǻE(Lt) und ǻOCCt geringer ausfällt. Ergebnis 3: Anhand des in (93) angegebenen Kapitalwerts eines technischen
Sicherheitsmechanismus
NPV0(y)
kann
die
ökonomische
Vorteilhaftigkeit
eines
technischen Sicherheitsmechanismus zu unterschiedlichen Investitionszeitpunkten y (mit yN0 und 0y
Für NPV0(y*)>0: Investition zum Zeitpunkt y*,
x
für NPV0(y*)0: Keine Investition.
Die Vorteilhaftigkeit eines technischen Sicherheitsmechanismus kann sich im Zeitablauf ändern. So können Investitionen, die in t=0 nicht vorteilhaft sind, ggf. zu einem späteren Zeitpunkt vorteilhaft sein. Bereits zum Zeitpunkt t=0 vorteilhafte Maßnahmen können ggf. zu einem späteren Zeitpunkt mit einem noch höheren NPV0 durchgeführt werden.
Beispiel 2: Ermittlung des optimalen Investitionszeitpunkts
Wie in Beispiel 1, wird die Entscheidung zum Zeitpunkt t=0 über die Einführung von Portsecurity in zugangsgesicherten Räumen zu den Zeitpunkten t (mit 0t
0
1
2
3
4
NPV0
-317.249 €
-76.541 €
50.665 €
53.575 €
-103.695 €
Tabelle 22:
Kapitalwerte bei unterschiedlichen Investitionszeitpunkten y
Der optimale Investitionszeitpunkt ist y*=3, da der Kapitalwert bei dieser Alternative am höchsten ist. Anhand der Analyse unterschiedlicher Wachstumsfaktoren g kann aufgezeigt
401
Eine stetige Darstellung der Zielfunktion nach y kann nicht erfolgen, da der tabellierte Gamma-Faktor zur Bestimmung der unerwarteten Schäden zwangsläufig zu Sprungstellen in (93) führt. Die Zielfunktion (93) ist daher nicht stetig differenzierbar. Das Optimum der Zielfunktion nach dem Investitionszeitpunkt y kann jedoch durch Enumeration bestimmt werden. Ein solches enumeratives Vorgehen scheint aufgrund der i.d.R. geringen Anzahl von betrachteten möglichen Investitionszeitpunkten durchaus praktikabel.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
137
werden, dass bei anderen Eingangswerten es ggf. zu einer anderen Entscheidungsempfehlung kommen kann. Die Auswirkungen unterschiedlich hoch angenommener Wachstumsraten auf die Vorteilhaftigkeit von technischen Sicherheitsmechanismen und den optimalen Investitionszeitpunkt stellt Tabelle 23 dar: y
0
1
2
3
4
NPV0 mit g=75 %
-317.249 €
-76.541 €
50.665 €
53.575 €
-103.695 €
NPV0 mit g=156 %
3.711.778 €
3.921.629 €
3.922.173 €
3.530.557 €
2.268.537 €
NPV0 mit g=168 %
4.820.955 €
5.026.235 €
5.003.966 €
4.526.947 €
2.980.693 €
Tabelle 23:
Kapitalwerte bei unterschiedlichen Wachstumsfaktoren g
Bei höheren Wachstumsraten wird der optimale Investitionszeitpunkt y* tendenziell früher erreicht. Die Wachstumsraten verdeutlichen, dass auch bei geringen erwarteten versuchten Angriffen zum Zeitpunkt t=0 E(N0) durch den in der Praxis beobachtbaren exponentiellen Anstieg eine Investition in einen technischen Sicherheitsmechanismus zu einem späteren Zeitpunkt vorteilhaft sein kann. Im anschließenden Kapitel werden zusätzlich Risiko- bzw. Budgetlimite berücksichtigt.
4.3.2.4 Zusätzliche Berücksichtigung von Risiko- bzw. Budgetlimiten Sollen zusätzlich Risiko- bzw. Budgetlimite auf den optimalen Investitionszeitpunkt betrachtet werden, so muss die Zielfunktion (21) unter Berücksichtigung der folgenden Nebenbedingungen maximiert werden: x
Risikolimit: Begrenztes Eigenkapital CCLimit zur Deckung unerwarteter Verluste als Nebenbedingung NB1:
(94) mit
NB 1: CCLimit – CCt 0 CCLimit = vorgegebenes Limit einer Eigenkapitalunterlegung für unerwartete Verluste.
Das Risikolimit CCLimit drückt die Knappheit des Eigenkapitals aus, das nur begrenzt für eine Unterlegung von unerwarteten Verlusten zur Verfügung steht. x
Budgetlimit: Begrenztes Budget ILimit für Anfangsinvestition als Nebenbedingung NB2:
138
Wirtschaftliche Steuerung von IT-Risiken
NB 2:ILimit – [I0 . (1-d)y ] 0
(95) mit
ILimit = vorgegebenes Budgetlimit für die Anfangsinvestition.
Die beiden Nebenbedingungen NB 1 und NB 2 wirken entgegengesetzt, d. h. während die Anfangsinvestition im Zeitablauf sinkt und somit der Erfüllung der Nebenbedingung näher rückt, steigen die erwarteten und unerwarteten Verluste an und nähern sich dem Risikolimit an. Sind die Nebenbedingungen NB 1 und NB 2 gleichzeitig verletzt, liegt ein Dilemma vor. Es kann auf Grund des Budgetlimits nach NB 2 nicht investiert werden, obwohl das Risikolimit nach NB 1 bereits überschritten wurde. Als Ausweg bleibt in dieser Situation, eines der beiden Limite zu erweitern. Ansonsten müsste das betroffene System deaktiviert werden, um das Risikolimit einzuhalten, dies hätte ggf. jedoch auch einen zusätzlichen Geschäftsverlust für die Unternehmung zur Folge, der bei einer solchen Entscheidung zusätzlich noch zu berücksichtigen wäre. Muss aufgrund des Risikolimits zu einem Zeitpunkt y’< y* investiert werden, so entgeht dem Entscheider folgender Kapitalwert:402
NPV0
y* E(L ) OCC y* Ct t t ¦ ¦ t t y'1 (1 i calc ) t y'1 (1 i calc ) t
(96)
y' y* º ª y * ( 'E ( L ) 'OCC ) I 0 «(1 d ) (1 d ) » ¼ ¬ t t ¦ t y * (1 i calc ) (1 i calc ) t y'1
Dem Nachteil einer nicht weiter sinkenden Anfangsinvestition steht bei Investition zum Zeitpunkt y’
402
Bei Investition zu einem Zeitpunkt y’>y* aufgrund eines Budgetlimits kann der Kapitalwert analog ermittelt werden.
Mehrperiodiges Modell zur wirtschaftlichen Steuerung
139
Ergebnis 4: Bei Vorliegen von Risiko- bzw. Budgetlimiten als Nebenbedingungen NB1 bzw. NB2 kann der optimale Investitionszeitpunkt nur realisiert werden, wenn durch diesen keine der beiden Nebenbedingungen verletzt wird. So muss bei Erreichen des Risikolimits nach NB1 die Investition in den technischen Sicherheitsmechanismus zu einem suboptimalen früheren Zeitpunkt erfolgen, während ein Budgetlimit nach NB2 zu einem suboptimalen späteren Zeitpunkt führen kann. Ein Risikolimit als Nebenbedingung kann dazu führen, dass auch nicht vorteilhafte Investitionen mit einem Kapitalwert NPV0(y‘)<0 durchgeführt werden müssen.403
Beispiel 3 Auswirkungen von Eigenkapitallimiten auf den optimalen Investitionszeitpunkt:
Betrachtet wird die Entscheidung zum Zeitpunkt t=0 über die Einführung von Portsecurity in zugangsgesicherten Räumen zum Zeitpunkt t t 0 . Der Wachstumsfaktor beträgt g=200 %, das Risikolimit CCLimit = 600.000 €. Alle anderen Inputparameter entsprechen denen der Ausgangssituation in Beispiel 2. y
0
1
2
3
4
CCt
582.200 €
658.392 €
731.016 €
1.011.096 €
1.390.608 €
Tabelle 24:
Eigenkapitalunterlegung für unerwartete Schäden CCt bei Investition in y
Wie in Tabelle 24 illustriert, muss in t=0 investiert werden, da nach Ablauf eines Jahres CC1 > CCLimit wäre. Somit kann die optimale Lösung y*=1 nicht realisiert werden und es wird zum suboptimalen früheren Zeitpunkt y’=0 investiert. Dem Entscheider entgeht somit ein Kapitalwert NPV0=193.090 €. Vor dem Hintergrund des Ergebnisses 4 erscheint es nahe liegend, bei geringfügigem Abweichen der vom Management vorgegebenen Risiko- und Budgetlimiten diese aus Perspektive der Gesamtunternehmung kritisch zu hinterfragen und ggf. anzupassen.
403
Anders als bei Risikolimiten werden bei Vorliegen von Budgetlimiten jedoch keine nicht vorteilhaften Investitionen mit einem Kapitalwert NPV0(y‘)<0 empfohlen.
140
Wirtschaftliche Steuerung von IT-Risiken
4.3.2.5 Limitationen des Modells Das Modell besitzt folgende Limitationen, die zugleich weiterführende Forschungsfragen aufwerfen: x
Die Überführung der erwarteten Verluste in unerwartete Verluste anhand des GammaFaktors für die poissonverteilte Häufigkeit von Schadensereignissen ist lediglich eine Approximation. Die Höhe der unerwarteten Verluste und damit der Eigenkapitalunterlegung wird auf Grund der Annahme durchschnittlicher Verlusthöhe von Ereignissen unterschätzt. Die gleichzeitige Modellierung der Verteilung von Verlusthäufigkeit und -höhe würde die Anwendung von Simulationsverfahren erforderlich machen. Eine Anwendung von Simulationsverfahren dürfte jedoch in der Regel aufgrund einer – für Simulationsverfahren – nicht ausreichenden Anzahl von historischen Daten zur Einzelprojektbewertung nicht umsetzbar sein. Durch die gewählte Vorgehensweise wird die Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste unterschätzt und somit auch die Vorteilhaftigkeit des Projekts.
x
Die Abbildung wechselseitiger Beziehungen zwischen unterschiedlichen technischen Schutzmechanismen bzw. unterschiedlichen Vermögenswerten wirft weitere Forschungsfragen auf. Die Modellierung komplexer stochastischer Abhängigkeiten von Vermögenswerten und Maßnahmenbündeln kann bspw. mit Hilfe von CopulaFunktionen erreicht werden.
x
Budgetlimite für Betrieb und Wartung wurden im Modell vernachlässigt. Eine Betrachtung derartiger Limite kann weitere Auswirkungen auf den Lösungsraum und somit die mögliche Implementierbarkeit von technischen Sicherheitsmechanismen besitzen.
Zusammenfassung
141
5 Zusammenfassung Die hohe Abhängigkeit der Geschäftstätigkeiten von der IT sowie die nahezu exponentielle Zunahme von Schwachstellen und gemeldeten Zwischenfällen erfordern einen bewussten Umgang mit IT-Risiken. Wie in Kapitel 2 gezeigt wurde, bilden IT-Risiken eine Teilmenge der operationellen Risiken und sind definiert als die Gefahr der Realisierung von Verlusten, die infolge der Verletzung eines oder mehrerer Schutzziele des Konzepts der Mehrseitigen Sicherheit aufgrund von durchgeführten Angriffen unter Ausnutzung einer Schwachstelle eintreten können. Für das Management der IT-Risiken wurde in dieser Arbeit eine Vorgehensweise anhand der drei Schritte Identifikation, Quantifizierung und Steuerung verfolgt. Die expost Analyse der eingetretenen Verluste sowie die Evaluation der in den vorangegangenen Schritten getroffenen Annahmen und Entscheidungen erfolgt im Rahmen der Risikokontrolle, die den IT-Risikomanagementprozess komplettiert, jedoch nicht Untersuchungsgegenstand dieser Arbeit war. Gegenstand des Kapitel 3 war die Kategorisierung, Erläuterung und Diskussion von Methoden zur Identifikation und Quantifizierung von IT-Risiken. In Kapitel 3.1 wurden Methoden zur Identifikation von Schwachstellen und unternehmensrelevanten Bedrohungen den Kategorien Kollektionsmethoden, Kreativitätstechniken sowie analytische Suchmethoden zugeordnet, erläutert und schließlich anhand der Kriterien „Potential zur vollständigen Identifikation“, „Identifikation Existenz bedrohender Risiken“ sowie „Aufwand“ mittels einer Nutzwertanalyse bewertet. Diese Analyse liefert das Ergebnis, dass die den analytischen Suchmethoden zuzuordnende Angriffsbäume, FMEA, HAZOP und Fragenkataloge die Kriterien am besten erfüllen. Die in Kapitel 3.2 erläuterten Methoden zur Quantifizierung von IT-Risiken wurden gemäß ihrer Eigenschaften in Indikatoransätzen, Szenarioanalysen, stochastische Methoden und der Kausalmethode Bayes-Netze unterteilt. Zur Bewertung der einzelnen Methoden wurde eine Nutzwertanalyse anhand der Kriterien „Risikosensitivität“, „Unterteilung der Gesamtverluste in erwartete und unerwartete Verluste“, „Anforderungen an das Datenmaterial“, „Berücksichtigung qualitativer und quantitativer Faktoren“ und „Aufwand“ durchgeführt. Es konnte gezeigt werden, dass der interne Bemessungssatz die Kriterien am besten erfüllt. Das Hauptziel der vorliegenden Arbeit bestand in der Entwicklung eines Modells, welches Unternehmen bei Bewertung von Investitionen in technische Sicherheitsmechanismen und somit bei der Realisierung einer wirtschaftlichen Steuerung unterstützen soll. Zur Erreichung
142
Zusammenfassung
dieses Ziels wurden in Kapitel 4.1 zunächst mögliche Maßnahmen zur Risikosteuerung vorgestellt. Es konnte gezeigt werden, dass technischen Schutzmechanismen zur Risikoreduktion aus zweifacher Hinsicht eine Schlüsselrolle zukommt. Zum einen setzen technische Sicherheitsmechanismen direkt an den identifizierten Schwachstellen von IT-Systemen an. Allerdings kann kein vollständiger Schutz erreicht werden, da für bestimmte Schwachstellen keine technischen Sicherheitsmechanismen zur Verfügung stehen und die technischen Sicherheitsmechanismen oftmals selbst überwunden werden können. Zum anderen sind technische Sicherheitsmechanismen häufig Voraussetzung für das Angebot von Versicherungen und beeinflussen die Höhe der Prämienzahlungen. Ferner konnte gezeigt werden, dass Risikovorsorge stets betrieben werden muss, denn nach dem Risikotragfähigkeitskalkül dürfen nur so viele Risiken eingegangen werden, wie Eigenkapital zur Verfügung steht. Den Unternehmen entstehen dadurch Opportunitätskosten, da diese Mittel für keine weiteren (risikobehafteten) Geschäfte zur Verfügung stehen. Werden die erwarteten Verluste als Standardrisikokosten im Rahmen der Mindestmargenkalkulation berücksichtigt, muss nur für die unerwarteten Verluste Eigenkapital unterlegt werden. Zur Illustration der Auswirkungen von technischen Sicherheitsmechanismen und Versicherungen auf den Risikostatus eines Unternehmens wurde in Kapitel 4.2 ein einperiodiges und stetiges Modell entwickelt, das den Trade-off zwischen Investitionen in technische Sicherheitsmechanismen und Versicherungspolicen einerseits und der Reduktion der erwarteten Verluste sowie der Opportunitätskosten der Eigenkapitalunterlegung für unerwartete Verluste andererseits optimiert. Zur Erfassung der Reduktion der Verluste wurde der Sicherheits- und Versicherungslevel eingeführt und der interne Bemessungsansatz modifiziert. Es konnte gezeigt werden, dass bei Erfüllung der Annahmen genau eine effiziente Lösung existiert und sich aus dieser die optimalen Investitionssummen in technische Sicherheitsmechanismen und Versicherungspolicen bestimmen lassen. Ferner wurde aufgezeigt, dass bei Vorliegen von Budget- und Risikolimite nicht immer die effiziente Lösung erreicht werden kann. Das Modell weist insbesondere zwei Schwächen auf: Zum einen wird ein stetiger positiver Zusammenhangs zwischen der Höhe der Investitionen und der Höhe des Sicherheits- bzw. Versicherungslevel unterstellt. Somit lässt das Modell nicht zu, dass auf dem Markt zwei Alternativen zu gleich hohen Preisen und unterschiedlichen Sicherheits- bzw. Versicherungslevel angeboten werden. Zum anderen werden Investitionen i.d.R. über mehrere Jahre hinweg getätigt, weshalb eine einperiodige Betrachtung für eine wirtschaftliche Bewertung nicht ausreicht. Um diesen Limitationen Rechnung zu tragen, wurde in Kapitel 4.3 ein mehrperiodiges Modell zur wirtschaftlichen Bewertung einzelner technischer Schutzmechanismen zu unterschiedlichen Zeitpunkten entwickelt. Die zur Verfügung stehenden statischen und dynamischen Methoden der betriebswirtschaftlichen Investitionsrechnung wurden zunächst vorgestellt und Anforderungen an die Methode definiert. Die Kapitalwertmethode wurde als geeignete Methode identifiziert. Die Bewertung der wirtschaftlichen Vorteilhaftigkeit einer Investition auf Basis
Zusammenfassung
143
der Kapitalwertmethode erfolgte unter Berücksichtigung der Reduktion der erwarteten Verluste und der Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste einerseits sowie der Anfangsinvestition und den laufenden Auszahlungen für Betrieb und Wartung andererseits. Die Reduktion der erwarteten und unerwarteten Verluste wurde auf Basis des um den Sicherheitslevel modifizierten internen Bemessungsansatzes berechnet. Im Modell wird eine Reihe von Parametern als bekannt vorausgesetzt bzw. ist bei dessen Anwendung anhand historischer Daten oder Experteninterviews abzuschätzen. Erfahrungen beim praktischen Einsatz des Modells belegen, dass insbesondere die Verlusthäufigkeit und -höhe von – durch technische Sicherheitsmaßnahmen zukünftig verhinderten – Verlustereignissen i.d.R. nur sehr ungenau angegeben werden können. Es konnte gezeigt werden, dass mit der Analyse unterschiedlicher Szenarien trotz ungenauer Eingabewerte für die reduzierte Verlusthäufigkeit und -höhe dennoch Aussagen über die Vorteilhaftigkeit von technische Sicherheitsmaßnahmen getroffen und damit Entscheidungen über deren Durchführung unterstützt werden können. In der Realität sind oftmals wachsende erwartete und unerwartete Verluste sowie sinkende Anfangsinvestitionen für technische Sicherheitsmaßnahmen zu beobachten. Aus diesem Grund wurde das Modell dahingehend erweitert, dass die Vorteilhaftigkeit von technischen Sicherheitsmaßnahmen im Zeitablauf bewertet und der optimale Investitionszeitpunkt bestimmt werden kann. Dabei kann es je nach Eingangsgrößen vorteilhaft sein, eine Investition zu verschieben, sofern der Kapitalwert NPV0 einer Investition in eine technische Sicherheitsmaßnahme in der Zukunft höher ist als zum Zeitpunkt t=0. Zusätzlich wurden im Modell Risiko- bzw. Budgetlimite als Nebenbedingungen berücksichtigt und deren Auswirkungen analysiert. Es konnte gezeigt werden, dass die Berücksichtigung von Risikolimiten bei einer im Zeitablauf steigenden Anzahl von Angriffen potentiell zu einem früheren Investitionszeitpunkt führen, während Budgetlimite als Nebenbedingung die Realisierung von Maßnahmen potentiell verzögern und ggf. sogar verhindern können. Das entwickelte Modell zur dynamischen Investitionsrechnung in technische Sicherheitsmaßnahmen kann von Unternehmen als Entscheidungsunterstützungsinstrument für eine wirtschaftliche Steuerung von IT-Risiken eingesetzt werden. Das Modell besitzt dennoch Limitationen, die zugleich weiterführende Forschungsfragen aufwerfen. Die Überführung der erwarteten Verluste in unerwartete Verluste anhand des Gamma-Faktors für die poissonverteilte Häufigkeit von Schadensereignissen ist lediglich eine Approximation. Die Höhe der unerwarteten Verluste und damit der Eigenkapitalunterlegung wird auf Grund der Annahme durchschnittlicher Verlusthöhe von Ereignissen unterschätzt. Dies impliziert, dass die Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Verluste unterschätzt wird und somit auch die Vorteilhaftigkeit des Projekts. Eine gleichzeitige Modellierung der Verteilung von Verlusthäufigkeit und -höhe kann bspw. durch die Anwendung der Monte-Carlo-Simulation erfolgen. Dabei ist zu überprüfen, wie die Integration des Sicherheitslevels in theoretische Verteilungen erfolgen kann.
144
Zusammenfassung
Die Abbildung wechselseitiger Beziehungen zwischen unterschiedlichen technischen Sicherheitsmaßnahmen bzw. unterschiedlichen Vermögenswerten wirft weitere Forschungsfragen auf. Die Modellierung komplexer stochastischer Abhängigkeiten von Vermögenswerten und Maßnahmenbündeln kann bspw. mit Hilfe von Copula-Funktionen erreicht werden. Budgetlimite für Betrieb und Wartung wurden im Modell vernachlässigt. Eine Betrachtung derartiger Limite kann weitere Auswirkungen auf den Lösungsraum und somit die mögliche Implementierbarkeit von technischen Sicherheitsmaßnahmen besitzen. Die Aussagefähigkeit des Modells hängt entscheidend von den zugrunde liegenden Daten ab. Bisher existiert keine systematische Vorgehensweise zur Ermittlung der Verluste aus einzelnen Angriffen, deren Gesamtheit die Basis für die Verlusthäufigkeiten und Verlusthöhen bilden. Eine derartige Erfassung erfordert die Berücksichtigung der im Referenzmodell illustrierten Zusammenhänge zwischen Bedrohungen, Schwachstellen, technischen Schutzmechanismen, IT-Anwendungen und Geschäftsprozessen. Zu überprüfen ist einerseits, welche Faktoren auf welcher Ebene die Schadenshöhe beeinflussen und andererseits, mit welchen Methoden die Ursache-Wirkungs-Relationen erfasst werden können. Schließlich besteht weiterer Forschungsbedarf in der empirischen Untersuchung und Überprüfung der Modellergebnisse.
Literaturverzeichnis
145
6 Literaturverzeichnis Accorsi, R. (2006): On the Relationship of Privacy and Secure Remote Loggin in Dynamic Systems. In: Fischer-Hüber, S. / Rannenberg, K. / Yngström, L. / Lindskog, S.: Security and Privacy in Dynamic Environments. Springer: New York, S. 329-339, 2006. Acerbi, C. / Tasche, D. (2002): On a coherence of expected shortfall. In: Journal of Banking & Finance, 26 (7), S. 1487-1503, 2002. Adusei-Poku, K. (2005): Operational Risk Management - Implementing a Bayesian Network for Foreign Exchange and Money Market Settlement. Genehmigte Dissertation der Universität Göttingen. URL: http://webdoc.sub.gwdg.de/diss/2005/aduseipoku/adusei-poku.pdf, abgerufen am 01.11.2006. Albrecht, P. / Schradin, H. R. (1998): Alternativer Risikotransfer: Verbriefung von Versicherungsrisiken. In: Zeitschrift für die gesamte Versicherungswissenschaft, Heft 4, S. 573-610, 1998. Alexander, C. (2003a): Managing Operational Risks with Bayesian Networks. In: Alexander, C.: Operational Risk; Regulation, Analysis and Management. Prentice Hall: London et al., S. 285-295, 2003. Alexander, C. (2003b): Statistical Models of Operational Loss. In: Alexander, C.: Operational Risk: Regulation, Analysis and Management. Prentice Hall: London et al., S. 129-170, 2003. Alexander, C. (2005): Assessment of Operational Risk Capital. In: Frenkel, M. / Hommel, U./ Rudolf, M.: Risk Management: Challenge and Opportunity. Springer: Berlin, Heidelberg, New York, S. 279-301, 2005. Artzner, P. / Delbean, F. / Eber, J. M. / Heath, D. (1999): Coherent Measures of Risk. In: Math.Finance, 9 (3), S. 203-228, 1999. Bain, C. / Faatz, D. B. / Amgad, F. / Douglas, W. (2001): Diversity as a defense strategy in information systems. Does evidence from previous events support such an approach? In: IFIP Converence Proceedings, Vol. 211. URL: http://www.mitre.org/work/ tech_papers/tech_papers_01/bain_diversity/bain_diversity.pdf, abgerufen am 16.02.2007. Balkema, A. A. / de Haan, L. (1974): Residual Life Time at Great Age. In: The Annals of Probability, 2 (5), S. 792-804, 1974. Ballwieser, W. (2000): Wertorientierte Unternehmensführung: Grundlagen. In: Zeitschrift für betriebswirtschaftliche Forschung, 52 (3), S. 160-166, 2000.
146
Literaturverzeichnis
Barker, C. (2002): Ghosts in the Machine: The who, why, and how of attacks on information security. URL: http://www.secure101.net/downloads/crime/hacking/ghosts_in_the_ machine.pdf, abgerufen am 02.12.2006. Basel Committee on Banking Supervision (2001a): Consultative Document Operational Risk Supporting Document to the New Basel Capital Accord. URL: http://www.bis.org/ publ/bcbsca07.pdf, abgerufen am 25.03.2006 Basel Committee on Banking Supervision (2001b): Working Paper on the Regulatory Treatment of Operational Risk. URL: http://www.bis.org/publ/bcbs_wp8.pdf, abgerufen am 05.04. 2004. Basel Committee on Banking Supervision (2003): Sound Practices for the Management and Supervision of Operational Risk. URL: http://www.bis.org/publ/bcbs96.pdf, abgerufen am 14.12.2006. Basler Ausschuss für Bankenaufsicht (2004): Internationale Konvergenz der Eigenkapitalmessung und der Eigenkapitalanforderungen. URL: http://www.bis.org/publ/ bcbs107ger.pdf, abgerufen am 25.07.2006. Baum, H.-G. / Coenenberg, A. G. / Günther, T. (2004): Strategisches Controlling. SchäfferPoeschel: Stuttgart, 2004. Beek, H. / Kaiser, T. (2000): Quantifizierung von Operational Risk mit Value-at-Risk. In: Johannig, L. / Rudolph, B.: Handbuch Risikomanagement - Band 1: Risikomanagement für Markt-, Kredit- und operative Risiken. Uhlenbruch: Bad Soden, S. 633-653, 2000. Berghel, H. (2006): Phishing Mongers and Posers. In: Communications of the ACM, 49 (4), S. 21-25, 2006. Berliner, B. / Bühlmann, N. (1986): Subjective Determination of Limits of Insurability on the Grounds of Strategic Planning. In: Geneva Papers on Risk and Insurance, 11 (39), S. 94-109, 1986. Beutelspacher, A. (1995): Lineare Algebra. Vieweg & Sohn: Braunschweig, Wiesbaden, 1995. Blunden, T. (2003): Scorecard Approaches. In: Alexander, C.: Operational Risk: Regulation, Analysis and Management. Prentice Hall: London et al., S. 229-240, 2003. Böhme, R. (2005): IT-Risiken im Schadenversicherungsmodell: Implikationen der Marktstruktur. In: Federrath, H.: Sicherheit 2005: Sicherheit - Schutz und Zuverlässigkeit, Beiträge der 2. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI). Köllen: Bonn, S. 27-40, 2005. Boos, K.-H. / Schulte-Mattler, H. (2001): Basel II: Methoden zur Quantifizierung operationeller Risiken. In: Die Bank, Heft 8, S. 549-553, 2001. Borkovec, M. / Klüppelberg, C. (2000): Extremwerttheorie für Finanzzeitreihen - ein unverzichtbares Werkzeug im Risikomanagement. In: Johannig, L. / Rudolph, B.: Handbuch Risikomanagement - Band 1: "Risikomanagement für Markt-, Kredit- und operative Risiken". Uhlenbruch: Bad Soden/Ts., S. 219-244, 2000.
Literaturverzeichnis
147
Bortz, J. (1999): Statistik für Sozialwissenschaftler. Springer: Berlin, Heidelberg, New York, 1999. Brauers, J. / Weber, M. (1986): Szenarioanalyse als Hilfsmittel der strategischen Planung: Methodenvergleich und Darstellung einer neuen Methode. In: Zeitschrift für Betriebswirtschaft, 56 (7), S. 631-652, 1986. Brink, G. J. v. d. (2002): Die Bedeutung operativer Risiken für Eigenkapitalunterlegung und Risikomanagement. In: Tietmeyer, H. / Rolfes, B.: Basel II - Das neue Aufsichtsrecht und seine Folgen. Gabler: Wiesbaden, S. 103-122, 2002. Brink, G. J. v. d. (2006): Szenarioanalyse in 15 Schritten. In: Risikomanager - Oprisk, Heft 2, S. 19-21, 2006. Brink, G. J. v. d. / Romeike, F. (2005): Corporate Governance und Risikomanagement im Finanzdienstleistungsbereich. Schäffer-Poeschel: Stuttgart, 2005. Brown, W. / Nasuti, F. (2005): Sarbanes-Oxley and Enterprise Security: IT Governance What It Takes to Get the Job Done. In: Security Management Practices, November/Dezember, S. 15-28, 2005. Brühwiler, B. / Stahlmann, B. H. / Gottschling, H. D. (1999): Innovative Risikofinanzierung: Neue Wege im Risk Management. Gabler: Wiesbaden, 1999. Bryce, R. (2001): "Insurer Considers Microsoft NT High-Risk: NT-based clients having more downtime due to hacking". Interactive Week, 28. Mai, 2001. Auch online verfügbar unter URL: http://membrane.com/security/secure/Microsoft_Insurance.html, abgerufen am 14.05.2006. Bundesamt für Sicherheit in der Informationstechnik (2005a): Die Lage der IT-Sicherheit in Deutschland. URL: http://www.bsi.de/literat/lagebericht/lagebericht2005.pdf, abgerufen am 27.02.2007. Bundesamt für Sicherheit in der Informationstechnik (2005b): IT-Grundschutz-Kataloge. URL: http://www.bsi.bund.de/gshb/, abgerufen am 24.01.2006. Bundesamt für Sicherheit in der Informationstechnik (1999): Fragenkatalog F2 Organisation Revision Stufe 3. URL: http://www.bsi.de/gshb/deutsch/hilfmi/archiv/24_org3.pdf, abgerufen am 26.3.2007. CERT/CC (2006): CERT Statistics. URL: http://www.cert.org/stats/, abgerufen am 05.02.2007. Ceske, R. / Hernandez, J. V. / Sanches, L. M. (2000): Quantifying Event Risk: The Next Convergence. In: The Journal of Risk Finance, 1 (3), S. 9-23, 2000. Chan, S. / Lepeak, S. (2004): IT and Sarbanes-Oxley. In: CMA Management, 78 (4), S. 33-36, 2004. Chavez-Demoulin, V./ Embrechts, P. (2004): Advanced extremal models for operational risk. URL: http://www.math.ethz.ch/%7Ebaltes/ftp/opriskevt.pdf, abgerufen am 06.09.2006.
148
Literaturverzeichnis
Chavez-Demoulin, V. / Embrechts, P. / Neslehová, J. (2006): Quantitative models for operational risk: Extremes, dependence and aggragation. In: Journal of Banking & Finance, 30 (10), S. 2635-2658, 2006. Cross, T. (2006): Academic Freedom and the Hacker Ethic. In: Communications of the ACM, 49 (6), S. 37-40, 2006. Cruz, M. G. (2003): Modeling, Measuring and Hedging Operational Risk. John Wiley & Sons: Chichester, 2003. DaimlerChrysler (2006): Geschäftsbericht 2006. URL: http://www.daimlerchrysler.com/ Projects/c2c/channel/documents/1003904_DCX_2006_Geschaeftsbericht.pdf, abgerufen am 04.05.2007. Damianides, M. (2005): Sarbanes-Oxley and IT Governance: New Guidance on IT Control and Compliance. In: Information Systems Management, Winter, S. 77-85, 2005. Das, S. (2006): Risk Management: The Swaps & Financial Derivatives Libary. John Wiley & Sons: Singapore, 2006. Deistler, D. / Ehrlich, S. / Heidorn, T. (1999): Cat-Bonds: Möglichkeiten der Verbriefung von Katastrophenrisiken. In: Zeitschrift für das gesamt Kreditwesen, Oktober, S. 11191122, 1999. Deutsche Bank (2006): Jahresbericht 2006. URL: http://geschaeftsbericht.deutsche-bank.de/ 2006/gb/serviceseiten/downloads/files/dbfy2006_gesamt.pdf, abgerufen am 04.05.2007. Deutsche Gesellschaft für Qualität e.V. (2004): FMEA - Fehlermöglichkeits- und Einflussanalyse. Beuth: Berlin, Wien, Zürich, 2004. Dewor, E. / Wefers, M. (2002): Wie das KonTraG einen Beitrag zur Unternehmenssteuerung leisten kann. In: Versicherungswirtschaft, Heft 4, S. 242-246, 2002. Diffie, W. / Hellman, M. E. (1976): New Directions in Cryptography. In: IEEE Transactions on Information Theory, 22 (6), S. 644-654, 1976. Dresel, T. (2003): Allokation von Risikokapital in Banken. Uhlenbruch: Bad Soden/Ts., 2003. E.ON
(2006): Geschäftsbericht 2006. URL: http://www.eon.com/de/downloads/ GB_D_komplett_geschuetzt_2006.pdf, abgerufen am 04.05.2007.
Ebnöther, S. / Vanini, P. / McNeil, A. / Antonilez-Fehr, P. (2003): Operational Risk: A Practitioners View. In: The Journal of Risk, 5 (3), S. 1-18, 2003. Eckert, C. (2003): IT-Sicherheit: Konzepte - Verfahren - Protokolle. Oldenbourg: München, Wien, 2003. Eickstädt, J. (2001): Alternative Risikotransferinstrumente und ihr Beitrag zur Lösung aktueller Probleme der Industrieversicherung. Gerling: München, 2001. Eisele, B. (2004): Value-at-Risk-basiertes Risikomanagement in Banken. Deutscher Universitätsverlag: Wiesbaden, 2004.
Literaturverzeichnis
149
Embrechts, P. (2000): Extreme Value Theory: Potential and Limitations as an Integrated Risk Management Tool. In: Derivatives Use, Trading & Regulation, 6 (1), S. 449-456, 2000. Embrechts, P. / Furrer, H. / Kaufmann, R. (2004): Quantifying regulatory capital for operational risk. In: Derivatives Use, Trading & Regulation, 9 (3), S. 217-233, 2004. Embrechts, P. / Klüppelberg, C. / Mikosch, T. (1997): Modelling Extremal Events. Springer: Berlin et al., 1997. Emmer, S. / Klüppelberg, C. / Trüstedt, M. (1998): VaR - ein Maß für das extreme Risiko. URL: http://www-m4.ma.tum.de/m4/Papers/Klueppelberg/var.ps.gz, abgerufen am 19.03.2007. European Commission (2000): ART Market Study Final Report. URL: http://europa.eu.int, abgerufen am 26.06.2002. Faisst, U. (2003): Ein Modell zur Steuerung operationeller Risiken in IT-unterstützten Bankprozessen. URL: http://www.wiwi.uni-augsburg.de/bwl/buhl/dyn/root_ kernkompetenzzentrum/40Publikationen/pdf/wi-138.pdf?rnd=9491, abgerufen am 08.03.2004. Faisst, U. / Buhl, H.-U. (2005): Integrated Enterprise Balancing mit integrierten Ertrags- und Risikodatenbanken. In: Wirtschaftsinformatik, 47 (6), S. 403-412, 2005. Faisst, U. / Huther, A. / Schneider, K. (2002): Management operationeller Risiken: Status, Systemanforderungen und Perspektiven. In: Kredit & Rating Praxis, Heft 3, S. 26-28, 2002. Faisst, U. / Kovacs, M. (2003): Quantifizierung operationelle Risiken - Ein Methodenvergleich. In: Die Bank, Heft 5, S. 342-349, 2003. Auch online verfügbar unter URL: http://www.wiwi.uni-augsburg.de/bwl/buhl/dyn/root_wissenschaft/030Publikationen/ pdf/wi-123.pdf?rnd=20859, abgerufen am 23. 2. 2006. Faisst, U. / Prokein, O. / Wegmann, N. (2007): Ein Modell zur dynamischen Investitionsrechnung von IT-Sicherheitsmaßnahmen. In: Zeitschrift für Betriebswirtschaft, 77 (5), S. 511-538, 2007. Faisst, U. / Prokein, O. (2005): An Optimization Model for the Management of Security Risks in Banking Companies. In: Müller, G. / Lin, K.-J.: Proceedings of the 7th International IEEE Conference on E-Commerce Technology 2005, München, 19.-22. Juli 2005, S. 266-273: 2005. Faisst, U. / Prokein, O. (2007): Management of security risks - a controlling model for banking companies. Erscheint in: Schlottmann, F. / Seese, D. / Weinhardt, C.: Handbook on Information Technology in Finance. Springer: Berlin, 2007. Fama, E. F. (1991): Efficient Capital Markets: II. In: Journal of Finance, 46 (5), S. 15751617, 1991. Faupel, T. / Sackmann, S. (2005): Der Einsatz mobiler Informations- und Kommunikationstechnologie in deutschen Unternehmen. Institut für Informatik und Gesellschaft, Telematik, Universität Freiburg, 2005.
150
Literaturverzeichnis
Fischer, G. (1995): Lineare Algebra. Vieweg & Sohn: Braunschweig, Wiesbaden, 1995. Fontnouvelle, P. d. / DeJesus-Rueff, V. / Jordan, J. / Rosengren, E. (2003): Using Loss Data to Quantify Operational Risk. URL: http://www.bis.org/bcbs/events/wkshop0303/ p04deforose.pdf, abgerufen am 25.08.2005. Franke, G. / Hax, H. (2004): Finanzwirtschaft des Unternehmens und Kapitalmarkt. Springer: Berlin, Heidelberg, New York, 2004. Füser, K. / Gleißner, W. / Meier, G. (1999): Risikomanagement (KonTraG) - Erfahrungen aus der Praxis. In: Der Betrieb, 52 (15), S. 753-758, 1999. Gerd tom Markotten, D. (2003): Benutzbare Sicherheit in informationstechnischen Systemen. Rhombos: Berlin, 2003. Giudici, P. (2004): Integration of Qualitative and Quantitative Operational Risk Data: A Bayesian Approach. In: Cruz, M.: Operational Risk Modelling and Analysis: Theory and Practice. Risk Books: London, S. 131-138, 2004. Glaum, M. / Thomaschewski, D. / Weber, S. (2006): "Auswirkungen des Sarbanes-Oxley Acts auf deutsche Unternehmen: Kosten, Nutzen, Folgen für US-Börsennotierungen". Studien des Deutschen Aktieninstituts, Heft 33, 2006. Gordon, L. A. / Loeb, M. P. (2006): Budgeting process for information security expenditures. In: Communications of the ACM, 49 (1), S. 121-125, 2006. Gordon, L. A. / Loeb, M. P. / Lucyshyn, W. / Richardson, R. (2006): CSI/FBI Computer Crime and Security Survey. URL: http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2006.pdf, abgerufen am 08.01.2006. Gordon, L. A. / Loeb, M. P. / Sohail, T. (2003): A Framework for Using Insurance for CyberRisk Management. In: Communications of the ACM, 46 (3), S. 81-85, 2003. Gramlich, D. / Gramlich, S. (2002): Darstellung und Würdigung Operationeller Risiken im Kontext von Basel II. In: Eller, R. / Gruber, W. / Reif, M.: Handbuch Operationelle Risiken - Aufsichtsrechtliche Anforderunge, Quantifizierung und Management, Praxisbeispiele. Schäffer-Poeschel: Stuttgart, S. 65-94, 2002. Grimmer, J. U. (2003): Gesamtbanksteuerung - Theoretische und empirische Analyse des Status Quo in der Bundesrepublik Deutschland, Österreich und der Schweiz. URL: http://deposit.ddb.de/cgi-bin/dokserv?idn=968929494&dok_var=d1&dok_ext= pdf&filename=968929494.pdf, abgerufen am 12.02.2007. Grüter, M. D. (2006): Management des operationellen Risikos in Banken. Fritz Knapp: Franfurt am Main, 2006. Grzebiela, T. (2001): Versicherbarkeit von Risiken des E-Commerce. In: Buhl, H.-U. / Huther, A. / Reitwiesner, B.: Information Age Economy. Konferenzband 5. Internationale Tagung Wirtschaftsinformatik 2001. Physica-Verlag: Heidelberg, S. 409-423, 2001. Grzebiela, T. (2002a): Insurability of Electronic Commerce Risks. In: Proceedings of the 35th Hawaii International Conference on System Sciences. URL: http://ieeexplore.ieee.org/
Literaturverzeichnis
151
iel5/7798/21442/00994177.pdf?tp=&isnumber=&arnumber=994177, abgerufen am 27.10.2005. Grzebiela, T. (2002b): Internet-Risiken: Versicherbarkeit und Alternativer Risikotransfer. Deutscher Universitätsverlag: Wiesbaden, 2002. Gutzwiller, C. R. (1999): IT-Risikomanagement und IT-Audit. In: Schweizer Treuhänder, Heft 12, S. 1191-1198, 1999. Haberstock, L. / Dellmann, K. (1971): Kapitalwert und Interner Zinsfuß als Kriterien zur Beurteilung der Vorteilhaftigkeit von Investitionsprojekten. In: Kostenrechnungs-Praxis, S. 195-206, 1971. Harley, D. / Slade, R. / Gattiker, U. E. (2002): Das Anti-Viren-Buch. Mitp: Bonn, 2002. Hase, M. (1998): Alternativen des Risikotransfers via Securitization. In: Versicherungswirtschaft, Heft 5, S. 291-293, 1998. Haubenstock, M. / Hardin, L. (2003): The Loss Distrubution Approach. In: Alexander, C.: Operational Risk: Regulation, Analysis and Management. Prentice Hall: London et al., S. 171-190, 2003. Hechenblaikner, A. (2006): Operational Risk in Banken - Eine methodenkritische Analyse der Messung von IT-Risiken. Deutscher Universitätsverlag: Wiesbaden, 2006. Hermann, J. (1999): KonTraG: Keimzelle für ein ertragsorientiertes Risikomanagement? In: Versicherungswirtschaft, Heft 15, S. 1069-1073, 1999. Hoffman, D. G. (2002): Managing Operational Risk. John Wiley & Sons: New York et al., 2002. Hölscher, R. (2002): Von der Versicherung zur integrativen Risikobewältigung: Die Konzeption eines modernen Risikomanagements. In: Hölscher, R. / Elfgen, R.: Herausforderung Risikomanagement - Identifikation, Bewertung und Steuerung industrieller Risiken. Gabler: Wiesbaden, S. 3-32, 2002. Hölscher, R. (2006): Aufbau und Instrumente eines integrativen Risikomanagements: Rechtliche Rahmenbedingungen und geschäftspolitische Konzeption in Banken, Versicherungen und Industrie. In: Schierenbeck, H.: Risk Controlling in der Praxis. SchäfferPoeschel: Stuttgart, S. 341-400, 2006. Hölscher, R. / Kalhöfer, C. / Bonn, R. (2005): Die Bewertung operationeller Risiken in Kreditinstituten. In: FINANZ BETRIEB, Heft 7-8, S. 490-504, 2005. Homburg, C. (2000): Quantitative Betriebswirtschaftslehre. Gabler: Wiesbaden, 2000. Hostettler, S. (1997): Das Konzept des Economic Value Added (EVA): Maßstab für finanzielle Performance und Bewertungsinstrument im Zeichen des Shareholder Value - Darstellung und Anwendung auf Schweizer Aktiengesellschaften. Paul Haupt: Bern, Stuttgart, Wien, 1997. Information Security Forum (2005): Making the most of ROSI. London, 2005.
152
Literaturverzeichnis
Jans, V. (2003): Erfahrungen mit Control & Risk Self Assessment. In: Der Schweizer Treuhänder, Heft 1-2, S. 27-32, 2003. Jensen, F. V. (2001): Bayesian networks and decision graphs. Springer: New York, 2001. Jorion, P. (2000): Value At Risk. The New Benchmark for Managing Financial Risk: The Benchmark for Controlling Market Risk. McGraw-Hill: New York, 2000. Jovic, D. / Piaz, J.-M. (2001): Operational Risk Management als kritischer Erfolgsfaktor für Banken. In: Schweizer Treuhänder, Heft 10, S. 923-929, 2001. Kaarst-Brown, L. / Kelly, S. (2005): IT Governance and Sarbanes-Oxley: The latest sales pitch or real challenges for the IT Function? In: Proceedings of the 38th Hawaii International Conference on System Sciences, 2005. Kaplan, R. S. / Norton, D. P. (1992): The Balanced Scorecard: Measures That Drive Performance. In: Harvard Business Review, 70 (4), S. 172-180, 1992. Kaplan, R. S. / Norton, D. P. (1996): Using Balanced Scorecard as a Strategic Management System. In: Harvard Business Review, 74 (1), S. 75-85, 1996. Kaplan, R. S. / Norton, D. P. (1997): Balanced Scorecard: Strategien erfolgreich umsetzen. Schäffer-Poeschel: Stuttgart, 1997. Kappler, E. / Rehkugler, H. (1991): Kapitalwirtschaft. In: Heinen, E.: Industriebetriebslehre: Entscheidung im Industriebetrieb. Gabler: Wiesbaden, S. 897-1068, 1991. Karten, W. (1972): Zum Problem der Versicherbarkeit und zur Risikopolitik des Versicherungsnehmers - betriebswirtschaftliche Aspekte. In: Zeitschrift für die gesamte Versicherungswirtschaft, S. 279-299, 1972. King, J. L. (2001): Operational Risk - Measuring and Modelling. John Wiley & Sons: Chichester, 2001. Kletz, T. (1997): Hazop - past and future. In: Reliability Engineering and Systems Safety, 55 (3), S. 263-266, 1997. Knolmayer, G./ Wermelinger, T. (2006): Der Sarbanes-Oxley Act und seine Auswirkungen auf die Gestaltung von Informationssystemen. Institut für Wirtschaftsinformatik der Universität Bern, Arbeitsbericht Nr. 179. URL: http://www.ie.iwi.unibe.ch/ publikationen/berichte/resource/WP-179.pdf, abgerufen am 10.10.2006. Koch, K.-R. (2000): Einführung in die Bayes-Statistik. Springer: Berlin, Heidelberg, New York, 2000. Költzsch, T. (2002): Geschlossene Public-Key-Infrastruktur-Lösungen. Josef Eul: Lohmar, 2002. Kremers, M. (2002): Risikoübernahme in Industrieunternehmen. Wissenschaft & Praxis: Sternenfels, Berlin, 2002. Kruschwitz, L. (2005): Investitionsrechnung. Oldenbourg: München, Wien, 2005.
Literaturverzeichnis
153
Kück, M. (1994): Allgemeine Betriebswirtschaftslehre. Nomos: Baden-Baden, 1994. Kuhl, K. / Nickel, J.-P. (1999): Risikomanagement im Unternehmen - Stellt das KonTraG neue Anforderungen an Unternehmen? In: Der Betrieb, Heft 3, S. 133-135, 1999. Langguth, H. / Marks, I. (2003): Der Economic Value Added - ein Praxisbeispiel. In: FINANZ BETRIEB, Heft 10, S. 615-624, 2003. Lee, B. H. (2001): Using Bayes Belief Networks In Industrial FMEA Modeling And Analysis. In: Proceedings Annual Reliability and Maintainability Symposium (IEEE). URL: http://ieeexplore.ieee.org/iel5/7229/19492/00902434.pdf, abgerufen am 07.03.2007. Leidinger, B. J. G. (2002): Risikoidentifikation und Maßnahmensteuerung im Rahmen des operativen Risikomanagements. In: Hölscher, R. / Elfgen, R.: Herausforderung Risikomanagement: Identifikation, Bewertung und Steuerung industrieller Risiken. Gabler: Wiesbaden, S. 239-254, 2002. Lim, G. / Kriele, M. (2006): Mit Szenarioanalysen das operationelle Risikokapital bestimmen. In: Versicherungswirtschaft, Heft 1, S. 36-39, 2006. Lister, M. (1997): Risikoadjustierte Ergebnismessung und Risikokapitalallokation. Fritz Knapp: Frankfurt am Main, 1997. Lucius, R.-R. (1979): Die Grenzen der Versicherbarkeit. Haag und Herchen: Frankfurt am Main, 1979. Luening, E. (2001): Windows users pay for hacker insurance. URL: http://news.com.com/ Windows+users+pay+for+hacker+insurance/2100-1001_3-258392.html, abgerufen am 21.02.2007. Markowitz, H. M. (1952): Portfolio Selection. In: Journal of Finance, 7 (1), S. 77-91, 1952. McDermott, R. E. / Mikulak, R. J. / Beauregard, M. R. (1996): The Basics of FMEA. Productivity Press: New York, 1996. McHugh, J. A. M. / Deek, F. P. (2005): An Incentive System for Reducing Malware. In: Communications of the ACM, 48 (6), S. 94-99, 2005. McNeil, A. (1999): Extreme Value Theory for Risk Managers. URL: http://www.math. ethz.ch/~mcneil/ftp/cad.pdf, abgerufen am 19. 3. 2007. Minz, K.-A. (2004): Operationelle Risiken in Kreditinstituten. Bankakademie-Verlag: Frankfurt, 2004. Mißler-Behr, M. (1993): Methoden der Szenarioanalyse. Deutscher Universitätsverlag: Wiesbaden, 1993. Mitnick, K. D. / Simon, W. L. (2002): The Art of Deception. Wiley Publishing: Indianapolis, 2002. Müller, E. (1997): Securitization – Quo Vadis? In: Zeitschrift für Versicherungswesen, Heft 21, S. 597-603, 1997.
154
Literaturverzeichnis
Müller, G. / Lowis, L. / Prokein, O. (2006): "Security and Privacy Risks in Emerging IT." Report in Cooperation with ENISA. URL: http://www.enisa.europa.eu/rmra/files/ er_files/rm_security_and_privacy_risks_in_future_it.pdf, abgerufen am 21.01.2007. Müller, G. / Eymann, T. / Kreutzer, M. (2003): Telematik- und Kommunikationssysteme in der vernetzten Wirtschaft. Oldenbourg: München, 2003. Müller, G. / Rannenberg, K. (1999): Multilateral Security in Communications, Vol. 3: Technology, Infrastructure, Economy. Addison-Wesley-Longman: New York, 1999. Müller, G. / Sackmann, S. / Prokein, O. (2007): IT-Security: New Requirements, Regulations and Approaches. Erscheint in: Schlottmann, F. / Seese, D. / Weinhardt, C.: Handbook on Information Technology in Finance. Springer: Berlin, 2007. Müller-Reichhart, M. (1994): Empirische und theoretische Fundierung eines innovativen Risikoberatungskonzepts der Versicherungswirtschaft. Versicherungswirtschaft: Karlsruhe, 1994. Münchbach, D. (2001): Management der operationellen Risiken des Private Banking. Paul Haupt: Bern, Stuttgart, Wien, 2001. Neil, M. / Fenton, N. / Tailor, M. (2005): Using Bayesian Networks to Model Expected and Unexpected Operational Losses. In: Risk Analysis, 25 (4), S. 963-972, 2005. Oehler, A. / Unser, M. (2002): Finanzwirtschaftliches Risikomanagement. Springer: Berlin, Heidelberg, New York, 2002. Österreichische Nationalbank (2005): Guidlines on Operational Risk Management. URL: http://www.oenb.at/de/img/operational_risk_screen_tcm14-49652.pdf, abgerufen am 17.01.2007. Patterson, S. F. (1997): Alternativer Risikotransfer – immer mehr Realität. In: Zeitschrift für Versicherungswesen, Heft 21, S. 606-609, 1997. Peccia, A. (2003): Using operational risk models to manage operational risk. In: Alexander, C.: Operational Risk: Regulation, Analysis and Management. Prentice Hall: London et al., S. 262-284, 2003. Perridon, L. / Steiner, M. (2004): Finanzwirtschaft der Unternehmung. Vahlen: München, 2004. Peter, A. / Vogt, H.-J. / Kraß, V. (2000): Management operationeller Risiken bei Finanzdienstleister. In: Johannig, L. / Rudolph, B.: Handbuch Risikomanagement - Band 1: Risikomanagement für Markt-, Kredit- und operative Risiken. Uhlenbruch: Bad Soden, S. 655-677, 2000. Petry, M./ Bohlender, C./ Kruse, L./ Kunzelmann, N. (2006): Quantifizierung operationeller Risiken. URL: http://www.risknet.de/typo3conf/ext/bx_elibrary/elibrarydownload. php?&downloaddata=226, abgerufen am 27.01.2007. Pézier, J. (2003): A constructive review of the Basel proposals on operational risk. In: Alexander, C.: Operational Risk - Regulation, Analysis and Management. Prentice Hall: London et al., S. 49-73, 2003.
Literaturverzeichnis
155
Pfeifer, T. (1996): Qualitätsmanagement: Strategien, Methoden, Techniken. Carl Hanser: München, Wien, 1996. Pfitzmann, A. (1993): Technischer Datenschutz in öffentlichen Funknetzen. In: Datenschutz und Datensicherung, 17 (8), S. 451-463, 1993. Piaz, J.-M. (2002): Operational Risk Management bei Banken. Versus: Zürich, 2002. Pickands III, J. (1975): Statistical Inference using Extrem Order Statistics. In: The Annals of Statistics, 3 (1), S. 199-131, 1975. Prokein, O. / Faupel, T. / Gille, D. (2007): Web Services as an enabler for Virtual Organisations? In: Barnes, S. / Hunt, B.: E-Commerce and V-Business: Digital Enterprise in the Twenty-First Century. Butterworth-Heinemann: Oxford, 2nd Edition, S. 245-270, 2007. Prokein, O. / Sackmann, S. (2006): Status quo und Hürden der Personalisierung in deutschen Handelsunternehmen. In: Lehner, F. / Nösekabel, H. / Kleinschmidt, P.: Mulitkonferenz Wirtschaftsinformatik 2006, Tagungsband 1. GITO-Verlag: Berlin, S. 273-283, 2006. Prokein, O. / Faupel, T. (2006): Using Web Services for Intercompany Cooperation - An Empirical Study within the German Industry. In: Proceedings of the 39th Hawaii International Conference on System Science, 2006. URL: http://portal.acm.org/ ft_gateway.cfmid=1109831&type=external&coll=GUIDE&dl=GUIDE&CFID=28108 063&CFTOKEN=21447221, abgerufen am 03.08.2006. Prokein, O. / Grzebiela, T. (2006): Ein holistischer IT-Risikomanagementansatz für Unternehmen. In: Zeitschrift für Versicherungswesen, Heft 10, S. 323-326, 2006. Prokein, O. / Sackmann, S. (2005): Der Einsatz von Web Services in deutschen Unternehmen - Eine empirische Untersuchung. Institut für Informatik und Gesellschaft, Telematik, Universität Freiburg2005. Raab, P. / Siegl, M. (2007): Nutzung von Kundendaten zur Minimierung des Forderungsausfallrisikos im Distanzhandel. In: Wirtschaftsinformatik, 49 (1), S. 34-41, 2007. Rachlin, C. (1998): Operational Risk in Retail Banking - Promoting and Embedding Risk Awareness Across Diverse Banking Groups. In: Andersen, A.: Operational Risk in Financial Institutions. Risk Books: London, S. 113-127, 1998. Radcliff, D. (2001): Calculating E-Risk. URL: http://www.computerworld.com/securitytopics/ security/privacy/story/0,10801,57529,00.html, abgerufen am 20.02.2007. Rannenberg, K. (1998): Zertifizierung Mehrseitiger Sicherheit. Vieweg: Braunschweig, Wiesbaden, 1998. Rannenberg, K. (2000): Electronic Commerce und Mehrseitige Sicherheit: Baustellen, Fortschritte und Perspektiven. In: Informatik Forschung und Entwicklung (IFE), Heft 15, S. 193-206, 2000.
156
Literaturverzeichnis
Rannenberg, K. / Pfitzmann, A. / Müller, G. (1999): IT Security and Mulitlateral Security. In: Müller, G. / Rannenberg, K.: Mulitlateral Security in Communications - Technology, Infrastructure, Economy. Addison-Wesley: München et al., S. 21-29, 1999. Rannenberg, K. / Pfitzmann, A. / Müller, G. (1996): Sicherheit, insbesondere mehrseitige Sicherheit. In: it-ti, Sicherheit in der Kommunikationstechnik, S. 7-10, 1996. Redmill, F. / Chudleigh, M. F. / Catmur, J. R. (1997): Principles underlying a guideline for applying HAZOP to programmable electronic systems. In: Reliability Engineering and Systems Safety, 55 (3), S. 283-293, 1997. Rehkugler, H. (1998): Grundlagen des Portfoliomanagements. In: Kleeberg, J. M. / Rehkugler, H.: Handbuch Portfoliomanagement. Uhlenbruch: Bad Soden/Ts., S. 3-31, 1998. Rivest, R. L. / Shamir, A. / Adleman, L. M. (1978): A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. In: Communications of the ACM, 21 (2), S. 120-126, 1978. Rockafellar, R. T. / Uryasev, S. (2000): Optimization of Conditional Value at Risk. In: The Journal of Risk, 2 (3), S. 21-41, 2000. Romeike, F. (2000): IT Risiken und Grenzen traditioneller Risikofinanzierungsprodukte. In: Zeitschrift für Versicherungswesen, Heft 17, S. 603-610, 2000. Romeike, F. (2004a): Der Prozess der Risikosteuerung und -kontrolle. In: Romeike, F. / Finke, R. B.: Erfolgsfaktor Risiko-Management. Gabler: Wiesbaden, S. 235-243, 2004. Romeike, F. (2004b): Risikoidentifikation und Risikokategorien. In: Romeike, F. / Finke, R. B.: Erfolgsfaktor Risiko-Management. Gabler: Wiesbaden, S. 165-180, 2004. Romeike, F. (2004c): Traditionelle und alternative Wege der Risikosteuerung und des Risikotransfers. In: Romeike, F. / Finke, R. B.: Erfolgsfaktor Risiko-Management. Gabler: Wiesbaden, S. 247-274, 2004. Ross, S. A. (1976): The arbitrage theory of capital asset pricing. In: Journal of Economic Theory, 13 (3), S. 341-360, 1976. Roßbach, P. (2002): Bedrohungen der IT-Sicherheit aus technischer Sicht. In: Roßbach, P. / Locarek-Junge, H.: IT-Sicherheitsmanagement in Banken. Bankakademie-Verlag: Frankfurt am Main, S. 121-170, 2002. Rücker, U.-C. (2000): Finite Risk Konzepte als Beispiel hybrider Instrumente der Risikofinanzierung. In: Schierenbeck, H.: Risk-Controlling in der Praxis. Schäffer-Poeschel: Stuttgart, S. 365-411, 2000. Sackmann, S. / Strüker, J. (2005): Electronic Commerce Enquête 2005 - 10 Jahre Electronic Commerce: Eine stille Revolution in deutschen Unternehmen. Konradin IT-Verlag: Leinfelden, 2005. SAP (2005): Geschäftsbericht 2005. URL: http://www.sap.com/germany/company/investor/ reports/gb2005/de/downloads/SAPGB2005_D.pdf, abgerufen am 04.05.2007.
Literaturverzeichnis
157
Scandizzo, S. 2005: "Risk Mapping and Key Risk Indicators in Operational Risk Management." In: Economic Notes, 34 (2), S. 231-256, 2005. Schierenbeck, H. (2001a): Controlling als (Fundament für ein) integriertes Konzept ertragsund wertorientierter Banksteuerung. In: Schierenbeck, H. / Rolfes, B. / Schüller, S.: Handbuch Bankcontrolling. Gabler: Wiesbaden, S. 3-16, 2001. Schierenbeck, H. (2001b): Ertragsorientiertes Bankmanagement - Band 2: Risiko-Controlling und integrierte Rendite-/Risikosteuerung. Gabler: Wiesbaden, 2001. Schierenbeck, H. (2003): Grundzüge der Betriebswirtschaftslehre. Oldenbourg: München, Wien, 2003. Schierenbeck, H. / Hölscher, R. (1998): BankAssurance: Institutionelle Grundlagen der Bankund Versicherungsbetriebslehre. Schäffer-Poeschel: Stuttgart, 1998. Schierenbeck, H. / Lister, M. (2001): Value Controlling - Grundlagen wertorientierter Unternehmensführung. Oldenbourg: München, 2001. Schierenbeck, H. / Lister, M. (2002): Risikomanagement im Rahmen der wertorientierten Unternehmenssteuerung. In: Hölscher, R. / Elfgen, R.: Herausforderung Risikomanagement: Identifikation, Bewertung und Steuerung industrieller Risiken. Gabler: Wiesbaden, S. 181-204, 2002. Schmidt, G. (2002): ECHELON-Wirtschaftsspionage und mögliche Abwehrmaßnahmen. URL: http://www.cnec.org/CONFERENCES/cnec10/praesentationen/schmid.pdf, abgerufen am 22.09.2006. Schneider, D. (1990): Investition, Finanzierung und Besteuerung. Gabler: Wiesbaden, 1990. Schneier, B. (1996): Angewandte Kryptographie: Protokolle, Algorithmen und Sourcecode in C. Addison-Wesley: Bonn, 1996. Schneier, B. (2001): Secret & Lies: IT-Sicherheit in der vernetzten Welt. dpunkt: Heidelberg, 2001. Schopp, S. (2002): Beitrag und Wirkung des Alternativen Risikotransfers auf das unternehmerische Ergebnis. In: Hölscher, R. / Finke, R. B.: Herausforderung Risikomanagement: Identifikation, Bewertung und Steuerung industrieller Risiken. Gabler: Wiesbaden, S. 485-504, 2002. Seeger, T. (1979): Die Delphi-Methode - Expertenbefragungen zwischen Prognose und Gruppenmeinungsbildungsprozessen. HochschulVerlag: Freiburg, 1979. Seibold, H. (2005): IT-Risikomanagement. Oldenbourg: München, 2005. Sharpe, W. F. (1964): Capital asset prices: A theory of market equilibrium under conditions of risk. In: Journal of Finance, 19 (3), S. 425-442, 1964. Sharpe, W. F. / Alexander, G. J. (1999): Investments. Prentice Hall: New Jersey, 1999. Simons, R. (1999): How Risky Is Your Company? In: Harvard Business Review, 77 (3), S. 85-94, 1999.
158
Literaturverzeichnis
Sonnenreich, W. (2005): Return On Security Investment (ROSI): A Practical Quantitative Model. URL: http://www.infosecwriters.com/text_resources/pdf/ROSI-Practical_ Model.pdf, abgerufen am 01.11.2006. Stahl, P. (1997): Die Qualitätstechnik FMEA als Lerninstrument in Organisationen. Gabler, Deutscher Universitätsverlag: Wiesbaden, 1997. Steiner, M. / Wallmeier, M. (1999): Unternehmensbewertung mit Discounted Cash Flow Methoden und dem Economic Value Added. In: FINANZ BETRIEB, Heft 4, S. 1-10, 1999. Stickelmann, K. (2002): Operationelles Risiko - Abgrenzung, Definition und Anforderungen gemäß Basel II. In: Eller, R. / Gruber, W. / Reif, M.: Handbuch Operationelle Risiken. Schäffer-Poeschel: Stuttgart, S. 3-41, 2002. Stögbauer, C. (2002): Miss es oder vergiss es! Quantitative Operational-Risk-Modellierung. In: Eller, R. / Gruber, W. / Reif, M.: Handbuch Operationelle Risiken. SchäfferPoeschel Verlag: Stuttgart, S. 179-203, 2002. Strobel, S. (2003): Firewalls und IT-Sicherheit. dpunkt: Heidelberg, 2003. Strüker, J. / Gille, D. (2006): RFID in Deutschland – Status quo, Chancen und Hürden aus Unternehmenssicht. Institut für Informatik und Gesellschaft / Abt. Telematik, Universität Freiburg, 2006. Suyter, A. (2002): Basler Empfehlungen zu operationellen Risiken. In: Betriebswirtschaftliche Blätter, 51 (2), S. 89-90, 2002. Swiss
Re (2003): Alternativer Risikotransfer Eine URL: http://www.swissre.com/, abgerufen am 13.02.2007.
Bestandsaufnahme.
Swiss Re (2006): Verbriefung - neue Möglichkeiten für Versicherer und Investoren. URL: http://www.swissre.com/, abgerufen am 13. 2. 2007. SwissRe 1999: "Alternativer Risikotransfer (ART) für Unternehmen: Modeerscheinung oder Risikomanagement des 21. Jahrhunderts?" 1999. SwissRe (2001): Innovative Kapitalmarktprodukte in der Versicherungsbranche. In: sigma, Heft 3, 2001. SwissRe (2003): Alternativer Risikotransfer - Eine Bestandsaufnahme. In: sigma, Heft 1, 2003. Tanenbaum, A. S. (1996): Computer Networks. Prentice-Hall: New Jersey, 1996. The Industry Technical Group on Operational Risk (2000): Working Paper on Operational Risk Regulatory Capital. URL: http://www.morexchange.org/download/public/ Technical%20Committee%20Response%20to%20BIS.pdf, abgerufen am 28.08.2001. Thommen, J.-P. / Achleitner, A.-K. (2006): Allgemeine Betriebswirtschaftslehre - Umfassende Einführung aus managmentorientierter Sicht. Gabler: Wiesbaden, 2006.
Literaturverzeichnis
159
Tödtmann, C. (2005): "Wo Vorstand draufsteht, ist Haftung drin". In: Handelsblatt vom 18.12.2005, Rubrik Karriere & Management, S. 6, 2005. Tuor, R. (2003): Genauigkeit vs. Rechenaufwand - Ein Vergleich Monte-Carlo-basierter Value-at-Risk Methoden. Genehmigte Dissertation der Universität St-Gallen. URL: http://www.unisg.ch/www/edis.nsf/wwwDisplayIdentifier/2834/$FILE/ dis2834.pdf, abgerufen am 20.03.2007. Utelli, C. (1998): Operationelle Risiken identifizieren. In: Schweizer Bank, Heft 7, S. 36-39, 1998. Vaughan, E. (1997): Risk Management. John Wiley & Sons: New York et al., 1997. Vaughan, E. / Vaughan, T. (2001): Essentials of Risk Management and Insurance. John Wiley & Sons: New York et al., 2001. von der Crone, C. / Roth, K. (2003): Der Sarbanes-Oxley Act und seine extraterritoriale Bedeutung. In: Aktuelle Juristische Praxis, Heft 12, S. 131-139, 2003. Vorgrimler, D. (2003): Die Delphi-Methode und ihre Eignung als Prognoseinstrument. In: Wirtschaft und Statistik, Heft 8, S. 763-774, 2003. Voydock, V. L. / Kent, S. T. (1983): Security Mechansims in High-Level Network Protocols. In: ACM Computer Surveys, 15 (2), S. 135-171, 1983. Wagner, F. (2000): Risk Management im Erstversicherungsunternehmen: Modelle, Strategien, Ziele, Mittel. Versicherungswirtschaft: Karlsruhe, 2000. Wagner, P. (2002): Basel II: Grundlegende Neuerungen zur bankaufsichtsrechlichen Behandlung operationeller Risiken. In: Zeitschrift für das gesamte Kreditwesen, Heft 3-4, S. 160-164, 2002. Wagner, S. / Lee, D. (2006): The Unexpected Benefits of Sarbanes-Oxley. In: Harvard Business Review, April, S. 133-140, 2006. Wechsler, W. (1978): Delphi-Methode: Gestaltung und Potential für betriebliche Prognoseprozesse. V. Florentz: München, 1978. Wegmann, P. (2005): Operationelle Risiken und Basel II. In: Die Unternehmung, 59 (6), S. 503-517, 2005. Wiedemann, A. (2003): Identifikation, Messung und Steuerung finanzieller Risiken in Unternehmen. In: Romeike, F. / Finke, R. B.: Erfolgsfaktor Risiko-Management. Gabler: Wiesbaden, S. 199-215, 2003. Wiedemann, A. (2004): Risikotriade - Zins-, Kredit- und operationelle Risiken. Bankakademie-Verlag: Frankfurt am Main, 2004. Willinsky, C. (2001): Wert- und risikoorientierte Steuerung dezentraler Einheiten von Banken. Botermann & Botermann: Köln, 2001.
160
Literaturverzeichnis
Wiltner, F. (2003): Bedrohungen für Unternehmen. In: Gora, W. / Krampert, T.: Handbuch IT-Sicherheit: Strategien, Grundlagen und Projekte. Addison-Wesley: München, S. 81-96, 2003. Wöhe, G. (1996): Einführung in die Allgemeine Betriebswirtschaftslehre. Vahlen: München, 1996. Wöhrmann, P. (2002): Die Alternative Risikofinanzierung als Teil eines ganzheitlichen und unternehmerischen Risk Managements. In: Hölscher, R. / Finke, R. B.: Herausforderung Risikomanagement: Identifikation, Bewertung und Steuerung industrieller Risiken. Gabler: Wiesbaden, S. 451-484, 2002. Wolf, K. / Runzheimer, B. (2001): Risikomanagement und KonTraG. Gabler: Wiesbaden, 2001. Zangemeister, C. (1976): Nutzwertanalyse in der Systemtechnik. Wittemannsche Buchhandlung: München, 1976. Zentraler Kreditausschuss (2001): Stellungnahme des Zentralen Kreditausschusses zum Konsultationspapier des Baseler Ausschusses zur Neuregelung der angemessenen Eigenkapitalausstattungen von Kreditinstituten vom 16. Januar 2001 („Basel II"), Berlin, 28. Mai 2001. URL: http://www.bdb.de/download/bankaufsicht/ZKA_Basel_II_dt.pdf, abgerufen am 23. 8. 2001. Zimmermann, P. R. (1995): The Official PGP User's Guide. MIT Press: Boston, 1995.
Stichwortverzeichnis
161
Stichwortverzeichnis A Alternative-Risikotransfer-Instrumente ............... 93 bedingte Kapitalaufnahme ....................................... 96 Captive..................................................................... 96 Finite-Risk Deckungen ............................................ 97 Mulitline/Multiyear Deckungen............................... 98
E Economic Value Added ..................................... 120 Eigenkapitallimite .............................................. 112 Einbruchserkennungssysteme .............................. 83 Expected Shortfall............................................ 8, 62
Verbriefung von Risiken.......................................... 94
Expertenbefragungen ..................................... 20, 32
Versicherungsderivate.............................................. 95
Extremwerttheorie.......................................... 58, 77
Amortisationsdauer ............................................ 118 Angreifer .............................................................. 14 Angriffe............................................................ 1, 13 Angriffsbäume ............................................... 27, 34 Annuitätenmethode ............................................ 124 Anti-Viren-Software ............................................ 81
F Fehlermöglichkeits- und Einflussanalyse (FMEA) .................................................................. 25, 34 Firewall ................................................................ 80 Fragenkatalog................................................. 29, 34
Authentifikation ................................................... 82
H B Hazard and Operability Studies (HAZOP) .... 28, 34 Basisindikator-Ansatz .................................... 38, 75 Bayes-Netze ................................................... 63, 78
I
Bedrohungen ........................................................ 13 Befragungstechniken...................................... 20, 35 Benutzername ...................................................... 82 Biometrie.............................................................. 83 Brainstorming ................................................ 23, 33 Brainwriting ................................................... 23, 33 Budgetlimite............................................... 113, 137
C Capital Asset Pricing Model (CAPM) ........... 46, 77 Checklisten..................................................... 20, 32
Indikator-Ansätze................................................. 35 interner Bemessungsansatz .....................43, 76, 105 interner Zinssatz................................................. 122 IT-Risikomanagementprozess.............................. 15 IT-Risiko-Referenzmodell ..................................... 1
K Kapitalwertmethode........................................... 121 Kausal-Methoden................................................. 35 Kollektionsmethoden ........................................... 19 Kreativitätsmethoden ..................................... 19, 23
D
kryptographische Verfahren................................. 84 asymmetrische Verschlüsselung .............................. 85
Delphi-Methode ............................................. 24, 33
hybride Verschlüsselung.......................................... 86
Digitale Signatur .................................................. 87
symmetrische Verschlüsselung................................ 84
162
Stichwortverzeichnis
M
Risikovorsorge ..................................................... 89 Riskomatrix.......................................................... 99
Mehrseitige Sicherheit ......................................... 12 Monte-Carlo-Simulation .......................... 48, 53, 77
S
P
Schlüsselwert-Methode.................................. 36, 75 Schutzziele ..................................................... 11, 12
Passwort ............................................................... 82 Public-Key-Infrastrukturen .................................. 87
Integrität ............................................................ 11, 13 Verfügbarkeit..................................................... 11, 13 Vertraulichkeit................................................... 11, 12
R Return on Investment ......................................... 117 Return on Security Investment........................... 117 Risiken ................................................................... 9 Aktienkursrisiken....................................................... 9
Zurechenbarkeit ................................................. 11, 13
Schwachstellen....................................................... 1 Scorecard-Ansätze ......................................... 45, 77 Self-Assessments ........................................... 21, 32 Sicherheitslevel...........................................104, 108
Ausfallrisiken............................................................. 9
Standard-Ansatz............................................. 40, 75
Erfolgsrisiken............................................................. 9
stochastische Methoden ................................. 35, 49
Finanzrisiken.............................................................. 9
Suchmethoden...................................................... 19
IT-Risiken ................................................................ 11
Synektik ......................................................... 24, 33
Liquiditätsrisiken ....................................................... 9
Szenarioanalyse ..................................35, 47, 70, 77
Marktrisiken............................................................... 9 operationelle Risiken ............................................... 10
T
Rohstoffpreisrisiken................................................... 9 Währungsrisiken ........................................................ 9
Trade-off ............................................................ 102
Zinsänderungsrisiken ................................................. 9
risikoadjustierte Performance Kennzahlen......... 119 Risikobegriff .......................................................... 7 ausfallorientierter Risikobegriff ................................. 7 entscheidungsorientierter Risikobegriff ..................... 7
Risikodeckungsmassen ........................................ 90 Risikodiversifikation............................................ 88
U unternehmensexterne Daten........................... 23, 32 unternehmensinterne Daten............................ 22, 32
V
Risikoidentifikation........................................ 16, 19
Value-at-Risk ..................................7, 52, 54, 62, 69
Risikoindikatoren ........................................... 36, 45
Verluste.................................................................. 7
Risikokontrolle..................................................... 17
erwartete Verluste...................................................... 7
Risikolimite........................................................ 137
unerwartete Verluste.................................................. 8
Risikoquantifizierung..................................... 16, 35
Versicherungen .................................................... 91
Risikoreduktion.................................................... 79
Versicherungslevel......................................104, 108
Risikosteuerung.............................................. 17, 79
Vollenumeration ............................................ 49, 77
Risikotragfähigkeitskalkül ................................... 89 Risikotransfer....................................................... 91 Risikovermeidung ................................................ 89
Z Zugriff-Token ...................................................... 83