Fachthemen
Darstellung einer Methodik zur Quantifizierung von Informationssicherheitsrisiken am Beispiel von FAIR
Sebastian Hoffmann
Abstract
Mit der zunehmenden Digitalisierung und der steigenden Abhängigkeit der Geschäftsprozesse von IT sind Cyber-Security-Risiken zu den bedeutsamsten Geschäftsrisiken geworden. Cybersicherheit ist Chefinnen- und Chefsache und die Unternehmensleitung muss diese nicht nur als IT-Risiko, sondern als strategisches Unternehmensrisiko verstehen und behandeln. Die Erwartung an Risikomanager steigt, Risiken so zu bewerten und zu kommunizieren, dass diese als belastbare Entscheidungsgrundlage genutzt werden können. Im Rahmenwerk COBIT 2019 sowie in den detaillierteren Schwerpunktbereichen Information & Technology Risk und Information Security wird auf Risikoquantifizierung verwiesen und der Prüfungsstandard IDW PS 340 fordert quantitatives Risikomanagement erkannter fundamentaler Risiken und die Aggregationsmöglichkeit ebensolcher.
Quantitative Risikobewertungsmethoden ermöglichen eine Kommunikation auf Augenhöhe mit dem Management, weil diese die Ergebnisse der Risikobewertungen in monetären Größen darstellen. Das Modell Factor Analysis of Information Risk (FAIR) ist laut einer aktuellen Forrester-Studie innerhalb des Information Security Risk Management die beliebteste und bekannteste Methode zur Cyber-Risikoquantifizierung. In diesem Beitrag werden die Schritte beschrieben, wie quantitative Risikobewertungen von Cyberrisiken unter Verwendung des FAIR-Modells erreicht und interpretiert werden können.