Risikomanagement ist ein essenzieller Bestandteil für den Fortbestand eines Unternehmens oder auch für die Bereitstellung einzelner Dienstleistungen und Services. Dies musste am gestrigen Donnerstag auch ein IT-Dienstleister aus Rheinbach erfahren, der scheinbar durch die Überschwemmungen in NRW beeinträchtigt wurde.
Definition von Risikomanagement
Risiken können vielfältig sein und es ist Aufgabe eines jeden Risikomanagements, die relevanten Risiken zu identifizieren und entsprechende Maßnahmen zu definieren, die die Eintrittswahrscheinlichkeit oder die Schwere der Beeinträchtigung minimieren. Diese Begriffe wollen wir nun kurz definieren:
- Risiko: Ein Risiko definiert die Wahrscheinlichkeit, dass einer der Werte beeinträchtigt wird oder komplett verloren geht. Ein Risiko wird in der Regel durch die Risikowahrscheinlichkeit und die Schwere der Beeinträchtigung beschrieben.
- Schwere der Beeinträchtigung: Sie beschreibt die Auswirkungen, die ein eingetretenes Risiko hätte. Es gibt verschiedene Schadensstufen. Diese reichen von niedrig bis zu kritisch. In der Regel werden die Schadensstufen noch einmal aufgefächert in finanzielle, rechtliche, reputative und andere Auswirkungen. Eine kritische Beeinträchtigung bedeutet immer, dass existenzbedrohende Auswirkungen vorliegen.
- Eintrittswahrscheinlichkeit: Die Eintrittswahrscheinlichkeit beschreibt die Wahrscheinlichkeit, mit der ein Risiko eintreten wird. Sie wird meist in drei Kategorien eingeteilt, nämlich “Niedrig”, “Mittel” und “Hoch”. Die Definition ist abhängig von verschiedenen Faktoren, typisch ist beispielsweise, dass “Niedrig” bedeutet, dass ein Ereignis weniger als einmal im Jahr auftritt und “Hoch”, dass es monatlich auftritt.
- Bedrohung: Eine Bedrohung ist der Grund, warum ein Risiko eintritt. Es kann mehrere Bedrohungen für ein Risiko geben, zum Beispiel könnten Hacker Server angreifen und Webseiten dadurch nicht verfügbar machen oder ein Hochwasser kann zu einem Ausfall der Server sorgen, wenn diese im Keller stehen.
Das Risiko würde für den IT-Dienstleister also wie folgt beschrieben werden: “Die Beeinträchtigung der Dienstleistungen durch eine Naturkatastrophe, zum Beispiel eine Überschwemmung, hat eine niedrige Eintrittswahrscheinlichkeit. Sollte unser Serverraum jedoch überflutet werden, sind die Auswirkungen mindestens “Hoch”, wenn nicht sogar “Kritisch”.
Herausforderung Risiko-Findung
Ein Risiko ist retrospektiv, also im Nachhinein immer eindeutig bestimmt. Die Herausforderung im Risikomanagement ist also Risiken und Bedrohungen vorher zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten. Hierfür sollten Sie verschiedene Stakeholder und Formate nutzen. Beispielsweise einen Workshop, ein Brainstorming, externe Auditoren, Penetrationstests oder Ähnliches. Im Falle des IT-Dienstleisters hätte vermutlich ein Blick in die Gefahren- und Risikokarten des Teileinzugsgebiets Erft beim Ministerium für Umwelt, Landwirtschaft, Natur- und Verbraucherschutz des Landes Nordrhein-Westfalen ausgereicht. Ein Blick dort hätte gereicht, um zu sehen, dass der Unternehmenssitz direkt neben einem Überschwemmungsgebiet des Eulenbachs liegt. Da bei einem Hochwasser auch Grundwasser von oben hochgedrückt wird, hätte das Szenario “Hochwasser” in einem Workshop entdeckt werden können und entsprechende Gegenmaßnahmen gefunden werden können. Dies ist im Nachhinein immer einfach, jedoch scheint dieses Risiko zumindest einschätzbar zu sein.
Nächster Schritt: Risikoanalyse und Gegenmaßnahmen
Im Rahmen der Analyse der Risiken hätten diese nach Kritikalität und Eintrittswahrscheinlichkeit sortiert werden müssen. Dadurch entsteht eine sortierte und priorisierte Ansicht aller Bedrohungen und Risiken, die identifiziert wurden. Nun müssen Gegenmaßnahmen eingeführt werden, um die Eintrittswahrscheinlichkeit oder die Schwere der Beeinträchtigung durch die Gefahren zu minimieren. Eventuell hätte eine Umsiedlung des Serverraums oder eine Redundanz an einem Hochwassergeschütztem Ort den großflächigen Ausfall von Webseiten verhindert.
Risikomanagement ist ein Prozess
Beim Risikomanagement geht es ebenfalls um das Steuern und Lenken von Risiken. Das heißt, es muss am Ende eines Prozesszyklus immer wieder am Anfang gestartet werden, da sich Risiken verändern durch beispielsweise neue Bedrohungen oder neue Gegenmaßnahmen. Eine Redundanz an einem anderen Ort zu erzeugen, würde beispielsweise bedeuten, dass dieser neue Standort ebenfalls eine Risikoanalyse benötigt. Und so dreht sich das Rad des Risikomanagements immer weiter. Wir haben auf GitHub eine Blaupause zum Thema Risikomanagement hinterlegt, die Sie an Ihre individuellen Gegebenheiten anpassen können. Wenn Sie Unterstützung benötigen, kontaktieren Sie uns gerne jederzeit. Wir sind an Ihrer Seite.
Danksagung
Wir haben volle Solidarität mit allen Betroffenen und danken all den Einsatzkräften, Ersthelfer:innen und Freiwilligen für Ihren unermüdlichen Einsatz in den vergangenen Tagen.
