IT-Risiken systematisch bewerten
Die zunehmende Durchdringung der Unternehmen mit Informationstechnologie bringt neben der erhöhten Produktivität auch eine Reihe von Risiken mit sich. „Kritische Geschäftsprozesse sind mittlerweise so stark von der zugrunde liegenden Informationstechnologie abhängig, dass die negativen Auswirkungen von Angriffen, Ausfällen oder sonstigen Beeinträchtigungen dieser Technologien nicht nur einen temporären Stillstand bewirken können, sondern das Potential haben, das Unternehmen nachhaltig zu schädigen“, erklärt Dr. Frank Innerhofer-Oberperfler die Problemstellung, die Ausgangslage für das Forschungsprojekt war. Neben dem aus dieser Tatsache begründeten Interesse der Unternehmen, ihre IT-Risiken zu kennen, entsteht daraus auch eine verstärkte Nachfrage nach der Möglichkeit, diese Risiken zu versichern. „Obwohl die Nachfrage ständig stieg, waren Versicherungen nur zögerlich bereit, entsprechende Produkte anzubieten. Das Fehlen von statistisch aufbereiteten Daten über Schadensfälle ist sicher ein Grund dafür“, so Innerhofer-Oberperfler.
Systematische Risikobewertung
Gemeinsam mit Prof. Ruth Breu von der Forschungsgruppe Quality Engeneering am Institut für Informatik sowie mit den Projektpartnern Swiss Re Germany AG und arctis Softwaretechnologie GmbH startete Dr. Innerhofer-Oberperfler das vom FFG geförderte Projekt BITSEC. „Dabei war unser Ziel, einen Ansatz für die systematische Evaluation von IT-Sicherheitsrisiken zu entwickeln“, beschreibt Innerhofer-Oberperfler. Dazu führten die Informatiker Experteninterviews durch, um mögliche Risikofaktoren zu erfassen. Mithilfe dieser und einer umfassende Analyse von verschiedenen Schadensfällen entwickelten sie ein Tool, das eine systematische Bewertung der IT-Risiken eines Unternehmens ermöglicht. „Der BITSEC Risk Evaluator bildet den gesamten Prozess der Risikobewertung anhand eines modularen Fragebogens ab und mit dem BITSEC Scenario Browser können die im Rahmen des Projekts erarbeiteten Schadensszenarien abgebildet werden“, erklärt der Informatiker. Nach Beantwortung von abgefragten Indikatoren wird durch den BITSEC Risk Evaluator eine Auswertung nach den vier Kriterien IT-Risiko-Exponierung, Qualität des Risikomanagements, Risiko aufgrund der Geschäftstätigkeit und subjektive Einschätzung durch die Nutzer des Tools vorgenommen. Auch eine Taxonomie der zu erwartenden Schäden ist in den entwickelten Systemen abgebildet. Gemeinsam mit dem Rückversicherer Swiss Re wurden diese in mehreren Testläufen evaluiert und laufend angepasst.
Großes Interesse
Auf der Informations- und Kommunikationsmesse CeBIT präsentierte Dr. Innerhofer-Oberperfler die Indikatoren, die sowohl für Rechenzentren als auch generell für Anbieter von Infrastrukturdienstleistungen relevant sind, um deren Potenzial für Drittschäden einzuschätzen. „Die Präsentation stieß auf großes Interesse und ich bin überzeugt davon, dass wir mit unserem Projekt das Fundament für ein sehr weites Forschungsgebiet gelegt haben“, ist der Informatiker überzeugt.
Zur Person
Dr. Frank Innerhofer-Oberperfler ist 1976 in Frankfurt am Main geboren. Er absolvierte das Studium der Betriebswirtschaftslehre mit der Vertiefung Wirtschaftsinformatik und Prüfungslehre an der Leopold-Franzens-Universität. Seit 2004 ist Frank Innerhofer-Oberperfler wissenschaftlicher Mitarbeiter an der Forschungsgruppe Quality Engineering des Instituts für Informatik an der Leopold-Franzens-Universität Innsbruck. Sein Schwerpunkt in Lehre und Forschung ist IT Governance, darunter im Speziellen die Themen an der Schnittstelle von Risikomanagement, Enterprise Architecture und Informationssicherheit.