Wie hoch sind die Kosten eines Ausfalls?

Es ist in der Regel nicht möglich, die Folgen eines Sicherheitsvorfalls exakt zu bewerten. Er kann unmittelbare Schäden verursachen: Geräte und Räumlichkeiten werden zerstört, Aufträge nicht erledigt oder Personen körperlich geschädigt. Sicherheitsvorfälle können aber auch langfristige, schwer zu berechnende Folgen haben: Der Ruf einer Institution leidet, Marktanteile gehen verloren oder Aufträge bleiben aus. Darüber hinaus kann nicht jede Schadensart finanziell beziffert werden: Was kostet beispielsweise ein schlechter Ruf?

Schadenskategorien und Schadensszenarien

In der IT-Grundschutz-Vorgehensweise werden Schutzbedarfskategorien ("normal", "hoch", "sehr hoch") verwendet, um den möglichen Schaden bei einer Verletzung der Sicherheitsziele und damit den Wert von Informationen, Anwendungen, IT-Systemen, Netzen und Räumlichkeiten zu bestimmen. Bei der Notfallvorsorge-Konzeption bietet sich ein vergleichbares qualitatives Verfahren an und zwar die Verwendung von Schadenskategorien.

Der BSI-Standard 100-4 enthält ein Beispiel mit den folgenden vier Kategorien zur Bewertung von Schadensausmaßen:

• "niedrig", wenn ein Ausfall eine geringe, kaum spürbare Auswirkung hat,
• "normal" bei spürbaren Auswirkungen,
• "hoch" bei erheblichen Auswirkungen sowie
• "sehr hoch", wenn ein Ausfall oder eine Beeinträchtigung sich existentiell bedrohlich auswirkt.

Wie bei der Schutzbedarfsfeststellung sollten bei der Bewertung von Schäden nicht nur finanzielle Aspekte berücksichtigt werden, sondern auch weitere Schadenszenarien wie

• Verstöße gegen Gesetze, Vorschriften oder Verträge,
• Beeinträchtigungen des informationellen Selbstbestimmungsrechts,
• Beeinträchtigungen der persönlichen Unversehrtheit,
• Beeinträchtigungen der Aufgabenerfüllung oder
• negative Außenwirkung.

Zusätzlich kann es sinnvoll sein, die berücksichtigten Schadensszenarien zu gewichten, wenn deren Relevanz für die betrachtete Institution unterschiedlich hoch ist.

Große Institutionen können einen Schaden leichter verkraften als kleine, Behörden bewerten finanzielle Schäden möglicherweise anders als vergleichbar große Wirtschaftsunternehmen. Jede Institution muss folglich für sich selber festlegen, wie viele Schadenskategorien sinnvoll sind, wie diese definiert werden und welche Schadensszenarien mit welcher Gewichtung zu berücksichtigen sind.

Auf Schutzbedarfsdefinitionen zurückgreifen

Wann ist ein Schaden hoch? Was ist vernachlässigbar? Was ist untragbar? Die Definition der Schadenskategorien kann bisweilen nicht einfach sein und viele Diskussionen entfachen. Wurde zuvor eine Schutzbedarfsfeststellung gemäß IT-Grundschutz-Vorgehensweise durchgeführt, bietet es sich an, die hierbei gewählten Definitionen auch für die Schadenskategorien zu verwenden. Dadurch vermeiden Sie zum einen unnötige Doppelarbeit. Dies hat zudem den Vorteil, dass die Sicherheitsbewertungen bei Notfallvorsorge- und Sicherheitskonzeption konsistent gehalten werden können.