2Der Begriff Risiko
Ziel dieses Kapitels
Dieses Kapitel führt in den Begriff Risiko im Kontext des Lebenszyklus eines Informationssystems (Abb. 1–1) ein. Im Einzelnen werden die folgenden Fragen geklärt:
- Was ist ein Risiko, was ist ein IT- und ein Informationssicherheitsrisiko, wie lassen sich solche Risiken systematisieren und klassifizieren?
- Was sind Cyberrisiken, IT-Sicherheitsrisiken und Informationsrisiken?
- Warum werden Ursachen und Auswirkungen separat betrachtet?
- Was sind Bedrohungen und Schwachstellen? Warum wird hier unterschieden?
- Welche Rolle spielt die Zeit im Kontext von Risiken?
- Was sind Risikobewusstsein, Risikokultur, Risikoappetit und Risikopolitik?
- Wie sieht eine Risikorichtlinie aus und wofür wird sie benötigt?
2.1Der Risikobegriff
Die betriebswirtschaftliche Literatur kennt zahlreiche Definitionen und unterschiedliche Auffassungen des Begriffs Risiko (bspw. [Königs 2017], S. 11 f., [Gabler 2019], [RiskNet 2019]). Im ISO Guide 73:2009 und weiteren, speziellen Normen, die Auswirkungen auf die IT haben, etwa beim Einsatz von IT in der Medizintechnik (ISO 14971:2007), wird Risiko als »effect of uncertainty on objectives« bzw. als »the combination of the consequences of an event and the associated likelihood« (oder entsprechend als »combination of the probability of occurrence of harm and the severity of that harm«) definiert. ISO 31000:2018 definiert entsprechend »Risk is usually expressed in terms of risk sources (Abschnitt 3.4 der Norm), potential events (Abschnitt 3.5 der Norm), their consequences (Abschnitt 3.6 der Norm) and their likelihood (Abschnitt 3.7 der Norm).« Unsicherheit entsteht dabei durch fehlende Informationen, mangelndes Verständnis oder fehlendes Wissen.
Auch das BSI definiert in seinem Glossar den Begriff allgemein [BSI 2019]. IDW PS 981 sieht in Risiken mögliche künftige Entwicklungen oder Ereignisse, die zu negativen oder positiven Zielabweichungen führen können [IDW 2017a]. ISACA betont in seiner Definition insbesondere die notwendige Trennung zwischen Risiko, Bedrohung (Abschnitt 2.1.1) und Schwachstelle (Abschnitt 2.1.2). Risiken beziehen sich demnach auf »the likelihood (or frequency) and magnitude of loss that exists from a combination of asset(s), threat(s) and control conditions« [ISACA 2019].
Ein gemeinsames Element in allen Definitionen ist die unternehmensspezifisch mehr oder weniger stark ausgeprägte Unfähigkeit, das zu steuern, was in Zukunft eintreten wird. Entsprechend lassen sich die Definitionen folgendermaßen zusammenfassen:
Das Risiko
Das Risiko ist ein Maß für Wagnis und Unsicherheit. Es beschreibt die Möglichkeit, als Konsequenz eines bestimmten Verhaltens oder Geschehens durch ein (plötzlich auftretendes) zukünftiges ungewisses Ereignis einen (monetären) Gewinn oder Nutzen (Chance) zu erzielen oder aber einen (monetären) Schaden (Verlust, Misserfolg) zu erleiden bzw. einen erwarteten Vorteil nicht nutzen zu können. Inwieweit im Unternehmen etwas als Schaden oder Nutzen verstanden wird, hängt von den Wertvorstellungen der Risikoverantwortlichen ab.
Möglich sind also positive wie negative Entwicklungen, wenngleich in der (deutschsprachigen) Praxis weniger der Aspekt »Chance« als vielmehr eine eher negative Sicht (Gefahr) vorherrscht.
Ein Risiko wird formal als Kombination (nicht als arithmetisches Produkt!) aus der – empirisch bestimmten – relativen Häufigkeit eines Ereignisses oder – objektiv – seiner Eintrittswahrscheinlichkeit und seiner Auswirkungen beschrieben.
Als Netto-Risiko bezeichnet man ein Risiko, dessen Eintrittswahrscheinlichkeit und/oder Auswirkung durch geeignete Maßnahmen bereits verringert worden ist.
In der Regel werden unter Risiken Netto-Risiken verstanden, da unbehandelte Risiken (Brutto-Risiken) lediglich bei vollkommen neuartigen Risiken und erstmalig bei ihrer Identifikation auftreten. Für sie muss, insbesondere, wenn Eintrittswahrscheinlichkeiten und/oder Auswirkungen hoch sind, umgehend eine Strategie zur Behandlung entwickelt werden. Brutto-Risiken sind daher häufig »Pseudorisiken« [Hunziker 2018b].
Vielfach werden weitere Risikobegriffe verwendet, die sich auch auf die IT übertragen lassen (vgl. Abschnitt 2.1.6).
Kann die Eintrittswahrscheinlichkeit für ein Risiko nicht quantitativ (mit Werten zwischen 0 und 1 bzw. den entsprechenden Prozentwerten) angegeben werden, wird eine qualitative Charakterisierung (bspw. in den Kategorien bestandsgefährdend/existenzbedrohend, sehr hoch, hoch, mittel, gering) verwendet.
Vielfach wird das Risiko auch als arithmetisches Produkt aus Eintrittswahrscheinlichkeit eines Ereignisses und seiner Auswirkungen definiert. Normen sprechen jedoch (siehe obige Definitionen) von einer Kombination. Eine solche Risikoermittlung kann daher unzulässig oder zumindest nicht aussagekräftig genug sein. Die häufig geäußerte Kritik an dieser Definition und Vorgehensweise ist, dass eine rein arithmetische Betrachtung des Produktes aus Eintrittswahrscheinlichkeit und Schadenshöhe mögliche Vorteile und Chancen, etwa aus dem Einsatz neuer, risikoreicher Technologien, unberücksichtigt lässt. Zudem unterschlägt sie den Umstand, dass sich Risiken selten als Punktwerte, sondern – realistischer – als Bandbreiten beschreiben lassen und daher über einen solchen Rechenweg nur selten angemessen abgebildet werden.
Es ist aus diesem Grund hilfreich, eine gewisse Unschärfe in der Bestimmung zuzulassen, Bereiche zu definieren und eine Festlegung auf exakte Werte nur dann vorzunehmen, wenn gesicherte Erkenntnisse vorliegen, die eine belastbare Berechnung erlauben (vgl. auch Abschnitt 2.1.5).
Auswirkungen von Risiken lassen sich in Geldeinheiten (bspw. Schadenskosten), als Zeitangabe (bspw. Dauer einer Störung oder eines Ausfalls) oder als Anzahl (bspw. betroffene IT-Systeme, Anwendungen, Personen) angeben. In anderen Fällen (bspw. Reputationsverlust) oder wenn unterschiedliche Arten von Schäden zusammenfassend dargestellt werden sollen, kann ein einheitenloser Punktwert (Score) verwendet werden.
Risiken können das Unternehmen als Ganzes oder in Teilen betreffen und im Zeitablauf unterschiedlich relevant sein.
Je nach Menge und Qualität der vorliegenden Informationen über Risiken wird unterschieden in:
- »Unknown Unknowns«
vollständig unbekannte und damit für Unternehmen extrem gefährliche Risiken. Sie werden vom Risikomanagement (vgl. Kap. 3) nicht erfasst. Oberstes Ziel ist es daher, alle Risiken zu kennen. - »Known Unknowns«
bekannte, aber noch nicht bewertete/eingeschätzte Risiken - »Known Knowns«
bekannte und bewertete/eingeschätzte Risiken, die behandelt werden
Im Außenverhältnis trägt die Unternehmensleitung stets die gesamte Verantwortung für Risiken.
Mit zunehmender Digitalisierung von Wirtschaft und Gesellschaft sind alle Informationssysteme mit allen ihren Elementen (vgl. Abb. 1–1) einer zunehmenden Vielfalt von Risiken ausgesetzt. Informationssysteme eines Unternehmens werden deshalb als schützenswerte IT-Ressource (IT Asset, IT-Vermögenswert) bezeichnet.
Ein Risiko im Kontext der Entwicklung, des Betriebs oder der Nutzung eines Informationssystems stellt eine Teilmenge aller in einem Unternehmen identifizierten Risiken dar und ist deshalb dem Grundsatz nach nicht anders definiert.
COBIT 5 for Risk definiert »IT risk as business risk, specifically the business risk associated with the use, ownership, operation, involvement, influcence and adoption of IT within an enterprise. IT risk consists of IT-related events that could potentially impact the business. IT risk can occur with both uncertain frequency and impact and creates challenges in meeting strategic goals and objectives.« In vergleichbarer Weise wird im ISACA-Glossary »IT Risk« als »the business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an enterprise« definiert.
Aufbauend auf diesen Definitionen, der Definition in ISO 31000: 2018 und dem Verständnis von Risiken in ISO/IEC 27000:2018 lässt sich entsprechend zusammenfassen:
Ein Risiko im Kontext von Informationssystemen konkretisiert über die obige Definition hinausgehend, mit welcher Wahrscheinlichkeit ein Ereignis mit IT-Bezug zu negativen materiellen und/oder immateriellen Auswirkungen auf die Geschäftstätigkeit des Unternehmens und seiner Partnern führt. Häufig sind mit entsprechenden Ereignissen interne oder externe Bedrohungen aufgrund von Schwachstellen des Informationssystems verbunden. Sie können dabei kurz-, mittel-...