Risiko-Isoquanten-Analyse (RIA) Modell zur Minimierung fehlerhafter Risikoentscheidungen auf Grundlage von Risikomatrizzen

_kes_ 2016#2
Abbildung 1: kes – Die Zeitschrift für Informationssicherheit (Titel der Ausgabe #2/2016)

Risikomatrizen werden im Risikomanagement dazu genutzt, Risiken zu priorisieren und in einer vereinfachten Treppendarstellung zu visualisieren. Dieses Vorgehen ist in der Praxis fehleranfällig und kann leicht zu unentdeckten Fehlentscheidungen in der Risikopriorisierung führen. Der Geschäftsführer von CycleSEC Sebastian Klipper ist Autor mehrerer Fachbücher zum Thema Security, unter anderem des Buchs Information Security Risk Management. In der Fachzeitschrift kes (vgl. Abb. 1) stellte er nun ein Analysemodell vor [1], mit dem man diese Fehler findet und minimiert.

Trenner-CycleSEC-Logos-Transparent

Schadenshöhen und Eintrittswahrscheinlichkeiten werden in Unternehmen häufig in einer Risikomatrix dargestellt (vgl. Abb. 2). In gängigen ISO/IEC Standards sind Matrizen fester Bestandteil des Methodenkoffers [2][3][4]. Sie leisten bei der Bewertung bzw. Priorisierung von Risiken in der Praxis einen wertvollen Beitrag.

Matrix
Abbildung 2: Beispielhafte Risikomatrix. Spaltenüberschriften stehen für die Wahrscheinlichkeiten, die Zeilenüberschriften für die Schadenshöhen und die Zellen stehen für das Risikoniveau.

Risikomatrizen werden meist aus drei bis fünf Abstufungen für Schadenshöhe und Eintrittswahrscheinlichkeit gebildet. Entlang der Diagonalen werden dann Bereiche abgetragen, die für ein unterschiedliches Risikoniveau stehen. Farblich abgesetzt erkennt man so schnell, welche Kombinationen aus Schadenshöhe und Eintrittswahrscheinlichkeit höher bzw. niedriger priorisiert werden sollten.

Die Festlegung dieser Kategorien ist jedoch weder in den genannten Standards beschrieben, noch existieren dafür andere Anleitungen. Die Risikokategorien werden meist „aus dem Bauch heraus“ festgelegt, was häufig zu Fehlern in der Darstellung, aber auch bei den resultierenden Entscheidungen und Priorisierungen führt. Die durch Sebastian Klipper in der kes vorgestellte Risiko-Isoquanten-Analyse (RIA) deckt diese Fehler auf und ermöglicht deren Minimierung.

Die Theorie hinter den Risiko-Isoquanten

Der Matrix-Darstellung liegt die Gleichung zu Grunde, dass das zu betrachtende Risiko dem Produkt aus Schadenshöhe × Eintrittswahrscheinlichkeit entspricht.

Indifferenzkurven
Abbildung 3: Beispielhafte Indifferenzkurven des Risikos

Trägt man dieses Produkt in einem Koordinatensystem ab, entstehen Kurven mit gleichem Risikoniveau (vgl. Abb. 3). Diese Darstellung bezeichnet man in den Wirtschaftswissenschaften als Indifferenzkurven oder auch als Isoquanten (vgl. z.B. [5][6][7]). Für die Risiko-Isoquanten gelten die folgenden Aussagen:

  • Satz 1: Risiko-Isoquanten bestimmen sich nach der Formel f(x) = Risikoniveaun ÷ x
  • Satz 2: Risiko-Isoquanten sind negativ geneigt und konvex zum Ursprung.
  • Satz 3: Zwei Risiko-Isoquanten können sich niemals schneiden.
  • Satz 4: Risiko-Isoquanten weisen ein umso höheres Risikoniveau auf, je weiter sie vom Ursprung des Koordinatensystems entfernt sind.
  • Satz 5: Vom Ursprung des Koordinatensystems betrachtet stehen alle Koordinatenpunkte über einer gewählten Isoquante für ein höheres Risiko als Koordinatenpunkte unterhalb der Isoquante.

Insbesondere aufgrund von Satz 1 ist es unzulässig, die unterschiedlichen Risikolevel entlang einer Geraden festzulegen. Das gilt für Diagonalen ebenso wie für eine Treppenform. Genau das wird aber durch Risikomatrizen gemacht. Die damit verbundene Vereinfachung ist dabei durchaus gewünscht und man folgt so der unausgesprochenen These, dass die damit verbundenen Ungenauigkeiten im Vergleich zum Effizienzgewinn zu vernachlässigen seien. Genau diese Annahme wird durch die RIA überprüft und ggf. widerlegt. Ziel dieses Analysemodells ist es, eine Empfehlung zur optimalen Festlegung der Kategorien einer Risikomatrix abzugeben.

Beispielhafte Risikomatrix

Zur Veranschaulichung wird die oben gezeigte 5×5-Matrix mit drei Risikoniveaus verwendet (vgl. Abb. 2). Es gelten die folgenden Kategorien:

Schadenhöhe (Kategorie 1):

  • Unbedeutend: 0 – 50 TEUR
  • Gering: 50 – 100 TEUR
  • Mittel: 100 – 1.000 TEUR
  • Hoch: 1.000 – 5.000 TEUR
  • Sehr hoch: > 5.000 TEUR

Eintrittswahrscheinlichkeit (Kategorie 2)

  • Nahezu unmöglich: 0 – 20%
  • Unwahrscheinlich: 20 – 40%
  • Möglich: 40 – 60%
  • Wahrscheinlich: 60 – 80%
  • Sehr wahrscheinlich: > 80%

Risikoniveau (Kategorie 3)

  • Gering (grüne Zellen)
  • Mittel (gelbe Zellen)
  • Hoch (rote Zellen)

Durchführung der RIA

Die RIA erfolgt in 4 Schritten und zunächst mit vorgegebenen, festen Risiko-Isoquanten (vgl. Abb. 4).

  • Schritt 1: Einzeichnen der Risikokategorien in ein Koordinatensystem
  • Schritt 2: Einzeichnen einer Risiko-Isoquante für jede Grenze zwischen zwei Schadenskategorien, die den Koordinatenpunkt des Werts der Grenze bei einer Wahrscheinlichkeit von 100% schneiden
  • Schritt 3: Interpretation des Diagramms insbesondere Anhand von Satz 4 und 5
  • Schritt 4: Ableitung einer Handlungsempfehlung
RIA
Abbildung 4: RIA anhand statischer Risiko-Isoquanten

Schritt 1 und 2 sind bereits in Abbildung 4 zu sehen. Kommen wir also direkt zu Schritt 3 – der Interpretation: Alle Punkte auf der orangen 1.000 TEUR-Risiko-Isoquante stehen für ein gleiches Risikoniveau. Vom Ursprung des Koordinatensystems aus betrachtet stehen alle Koordinatenpunkte über der Isoquante für ein höheres Risiko als Koordinatenpunkte unterhalb der Isoquante.

Die in der Matrix festgelegten Risikoniveaus stehen dieser Tatsache jedoch entgegen! In Abbildung 4 sind diese betroffenen Bereiche mit einer Textur hinterlegt. Alle Koordinatenpunkte in diesem Bereich über der Isoquante werden in der zu Grunde liegenden Risiko-Matrix in einem geringeren Risikoniveau eingruppiert als die Koordinatenpunkte unterhalb der Isoquante!

Das trifft besonders auf die Matrix-Kategorie „Sehr hoch/Unwahrscheinlich“ zu. Diese Risiken (> 1.000 TEUR) werden dadurch weniger hoch priorisiert als Risiken der Matrix-Kategorie „Mittel/Sehr wahrscheinlich“ (< 1.000 TEUR), obwohl sie ausnahmslos höher sind! Ein Risiko mit einer Höhe von etwas weniger als 100 TEUR würde so fälschlicherweise als hohes Risiko eingruppiert, während ein Risiko mit 2.000 TEUR (oder mehr) als mittleres Risiko betrachtet würde.

Ableitung von Handlungsempfehlungen

Aus der Interpretation ergeben sich zwingend die folgenden Handlungsempfehlungen:

  • Das Risikoniveau der Kategorie „Sehr hoch/Unwahrscheinlich“ (> 1.000 TEUR) sollte von „mittel“ auf „hoch“ gehoben werden.
  • Das Risikoniveau der Kategorie „Mittel/Sehr wahrscheinlich“ (< 1.000 TEUR) sollte von „hoch“ auf „mittel“ abgesenkt werden.

Trenner-CycleSEC-Logos-Transparent

CycleSEC Gutachten: Senden Sie uns die bei Ihnen verwendete Risikomatrix und wir übernehmen die Analysearbeit. In einem Gutachten nach Risiko-Isoquanten-Analyse zeigen wir vorhandene Fehler auf und benennen mögliches Verbesserungspotential. weitere Informationen…


Detailanalyse durch variable Risiko-Isoquanten

Während die orange Risiko-Isoquante einen gravierenden Fehler in der Matrix aufzeigt, liefert die rote Isoquante keinen Befund. Die beiden grünen Risiko-Isoquanten stellen zumindest keine der Matrix-Zellen als Ganzes in Frage, weil sie nicht vollständig über bzw. unter der Isoquante liegen. In unserem Beispiel werden jedoch fünf Zellen durch die orange Isoquante geschnitten. Sie sind also teilweise richtig und teilweise falsch. Das lässt sich wegen der Vereinfachung in der Treppendarstellung der Matrix auch gar nicht vollständig vermeiden. Die vereinfachte Handhabung der betrachteten Risiken wird durch einen Verlust an Genauigkeit in der Bewertung erkauft.

RIA-erw
Abbildung 5: Erweiterte RIA mit zusätzlichen variablen Risiko-Isoquanten

Um die RIA zu erweitern, können weitere Isoquanten frei gewählt werden. So kann nach Anhaltspunkten gesucht werden, ob eine der geschnittenen Zellen der Matrix eine Einzelfallbetrachtung rechtfertigt. Schauen wir uns das mittlere Feld „Mittel/Möglich“ der Matrix in Abbildung 5 genauer an. Die überwiegende Fläche des Bereichs enthält Risiken oberhalb 1.000 TEUR, obwohl dass bei fast allen Feldern der Matrix zu einer Einordnung eines konkreten Risikos in das Risikoniveau „hoch“ führen würde. Wählt man weitere Risiko-Isoquanten, die etwas unterhalb der 1.000 TEUR Isoquante liegen, wird der Verdacht eines zu großen Genauigkeitsverlust offensichtlicher.

RIA-Ausschnitt
Abbildung 6: Einzelfallbetrachtung innerhalb einer RIA – die Mehrzahl der Risiken wäre besser als „hoch“ bewertet worden

Ob sich der Verdacht auch in der praktischen Anwendung auswirkt, kann jetzt nur in einer Analyse der tatsächlich vorhandenen Risiken geklärt werden. Hierbei wird beurteilt, ob Risikoentscheidungen der Vergangenheit auf dieser Grundlage noch richtig sind. Wenn die konkreten Risiken allesamt oder zumindest überwiegend oberhalb der Isoquante liegen, liegt die Schlussfolgerung nahe, dass auch das Risikoniveau dieser Kategorie angepasst werden sollte (vgl. blaue Isoquanten und Punkte in Abb. 6).

Weitere Handlungsempfehlung

Aus dieser Interpretation ergibt sich eine weitere Handlungsempfehlung:

  • Das Risikoniveau der Kategorie „Mittel/Möglich“ sollte von „mittel“ auf „hoch“ geändert werden.

Konfliktpotential einer RIA

Die Durchführung einer RIA und die resultierenden Handlungsempfehlungen können weitreichende Auswirkungen haben. Häufig unterliegen die verwendeten Risikomatrizen dem Corporate Risk Management oder sind konzernweit vorgegeben.

Mit den Resultaten einer RIA zeigt man unter Umständen auf, dass viele Risikopriorisierungen der Vergangenheit fehlerhaft waren. Es besteht daher die Möglichkeit sich mit den Resultaten einer RIA unbeliebt zu machen und keinen Beifall, sondern Gegenwind zu ernten – insbesondere von den verantwortlichen Risk-Managern. Dies gilt besonders, da es sich bei der RIA um einen neuen und daher unbekannten Analyseansatz handelt, der zunächst erklärt werden muss.

Man sollte das bei der Planung des eigenen Vorgehens stets berücksichtigen. Am besten funktioniert in solchen Fällen ein „Drehbuch“, nachdem man den unschönen Fehler in Zusammenarbeit mit den betroffenen Personen eher „zufällig“ und vor allem „gemeinsam entdeckt“. Ein erhobener Zeigefinger ist hier – wie auch anderswo – fehl am Platze.

Weitere Anwendungsmöglichkeiten

Hauptaufgabe einer RIA ist es, fehlerhaft zugeordnete Risikoniveaus zu erkennen und zu korrigieren (Kategorie 3). Hierdurch wird vor Allem die verwendete Matrix als Grundlage künftiger Risikoentscheidungen verbessert. Dadurch kommt es seltener zu falschen Priorisierungen aufgrund des Genauigkeitsverlusts der Matrixdarstellung.

Darüber hinaus kann die RIA auch dabei helfen, die Grenzen bzw. Bereiche der verwendeten Matrix zu hinterfragen und besser zu definieren. Das gilt insbesondere, wenn eine solche Matrix im Unternehmen neu festgelegt werden soll.

Festlegung der Skalen (Kategorie 1 und 2)

Durch die richtige Wahl der Isoquanten kann man so eine fundierte Aussage dazu treffen, ob eine bestimmte Einteilung einer Matrix geschickt gewählt ist, oder besser angepasst werden sollte. In Abbildung 5 fällt zusätzlich auf, das die Schadenshöhen (Kategorie 1) „Unbedeutend“ und „Gering“ bei mittleren und hohen Eintrittswahrscheinlichkeiten kaum Unterscheidungsmerk­male bieten. Hier könnte man im Ergebnis über eine Verschiebung der Kategoriegrenzen nachdenken.

Fazit

Die Verwendung von Risikomatrizen ist international weit verbreitet und kaum wegzudenken. Verfahren zur Festlegung einer aussagekräftigen Matrix oder zur Optimierung einer gegebenen Matrix sind bisher nicht systematisch beschrieben. Meist erfolgt das mehr „aus dem Bauch heraus“, als dass hier ein planvolles Vorgehen zu Grunde gelegt wird. Verwendete Kategorien sind daher meist „historisch gewachsen“ oder werden extern vorgegeben.

Auch aus diesem Grund enthalten viele der in der Praxis angewendeten Risikomatrizen ähnliche Fehler, wie sie im Beispiel aufgezeigt wurden. Vor dem Hintergrund des geringen Aufwands einer RIA, sollte sie in jeder Organisation durchgeführt werden.

Literatur

[1] Sebastian Klipper, Die Risiko-Isoquanten-Analyse (RIA), kes – Die Zeitschrift für Informations-Sicherheit, Heft #2/2016

[2] ISO/IEC, International Standard ISO/IEC 27005:2011, Information technology – Security techniques – Information security risk management, Edition 2011-06-01

[3] ISO/IEC, International Standard IEC 31010:2009, Risk management — Risk assessment techniques, Edition 2009-11-01

[4] Sebastian Klipper, Information Security Risk Management: Risikomanagement mit ISO/IEC 27001, 27005 und 31010 (Edition ), Springer Vieweg, 2. Auflage, Wiesbaden 2015

[5] Paul Engelkamp, Friedrich Sell, Einführung in die Volkswirtschaftslehre, Springer, Berlin Heidelberg 1998

[6] Alfred E. Ott, Grundzüge der Preistheorie, Vandenhoeck & Ruprecht, 3. Auflage, Göttingen 1997

[7] Sebastian Klipper, Cyber Security: Ein Einblick für Wirtschaftswissenschaftler, Springer Vieweg, Wiesbaden 2015

Schreibe einen Kommentar