6.5 Verfahren zur Risikoabschätzung

6.5.1 Einführung

• Anwendung von Methoden der Riskioanalyse aus technischen Umgebungen (Luft- und Raumfahrt, Kernenergie, Umwelttechnik, ...)
• Oberbegriff: Probabilistische Risikoanalyse (PRA, Probabilistic Risk Assessement - PRA)
• Analyseverfahren:

  • Ereignisbaumanalyse (EBA, Event Tree Analysis - ETA)
    Frage: "Was passiert, wenn ein Ereignis eintritt?"
    z.B. Was geschieht beim Eintreffen einer Mail?
  • Fehlerbaumanalyse (FBA, Fault Tree Analysis - FTA)
    Frage: "Wie kommt es zum Eintreten eines (unerwünschten) Ereignisses?"
    z.B. Wie kommt es zum Verlust einer eintreffenden Mail?

• weitere Verfahren der Zuverlässigkeits- und Risikoanalyse

  • Human Reliability Analysis (HRA)
    untersucht Einflußmöglichkeiten durch unerwünschte Handlungen
  • Failure Mode and Effects Analysis (FMEA)
    Methode zur Analyse des Systementwurfs auf potentielle Fehler und Effekte ihrer Auswirkung
  • Entscheidungstabellen (decision table)
    systematische Überprüfung logischer Zusammenhänge im Entwicklungsprozeß

Vorbereitung

• Identifizieren des Risikos in einem bestimmten Zusammenhang
  z.B.: Einkommende Mail kann nicht zugestellt werden,
  Zugriff auf den Web-Server funktioniert nicht,
  Brand im Serverraum, etc.
• Identifizieren relevanter Systeme, Komponenten, Individuen
• Grenzen festlegen (Detailtiefe)

Apthorpe, R.:
A Probabilistic Approach to Estimating Computer System Reliability
in Proceedings of LISA XV, Usenix Assoc., 2001, ISBN 1-880446-05-7
http://www.usenix.org/events/lisa2001/tech/apthorpe.html

Kernighan, B.W.; Pike, R.:
The Practice of Programming
Addison Wesley, 1999, ISBN 0-201-61586-X

Viega, J.; McGraw, G.:
Building Secure Software
Addison Wesley, 2002, ISBN 0-201-72152-X

Neumann, P.G.:
Computer Releated Risks
ACM Press, 1995, ISBN 0-201-55805-X

Hollnagel, E.:
Human reliability analysis: Context and Control
Academic Press, 1993, ISBN 0-12-352658-2