Risikomanagement … ist nicht nur schwarzsehen20 | 08 | 21

Gerade im deutschsprachigen Raum verbinden wir mit dem Begriff Risiko immer etwas Negatives. Risiken gilt es zu vermeiden und ihre Auswirkungen sind zu begrenzen. Meist ist das Risikomanagement eine einzige Gefahrenabwehr. Im schlimmsten Fall lähmt es eine Organisation so sehr, dass strategisch wichtige Entscheidungen zu spät oder gar nicht getroffen werden.

Dabei betont das Standardwerk für Risikomanagement, DIN ISO 31000, dass die Auswirkung von Unsicherheiten auf erwartete Ziele eine positive oder negative Abweichung oder sogar beides sein kann. [1]

Verlassen wir die Arbeitswelt und schauen in andere Lebensbereiche sieht man, dass ein Risiko eingehen nicht zwingend damit einher geht, alles zu verlieren. Ganz im Gegenteil: es heißt nicht umsonst „Wer nicht wagt, der nicht gewinnt“. Es gilt also, Risiken abzuschätzen und zu schauen, ob die Gefahr (Bedrohung) oder die Chance (Möglichkeit) überwiegt.

Durch das Bewerten interner und externer Gefahren und Bedrohungen und zugehörige Überlegungen, wie die Auswirkungen vermieden oder begrenzt werden, können Produkte und Prozesse sicherer gemacht werden. Neue Produkte entstehen so in der Regel jedoch nicht. Viel wichtiger für den Fortbestand von Organisationen ist es, Chancen zu erkennen und zu nutzen.

Umgang mit Risiken in Pandemiezeiten

Die Pandemie hat uns gezeigt, dass vieles – nicht alles – durch mobiles Arbeiten effizienter ablaufen kann. Während vor der Pandemie lediglich 3 Prozent der Berufstätigen (1,4 Millionen) ausschließlich, sowie 15 Prozent (6,3 Millionen) teilweise im Homeoffice arbeiteten, waren es Ende 2020 etwa 45 Prozent. Das entspricht 18,8 Millionen Berufstätigen [2]. Firmen, die schon vorher ein ausgeprägtes Bewusstsein für Informationssicherheit und die Vertraulichkeit und den Schutz von Informationen hatten, hatten bei der Umstellung aufs Homeoffice deutlich weniger Probleme und gingen weniger Risiken damit ein. Bei anderen Unternehmen erhöhten die zeitweise Nutzung privater Hardware, schwach gesicherte Zugriffe auf Unternehmensnetzwerke und eine Welle mal schnell neu installierter und angewendeter (Kollaborations-)Tools die Bedrohung durch Cyberattacken. Es wird davon ausgegangen, dass im Jahr 2020/2021 durch Diebstahl, Spionage und Sabotage der deutschen Wirtschaft ein Gesamtschaden von 223 Milliarden Euro entstand. Neun von zehn Unternehmen waren einer repräsentativen Studie zufolge bereits Opfer eines Cyberangriffs [3].

So gut es war, in der Pandemie schnell auf mobiles Arbeiten umzustellen, so wichtig ist es, nun so schnell wie möglich dem Wildwuchs der Corona-Zeit eine Struktur zu geben. Informationssicherheit muss wieder an erster Stelle stehen. Die Organisation muss festlegen, wie ihre Mitarbeiter arbeiten dürfen und die passenden Arbeitsverträge und Betriebsvereinbarungen dafür entwickeln. Der Datenschutz muss entsprechend angepasst werden, das heißt neue Verarbeitungstätigkeiten kommen hinzu.

Homeoffice und mobiles Arbeiten werden sich in kaum einer Risikobetrachtung finden. Und eine jährliche routinemäßige Überarbeitung der Risikobetrachtung wird nicht ausreichen, um erkannte Chancen und Bedrohungen wirkungsvoll zu evaluieren und entsprechend handeln zu können. Auch sind Ad-hoc- und Kurzbewertungen sicherlich nicht die klassischen, internen Audits. Sie in das Auditprogramm des Unternehmens zu integrieren ist noch nicht verbreitet und Diskussionen mit externen Auditoren sind nicht ausgeschlossen. Doch die Chance, durch kurze, regelmäßige und zielgerichtete Bewertungen die Wirksamkeit des Managementsystems, einschließlich der Informationssicherheit, zu erkennen und so die Umsetzung von Verbesserungen und neuen Ideen zu begleiten, liegt auf der Hand [4].

Quellen:

Über den Autor:

Der DGQ-Fachkreis Risiko als Chance wurde gegründet, um das Bewusstsein von Organisationen für mögliche existierende Risiken zu erhöhen und Wege für die praktische Vorgehensweise zu Lösungen methodisch aufzuarbeiten. Der Beitrag wurde von den Fachkreismitgliedern Dr. Holger Grieb, Ines Hansen und Ursula Meiler verfasst.

Ein Kommentar bei “Risikomanagement … ist nicht nur schwarzsehen”

  1. Eines der zentralen Probleme im Umgang mit Chancen und Risiken ist, dass sich nicht an den erwarteten Zeilen orientiert wird, sondern alles in Frage gestellt wird. Damit bläht sich der Betrachtungsraum nur unnötig auf und schreckt viele ab die wirklichen Risiken und Chancen zu betrachten. Für eine fokussierte Betrachtung ist Voraussetzung, dass man die erwarteten Ziele auch klar definiert hat. Aber daran haperts es schon in den meisten Fällen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.