IT Risikomanagement
Mehrwerte des IT-Risikomanagements
Vermeidung von finanziellen Schäden
Ein IT-Ausfall oder Datenverlust kann Geschäftsprozesse lahmlegen und hohe Kosten verursachen (z. B. durch Produktionsausfälle, Bußgelder oder Reputationsschäden). Prävention ist in der Regel günstiger als Schadensbegrenzung.
Erfüllung gesetzlicher Anforderungen
Vorgaben wie die DSGVO oder branchenspezifische Regularien verlangen Maßnahmen zum Schutz personenbezogener Daten und zur IT-Sicherheit. IT-Risikomanagement unterstützt die Compliance.
Erhalt der Wettbewerbsfähigkeit
Ein funktionierendes Risikomanagement ermöglicht es, IT-Innovationen sicher zu nutzen (z. B. Cloud-Dienste, IoT, KI), ohne unnötige Risiken einzugehen – ein entscheidender Faktor in zunehmend digitalen Märkten.
Stärkung von Vertrauen bei Kunden und Partnern
Ein dokumentiertes IT-Risikomanagement stärkt das Vertrauen von Geschäftspartnern und Kunden – besonders bei Ausschreibungen oder Audits ist dies oft ein entscheidender Wettbewerbsvorteil.
Resilienz und Krisenfestigkeit
Unternehmen mit gutem Risikomanagement sind besser vorbereitet auf IT-Notfälle (z. B. Cyberangriffe, Systemausfälle) und können schneller und gezielter reagieren, um den Schaden zu begrenzen.
Möchtest du ein konkretes Beispiel für ein einfaches IT-Risikomanagement im Mittelstand?
Schutz vor Cyberangriffen
Cyberkriminalität nimmt stetig zu, und Mittelständler sind oft attraktive Ziele, weil ihre IT-Sicherheit im Vergleich zu Konzernen häufig schwächer ist. IT-Risikomanagement hilft, Schwachstellen frühzeitig zu erkennen und zu beheben.
Einfachere Priorisierung nach Business Value
Anhand des Maßes der Risikoreduktion (probability * impact => residual probability * residual impact) – bei gleich bewerteten Risiken auch im Abgleich mit dem zu investierenden Aufwand – ergibt sich eine Priorisierung bei der Bearbeitung von Risiken die dabei hilft, die Themen zuerst zu bearbeiten, die die heikelsten Risiken möglichst effizient reduzieren helfen. Hierfür ist es allerdings erforderlich alle vom Team zu bearbeitenden Risiken in einer einer Risikomatrix darstellen zu können.
Werden die Risiken je Business Unit separat betrachtet, so kann auch nur jede Business Unit für sich sinnvoll priorisieren. Eine Priorisierung im Sinne der Unternehmensgruppe für Teams die mehrere oder alle Business Units bedienen ist dann mangels “enterprise view” nicht möglich.
Beispiel-Risikomatrix die sich aus Eintrittswahrscheinlichkeit und Auswirkung bei Eintreten speist.
Vorgehensweise
Transparent machen
Nur mit Risiken die bekannt sind, kann auch adäquat umgegangen werden.
Bewerten
Es hat sich bewährt, jedes Risiko nach den folgenden Kriterien einzustufen um anhand dessen die Dringlichkeit der Behandlung abzuleiten
Eintrittswahrscheinlichkeit
beispielsweise:
| Stufe | Beschreibung | Frequenz / Beispiel |
|---|---|---|
| 1 | Sehr unwahrscheinlich | ≤ 1× alle 10 Jahre |
| 2 | Unwahrscheinlich | 1× in 5–10 Jahren |
| 3 | Möglich | 1× pro Jahr bis alle 3 Jahre |
| 4 | Wahrscheinlich | Mehrmals pro Jahr (z. B. 1× pro Quartal) |
| 5 | Sehr wahrscheinlich / regelmäßig | Monatlich oder häufiger |
Schadensbewertung
💰 Skala für monetäre Schadenshöhe (1–5)
beispielsweise:
| Stufe | Beschreibung | Beispiel / Szenario |
|---|---|---|
| 1 | Sehr gering | Weniger als 5.000 € |
| 2 | Gering | 5.000 – 50.000 € |
| 3 | Mittel | 50.000 – 500.000 € |
| 4 | Hoch | 500.000 – 5 Mio. € |
| 5 | Sehr hoch / existenzbedrohend | Mehr als 5 Mio. € |
Beispiele:
- Stufe 1: Ein kleiner Serverausfall für wenige Stunden
- Stufe 5: Ein Ransomware-Angriff, der Daten verschlüsselt und zu Produktionsstillständen führt
🌟 Reputationsschaden
Reputationsschaden kann schwerer zu messen sein, hat jedoch oft langanhaltende und tiefgreifende Auswirkungen auf das Unternehmen.
Bei dieser Einschätzung geht es darum, wie stark das Vertrauen von Kunden, Partnern und Mitarbeitern durch das Risiko beeinträchtigt werden könnte.
Skala für Reputationsschaden (1–5)
beispielsweise:
| Stufe | Beschreibung | Beispiel / Szenario |
|---|---|---|
| 1 | Kaum spürbar | Geringer negativer Einfluss, kaum öffentliche Wahrnehmung |
| 2 | Gering | Lokale Presseberichterstattung, geringer oder lokal begrenzter öffentlicher Aufschrei |
| 3 | Mittel | Breite öffentliche Diskussion, negative Berichterstattung in den Medien |
| 4 | Hoch | Negative Auswirkungen auf das Markenimage, Kundenbindung leidet erheblich |
| 5 | Sehr hoch / existenzbedrohend | Große, weltweite Medienberichterstattung, Vertrauensverlust bei Kernkunden |
Beispiele:
- Stufe 1: Ein einmaliger Vorfall, der schnell wieder vergessen wird
- Stufe 5: Ein schwerer Datenschutzvorfall, der das Unternehmen weltweit in den Schlagzeilen hält und zu einem massiven Kundenverlust führt
🛠 Kombinierte Schadensbewertung
beispielsweise:
| Risiko | Monetär (1–5) | Reputationsschaden (1–5) | Gesamtbewertung |
|---|
| Risiko | Monetär (1–5) | Reputationsschaden (1–5) | Gesamtbewertung |
|---|---|---|---|
| Ransomware-Angriff | 5 | 5 | 10 |
| Serverausfall | 2 | 3 | 5 |
| Datenverlust | 3 | 4 | 7 |
| IT-Sicherheitslücke durch Ex-Mitarbeiter | 3 | 4 | 7 |
Adäquat behandeln
Akzeptieren
ist für Risiken die eine sehr geringe Eintrittswahrscheinlichkeit haben, und oder zudem geringe Auswirkungen mitbringen durchaus akzeptabel, sofern die verfügbaren Kapazitäten für die Bearbeitung gegen weitere Anforderungen mit höherem Businessvalue abgewogen werden müssen.
Beispiel
- Durch den Ausfall einer nicht redundanten Netzwerkkomponente an einem Standort wären die Mitarbeitenden vom Office aus nicht mehr online arbeitsfähig. => Ausfall extrem unwahrscheinlich und selbst dann können die MA auch über Smartphone Teathering, aus dem Café oder vom Homeoffice aus arbeiten. Ein Ausfall eines einzelnen Routers im Office kann daher akzeptiert werden.
Mitigieren
ist für Risiken die nicht einfach delegiert werden können, deren Eintrittswahrscheinlichkeit real und Auswirkung relevant ist, zumeist der geeignete Ansatz.
Hierfür kann ein Mitigationsplan entwickelt und anhand dessen geprüft werden, ob damit Eintrittswahrscheinlichkeit und oder Schadenspotential relevant reduziert werden.
Idealerweise sollte dieser hinreichend sein, um das dann verbleibende Restrisiko akzeptieren zu können.
Delegieren
Kann z. b. durch Abschluss von Versicherungen oder Einbindung externer Partner mit passender Vertragsgestaltung erfolgen.
black swan, grey rhino, white elefant, black jellyfish – wtf?
Im Risikomanagement gibt es verschiedene Begriffe zur Beschreibung unterschiedlicher Risikoarten, die jeweils durch ein Tier repräsentiert werden. Die IRM-Prüfung „Global ERM Foundation“ Level 1 behandelt die Untersuchung dieser bekannten Unbekannten und weiterer Unbekannter.
Hier ist ein kurzer Überblick über diese anschaulichen Metaphern: Schwarzer Schwan, Graues Nashorn, Weißer Elefant und Schwarze Qualle.
- Schwarzer Schwan
Dieser Begriff wurde 2007 von Nassim Nicholas Taleb in seinem Buch „Der Schwarze Schwan“ geprägt und bezeichnet höchst unwahrscheinliche Ereignisse mit massiven Auswirkungen, die im Nachhinein rationalisiert werden. Schwarze Schwäne sind von Natur aus unvorhersehbar und anhand historischer Daten nicht vorhersehbar. Die Finanzkrise von 2008 und die COVID-19-Pandemie sind typische Beispiele für solche Ereignisse. - Graues Nashorn
Der Begriff „Graues Nashorn“, geprägt von der Politikanalystin Michele Wucker, stellt eine höchstwahrscheinliche, schwerwiegende, aber vernachlässigte Bedrohung dar. Graue Nashörner sind keine zufälligen Überraschungen, sondern treten nach einer Reihe von Warnungen und sichtbaren Anzeichen auf. Das Risiko ist offensichtlich und das Ereignis vorhersehbar. Die Klimakrise ist ein klassisches Beispiel für ein Graues Nashorn. - Weißer Elefant
Ein weißer Elefant bezeichnet eine Investition, deren Unterhaltskosten nicht ihrem Nutzen oder Wert entsprechen. Der Begriff stammt aus alten asiatischen Traditionen, in denen seltene weiße Elefanten als belastende Geschenke verschenkt wurden, da ihre Instandhaltung teuer war und sie nicht als Arbeitsmittel eingesetzt werden konnten. Im Risikomanagement kann ein weißer Elefant ein teures Projekt oder eine Anlage darstellen, die nicht die erwartete Rendite bringt. - Schwarze Qualle
Ein relativ neuer Begriff. Die Schwarze Qualle steht für Risiken, die vorhersehbar sind und große Auswirkungen haben, aber ignoriert werden, weil sie Angst machen oder einfach unangenehm sind. Dieser Begriff kann auf verschiedene soziale, persönliche oder geschäftliche Situationen angewendet werden, in denen Risiken aus Angst oder Besorgnis nicht angegangen werden.
Das Verständnis dieser Begriffe hilft Risikomanagern, effektive Strategien zu entwickeln.
Während uns Schwarze Schwäne daran erinnern, mit dem Unerwarteten zu rechnen und uns auf weitreichende Auswirkungen vorzubereiten, drängen uns Graue Nashörner, offensichtlichen Bedrohungen proaktiv zu begegnen. Weiße Elefanten warnen uns vor Investitionen, die keine angemessenen Renditen abwerfen, und Schwarze Quallen mahnen uns, uns nicht von Angst oder Unbehagen davon abhalten zu lassen, uns erheblichen Risiken zu stellen und sie zu bewältigen.
Diese Tiermetaphern dienen als anschauliche Erinnerung an die verschiedenen Formen von Risiken im Geschäftsleben und im Leben und ermutigen uns, einen umfassenden und proaktiven Ansatz im Risikomanagement zu verfolgen .
3D Data visualization
Das könnte dich auch interessieren
Klassenarbeits-Generator
Was sind Retrospektiven?
