Duggleby, A. (2011). Software-based automation of risk assessment [Diploma Thesis, Technische Universität Wien]. reposiTUm. https://resolver.obvsg.at/urn:nbn:at:at-ubtuw:1-41076
Wir leben in einer komplexen Welt, in der es nicht mehr möglich ist, sämtliche Zusammenhänge und Auswirkungen unserer Entscheidungen zu überblicken. Im Alltag haben wir gelernt, diese Ungewissheit zu akzeptieren und mit ihr zu leben. Besondere Vorsicht ist allerdings geboten, sobald Dritte von unseren Handlungen betroffen sind.<br />Die Forschung spricht hier von Risiko-Management. Dieses jahrzehntealte Themengebiet hat mittlerweile viele Methoden hervorgebracht, die einer systematischen Behandlung von Risiken ermöglichen. Da allerdings einheitliche Begriffsdefinitionen und vergleichbare Bestimmungsmethoden fehlen, führen die meisten dieser Ansätze zu höchst subjektiv interpretierbaren Resultaten. Weiter verursacht eine fehlende Unterstützung in der praktischen Integration dieser Methoden dazu, dass in Unternehmen nur minimal Risikomanagement eingesetzt wird.<br />Innerhalb des Risikomanagements ist die Risikobeurteilung mit dem größten Aufwand verbunden. Es erfordert das Spezialwissen von Experten, die regelmäßig mit den zu untersuchenden Objekten und Prozessen arbeiten. Diese werden für gewöhnlich persönlich befragt, was einen großen Teil der Risikomanagement-Kosten pro Objekt bedingt.<br />In der vorliegenden Arbeit wird der Versuch unternommen, den Prozess der Risikobeurteilung mittels Softwarelösungen weitestgehend zu automatisieren. Ziel ist es, mit Hilfe einer durchdachten Anwendung die Kosten pro Betrachtungsobjekt zu reduzieren und auf lange Sicht den Wirkunsgrad von Risikomanagement zu maximieren. Das Automatisierungskonzept baut auf eine schematische Erfassung von Ist-Zuständen und einer hierarchischen Aggregation der daraus resultierenden Risikowerte auf. Bereits existierende Risikomanagement-Methoden werden auf ihre Gemeinsamkeiten hin untersucht, um einen generischen Ansatz zu definieren. In Folge wird ein logisches Datenmodell entwickelt, das zur Abbildung spezifischer, auf diesem Modell aufbauender neuer Ansätze dient. Das so abgeleitete technische Datenmodell wurde als Software-Prototyp umgesetzt und anhand einer gebräuchlichen Risikomanagement-Methode getestet.<br />Zu folgenden Ergebnissen kommt diese Arbeit: ein generischer Risikobeurteilungsprozess, der Entwurf eines technischen Datenmodells sowie eine prototypische Softwareanwendung zur Durchführung von Risikobeurteilung (auf Basis von besagtem Datenmodell).<br />
de
Due to the complex world we live the outcome and consequences of the decisions we make cannot be fully understood. We have evolved to cope with this uncertainty in our daily lives. It becomes a challenge when multiple stakeholders are involved and we are held responsible by others for our actions. The field of risk research has occupied researches for decades and produced numerous methods for managing these risks. Even so they are often incompatible with each other and the results are highly subjective causing low adoption rates by organisations.<br />These methods seldom define details in process implementation and a lack of tooling support makes the actual risk assessment phase very cost intensive. The expert sources required are often interviewed personally and the data processed by hand. This ultimately leads to less assets being surveyed.<br />This thesis attempts to automate large parts of the aforementioned process with the help of software tools. The cost of the whole process can be reduced by designing an integrated and automated software solution for risk assessment which in turn allows more assets to be assessed.<br />The basis for the automation is a systematic assessment of the assets state and hierarchical aggregation of the resulting risk levels. Common risk management methodologies were examined, commonalities identified and a generic risk assessment approach defined. A data model was developed to describe processes based on this approach.<br />A software prototype based on the derived technical data model was used to test the validity and aggregation capabilities of the concept based upon a common risk management methodology for IT security.<br />The main results of this work are the generic risk assessment process, the design of a technical model for describing and documenting it and the software prototype application that supports it.