Über die Wahrscheinlichkeit von Security Incidents

„Als mathematische Objekte setzen Wahrscheinlichkeiten ein wiederholbares Zufallsereignis voraus. Tatsächlich sind die meisten Security Incidents heute aber die Folge von geplantem und zielgerichtetem menschlichen Verhalten und damit das exakte Gegenteil eines Zufallsereignisses.“
— Sebastian Klipper, CycleSEC Geschäftsführer

Cover 03/2018

In der 3. Ausgabe der Fachzeitschrift Wirtschaftsinformatik & Management hat der CycleSEC Gründer und Geschäftsführer Sebastian Klipper kürzlich die Verwendung von Wahrscheinlichkeiten zur Bewertung von Security Incidents kommentiert [1]. Auch hier im Blog wollen wir das Thema näher beleuchten.

Zielgerichtetes Vorgehen statt Zufall

Sebastian Klipper ist nicht der einzige, der sich an der Angabe von Wahrscheinlichkeiten für Security Incidents stößt. Auch der an der TU München tätige Risiko-Forscher Prof. Dr. Gebhard Geiger gibt in einem Fachbeitrag von 2014 zu bedenken, dass es sich bei Sicherheitsvorfällen nicht etwa um statistisch messbare Systemfehler handelt, sondern um ein zielgerichtetes Vorgehen von Menschen, über dass wir ungenügende Informationen haben. Diese Unsicherheit über die Angreifermotive hat aber nichts mit der Wahrscheinlichkeit des Angriffs selbst zu tun. [2]

Mit weiteren Autoren stellt Geiger in einer weiteren Veröffentlichung klar, dass es strategische Unsicherheit bedeutet, wenn die Pläne eines Angreifers (Zeitpunkt, Zielsystem, benutzte Angriffstools etc.) für uns unbekannt sind und kein bestimmtes Maß von Wahrscheinlichkeit [3].

Die Feststellung, dass Wahrscheinlichkeiten ungeeignet sind, um Sicherheitsvorfälle zu bewerten, die durch planvolles menschliches Verhalten entstehen, ist also nicht ganz neu. Trotzdem gehört die Formel Risiko = Schadenshöhe × Wahrscheinlichkeit immer noch zum Standardrepertoire des IT-Risikomanagements.

Sebastian Klipper ist Autor des 2015 in der 2. Auflage bei Springer erschienenen Buchs Information Security Risk Management [4].
„Planvolles menschliches Handeln schließt Zufall weitestgehend aus. Entweder lässt sich eine Schwachstelle in einem System ausnutzen, und jemand plant das zu tun, oder eben nicht. Da ist kein Platz für Zufälle.“
— Sebastian Klipper

Ohne Zufall und Wiederholbarkeit ist die Interpretation von Security Incidents als mathematisches Zufallsereignis also nicht korrekt. Dabei geht es nicht etwa um Rundungsfehler – das Modell an sich ist ungeeignet die Realwelt zu beschreiben.

Technischer Fortschritt

Ein weiterer häufig gemachter Fehler bei der Angabe von Incident-Wahrscheinlichkeiten ist die unzureichende Berücksichtigung des technischen Fortschritts. „Obwohl rasanter technischer Fortschritt ein Wesensmerkmal der IT ist, werden IT-Risiken regelmäßig mit Wahrscheinlichkeiten von z. B. ,ein Mal alle zehn Jahre’ angegeben. Ob und wie ein Rechenzentrum in 10 oder gar 20 Jahren gehackt werden kann, lässt sich aber kaum vernünftig bewerten, wenn man heute nicht einmal weiß, ob und wie das Rechenzentrum in drei Jahren überhaupt noch betrieben wird“, schreibt Sebastian Klipper in seinem Beitrag in der Wirtschaftsinformatik & Management.

Gleichverteilung des Risikos

Auch die Annahme einer zeitlichen Gleichverteilung des Risikos sieht er kritisch. Den Eintritt eines Risikos mit einer Wahrscheinlichkeit von ,Ein Mal alle zehn Jahre’ anzugeben impliziert in den meisten Risk-Frameworks, dass das Risiko in jedem der Jahre gleich groß ist. Das jedoch ist aus technischer Sicht meist unrealistisch. Realistischer ist es, dass ein Risiko sich über die Jahre verändert.

Das eine Risiko ist am Anfang des Betrachtungszeitraums besonders hoch und nimmt dann aufgrund des technischen Fortschritts ab, während ein anderes Risiko mit jedem Jahr steigt. Das hat jedoch erhebliche Auswirkungen auf die Entscheidung, welches der beiden Risiken aktuell die uneingeschränkte Aufmerksamkeit einer Organisation erfordert, und welches noch etwas aufgeschoben werden kann. Mit Wahrscheinlichkeit hat das aber wenig zu tun.

Wiederholbarkeit eines Angriffs

„Ein Angreifer würfelt nicht, welches Unternehmen er ins Visier nimmt.“
— Sebastian Klipper

Mit dieser kurzen Formel verdeutlicht der CycleSEC Gründer dass auch die Wiederholbarkeit eines Angriffs fehlt. Unternehmen werden wegen ihrer spezifischen Eigenschaften, wegen ihrer einzigartigen Kombination an Werten, Systemen und Schwachstellen angegriffen. Ein Angriffsszenario lässt sich daher nicht einfach von einem Unternehmen auf das nächste übertragen.

Mantra Schadenshöhe × Eintrittswahrscheinlichkeit

„Ohne Zufall und ohne Wiederholbarkeit gibt es keine Wahrscheinlichkeit eines Ereignisses.“
— Sebastian Klipper

Trotz der offensichtlichen Widersprüchlichkeiten ist die einleuchtend einfache Formel Risiko = Schadenshöhe × Eintrittswahrscheinlichkeit das Maß der Dinge im IT-Risikomanagement. Auch in der gerade veröffentlichten Neuauflage der ISO/IEC 27005 heißt es:

„Ein Risiko ist eine Kombination aus den Folgen, die sich aus dem Eintreten eines unerwünschten Ereignisses und der Wahrscheinlichkeit des Eintretens des Ereignisses ergeben würden.“
— ISO/IEC 27005:2018, Seite 8 [5]

Dass viele Ereignisse aufgrund des zielgerichteten menschlichen Handelns gar keine mathematischen Wahrscheinlichkeit haben können, spielt dort keine Rolle.

Fraud Triangle

Ein besseres Verständnis von Cyberangriffen könnte man in dem Modell des „Fraud Triangle“ in der Wirtschaftskriminologie finden. So werden die drei Faktoren Gelegenheit, Motiv und innere Rechtfertigung bezeichnet, unter denen Menschen Wirtschaftsstraftaten begehen. Wahrscheinlichkeiten spielen hier verständlicherweise keine Rolle.

Organisationen werden demnach nicht nur angegriffen, weil sie Schwachstellen in ihren Systemen haben (Gelegenheit), sondern weil es für die Angreifer zusätzlich etwas zu holen gibt (Motiv) und sie den Angriff für sich als gerechtfertigt empfinden (innere Rechtfertigung)[4]. Auch wenn das Modell ursprünglich  zur Beschreibung von Innentätern gedacht war, zeigt es unabhängig davon auch, dass es bei Wirtschaftsstraftaten nicht um Zufall geht. Schadenshöhe und Eintrittswahrscheinlichkeit werden sozusagen durch Gelegenheit, Motiv und innere Rechtfertigung ersetzt.

„Es spricht einiges dafür, dass viele Organisationen die falschen Maßnahmen priorisieren, weil ihre Risikoentscheidungen auf fehlerhaft abgeleiteten Zahlen basieren. Im schlechtesten Fall haben diese dann nicht die angenommenen Auswirkungen, weil sie ausschließlich an technischen Schwachstellen ansetzen und nicht am Tatmotiv, bzw. dem Objekt der Begierde. Wissenschaftliche Ex-post-Analysen zur Überprüfung dieser These gibt es allerdings bisher keine.“
— Sebastian Klipper

So beschränken sich viele Organisationen auf die Zerschlagung der Gelegenheit durch die Beseitigung von Schwachstellen, statt sich mit dem Motiv auseinanderzusetzen. Ein ausreichend motivierter Angreifer muss dann nur noch warten – die nächste Schwachstelle kommt bestimmt.

An der inneren Rechtfertigung eines Angreifers kann man wenig ändern. Hier gibt es eher negative Beispiele, wie Unternehmen die innere Rechtfertigung von Angreifern zu ihren Ungunsten beeinflusst haben. Sony hatte 2011 Teile der Hacker Community gegen sich aufgebracht und wurde infolgedessen mit einer beispiellosen Angriffswelle überzogen, deren Schaden sich Schätzungen zufolge auf bis zu einer Milliarde Dollar summierte. [6]

Auch das regelmäßige Auftreten technischer Schwachstellen lässt sich nur bedingt beeinflussen. Es muss also verstärkt darum gehen, die Motivlage zu beeinflussen, indem man die potentielle Beute in den Mittelpunkt der Betrachtung rückt.

Ansetzen an der Schadenshöhe

Die Lösung sieht Sebastian Klipper nicht nur in weiteren Investitionen in technische Sicherheitslösungen, da diese an den Schwachstellen und deren Ausnutzung ansetzen und so vermeintlich die Wahrscheinlichkeit eines Angriffs reduzieren sollen. Er schlägt vielmehr vor, Informationen und Netze voneinander zu separieren und die Prozesse zu stärken, die dazu da sind, Incidents zu erkennen und deren Ursache schnellstmöglich zu beseitigen.

„Das Objekt der Begierde muss an Glanz verlieren und man darf es nicht auf ein Mal und unbeschädigt erbeuten dürfen. Denken Sie an reduzierte Kassenbestände oder die Farbpatronen in Geldautomaten, die gestohlenes Geld unbrauchbar machen. Durch die Fokussierung auf das Motiv sollte stärker auf die Verringerung der möglichen Schadenshöhe eingewirkt werden, falls das Szenario nicht durch Wahrscheinlichkeiten beschrieben werden kann.“
— Sebastian Klipper

Neue Wege gehen

Ermöglicht wird das durch neue Strukturen und Methoden im Risikomanagement, um von einer rein wahrscheinlichkeitsbasierten Priorisierung von Maßnahmen weg zu kommen. Die weit verbreiteten Risikomatrizen sieht Klipper kritisch, weil bei ihrer Anwendung hohe Schäden möglicherweise durch geringe Wahrscheinlichkeiten „verwässert“ würden. Für die Priorisierung von Szenarien, in denen die Angabe einer Wahrscheinlichkeit in den oben genannten Fällen nicht korrekt ist, sei das fatal.

Mehr zum Thema in unserem Blog

Risiko-Isoquanten-Analyse (RIA)

Management von Cyber-Risiken: Ein Handbuch für Unternehmensvorstände und Aufsichtsräte

ISO/IEC 27001: 7 Fehler die Sie vermeiden sollten

Quellen

[1] Sebastian Klipper, Unwahrscheinlich unwissend: Die eigene Unwissenheit über potenzielle Angreifer darf nicht in Wahrscheinlichkeiten ausgedrückt werden. Wirtschaftsinformatik & Management, Ausgabe 3/2018

[2] Geiger, Gebhard. ICT Security Risk Management: Economic Perspectives. Position papers of the 2014 Federated Conference on Computer Science and Information Systems. FedCSIS, 2014, S. 119–122

[3] Petzela, Erhard; Czajaa, Roman, Geiger, Gebhard; Blobnercal, Christian. Does lift of liquid ban raise or compromise the current level of aviation security in the European Union? Simulation-based quantitative security risk analysis and assessment. Journal of Risk Research, 2014, S. 4

[4] Sebastian Klipper, Information Security Risk Management. 2. überarbeitete Auflage, Springer Vieweg 2015, ISBN: 978-3-8348-1360-2

[5] Zitiert nach Forum Wirtschaftskriminalität, http://www.forum-wirtschaftskriminalitaet.org/aufdeckung/fraud-due-diligence/das-fraud-triangle.html, eingesehen am 29.07.2018

[6] Sebastian Klipper, Cyber Security: Ein Einblick für Wirtschaftswissenschaftler. Springer Vieweg 2015, ISBN: 978-3-658-11577-7

Schreiben Sie einen Kommentar