Bewertung und Messung von Risiken

Aus Foxwiki

topic - Kurzbeschreibung

Beschreibung

Bewertung und Messung von Risiken

Zwei Phasen
  • Bruttobewertung
  • grundsätzlichen Bedrohungspotenziale werden betrachtet
  • wo liegen Schwerpunkte der Risikosteuerung
  • Nettobewertung
  • Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
  • Aktuelle Risikolage
  • Wir ermittelt
  • Eignung und Angemessenheit bestehender Maßnahmen feststellen
  • Maßstäbe eingrenzen
Vor einer Bewertung der Risiken
  • Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
  • Schätzungen oder Erfahrungswerten durch die Verantwortlichen
  • Worst-Case-Szenario
  • klare Grenzen zwischen den einzelnen Gefahrenstufen
Ampelmodell
  • besonders geeignet
  • Akzeptanzlinie
  • Rote Linie zwischen akzeptablen und kritischem Bereich
Toleranzgrenze
  • Rote Linie zwischen Grenzbereich und inakzeptablem Bereich
  • Risiken, unterhalb dieser Linie, gelten als tolerierbar
  • wenn es möglich ist
  • durch Maßnahmen diese unter Kontrolle zu halten
  • oder sogar in den akzeptablen Bereich zu bringen
  • Festlegung der Grenzen wird durch Verantwortliche vorgenommen
Kriterien
  • Ungewissheit
  • Unsicherheit
  • Abschätzungssicherheit
Ahnungslosigkeit
Ausbreitungsgrad des potenziellen Schadens
  • zeitlicher Ausdehnungsgrad nach Eintritt
Möglichkeit den Ursprungszustand wiederherzustellen
  • z.B durch einspielen eines Backups
Verzögernde Wirkung des Schadens
  • evtl. nicht direkt sichtbar
Mobilisierungspotenzial der beteiligten Mitarbeiter
  • nach einem Schaden weiter zu machen
Ergebnis
qualitative und quantitative Bewertung von Risiken
  • quantitativen Bewertung
  • Schadenshöhe/Intensität der Auswirkung
Eintrittswahrscheinlichkeit
  • qualitative Bewertung
  • Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
  • Bewertung und Messung von Risiken
  • Bewertung und Messung von Risiken
  • Berechnung des Faktors eines Risikos
  • Eintrittswahrscheinlichkeit * Schadenshöhe = Risikofaktor
  • Berechnung des Faktors eines Risikos
Risikobewertung am Beispiel „Changemanagement“
Erfahrungen bei vorrangegangenen Projekten
  • Änderungen während des Projekts
  • z. B. Änderung der Meilensteinen
  • oder im schlimmsten Fall am eigentlichen Projektziel
  • Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können
Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts
  • Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt
  • Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen
  • Changemanagement hat großen Einfluss auf zeitlichen Rahmen und das Projektbudget
  • Warum besteht das Risiko?
  • Kein klar definiertes Ziel
  • Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
  • Oftmals wird der Benutzer nicht in die Planung mit einbezogen
  • Wie wahrscheinlich ist das Risiko?
  • Eintrittswahrscheinlichkeit 5 – sehr hoch
  • Schadenswirkung 4 – hoch
Risikofaktor
  • Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)
  • Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).
  • Bewertung und Messung von Risiken
  • Berechnung des Faktors eines Risikos
  • Beispiele für weitere Risiken (Gefahrenbereiche)
  • Einsatz neuer Technologien
  • W(4) * S(5) = RF(20)
  • Implementierungen ohne Entwurf
  • W(4) * S(4) = RF(16)
  • Unmotivierte Mitarbeiter
  • W(3) * S(5) = RF(15)
  • Mitarbeiterfluktuation
  • W(2) * S(4) = RF(8)
  • Machtkämpfe
  • W(1) * S(2) = RF(2)
  • Unzureichende Reviews
  • W(3) * S(4) = RF(12)
  • Legende:
  • W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor
  • Qualität des IT-Managements
Kernpunkte
  • Planung und Organisation
  • Sind IT-Strategie und Geschäftsstrategie aufeinander abgestimmt?
  • Kann das Unternehmen seine IT-Ressourcen optimal nutzen?
  • Sind die Ziele der IT von allen Mitarbeitern verstanden?
  • Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
  • Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?
  • Beschaffung und Einführung neuer Systeme
  • Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
  • Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
  • Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
  • Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?
  • Betrieb und Unterstützung
  • Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
  • Sind die Kosten optimiert?
  • Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
  • Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?
Überwachung
  • Kann die IT-Performance gemessen werden?
  • Können IT-Probleme rechtzeitig erkannt werden?
  • Risikokommunikation und -berichterstattung
  • Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
  • vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
  • Evaluierung und Modifizierung während eines Projektes nicht ausgeschlossen werden
  • Meetings abhalten
  • Effektivität der Risikoevaluierung und des Risikomanagements einordnen
  • Feedback verwenden, um den Prozess zu verbessern
  • Die wichtigsten Aspekte
  • Kommunikation der Risikoinformationen an alle Stakeholder
  • Motivation zum freien Informationsfluss über alle Risiken
  • Regelmäßige Updates für alle Teammitglieder
  • Einfache Kommunikationsformen untereinander
  • Allen Teammitgliedern muss ständiger Zugriff zu den Risikoinformationen zur Verfügung stehen
  • Standardberichtsformat hat sich Zeit bewährt
  • Inhalt dieses Berichts ist der aktuelle Stand des gesamten Risikomanagementplans
  • Bericht umfasst folgende Punkte
  • Wann wurde die letzte Risikoinventur durchgeführt?
  • Ist die Risikoanalyse aktuell?
  • Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
  • Ist ein Trend abzusehen?
  • Bewertung der getroffenen Maßnahmen zur Risikobewältigung
  • Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
  • Überwachung von Maßnahmen
  • Fragen
  • Wer Überwacht die Maßnahmen?
  • Wer setzt diese eigentlich um?
  • RASCI Methode
  • Überwachung befasst sich zum größten Teil mit folgenden Fragen
  • Responsible (R)
  • Wer ist verantwortlich?
  • Approved/Accountable (A)
  • Wer hat es abgesegnet?
  • Supports (S)
  • Wer setzt es um?
  • Consults (C)
  • Wer hilft bei der Umsetzung („Experte“)?
  • Informed (I)
  • Wer muss benachrichtigt werden?
  • Bewertung
  • Risikomanagement sollte nicht als lästige Pflicht angesehen werden
  • sondern als eine Chance
  • IT-Prozesse optimieren
  • Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
  • Wirtschaftlicher Nutzen des Risikomanagement
  • Je nach der Größe und Bedeutung eines Projektes
  • kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.
  • Bei kleineren Projekten
  • erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
  • Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
  • Brainstorming
  • guter Dokumentation
  • Kommunikation der Risiken
  • Risiken können nicht immer vollständig eliminiert werden
  • aber durch das Risikomanagement beherrschbar bleiben
  • Bedrohungsanalyse
  • Risikoanalyse (risk assessment)
  • Risikobewertung anhand Wahrscheinlichkeiten
  • Eintreten verschiedener Bedrohungen
  • potentieller Schadenshöhe
  • Bewertung der Eintrittswahrscheinlichkeit
  • Geschätzter Aufwand zur Angriffsdurchführung
  • Anzahl der Angriffsschritte
  • Komplexität Angriffsschritte
  • Nutzen für den Angreifer
  • finanziell
  • politisch
  • Reputation
  • Motive des Angreifers, Angreifertyp
  • Script Kiddie
  • Hacker
  • Mitarbeiter
  • Wirtschaftsspion
  • politische Aktivisten
  • Ressourcen / Kenntnisse des Angreifers
  • Know How
  • Werkzeuge
  • Zugänge
  • Bedrohungsanalyse
  • Angriffsbäume
  • Systematische Ermittlung potentieller Ursachen für Bedrohungen
  • organisatorisch
  • technisch
  • benutzerbedingt
  • Vorteile von Angriffsbäume
  • Bedrohungsmodelle werden besser verstanden
  • Bedrohungen besser erkennbar
  • Schutzmaßnahmen besser erkennbar
  • Berechnungen der Sicherheit
  • Sicherheit verschiedener Systeme vergleichbar
  • Visualisierung über Bedrohungs-/Angriffsbäume (attack tree)
  • Wurzel definiert mögliches Angriffsziel
  • Zeichenziele zur Erreichung des Gesamtziels ergeben die nächste Ebene
  • Verwendung von UND- und ODER-Knoten, um Bedingungen zu formulieren
  • Bedeutung des Erreichens von Zeichenzielen
  • Äste verknüpfen Zwischenziele mit höheren Zielen
  • Blätter des Baumes beschreiben einzelne Angriffsschritte


Anhang

Siehe auch


Links

Projekt
Weblinks