«Das Risiko lässt sich nicht berechnen»

Von der weit verbreiteten Formel zur Berechnung des Risikos hält Rudolf Baer von der BSG Unternehmensberatung in St. Gallen nichts. Und dies, obwohl er sich die Formel vor gut 30 Jahren selbst ausgedacht hat. Die als «Zauberformel» bekannte Gleichung berechnet das Risiko mit Hilfe der beiden Faktoren «Eintrittswahrscheinlichkeit» und «Auswirkung». An der 12. Berner Tagung für Informationssicherheit, die von der Information Security Society Switzerland (ISSS) und vom Informatikstrategieorgan Bund ISB veranstaltet wurde, wirft Baer die Formel über den Haufen. «Sie funktioniert nur, wenn man bereits weiss, was bei der Berechnung herauskommt», erklärt er. «Somit braucht man sie auch nicht», folgert Baer.

Das Problem liegt bei beiden Komponenten der Formel. So sei es unmöglich, die Eintrittswahrscheinlichkeit einer Katastrophe zu benennen. Für eine solche Statistik fehlt den IT-Verantwortlichen schlicht die sogenannte grosse Zahl. Die könne etwa der Versicherer aufweisen, weil er die Schadensfälle der letzten Jahrzehnte kenne. Der Versicherte kann die Rechnung dagegen nicht machen. «Sie sind die kleine Zahl», ruft Baer den Zuhörern zu. Deshalb könne nicht vorausgesagt werden, wann und ob das Rechenzentrum demnächst brenne. Ganz ähnlich verhält es sich laut Baer mit der Auswirkung eines Ereignisses. Vor allem eine Verkettung von ungünstigen Umständen könne hier nicht vorhergesehen werden.

Folglich müsse man im IT Risk Management nicht von den Risiken, sondern von den möglichen Schäden ausgehen. «Denn die Schäden kennen wir oder können sie uns vorstellen», erklärt Baer. So sei ein Computerstillstand von zwei Tagen für ein Unternehmen tödlich oder der Datenverlust der letzten sieben Tage. «Statt sich zu fragen, wie gross die Wahrscheinlichkeit ist, dass dieses Ereignis eintritt, machen Sie lieber vorwärts und räumen Ihr Rechenzentrum auf», rät er den Anwesenden.