Skip to content

Führen Sie mich durch quantitative versus qualitative Risikoanalyse und definieren Sie ALE, SLE und ARO.

Kurzantwort

Die quantitative Analyse weist konkrete Geldwerte zu, um den erwarteten Verlust zu berechnen; die qualitative Analyse stuft das Risiko auf relativen Skalen (hoch/mittel/niedrig) per Experteneinschätzung ein. Quantitativ verwendet SLE = Vermögenswert x Expositionsfaktor, ARO = erwartete Vorkommen pro Jahr und ALE = SLE x ARO, um den jährlich erwarteten Verlust in Euro auszudrücken.

Risikoanalyse gibt es, um der Leitung zu helfen, vertretbare Entscheidungen darüber zu treffen, wo ein begrenztes Sicherheitsbudget ausgegeben wird. Der CISSP rahmt zwei ergänzende Methoden, und Interviewer wollen wissen, ob Sie sowohl die Rechnung als auch ihre Grenzen verstehen.

Quantitative Analyse

Die quantitative Analyse hängt dem Risiko Geld an, damit Ergebnisse vergleichbar und Budgets begründbar sind. Die zentrale Kette lautet:

  • SLE (Single Loss Expectancy) = Vermögenswert x Expositionsfaktor. Der Expositionsfaktor ist der Prozentsatz des Vermögenswerts, der bei einem Ereignis verloren geht.
  • ARO (Annualized Rate of Occurrence) = wie oft pro Jahr Sie das Ereignis erwarten.
  • ALE (Annualized Loss Expectancy) = SLE x ARO.

Wenn ein Datenspeicher im Wert von 500.000 € einen Expositionsfaktor von 40 % hat, beträgt der SLE 200.000 €. Erwarten Sie das Ereignis alle zwei Jahre, ist der ARO 0,5, also beträgt der ALE 100.000 €. Eine Kontrolle, die 30.000 €/Jahr kostet und den ARO halbiert, ist leicht zu rechtfertigen.

Qualitative Analyse

Wenn verlässliche Zahlen fehlen — Reputationsschaden, Insiderabsicht, neuartige Bedrohungen — stufen Sie das Risiko auf relativen Skalen (hoch/mittel/niedrig oder 1-5) nach Eintrittswahrscheinlichkeit und Auswirkung ein, meist über Workshops, Risikomatrizen und Experteneinschätzung. Das ist schneller und bringt Risiken zum Vorschein, die sich der Messung entziehen, ist aber subjektiv und vor einem CFO schwerer zu verteidigen.

Warum beide wichtig sind

Reife Programme sind hybrid: qualitativ, um die Landschaft schnell zu sichten, quantitativ bei den wenigen Risiken, bei denen die Ausgabe strittig ist. Das Ergebnis fließt in die Risikobehandlung, und was übrig bleibt, ist das Restrisiko, das ein Geschäftsverantwortlicher — nicht das Sicherheitsteam — förmlich akzeptieren muss.

Worauf Interviewer achten

Die ALE-Formel ohne Zögern zu nennen, ein konkretes durchgerechnetes Beispiel zu geben und anzuerkennen, dass quantitative Daten oft knapp sind, weshalb qualitatives Urteil und ein hybrider Ansatz wesentlich bleiben.

Wahrscheinliche Anschlussfragen

  • Wie würden Sie eine Kontrolle rechtfertigen, deren Kosten den von ihr verringerten ALE übersteigen?
  • Warum sind die meisten realen Risikoprogramme hybrid statt rein quantitativ?
  • Was ist Restrisiko und wer muss es akzeptieren?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.