Risikoanalyse mittels BIA
Wir dürfen BIA und Risikoanalyse verwechseln – offiziell.
DORA: Wo aus zwei bewährten Werkzeugen ein stumpfes wird. Zeit, den Werkzeugkasten zu sortieren.
Ein Geniestreich an bürokratischer Effizienz
DORA
Warum zwei Schritte tun, wenn einer doch reicht?
Früher, da trennte man das: man ermittelte mit der Business Impact Analyse (BIA) stoisch den potenziellen (untragbaren) Schaden, um sich danach in der Risikoanalyse (RIA) den Ursachen und ihren Wahrscheinlichkeiten zu widmen.
Auszug aus BSI 200-4
Furchtbar umständlich, oder?
Der moderne Ansatz für die Geschäftsfortführung und eine reibungslose Prüfung ist viel eleganter (DORA Art. 11 Abs. 5 S. 1):
„Als Teil der allgemeinen Geschäftsfortführungsleitlinie führen Finanzunternehmen eine Business-Impact-Analyse (BIA) der bestehenden Risiken für schwerwiegende Betriebsstörungen durch.“*
Abkürzungen sind verlockend. Aber die ewige Formel lautet nun einmal:
Risiko = Schaden x Eintrittswahrscheinlichkeit.
Der Kern bleibt daher simpel: Die BIA liefert das Schadensmaß – nicht die Wahrscheinlichkeit.
Schritt 1: Die BIA – Die Frage nach dem Schmerz.
Die BIA fragt nicht, warum oder wie wahrscheinlichetwas ausfällt. Sie ignoriert die Gefahr. Ihre einzige Frage lautet:
„Welchen Schaden richtet der Ausfall eines Prozesses an – in x Stunden, in x Tagen, in x Wochen?“
So wird die Kritikalität eines Prozesses an seinem Wert für das Unternehmen festgemacht. Ergebnis: eine Prioritätenliste, quasi die Kronjuwelen.
Danach der Blick auf die bestehenden Schutzmaßnahmen (Soll-Ist-Vergleich). Den sparen wir uns hier, um es nicht zu lang werden zu lassen.
DORA
Schritt 2: Die Risikoanalyse – Das Spiel mit den Wahrscheinlichkeiten.
Erst wenn klar ist, was wirklich weh tut, betrachtet man die Risiken. Anhand von Gefährdungen, anhand der konkreten Bedrohungen. Wie wahrscheinlich ist ein Ransomware-Angriff? Ein Hochwasser? Ein langwieriger Stromausfall? Und so weiter.
Das Ergebnis ist ein Risikobild, das beides zusammenführt: die Auswirkung eines Vorfalls und die Wahrscheinlichkeit seines Eintretens. Die klassische Formel hierfür hatten wir bereits oben genannt.
DORA
Trennen, was getrennt gehört
Machen Sie es lieber richtig. Das bedeutet eine saubere, unmissverständliche Trennung.
Die BIA für die Schäden, die RIA für die Risiken.
Denn eines ist sicher: Ein inkonsistenter Risikomanagementansatz schützt nicht, auch wenn es auf dem Papier vielleicht „DORA-konform“ klingt.