FAIR™ in der Praxis: Der Standard zur Quantifizierung von Cyberrisiken

Die Grundprinzipien von FAIR™

Ursprung der Methode

Jeder Cybersicherheitsverantwortliche kennt die Frage aus dem Vorstandszimmer:

„Welchem Risiko sind wir eigentlich ausgesetzt?"

Jack Jones, damals Chief Information Security Officer (CISO) bei Nationwide Insurance, stand Anfang der 2000er Jahre vor genau dieser Herausforderung. Frustriert von ungenauen Heatmaps und subjektiven Bewertungen begann er, nach einer besseren Methode zur Kommunikation von Cyberrisiken und zur Rechtfertigung des Sicherheitsbudgets zu suchen.

Das Ergebnis seiner Forschung war die FAIR-Taxonomie und -Methode (Factor Analysis of Information Risk), entwickelt im Jahr 2001. Anstatt auf Vermutungen oder qualitative Skalen zu setzen, wurde FAIR als strukturiertes, datengetriebenes Modell zur Risikoquantifizierung konzipiert. Durch eine standardisierte Risikosprache und objektive Eingabegrößen ermöglicht FAIR es, Cybersicherheitsrisiken in klaren geschäftlichen Begriffen zu kommunizieren.

Ein offener Standard

Um die Notwendigkeit einer offenen Standard-Taxonomie und eines quantitativen Risikoanalysemodells anzuerkennen, formalisierte The Open Group FAIR im Jahr 2013 als Teil des Open FAIR™ Body of Knowledge. Es wurden zwei zentrale Standards etabliert, die die Grundlage für die quantitative Risikoanalyse bilden: der Risk Taxonomy Standard (O-RT), der einheitliche Definitionen und Beziehungen zwischen wichtigen Risikofaktoren festlegt, sowie der Risk Analysis Standard (O-RA), der den Prozess zur Durchführung quantitativer Risikobewertungen mit FAIR beschreibt.

Die Kernphilosophie von FAIR

Das primäre Ziel einer FAIR-Analyse ist es, die Entscheidungsfindung zu unterstützen, indem Unsicherheiten über Risiken reduziert werden.

Die FAIR-Taxonomie definiert Risiko als „die wahrscheinliche Häufigkeit und das wahrscheinliche Ausmaß künftiger Verluste". Mit anderen Worten: FAIR hilft dabei zu verstehen, wie oft etwas Negatives eintreten wird und wie viel es kosten wird.

Dieser Ansatz unterscheidet sich von traditionellen qualitativen Methoden, die auf subjektiven Bewertungen wie hoch, mittel oder niedrig basieren. Stattdessen verwendet das FAIR-Modell Organisations- und Branchendaten, um Risiken in monetären Werten und probabilistischen Begriffen zu berechnen.

FAIR hilft CISOs, mit dem Vorstand in einer für ihn verständlichen Sprache zu kommunizieren.

Die FAIR-Taxonomie entmystifiziert

Der Risk Taxonomy Standard (O-RT) stellt eine gemeinsame Sprache für die Risikobewertung bereit und verdeutlicht die Beziehungen zwischen den einzelnen Faktoren. Diese standardisierte Risikosprache gewährleistet Konsistenz über verschiedene Analysen und Organisationen hinweg.

Im Kern von FAIR steht ein einfaches Konzept: Risiken werden in ihre Bestandteile zerlegt, um sie messbar zu machen.

Angenommen, Ihr Unternehmen ist besorgt über Phishing-Angriffe. FAIR hilft Ihnen, dieses Risiko wie folgt zu modellieren:

• Häufigkeit von Bedrohungsereignissen: Wie oft werden Phishing-E-Mails an Ihre Mitarbeiter gesendet?
• Anfälligkeit: Wie wahrscheinlich ist es, dass jemand darauf hereinfällt, basierend auf Schulungen und Schutzmaßnahmen?
• Häufigkeit von Schadensereignissen: Wie oft wird Phishing tatsächlich erfolgreich sein?
• Schadensausmaß: Was sind die Folgen, wenn es gelingt? Gestohlene Zugangsdaten, behördliche Bußgelder, Kundenverlust? Wie hoch sind die Kosten für die Schadensbehebung?

Dieser Ansatz liefert etwas außerordentlich Wertvolles: eine monetäre Risikoschätzung bei gleichzeitiger Reduzierung von Unsicherheiten. Er ersetzt die wenig handlungsorientierten Heatmaps mit „hoch/mittel/niedrig"-Einstufungen. Denn wenn alles als mittleres Risiko eingestuft wird – wie sollen dann Sicherheitsinvestitionen priorisiert werden?

Der FAIR-Risikoanalyseprozess

Die FAIR-Methodik folgt einem strukturierten fünfstufigen Prozess, der im Open FAIR™ Risk Analysis Standard (O-RA) definiert ist und konsistente sowie reproduzierbare Ergebnisse sicherstellt:

• Stufe 1: Schadensszenario identifizieren (Analyseumfang festlegen)
• Stufe 2: Häufigkeit des Schadensereignisses bewerten
• Stufe 3: Schadensausmaß bewerten
• Stufe 4: Risiko ableiten und darstellen
• Stufe 5: Wirkung von Kontrollen modellieren

Die erste Stufe erfordert den größten Zeitaufwand der Risikoteams, da hier Gedanken strukturiert und zahlreiche Faktoren bei der Szenariodefinition berücksichtigt werden müssen.

Cyberrisikoszenarien mit FAIR

Bei FAIR ist eine Analyse nur so stark wie das zugrunde liegende Szenario. Daher ist eine präzise Beschreibung des Szenarios unerlässlich. Ein schlecht formuliertes Szenario wie:

„Ransomware ist ein großes Problem für Krankenhausnetzwerke."

…ist nicht handlungsorientiert. Es bietet nicht genug Spezifität, um die FAIR-Faktoren zu identifizieren, die zum Risiko beitragen.

Um Risiken messbar zu machen, ist ein klares, detailliertes Bild erforderlich. Hier eine verbesserte Version:

„Eine Ransomware-Gruppe verschlüsselt die Gehaltsabrechnungs- und Abrechnungssysteme eines Krankenhauses mittels Verschlüsselungsschadsoftware und Erpressung, was zu Systemausfällen führt, Gehaltszahlungen an Mitarbeiter verzögert und ein Lösegeld gefordert wird."

Die zweite Version liefert spezifische messbare Faktoren:

• Häufigkeit des Schadensereignisses: Wie oft erleben Krankenhäuser Ausfälle infolge eines Ransomware-Angriffs über Verschlüsselungsschadsoftware?
• Schadensausmaß: Wie hoch sind die Kosten pro Ausfallstunde? Welche Bußgelder drohen bei verzögerten Gehaltszahlungen?

„Egal wie ‚unscharf' die Messung ist – es ist dennoch eine Messung, wenn sie mehr verrät als zuvor bekannt war."

Umgang mit Unsicherheit und Quantifizierung

Durch die Quantifizierung von Unsicherheiten mit der FAIR-Methode können Risikofachleute die Genauigkeit und Zuverlässigkeit ihrer Risikobewertungen verbessern und dadurch die kritischsten Risiken besser identifizieren und Maßnahmen priorisieren.

FAIR begegnet Unsicherheit durch verschiedene Techniken und Ansätze:

• Szenarioanalyse
• Gespräche mit Fachexperten
• Kalibrierung
• Verwendung von Wertebereichen (Min, ML, Max) in einem 90%-Konfidenzintervall
• Monte-Carlo-Simulation

FAIR in Ihrer Organisation implementieren

Einstieg mit FAIR

FAIR erfordert keine Richtlinienänderungen oder eine neue Risikomanagementstrategie.

Nutzen Sie die vorhandenen Daten als Ausgangspunkt. Ein Vorteil der FAIR-Analyse besteht darin, dass bereits reichlich Daten vorhanden sind – es geht lediglich darum, diese zu kontextualisieren.

Viele CISOs und Sicherheitsteams profitieren von einer einzigen FAIR-Analyse, die zur Unterstützung einer konkreten Sicherheitsentscheidung eingesetzt wird.

Anwendungsfälle für FAIR

In der Gartner-Studie Cyber Risk Quantification (CRQ): Adoption and Impacts nannten 53 % der IT- und Informationssicherheitsverantwortlichen Cyber-Versicherungen und Compliance-Reporting als wichtigste Anwendungsfälle für die Cyberrisikoquantifizierung.

Weitere Anwendungsfälle sind:

• Verbesserung der Kommunikation mit dem Vorstand
• Angemessene Dimensionierung des Informationssicherheitsbudgets
• KI-Risikobewertungen
• Drittanbieter-Risikomanagement
• Fusionen und Übernahmen

Technologie und Tools

Obwohl eine FAIR-Analyse auch mit Stift und Papier durchgeführt werden kann, profitieren Organisationen von der Automatisierung und Skalierbarkeit, die eine FAIR-basierte Plattform bieten kann. Quantitative Risikomanagement-Plattformen können in bestehende Sicherheitsprozesse und -tools integriert werden, um die Datenerfassung zu automatisieren und den manuellen Aufwand für Risikobewertungen zu reduzieren.

Die Wahl einer CRQ-Plattform sollte stets auf die organisatorischen Bedürfnisse und Ressourcen abgestimmt sein.

Ergänzung von Cyber-Risikomanagement-Frameworks

FAIR ergänzt bestehende Risikomanagement-Frameworks durch quantitative Analysefähigkeiten. Organisationen behalten ihre etablierten Prozesse (ISO 27005, NIST CSF, EBIOS RM) für die Risikoidentifikation und Kontrollauswahl bei und wenden dann die FAIR-Methodik an, um das Risiko mithilfe vieler der im Risikomanagementprozess gewonnenen Datenpunkte zu quantifizieren.

Wesentliche Vorteile von FAIR

Mit FAIR nutzen Risikofachleute transparente, nachvollziehbare und reproduzierbare Methoden zur Quantifizierung von Cyber- und Technologierisiken. Dies stimmt eng mit den sich weiterentwickelnden regulatorischen Anforderungen überein, wie etwa NIS2 und DORA.

• Quantitative, risikobasierte Bewertungen: FAIR übersetzt Cyber- und operationelle Risiken in finanzielle Begriffe und unterstützt datengetriebene Entscheidungsfindung, die Regulatoren zunehmend erwarten.
• Ausrichtung auf regulatorische Frameworks: Regulatorische Frameworks wie NIS2 und DORA fordern risikobasierte Ansätze, Szenarioanalysen und Resilienzplanung. Die strukturierte FAIR-Methodik bietet die notwendige Struktur und Nachvollziehbarkeit, um diese Anforderungen zu erfüllen.
• Verbesserte Zusammenarbeit über Verteidigungslinien hinweg: FAIR etabliert eine gemeinsame Sprache zwischen der ersten und zweiten Verteidigungslinie und fördert so eine effektivere Risikosteuerung und -priorisierung.
• Entscheidungsunterstützung: FAIR unterstützt auch portfolioübergreifende Analysen und ermöglicht es Organisationen zu verstehen, wie sich individuelle Risiken kumulieren und wechselwirken. Diese Perspektive ist für die strategische Planung entscheidend und hilft, Überinvestitionen in Risiken mit geringen Auswirkungen zu vermeiden.
• Transparenz und Prüfbarkeit: Die FAIR-Taxonomie und -Methodik ist ein offener Standard. Sie ermöglicht es Organisationen nachzuweisen, wie Risiken identifiziert, gemessen und gemindert werden.

Durch die Integration von FAIR in einen Risikomanagementprozess stärken Organisationen ihre Risikostrategie und bauen Cyber-Resilienz auf.