Im einem unserer Blogs haben wir die quantitative Risikomatrix bereits vorgestellt. Wir werden hier den Artikel in weiten Teilen zwar wiederholen, diesen aber ergänzen und ein anderes Beispiel zur Veranschaulichung heranziehen.
So wie das Layout der Tastaturanordnung einer Schreibmaschine zum Ziel hatte, den Fluss des Schreibens möglichst wenig zu brechen, ist es Aufgabe der Risikomatrix die Darstellung der Gefahren innert kürzester Zeit zu vereinfachen. Dabei ist zu berücksichtigen, dass in der Anfangszeit der Risikomatrix weder die Technik der Monte-Carlo Simulation noch der Satz von Bayes, geschweige denn die modernen Methoden der statistischen - Bayesschen - Inferenz verbreitet waren, respektive zu viel Zeit in Anspruch nahmen, um alle «Risiken» aggregiert und unter Berücksichtigung von Abhängigkeiten («Korrelationen») entscheidungsrelevant aufzubereiten. Die weiterhin weite Verbreitung der Risikomatrix ist gemäss Ökonomen auf Pfadabhängigkeiten zurückzuführen: Die Menschen sind es einfach gewohnt, Risiken über eine Matrix abzubilden.
Kritiken zur Risikomatrix sind reichlich vorhanden (siehe auch unser Blogbeitrag)1, aber die alternative quantitative Darstellung über ein Tornado Graph (welche auf eine Korrelationsanalyse aufsetzt) braucht eine Umgewöhnung.
Für diejenigen Personen, die eine quantitative Analyse schätzen, die Resultate davon aber in einer Risikomatrix abzubilden haben, können dies mit MC FLO tun.
Ziel einer quantitativen Analyse mittels Monte-Carlo Simulation und unter Verwendung der Bayesschen Statistik ist eine objektiv begründbare Entscheidungsempfehlung unter Berücksichtigung von Unsicherheit, etwa bei den Absatzmengen oder Anzahl Cyberangriffen, welches ein Unternehmen ausgesetzt ist.
Im Kontext der klassischen Unternehmensplanung ist als primäres Ziel die Erwirtschaftung eines ökonomischen Gewinns zu nennen, welches im folgenden Beispiel vereinfacht als Vorgabe "Expected Profit Loss" oder EBIT > 0 subsummiert wird.
Die klassische Planung nimmt oftmals eine Trennung der Treiber vor: Die Aufwände und Umsätze, welches das Unternehmen direkt steuern kann, werden quantifiziert und in die Planungswerkzeuge übernommen; eher nicht direkt beeinflussbare Artefakte wie ein Cyber-Angriff bestenfalls als Szenario, schlimmstenfalls als Bestandteil einer Risikoanalyse mittels Risikomatrix überführt und somit einer integrierten quantitativen Analyse entzogen. Noch schlimmer – weil ineffizient - wird es, wenn die Treiber sowohl in der Unternehmensplanung als auch in der Risikoanalyse ohne Rückkopplung Eingang finden.
Schauen wir uns das Planungsproblem näher an. Das Unternehmen agiert unter Unsicherheit und kann daher den Umsatz („Revenue“) und den Aufwand („Expenses“) folglich nur unter Berücksichtigung von Wahrscheinlichkeitsverteilungen entscheidungsrelevant aufbereiten. Wir nehmen an, dass beide Grössen anhand von Treibermodellen (auf Jahresbasis) generiert wurden.
Für die folgende Analyse fokussieren wir uns jedoch auf das „Risiko“ eines Cyberangriffes. Um Konsistenz in der Planung zu gewährleisten, hat das Unternehmen die einzelnen Ausprägungen wie Anzahl Angriffe pro Monat und Schadensausmass ebenfalls unter Rückgriff auf eine Wahrscheinlichkeitsverteilung aufbereitet. In Bezug auf die Angriffe pro Monat nehmen die Planungsverantwortlichen an, dass diese im Mittel 4 betragen, wobei Werte von 1 und 9 ebenfalls möglich sind (siehe Zelle G6). Diese Werte können aufgrund vergangener Erfahrung, oder – falls keine Daten vorliegen – anhand Daten vergleichbarer Unternehmen aufbereitet sein. Im Extremfall spiegeln diese rein die subjektive Einschätzung („Subject Matter Expert“) wider. Gleiches gilt in Bezug auf den Schadenausmass, wobei hier auf eine Lognormalverteilung zurückgegriffen wird. Anhand des Schadensausmass ist ersichtlich, dass Planungsunsicherheiten im Regelfall nicht normalverteilt sind und von dieser Annahme in vielen Fällen auch abzuraten ist. Durch Kombination des Schadensausmasses mit der Anzahl Fälle pro Monat kann auf den möglichen Aufwand pro Jahr über das Konzept der Faltung geschlossen werden.
Die Treibervariablen (wie Anzahl Angriffe, Schadensausmass) sind im Regelfall nicht unabhängig, der Grad der Abhängigkeit wird im einfachsten Fall über ein Korrelationsmass zum Ausdruck gebracht2. So wird im Modell unter anderem unterstellt, dass zwischen dem Schadensausmass von Cyberattacken und dem Umsatz ein negativer Zusammenhang besteht: mit steigendem Schadenausmass sollte ein geringerer Umsatz (etwa weil Lieferketten ausgefallen sind) zu beobachten sein. Die Struktur des Zusammenhangs wird anhand einer Clayton-Copula umschrieben.
Nach Aufsetzen des Modells und durchgeführter Simulation ist für die Entscheidungsträger von Relevanz, welche Werte in Bezug auf die Zielgrösse (hier EBIT, „Expected Profit Loss“) realistisch sind und welche Treibervariablen massgeblich das Ergebnis beinflussen. Die Steuerung sollte dann auf die massgeblichen Treibervariablen fokussieren.
Damit kommen wir zur bedingten Risikomatrix. Diese stellt die Treibervariablen in das bekannte Raster (Eintrittswahrscheinlichkeit, Schadensausmass) dar, jedoch werden - dem Satz von Bayes folgend - bedingte Wahrscheinlichkeiten in Bezug auf die Zielgrösse abgetragen. Doch der Reihe nach.
Für die Fortführung des Unternehmens ist ein EBIT von >= 0 anzustreben, als riskant sind somit Treibergrössen aufzufassen, welche einen EBIT von < 0 induzieren. Die Simulation zeigt auf, dass in ca. 26% der Fälle ein EBIT < 0 resultiert. Diese 26% Schwelle ist der „value-at-risk“ bei EBIT = 0. Zu prüfen ist, welche Werte der EBIT einnimmt unter der Voraussetzung, dass die Treibergrössen diese Schwelle unter-/ respektive überschreiten. Dabei ist auf die Korrelation zwischen der Treibergrösse und der Zielgrösse (EBIT) abzustützen. Auf der x-Achse der bedingten Risikomatrix ist somit die Antwort auf folgende Frage abgetragen: „Wie hoch ist die Wahrscheinlichkeit, dass der EBIT < 0 ist, gegeben, dass die Treibervariable „a“ die „Value-at-risk“ Schwelle durchbrochen hat?“. Auf der y-Achse der Risikomatrix ist der bedingte Verlust ersichtlich: „Wie hoch ist der durchschnittliche Verlust der Zielvariablen (EBIT < 0), gegeben, dass die Treibervariable „a“ die „Value-at-risk“ Schwelle durchbrochen hat?“.
Für die Treibervariable „Expected Costs Cyber Attack” beträgt anhand des Satzes von Bayes die Wahrscheinlichkeit ca. 94%. Mit 94%-iger Wahrscheinlichkeit wird der EBIT < 0 zu liegen kommen, gegeben, dass die Treibervariable „Expected Costs Cyber Attack” den kritischen Schwellenwert des „Value-at-risk“ von 26% durchbrochen hat. Im Fall, dass diese durchbrochen wurde, wird der EBIT bei ca. -4.2 MCHF betragen.
Wie ersichtlich ist die Variable „Expected Costs Cyber Attack” die entscheidende Treibergrösse, und nicht etwa der Aufwand aus dem operativen Geschäft. Ebenfalls kritisch ist der Umsatzstrom. Dies ergibt sich aus der modellierten Abhängigkeit zwischen dem Umsatz und dem Schadenausmass aus Cyberattacken.
Dass die Modellierung von Abhängigkeiten durchaus kritisch sein kann, ist anhand des Variantenvergleichs ersichtlich. Im Fall, dass keine Korrelationen im Modell berücksichtigt werden, fällt die Value-at-risk Schwelle auf 24% (gegenüber der Schwelle von 26% ist dies immerhin eine 5% Abweichung). Gravierender wird der Sachverhalt jedoch beim bedingten Schaden, dieser fällt von 4.2 MCHF bei der Treibervariablen „Expected Costs Cyber Attack” auf 3.6 MCHF.
Stellen Sie sich vor, dass das Unternehmen über ein Eigenkapital von 3.8 MCHF verfügt. Im Fall ohne Berücksichtigung von Abhängigkeiten würde es in Bezug auf die Variable „Expected Costs Cyber Attack” sich in Sicherheit wiegen, im realistischeren Fall wäre es aber im Erwartungswert Konkurs.
Anhand der Ergebnisse aus der bedingten Risikomatrix kann das Unternehmen nun Massnahmen ableiten und etwa eine Variante hinzuziehen, welche eine Erhöhung der Investitionen in die IT-Infrastruktur im Kombination mit einer gesunkenen Erwartung der Anzahl Cyberattacken aufzeigt. Schliesslich kann das Unternehmen die dargestellten Risiken erst einmal in Kauf nehmen und eine „wait and see“ Strategie fahren.
Trotz der Vorteile einer Simulation und der Präsentation derer Ergebnisse in die bedingten Risikomatrix, jedes Modell muss sich an der Wirklichkeit messen und von dieser lernen. Hier kann die Bayessche Auffassung der Statistik nahtlos anknüpfen und konsistente Aussagen treffen. Gehen wir vereinfacht davon aus, dass die Unsicherheit in Bezug auf die Umsatz- und Aufwandsgrössen aus dem operativen Geschäft, dem Schadensausmass bei einem Cyberangriff als auch die unterstellten Korrelationen gegenüber dem Stand vor Messung der Daten unverändert sind, die Anzahl der Cyberangriffe hingegen aufgrund der gemessenen Daten anzupassen ist (siehe Zellen C28:C31).
Wird von der Annahme ausgegangen, dass jeder Cyberangriff einer Poisson-Verteilung folgt, kann unter Rückgriff der Technik des Markov-Chain Monte Carlo die Posterior Verteilung der Cyberangriffe, welche die modellierten Cyberangriffe vor Messung der Daten mit den gemessenen Daten gewichtet, ermittelt und in eine neue Voraussage per Ende Jahr überführt werden („Latest Estimate“). Während vor Messung der Daten die angenommene Anzahl Cyberattacken pro Monat 4 betrug, sinkt diese aufgrund der gemessenen Daten der Monate 1-4 auf ca. 3 Angriffe pro Monat. Durch die Berücksichtigung der Beobachtungen in die angepasste Voraussage sinkt zudem die Unsicherheit.
Im Endeffekt führt dies dazu, dass die Wahrscheinlichkeit per Ende Jahr ein EBIT < 0 zu messen auf ca. 15% gefallen ist. Die Treibervariablen nehmen demzufolge eine angepasste Position in der bedingten Risikomatrix ein. Schliesslich kann auch beim angepassten „Latest Estimate“ die bedingte Risikomatrix die relevanten Treibergrössen und somit den Handlungsbedarf aufzeigen.
Mit jedem neuen Datensatz kann die Voraussage verfeinert und konsistent angepasst werden. Zusätzlich erlaubt die Bayessche Statistik anzunehmende Veränderungen, welche klassische Zeitreihenmodelle nicht voraussehen können, durch eine angepasste Verteilung der Steuerungsgrössen zu antizipieren. Sie ist somit das Instrument, welches die Kombination von (durch das Management geprägte) subjektivem Empfinden und Daten auf eine wissenschaftliche Basis stellt.
1 Siehe auch The Risk Matrix Approach: Strengths and Limitations (garp.org)
2 Für die Bestimmung der Korrelation kann auf den (linearen) Pearson Korrelationskoeffizienten abgestützt werden, alternativ über den (nicht-linearen) Spearman Rangkorrelationskoeffizient. Zur Beschreibung der Struktur der Abhängigkeit dienen Copulas, etwa die Gauss Copula oder solche mit Namen Clayton, Frank, Gumbel und andere. Ein komplett alternativer Ansatz, die Transinformation, welche auf die Entropie zurückgreift, ist hingegen noch zu wenig verankert.
Kommentar schreiben