In allen Geschäftsprozessen, Abläufen und IT-Systemen stecken Risiken. Es wird in den meisten Fällen keinen Weg geben, diese Risiken zu 100% aus der Welt zu schaffen. Umso wichtiger ist es, dass Sie für Ihr Unternehmen einen Ansatz haben, wie Sie Risiken richtig identifizieren, bewerten und darauf basierend Maßnahmen zur Mitigation der Risiken einleiten. Es ist dabei vor allem die Aufgabe des oberen Managements zu entscheiden, welche Risiken Ihre Organisation bereit ist einzugehen und welche Risiken inakzeptabel sind. Diese Anforderung an die Unternehmensleitung ergibt sich vor allem aus rechtlichen Grundlagen wie dem Aktien- (AktG) und GmbH-Gesetz (GmbHG). Damit das Management dieser Aufgabe nachkommen kann, muss in einem ersten Schritt festgelegt werden, wie der Prozess für das Risikomanagement aussehen soll. Dabei ist grundsätzlich zwischen der quantitativen und der qualitativen Risikoanalyse zu unterschieden. Im Folgenden daher eine Gegenüberstellung beider Herangehensweisen an die Risikoanalyse.
Die quantitative Risikoanalyse hat zum Ziel, Risiken in Form von konkreten Geldbeträgen zum Ausdruck zu bringen. So kann die Höhe eines Risikos beispielsweise über potenzielle Strafzahlungen oder Umsatzverluste definiert werden. Eine quantiative Risikoanalyse basiert auf Rechenmodellen, die das Ziel haben, Eintrittswahrscheinlichkeit und Schadenshöhe möglichst konkret vorherzusagen. Im Folgenden sechs Schritte, wie eine einfache, quantitative Risikoanalyse exemplarisch durchgeführt werden kann:
- Inventarisierung der Assets in einem Unternehmen. Diesen Assets muss ein Wert beigemessen werden, beispielsweise durch den Umsatz, den das Asset generiert.
- Zu jedem Asset wird dann festgelegt, welchen Gefährdungen dieses Asset ausgesetzt ist.
- Anschließend wird pro Asset festgelegt, welcher maximale Schaden bei Störung des Assets entstehen kann.
- Es wird definiert, wie oft diese Gefährdung durchschnittlich in einem Zeitraum auftritt (z.B. pro Jahr).
- Basierend auf Schritt 3. und 4. wird errechnet, welches Schadenspotenzial von dem jeweiligen Asset in dem betrachteten Zeitraum ausgeht (Eintrittswahrscheinlichkeit * Schadenshöhe).
- Durch eine Kosten/Nutzen-Analyse wird anschließend festgelegt, welche Maßnahmen sich wirtschaftlich für den Schutz des Assets umsetzen lassen.
Ein Beispiel: Ein Unternehmen möchte prüfen, ob sich der Abschluss einer Cyberversicherung lohnt. Dafür ermittelt das Unternehmen, welche Assets es im Unternehmen gibt (Schritt 1.) und welche der Assets einer Gefährdung in Form eines Hackerangriffs ausgesetzt sind (Schritt 2.). Anschließend kalkuliert das Unternehmen, welchen Schaden ein Hackerangriff anrichten könnte, indem es das Schadenspotenzial von jedem einzelnen, durch den Angriff betroffenen Asset zusammenaddiert (Schritt 3.). Gehen wir in diesem Beispiel davon aus, dass ein Schaden in Höhe von 10 Millionen Euro entstehen würde.
Im Folgenden muss festgelegt werden, wie oft ein Hackerangriff auftritt. Nehmen wir hierfür an, dass zuletzt vor fünf Jahren ein erfolgreicher Hackerangriff gegen das Unternehmen unternommen wurde. Dies würde bedeuten, dass ein Hackerangriff jährlich mit einer Wahrscheinlichkeit von 0,2 (1/5) auftritt (Schritt 4.). In Schritt 5. werden die Kosten, die durchschnittlich pro Jahr aufgrund von Hackerangriffen auftreten würden, berechnet. Demnach 0,2 (Jährliche Wahrscheinlichkeitsrate) * 10 Millionen Euro (Schaden bei erfolgreichem Hackerangriff) = 2.000.000 Euro Schaden pro Jahr. Dies bedeutet, dem Unternehmen würde im Jahr (theoretisch) ein Schaden in Höhe von 2.000.000 Euro durch Hackerangriffe entstehen.
Demgegenüber lässt sich in Schritt 6. nun ermitteln, ob sich der Abschluss einer Cyberversicherung für das Unternehmen lohnt. Gehen wir davon aus, dass die Versicherung pro Jahr ca. 1.000.000 Euro an Versicherungsprämie kosten würde. Da dem Unternehmen ohne Abschluss der Cyberversicherung rechnerisch jährlich ein Schaden in Höhe von 2.000.000 Euro entstehen würde, die Police aber nur 1.000.000 Euro/Jahr kostet, wird ersichtlich, dass sich der Abschluss der Versicherung für das Unternehmen lohnen würde.
Der Vorteil dieser Art der Risikoanalyse besteht darin, dass ein abstraktes Risiko auf eine konkrete Geldmenge beziffert werden kann. Besonders dann, wenn der Adressat der Risikoanalyse das Management in einem Unternehmen ist, kann dies von Vorteil sein. Schließlich ist es das Management gewohnt, auf Basis von Geldbeträgen zu entscheiden. Insbesondere wenn es um große Investitionen geht, wird sich das Management durch eine quantitative Risikoanalyse in vielen Fällen eher überzeugen lassen.
Statt Risiken mit einem Geldbetrag zu beziffern, geht es bei der qualitativen Risikoanalyse darum, Risiken anhand von Intuition und Erfahrung zu bewerten. Statt also wie im obigen Beispiel eine konkrete Eintrittswahrscheinlichkeit zu berechnen, können Sie sich bei der qualitativen Risikoanalyse eines Rankings bedienen, z.B. durch die Unterscheidung der Eintrittswahrscheinlichkeit nach „unwahrscheinlich“, „wahrscheinlich“ und „sicher“. Selbiges gilt die für die Schadenshöhe. Statt der errechneten Schadenssumme können Sie eine Skala von „niedrig“, „mittel“ und „hoch“ definieren, anhand derer Sie die Schadenshöhe einstufen. Alternativ wäre auch eine Skala von 1-10 für Eintrittswahrscheinlichkeit und Schadenshöhe denkbar.
Um eine qualitative Risikoanalyse bestmöglich durchführen zu können, verwenden Sie sogenannte Szenarien. Ein Szenario ist eine Beschreibung einer Gefährdung und welche Auswirkungen diese Gefährdung auf Assets der Organisation haben könnte. Diese Beschreibung legen Sie dann unterschiedlichen, dem Asset nahestehenden Mitarbeitern Ihrer Organisation vor, die anschließend eine Einschätzung bezüglich Eintrittswahrscheinlichkeit und Schadenshöhe treffen. Desto mehr Personen an einer qualitativen Risikoanalyse teilnehmen, desto besser werden üblicherweise deren Ergebnisse. Dabei hat es sich auch bewährt, verschiedene Hierarchiestufen des Unternehmens unter den Teilnehmern abzubilden. Sie können sich aber z.B. auch externen Experten bedienen, um die Szenarien bestmöglich bewerten zu können.
Beide Ansätze, Risiken zu analysieren, haben Vor- und Nachteile. Die quantitative Risikoanalyse ist besonders geeignet, um mit dem Management in Ihrem Unternehmen zu kommunizieren. Zahlen, insbesondere in Form von Geldbeträgen, machen ein Risiko sehr konkret und eine Entscheidung um so leichter. Die qualitative Risikoanalyse verfügt hingegen über den Vorteil, dass sich diese in vielen Fällen mit deutlich weniger Aufwand umsetzen lässt. Insbesondere für Organisation mit einem noch geringen Reifegrad im Bereich des Risikomanagements dürfte es daher die beste Methode sein, um mit dem strukturierten Analysieren von Risiken zu beginnen.
In vielen Fällen werden Sie zudem feststellen, dass Sie sich zwischen qualitativer und quantitativer Risikoanalyse gar nicht entscheiden müssen. So lassen sich beispielsweise einige Risiken quantitativ gar nicht oder nur teilweise errechnen, sodass Sie zusätzlich eine qualitative Komponente in Ihrer Risikoanalysen heranziehen müssen. Risikoanalysen, die sowohl quantitative als auch qualitative Komponenten haben, werden als hybride Risikoanalysen bezeichnet.