Zusammenfassung
Das folgende Kapitel hat die Methode zur Risikobewältigung nach der Grundidee des Portfolioansatzes von Markowitz zum Inhalt. Im Kap. 2.10 wurde die Aufgabenverteilung in der Aufbauorgaisation einer Unternehmung im Zusammenhang mit Risikobewältigung erörtert und der Frage «Wer macht was?” nachgegangen. Daran anknüpfend befasst sich dieses Kapitel mit den ablauforganisatorischen Interdependenzen. Es wird die Frage nach dem «Wie?” der einzelnen Tätigkeiten aufgeworfen, die beim Risk Management im engeren Sinne anfallen. Besonderes Augenmerk wird auf die Vorgehensweise zur Ermittlung effizienter Portfolios gelegt. Abb. 4–1 gibt einen Überblick über den Aufbau des vierten Kapitels.
This is a preview of subscription content, log in via an institution to check access.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Preview
Unable to display preview. Download preview PDF.
Literatur
So wäre die Vorgabe einer restriktiven Sicherheitspolitik in einer «offenen» Anwendungsumgebung nicht sinnvoll, ebenso im umgekehrten Fall, wenn z.B. in einer industriellen Forschungs- und Entwicklungsumgebung nur ein niedriges Sicherheitsniveau realisiert wäre.
vgl. auch Kap. 1.1.2 und Kap. 1.2
Diese Forderung führt zu Simplifizierungen zum Zwecke der Komplexitätsreduktion.
Diese Forderung bedeutet, dass keine Informationsverluste und Verzerrungen auftreten dürfen.
Auch zum Schutz sehr hoher Werte, wie z.B. menschliches Leben, können nicht ausschliesslich nutzenmaximierende Massnahmen gesetzt werden, sondern es müssen budgetäre Obergrenzen beachtet werden.
Denkbar wäre z.B. die Vorgabe eines Wertes in Abhängigkeit vom Kapitalwert der Unternehmung.
So wird für einen Zulieferer von Maschinenteilen eine Produkthaftpflichtversicherung im allgemeinen nicht ausreichen, denn bei häufigen Qualitätsmängeln wird der Zulieferer Marktanteile verlieren und wahrscheinlich aus dem Markt gedrängt werden. Eine leistungsfähige Qualitätskontrolle (d.h. Risikokontrolle) wird als zusätzliche Massnahme realisiert werden.
Strafrecht, Zivilrecht, Steuerrecht
Seitens der Assekuranz sind bei Kleinrisiken ca. 70% der Prämie für Schadenskosten und Schadensreserven vorgesehen. Bei längerfristigen Überschreitungen dieser Kalkulation wird der Versicherer auf einer Prämienerhöhung bestehen [vgl. HOF85, p. 160].
Im Unterschied zum Kleinrisiko, in dessen Berechnung Schadenswahrscheinlichkeit und Schadenshöhe einfliesst, findet beim Kleinschaden nur die Schadenshöhe Berücksichtigung. Ein Kleinschaden kann die konkrete Ausprägung eines Mittel- oder Grossrisikos sein. Zum Beispiel ist Brandgefährdung ein Grossrisiko; wenn jedoch der Brand sehr früh entdeckt wird und der Schaden z.B. nur aus einem zerstörten Papierkorb und einem angesengten Regal besteht, spricht man von einem Kleinschaden.
im Sinne eines «resourceful evaluating maximizing man» (REMM)
Das gilt besonders für politische oder religiöse Fanatiker, Geistesgestörte und Personen, die aus Rache handeln.
„Audit Trail — A set of records that collectively provide documentary evidence of processing used to aid in tracing from original transactions forward to related records and reports, and/or backwards from records and reports to their component source transactions.” [DOD85, p. 1111
[vgl. DOD85, p. 481
„…it is important that a journal be kept of all security-related events, and that there be an analysis of the journal both real time and historically. It is probably more important to know that security has been violated that it is to prevent the violation.” [LEE89, lecture 3, p. 10]
Als Marge wäre z.B. das Verhältnis zwischen Kosten der Massnahme und Ausmass der durch sie erreichten Risikominderung denkbar.
So kann z. B. unternehmensweit der Zutritt zum Betriebsgelände durch Torposten kontrolliert werden. Der Zutritt zu bestimmten Räumlichkeiten wird jedoch zusätzlich durch den Vergleich biometrischer Daten geregelt.
Zur Bewältigung des Risikos «unbefugter Datenzugriff» sei z.B. unternehmensweit ein Passwortmechanismus effizient, dennoch sei das verbleibende Restrisiko nicht tolerierbar. Der Suchvorgang terminiert, da keine effizienten Massnahmen mehr gefunden werden. Der betrachtete Bereich «Daten» soll nun unterteilt werden (z.B. nach dem Kriterium der Vertraulichkeit — Forschungsdaten, Verwaltungsdaten, Kundendaten, öffentliche Daten) und für jeden Teilbereich wird der Massnahmensuchprozess neu durchgeführt.
[vgl. BAEo.J., KRA77, WEC84, pp. 46, W0087, ZIM84, pp. 380]
Damit verbunden ist jedoch die Gefahr, dass isoliert Sicherheitsmassnahmen gesetzt werden, weil sich diese in anderer Umgebung bewährt haben. Es ist unbedingt notwendig, die betrieblichen Nebenbedingungen zu hinterfragen.
Die Finanzierung durch Eigenkapital in der Form von Einlagen, Rücklagen oder nicht entnommenen Gewinn ist bei Einzelunternehmern problemlos möglich. Bei jeder Unternehmensrechtsform, bei der es Anspruchsberechtigte auf Gewinnverteilung gibt (AG, GmbH), ist dies schwieriger. Hier bietet sich die Finanzierung durch Fremdkapital in Form von Rückstellungen an. Dabei ist allerdings die Anerkennung durch den Fiskus fraglich, der diese Art von Rückstellungen als manipulierte Gewinnreduktion deuten könnte.
“… so kann beispielsweise einer organisatorischen Schwachstelle eventuell mit organisatorischen und auch anderen Massnahmen entgegengewirkt werden, andererseits kann eine Massnahme auch mehrere Schwachstellen beseitigen.” [LIP89]
In dieser Arbeit werden die Ausdrücke «Kontrolle» und »Überprüfung» bewusst differenziert. Kontrollen sind in vielen Fällen Teilmechanismen von Sicherheitsmassnahmen. Die Einhaltung von Sicherheitsmassnahmen und die Feststellung ihrer tatsächlichen Effektivität sind selbst wieder Gegenstand von Kontrollen. Für die Kontrolle von Sicherheitsmassnahmen wird in dieser Arbeit der Terminus Überprüfung verwendet.
Dazu ein Beispiel aus der Kryptographie: ein Verschlüsselungsalgorithmus, dessen Funktionsweise geheimgehalten wird, kann nicht auf seine Stärke überprüft werden. Der Benutzer neigt daher eher zur Benutzung öffentlich bekannter Chiffrierverfahren. Das gilt z.B. für den DES-Algorithmus, der vom NBS (National Bureau of Standards) 1977 als «federal information processing standard» angenommen wurde [DES77]. Obwohl die Güte des Algorithmus heftig diskutiert wurde, wird der DES in der Praxis häufig verwendet. Hingegen findet der STEN-Algorithmus, dessen Funktionsweise vom Hersteller geheimgehalten wird, vergleichsweise seltene Anwendung [WOO90].
Das Beispiel der Zutrittskontrolle zu einem Raum illustriert diese Ausführungen: ein Raum mit zwei parallelen, wenn auch kontrollierten Eingängen bietet weniger Sicherheit als die sequentielle Anordnung dieser beiden Kontrollen. Im ersten Fall kann der eine oder der andere Eingang benutzt werden und nur eine Kontrolle ist zu passieren, während im zweiten Fall nur ein Eingang vorhanden ist, an dem zuerst die erste Kontrolle positiv ausfallen muss, um überhaupt zur zweiten zu gelangen [WOO90].
Ein gutes Beispiel für eine Verhinderung des Zugriffs sind die verschiedenen Arten von Virus-Wächterprogrammen. Es gibt Virus-Wächterprogramme, die dem Benutzer eine eventuelle Virusinfektion erst mitteilen nachdem diese stattgefunden hat. Bessere Virus-Wächterprogramme verhindern einen Schreibzugriff und lassen die Infektion nicht zu, sondern bauen mit dem Benutzer vor dem kritischen Schreibzugriff einen Dialog auf. Die erstgenannte Art von Virus-Wächterprogrammen ist zwar nicht ideal, aber immer noch besser als gar keine Gegenmassnahme. (Bei häufiger Programmiertätigkeit wird die erstgenannte Art von Virus-Wächterprogrammen sogar bevorzugt, da der Programmierer die oftmaligen Dialoge störend empfindet.)
Authentifikationstoken funktionieren z.B. nach diesem Prinzip. Diese Hardware führt bestimmte Funktionen auf Informationen aus, die vom System vorgegeben werden. In vielen Fällen sind Authentifikationstoken auch mit kryptographischen Funktionen ausgerüstet. Versuche, ein Token zu öffnen oder im Fall von Chipkarten, Informationen aus gesperrten Speicherbereichen auszulesen, enden mit völliger Sperre aller Funktionen oder Zerstörung des Token [vgl. SPE87].
Image und Sicherheit sind besonders im Bankenbereich eng verbunden. Technische Probleme dürfen keinesfalls in Hörweite des Kunden erörtert werden. Sollte sich die Thematik in einem Kundengespräch nicht vermeiden lassen, so sind Fachausdrücke zu vermeiden und der Sachverhalt allgemein verständlich darzustellen.
So wurden z.B. in an der Universität Zürich bei der Realisierung eines Konzeptes zur Vermeidung und Bekämpfung von Computerviren nur wenige Informationen an den Benutzerkreis «Studenten» weitergegeben. Erklärungen über die Funktionsweise von Computerviren und der Gegenmassnahmen wurden nur in dem Umfang gegeben, wie sie zur Befolgung der Kontrollmassnahme notwendig waren. Bei ausführlicheren Informationen war zu befürchten, dass einige Benutzer erst dadurch angeregt worden wären, Virusprogramme zu implementieren und versuchen würden, die Sicherheitsmassnahmen zu umgehen oder ausser Kraft zu setzen.
[vgl. BAEo.J., KRA89, pp. 85]
Um den Suchprozess nach passenden Massnahmen zu beschleunigen und zu verhindern, dass Massnahmen, die in gar keinem kausalen Zusammenhang zum Risiko stehen, unnötig auf ihre Effektivität hin untersucht werden, sollte ausgehend von den Risikofaktoren über einen funktionalen Ansatz (vgl. Exkurs C) nach passenden Massnahmen gesucht werden.
Eine Mindestanforderung könnte z.B. nur Massnahmen effizient erscheinen lassen, die eine Risikoschmälerung von mindestens 10% bewirken. Die Trennlinie zwischen nichteffizienten und wenig effizienten Massnahmen rückt dann in der Abb. 4–26 nach rechts oben.
An dieser Stelle sollen zwei kleine Beispiele für Ausnahmen dieser generellen Annahme genannt werden:
a) Massnahme 1 sei die Ausstattung einer Aufsichtsperson während der Nacht mit einer Faustfeuerwaffe, Massnahme 2 sei die Ausstattung einer Aufsichtsperson während der Nacht mit Munition. Massnahme 1 für sich allein hat bestenfalls abschreckende Wirkung, wenn ein Eindringling annehmen muss, dass die Waffe geladen ist; Massnahme 2 für sich allein ist völlig wirkungslos. Effektiv ist erst die Kombination beider Massnahmen, wobei abzuwägen ist, welchen Wert das zu schützendende Objekt repräsentiert und welche berechtigten Forderungen an die Unternehmung von Dritten gestellt werden können, falls unsachgemässer Umgang mit der Waffe nachgewiesen werden kann.
b) Der Einsatz eines Sicherheitsbeamten als Massnahme 1 bedeutet eine bestimmte Effektivität E. Der Einsatz von gleichzeitig zwei Sicherheitsbeamten bedeutet nicht unbedingt die doppelte Effektivität 2E. Unter bestimmten Voraussetzungen — eine Aufsichtsperson alleine wäre wachsam gewesen, zwei Aufsichtspersonen spielen während der Dienstzeit miteinander Karten — sinkt die Effektivität sogar unter E.
Ein anschauliches Beispiel für disjunkte Fälle ist eine bestimmte Form A von Brandschutz während der Wochentage und eine andere Form des Brandschutzes B während des Wochenendes.
Die Anwendung von Anti-Virus-Programmen vor Installation oder nach Aufhebung des Schreibschutzes kann durchaus wieder sinnvoll sein, da zu diesem Zeitpunkt die andere Massnahme ausser Kraft gesetzt ist. Im genannten Fall gilt, dass der physische Schreibschutz effektiver ist als ein Anti-Virus-Programm, jedoch nicht immer durchführbar ist, da in vielen Anwendungen Änderungen an den gespeicherten Daten notwendig sind.
So ist z.B. die Massnahme «Sonderzeichenzwang bei der Passwortwahl» u.U. mit aufwendiger Systemprogrammierung verbunden. Die Massnahme «Zwang zum Passwortwechsel in bestimmten zeitlichen Abständen» bzw. «Vorgabe des Passwortes durch das System» erfordert ebenfalls die Lösung von Programmieraufgaben auf Systemniveau. Der gemeinsame Kostenanteil bei Realisierung der genannten Massnahmen ist hoch.
So wird z.B. im allgemeinen die neuerliche Schätzung des Risikos der Entwendung von Datenträgerabfall oder der unbefugten Verwertung von Bildschirmabstrahlung in zeitlich grösseren Abständen erfolgen als die neuerliche Schätzung des Insider-Risikos.
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 1991 B. G. Teubner Stuttgart
About this chapter
Cite this chapter
Strauß, C. (1991). Portfoliomethode zur Risikobewältigung. In: Informatik-Sicherheitsmanagement. Informatik und Unternehmensführung. Vieweg+Teubner Verlag, Wiesbaden. https://doi.org/10.1007/978-3-322-94696-6_4
Download citation
DOI: https://doi.org/10.1007/978-3-322-94696-6_4
Publisher Name: Vieweg+Teubner Verlag, Wiesbaden
Print ISBN: 978-3-519-02186-5
Online ISBN: 978-3-322-94696-6
eBook Packages: Springer Book Archive