„Das Risiko ist hoch.“ Wie oft hast du diesen Satz schon gehört? Und wie oft hast du dich gefragt: Hoch im Vergleich wozu? Hoch bedeutet was genau? Sind 100.000 Euro Schaden hoch oder 10 Millionen? Einmal pro Jahr oder einmal pro Jahrzehnt?
Die traditionelle Risikobewertung in der IT-Security ist voll von solchen schwammigen Aussagen. Wir arbeiten mit Heatmaps, in denen die Farbe Rot „schlimm“ oder „Gefahr“ bedeutet und Grün ist „okay“. Wir multiplizieren dann einfach ganz naiv ordinale Skalen  miteinander, als hätte dies eine echte mathematische Bedeutung. Wir produzieren Berichte, die beeindruckend aussehen, aber keinerlei Basis für echte Entscheidungen zu liefern vermögen.

FAIR (Factor Analysis of Information Risk) ist eine Antwort auf diese Art von Problemstellungen. Und nein! Es ist keine weitere Compliance-Checkbox oder das nächste tolle Audit Excel Sheet. Es ist ein echtes Werkzeug, das dir hilft, Risiken so zu beschreiben, dass ein CFO oder Geschäftsführer mit der Information arbeiten kann und damit in die Lage versetzt wird auch tatsächliche, treffsichere Entscheidungen zu treffen.

Was macht FAIR zu etwas Besonderem

FAIR ist kein Framework im klassischen Sinne. Es ist keine Checkliste, die du abhaken kannst oder musst. Es ist eine vollständige Methode, um Risiken zu analysieren und zu quantifizieren. Es kann diese nämlich in Zahlen auszudrücken und mit diesen Zahlen kann man auch rechnen.
Der fundamentale Unterschied zu traditionellen Ansätzen: FAIR arbeitet mit Wahrscheinlichkeitsverteilungen anstelle von Punktschätzungen. Statt zu sagen: „Das Risiko ist hoch“, sagt FAIR: „Mit 90-prozentiger Wahrscheinlichkeit liegt der jährliche Verlust zwischen 500.000,- und 2 Millionen Euro.“
Das klingt zunächst nach Scheingenauigkeit. Ist es aber nicht. Es ist der Ausdruck von ehrlicher Unsicherheit. FAIR zwingt dich, deine Annahmen explizit zu machen. Deine Argumente werden belastbar. Das ist unendlich wertvoller als eine simple rote Ampel, hinter der niemand weiß, welche Annahmen stecken.

Die FAIR-Taxonomie: Das Risiko zerlegen

FAIR zerlegt das Risiko in seine atomaren Bestandteile. Das ist der erste Schritt zu jeder quantitativen Analyse: Wir müssen verstehen, woraus das Ding eigentlich besteht.
Risiko im Sinne von FAIR, ist die Kombination aus zwei Faktoren: der Häufigkeit von Verlusteeignissen (Loss Event Frequency) und dem Ausmaß des Verlusts (Loss Magnitude), wenn ein solches Ereignis auch tatsächlich eintritt. Also ziemlich klassische Definition von Risiko.
Die Häufigkeit wiederum ergibt sich aus zwei Komponenten: Wie oft wird ein Asset einer Bedrohung ausgesetzt (Threat Event Frequency)? Und wie wahrscheinlich ist es, dass diese Bedrohung dann auch erfolgreich ist (Vulnerability)?
Das Ausmaß des Verlusts hängt von verschiedenen Faktoren ab: direkte Kosten wie Wiederherstellung und Incident Response, aber auch Produktivitätsverluste, Reputationsschäden, Strafzahlungen, Wettbewerbsnachteile und vieles andere mehr.
Diese Zerlegung ist keine akademische Übung. Sie ist praktisch und extrem wertvoll, weil sie zeigt, an welchen Stellschrauben du drehen kannst. Kannst du die Häufigkeit der Bedrohungsexposition senken? Die Schwachstellen reduzieren? Den potenziellen Schaden begrenzen? FAIR macht diese Optionen sichtbar.

Ein praktisches Beispiel

Lass uns das konkret machen. Stell dir vor, du analysierst das Risiko eines Ransomware-Angriffs auf dein Unternehmen.

Schritt 1: Threat Event Frequency – Wie oft wird dein Unternehmen Ransomware-Angriffsversuchen ausgesetzt? Basierend auf Branchendaten und deiner eigenen Telemetrie schätzt du: zwischen 50 und 200 Mal pro Jahr werden Phishing-Mails mit Ransomware an deine Mitarbeiter geschickt.

Schritt 2: Vulnerability – Wie wahrscheinlich ist es, dass ein solcher Angriff erfolgreich ist? Du hast Awareness-Trainings, E-Mail-Filter, Endpoint Protection. Aber du weißt auch, dass nicht alles perfekt ist. Deine Schätzung: 1% bis 5% der Versuche könnten erfolgreich sein.

Schritt 3: Loss Event Frequency – Die Kombination ergibt: zwischen 0,5 und 10 erfolgreiche Angriffe pro Jahr. Das ist eine breite Spanne, aber sie ist ehrlich – wir wissen es nicht genauer.

Schritt 4: Loss Magnitude – Was kostet ein erfolgreicher Angriff? Du zerlegst das in Komponenten: Ausfallzeiten (vielleicht 3-7 Tage), Wiederherstellungskosten (50.000,- bis 200.000,- Euro), mögliches Lösegeld (falls ihr zahlt), Reputationsschaden (schwer zu beziffern, aber real). Insgesamt schätzt du: 200.000,- bis 2 Millionen Euro pro Ereignis.

Schritt 5: Simulation – Jetzt kommt nicht Magie ins Spiel sondern Wissenschaft: Mit der Monte-Carlo-Simulationen kannst du tausende möglicher Szenarien durchspielen. Das Ergebnis ist eine Verteilung des erwartbaren jährlichen Verlusts. Vielleicht sieht das so aus: Median bei 400.000,- Euro, das 90. Perzentil liegt dann bei 1,8 Millionen Euro.

Die Stärke der Verteilungen

Warum ist diese errechnete Verteilung so wertvoll? Weil sie Entscheidungen ermöglicht, die Punktschätzungen nicht ermöglichen können.
Stell dir vor, du hast ein Budget von 500.000,- Euro für Security-Maßnahmen. Du kannst damit die Vulnerability um etwa 50% senken – bessere Tools, mehr Training, strengere Kontrollen. Was bringt das?
Mit FAIR kannst du das ausrechnen. Du simulierst das Szenario erneut mit der reduzierten Vulnerability. Das neue 90. Perzentil liegt dann vielleicht bei 900.000 Euro statt 1,8 Millionen. Die Investition von 500.000,- Euro reduziert also das Worst-Case-Risiko um 900.000,- Euro. Das ist ein Argument, mit dem du zum Vorstand gehen kannst.

Häufige Einwände – und warum sie nicht bestehen

„Aber die Zahlen sind doch geraten!“ – Ja und nein. Es sind Schätzungen, aber strukturierte Schätzungen. Und, strukturierte Schätzungen sind systematisch besser als unstrukturierte Bauchgefühle. Außerdem: Die Alternative ist nicht, keine Annahmen zu machen. Die Alternative ist, Annahmen zu machen, ohne sie zu explizieren. Das ist viel schlimmer.

„Wir haben keine Daten für diese Schätzungen.“ – Wahr ist: Wir haben mehr Daten, als wir denken. Branchenberichte, Incident-Statistiken, Versicherungsdaten, deine eigene Telemetrie. Und wo Daten fehlen, hast du Experten, die schätzen können. Der Trick ist allerdings, diese Schätzungen zu trainieren – also zu lernen, wie gut deine Experten schätzen, und das in die Unsicherheit einzubauen.

„Das ist zu kompliziert für unser Team.“ – FAIR hat eine Lernkurve, ja das stimmt. Aber es gibt Tools, die den mathematischen Teil übernehmen. Du musst keine Monte-Carlo-Simulation von Hand programmieren. Was du brauchst, ist ein Verständnis der Methode und die Disziplin, Annahmen zu dokumentieren.

FAIR in der Praxis: Tipps für den Einstieg

Wenn du FAIR ausprobieren willst, hier ein paar Tipps aus meiner Erfahrung.
Fang klein an. Nimm ein überschaubares Szenario – einen spezifischen Angriffstyp auf ein spezifisches Asset. Versuche nicht, beim ersten Mal das gesamte Risikoportfolio zu analysieren.
Nutze verfügbare Ressourcen. Das FAIR Institute bietet Trainings und die OpenGroup auch Zertifizierungen an. Es gibt Open-Source-Tools für die Simulation. Es gibt Bücher und Online-Kurse. Du musst das Rad nicht neu erfinden. Und du kannst dich auch immer gerne an mich wenden!
Arbeite mit Bereichen, nicht mit Punkten. Wenn dich jemand fragt: „Wie hoch ist die Wahrscheinlichkeit?“, antworte nie mit einer einzelnen Zahl. Antworte immer mit einem Bereich. „Zwischen 5% und 15%“ ist besser als „10%“, und es ist auch wesentlich ehrlicher.
Dokumentiere deine Annahmen. Jede Schätzung sollte nachvollziehbar sein. Warum hast du diesen Bereich gewählt? Auf welche Quellen stützt du dich? Das macht die Analyse nicht nur transparenter, sondern auch reproduzierbar und updatefähig.
Wiederholung! Deine erste Analyse wird unvollkommen sein. Das ist okay. FAIR ist darauf ausgelegt, mit neuen Informationen ständig aktualisiert zu werden. Eine ungenaue Analyse, die du verfeinerst, ist wertvoller als gar keine Analyse.

FAIR und die Vorstandskommunikation

Ein oft unterschätzter Vorteil von FAIR ist: Es verändert auch die Art und Weise, wie du mit dem Vorstand sprechen kannst.
Traditionelle Risiko-Reports sind oft eine Ansammlung von roten, gelben und grünen Kästchen. Der Vorstand nickt, fragt vielleicht nach den roten Kästchen, und dann geht man zur Tagesordnung über. Echte Diskussion? Selten. Budgetfragen? Vertagt.
Mit FAIR kannst du anders kommunizieren. Zum Beispiel so: „Unser größtes Cyber-Risiko hat mit derzeitigen Maßnahmen einen erwarteten jährlichen Verlust von 800.000,- Euro, mit einem 90%-Konfidenzintervall bis zu 3 Millionen Euro. Eine Investition in die vorgeschlagenen Maßnahmen von 400.000,- Euro würde dieses Risiko um etwa 40% senken.“ Das ist eine Aussage, über die man diskutieren kann. Das ist eine Grundlage für eine konkrete und belastbare Entscheidung.
Vorstände sind gewohnt, mit Finanzzahlen zu arbeiten. Sie verstehen Wahrscheinlichkeiten, sie verstehen ROI. Durch FAIR sprichst nun auch du ihre Sprache.

Die Grenzen von FAIR

FAIR ist aber auch kein Wundermittel. Es gibt echte Grenzen.

Erstens! Es gilt wie so oft: Garbage in, garbage out. Wenn deine Schätzungen schon systematisch falsch sind, werden auch die Ergebnisse falsch sein. FAIR macht Schätzungen nicht automatisch richtig – es macht sie nur explizit und damit korrigierbar.

Zweitens! Nicht alles ist quantifizierbar: Manche Risiken, wie etwa Reputationsschäden oder strategische Konsequenzen, sind schwer in Euro zu fassen. Aber FAIR bietet auch Methoden dafür an. Du kannst Soft-Values indirekt messen. Dazu gehören Mitarbeiterzufriedenheit genauso wie der Reputationsschaden. Das sind dann z.B. zusätzliche Investitionen in Marketing und Werbung um das verloren gegangene Kundenvertrauen wieder aufzubauen. Umsatzrückgänge und vieles mehr. Du siehst auch „weiche Werte“ können wir muss und bleiben ebenso mit Unsicherheit behaftet, die wir entsprechend ausweisen und berücksichtigen können.

Drittens! FAIR erfordert Aufwand: Eine gute FAIR-Analyse braucht Zeit, Expertise und Datenerhebung. Für triviale Entscheidungen ist das sicher ein Overkill. FAIR lohnt sich dort, wo viel auf dem Spiel steht. Also bei den kritischen Werten.

Fazit: Von der Meinung zur Methode

FAIR ist keine Revolution. Es ist die konsequente Anwendung von etwas, das in anderen Bereichen längst Standard ist: quantitative Risikoanalyse. In der Finanzwelt, im Versicherungswesen, im Engineering – überall dort wird Risiko in Zahlen ausgedrückt. Warum sollte Cybersecurity dann die einzige Ausnahme sein?

Der Übergang von qualitativen zu quantitativen Methoden ist nicht trivial. Er erfordert ein wenig Umdenken, etwas neue Skills, manchmal auch andere Tools. Aber er lohnt sich. Weil er bessere Entscheidungen ermöglicht. Weil er die Kommunikation mit dem Business verbessert. Weil er Security von einem Kostenfaktor zu einem messbaren Wertbeitrag macht. Und weil er das Unternehmen tatsächlich sicherer macht.

FAIR ist ein Werkzeug. Es macht dich nicht automatisch zu einem besseren Security-Profi. Aber es gibt dir die Möglichkeit, dein Wissen in eine Form zu bringen, die Entscheidungen für die optimale Sicherheit der Mitarbeiter, der Gesellschaft und des Unternehmenserfolges ermöglicht.

Und das ist am Ende das, worum es wirklich geht.

—

Mehr Informationen zu FAIR findest du beim FAIR Institute (fairinstitute.org). Für den Einstieg empfehle ich das Buch „Measuring and Managing Information Risk“ von Jack Freund und Jack Jones.