Risikominimierung (Risk Mitigation)

Was ist Risikominimierung (Risk Mitigation)?

Risikominimierung ist eine Strategie zur Vorbereitung auf und zur Verringerung der Auswirkungen von Bedrohungen, denen ein Unternehmen ausgesetzt ist. Vergleichbar mit der Risikominderung werden bei der Risikominimierung Schritte unternommen, um die negativen Auswirkungen von Bedrohungen und Katastrophen auf die Geschäftskontinuität (BC, Business Continuity) zu verringern. Zu den Bedrohungen, die ein Unternehmen in Gefahr bringen können, gehören Cyberangriffe, Wetterereignisse und andere Ursachen für physische oder virtuelle Schäden. Die Risikominderung ist ein Element des Risikomanagements, und ihre Umsetzung ist von Unternehmen zu Unternehmen unterschiedlich.

Was ist das Ziel der Risikominimierung?

Risikominderung ist der Prozess der Planung für Katastrophen und die Möglichkeit, die negativen Auswirkungen zu verringern.

Obwohl das Prinzip der Risikominimierung darin besteht, ein Unternehmen auf alle potenziellen Risiken vorzubereiten, wird ein angemessener Plan zur Risikominderung die Auswirkungen jedes einzelnen Risikos abwägen und die Planung auf diese Auswirkungen ausrichten. Die Risikominderung konzentriert sich auf die Unvermeidbarkeit einiger Katastrophen und wird für jene Situationen eingesetzt, in denen eine Bedrohung nicht vollständig vermieden werden kann. Anstatt ein Risiko zu planen, um es zu vermeiden, befasst sich die Risikominimierung mit den Folgen einer Katastrophe und den Schritten, die vor dem Eintreten des Ereignisses unternommen werden können, um negative und möglicherweise langfristige Auswirkungen zu reduzieren.

Im Idealfall wäre eine Organisation auf alle Risiken und Bedrohungen vorbereitet und würde sie vollständig vermeiden. Ein Plan zur Risikominderung kann einer Organisation jedoch helfen, sich auf das Schlimmste vorzubereiten, indem sie anerkennt, dass ein gewisses Maß an Schaden eintreten wird, und über Systeme verfügt, um dem zu begegnen.

Was umfasst ein Plan zur Risikominimierung?

Bei der Erstellung eines Plans zur Risikominderung gibt es ein paar Schritte, die für die meisten Organisationen standardmäßig sind. Das Erkennen von wiederkehrenden Risiken, das Setzen von Prioritäten bei der Risikominderung und die Überwachung des erstellten Plans sind wichtige Aspekte für eine gründliche Strategie zur Risikominderung.

Es gibt fünf allgemeine Schritte im Entwurfsprozess eines Risikominimierungsplans:

1. Identifizieren Sie alle möglichen Ereignisse, bei denen ein Risiko besteht. Eine Risikominderungsstrategie berücksichtigt nicht nur die Prioritäten und den Schutz der geschäftskritischen Daten jeder Organisation, sondern auch alle Risiken, die aufgrund der Art der Branche oder des geografischen Standorts entstehen können. Eine Risikominderungsstrategie muss auch die Mitarbeiter einer Organisation und deren Bedürfnisse berücksichtigen.
2. Führen Sie eine Risikobewertung durch, die eine Quantifizierung des Risikoniveaus der identifizierten Ereignisse enthält. Risikobewertungen umfassen Maßnahmen, Prozesse und Kontrollen, um die Auswirkungen von Risiken zu reduzieren.
3. Priorisierung der Risiken, das bedeutet eine Einstufung des quantifizierten Risikos in Bezug auf den Schweregrad. Ein Aspekt der Risikominimierung ist die Priorisierung - die Inkaufnahme eines gewissen Risikos in einem Teil der Organisation, um einen anderen besser zu schützen. Durch die Festlegung eines akzeptablen Risikoniveaus für verschiedene Bereiche kann eine Organisation die für die Business Continuity benötigten Ressourcen besser vorbereiten, während weniger geschäftskritische Funktionen gefährdet sind.
4. Verfolgen Sie die Risiken, das heißt überwachen Sie, ob sich der Schweregrad oder die Relevanz der Risiken für das Unternehmen ändert. Es ist wichtig, über aussagekräftige Metriken zu verfügen, um die Entwicklung der Risiken zu verfolgen und die Fähigkeit des Plans zu überprüfen, die Compliance-Anforderungen zu erfüllen.
5. Umsetzung und Fortschrittskontrolle, was eine erneute Bewertung der Effektivität des Plans bei der Identifizierung von Risiken und eine Verbesserung bei Bedarf erfordert. Bei der Business-Continuity-Planung ist das Testen eines Plans unerlässlich. Das ist bei der Risikominderung nicht anders. Sobald ein Plan vorhanden ist, sollten regelmäßige Tests und Analysen durchgeführt werden, um sicherzustellen, dass der Plan auf dem neuesten Stand ist und gut funktioniert. Die Risiken, denen Rechenzentren ausgesetzt sind, entwickeln sich ständig weiter, daher sollten Pläne zur Risikominderung alle Änderungen des Risikos oder veränderte Prioritäten widerspiegeln.

Strategien zur Risikominderung

Es gibt mehrere Arten von Risikominderungsstrategien. Diese Strategien werden häufig in Kombination miteinander eingesetzt, und je nach Risikolandschaft des Unternehmens kann eine Strategie einer anderen vorzuziehen sein. Sie alle sind Teil der umfassenderen Praxis des Risikomanagements.

• Risikovermeidung wird angewandt, wenn die Konsequenzen als zu hoch erachtet werden, um die Kosten für die Abschwächung des Problems zu rechtfertigen. Ein Unternehmen kann sich zum Beispiel dafür entscheiden, bestimmte Geschäftsaktivitäten oder -praktiken nicht durchzuführen, um sich nicht der Gefahr auszusetzen, die sie darstellen könnten. Risikovermeidung ist eine weit verbreitete Geschäftsstrategie und kann von einer einfachen Einschränkung von Investitionen bis hin zu einem Verzicht auf den Bau von Büros in potenziellen Krisengebieten reichen.
• Risikoakzeptanz bedeutet, ein Risiko für einen bestimmten Zeitraum zu akzeptieren, um den Aufwand zur Risikominderung auf andere Risiken zu begrenzen.
• Beim Risikotransfer werden Risiken zwischen verschiedenen Parteien aufgeteilt, entsprechend ihrer Fähigkeit, sich gegen das Risiko zu schützen oder es zu mindern. Ein Beispiel hierfür wäre ein fehlerhaftes Produkt, das mit einem gewissen Anteil an Fremdmaterial hergestellt wurde. Der Hersteller des Produkts kann deshalb die Verantwortung für einen bestimmten Teil des Risikos übertragen.
• Unter Risikoüberwachung versteht man die Beobachtung von Projekten und damit verbundenen Risiken auf Veränderungen der Auswirkungen der damit verbundenen Risiken.

Risiken können sich auf jede Kombination von Leistung, Kosten und Zeitplanung auswirken; daher sollten unterschiedliche Strategien zur Bewältigung von Risiken eingesetzt werden, je nachdem, wie sie sich auf diese Faktoren auswirken. So kann es für ein Unternehmen beispielsweise wichtiger sein, in einem bestimmten Projektszenario gute Leistungen zu erbringen als Geld zu sparen. Das Unternehmen würde wahrscheinlich eine Risikoakzeptanzstrategie anwenden, bei der Risiken, die sich stärker auf die Leistung als auf die Kosten auswirken, vorübergehend Priorität eingeräumt wird.

Bewährte Verfahren zur Risikominimierung

Im Folgenden finden Sie einige Best Practices für IT-Teams zur Risikominderung:

Stellen Sie sicher, dass wichtige Verantwortliche an jedem Schritt beteiligt sind. Dies können Mitarbeiter, Manager, Gewerkschaften, Aktionäre oder Kunden sein. Alle Perspektiven sind wichtig für die Entwicklung einer umfassenden, ganzheitlichen Strategie zur Risikominderung.

Schaffen Sie eine starke Kultur rund um das Risikomanagement. Dies bedeutet, dass die Werte, Einstellungen und Überzeugungen in Bezug auf Risiko und Compliance von oben nach unten kommuniziert werden. Es ist wichtig, dass jeder Mitarbeiter ein Risikobewusstsein hat, aber die Wahrscheinlichkeit einer starken Kultur wird erheblich verbessert, wenn das Management diese Kultur etabliert und vorlebt.

Kommunizieren Sie Risiken, wenn sie entstehen. Das Risikobewusstsein muss in der gesamten Organisation ausgeprägt sein, daher ist es wichtig, die Kommunikation neuer, hochgradig gefährlicher Risiken zu erleichtern, damit alle auf dem Laufenden bleiben.

Stellen Sie sicher, dass die Risikomanagement-Richtlinien klar sind, damit die Mitarbeiter sie befolgen können. Rollen und Verantwortlichkeiten sollten klar definiert sein, und für jedes definierte Risiko muss ein klarer Prozess für den Umgang mit ihm festgelegt werden.

Überwachen Sie fortlaufend mögliche Risiken. Die Verfahren zur Risikoüberwachung sollten ebenfalls klar definiert und implementiert werden, um den Plan zur Risikominderung kontinuierlich zu verbessern.

Tools zur Risikominimierung

Ein häufig verwendetes Werkzeug zur Risikominimierung ist ein Risikobewertungsrahmen (Risk Assessment Framework, RAF). Ein Risikobewertungsrahmen bietet einer Organisation einen Überblick darüber, welche Systeme mit hohem oder niedrigem Risiko behaftet sind, und stellt Informationen sowohl für technisches als auch für nichttechnisches Personal bereit. Ein Risikobewertungsrahmen kann als Werkzeug zur Risikominderung verwendet werden, indem es konsistente Methoden zur Risikobewertung und -berichterstattung bereitstellt.

Zu den gängigen Rahmenwerken, die in den USA verwendet werden, gehören der Risk Management Guide for Information Technology Systems vom National Institute of Standards and Technology (NIST), die Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) von der Carnegie Mellon University und Control Objectives for Information and Related Technology (COBIT) von der Information Systems Audit and Control Association (ISACA). Die Mitre-Website bietet außerdem umfassende Richtlinien zur Risikominderung. Hierzulande finden sich am BSI (Bundesamt für Sicherheit in der Informationstechnik) Informationen zur Risikobewertung.

Einige andere häufig verwendete Tools zur Risikominimierung sind:

• Eine Wahrscheinlichkeits- und Auswirkungsmatrix.
• Eine SWOT-Analyse (Stärken, Schwächen, Chancen, Bedrohungen).
• Eine Analyse der eigentlichen Ursache (Root Cause Analysis).

Neben einem guten Verständnis der internen Bedürfnisse und Ressourcen können auch externe Spezialisten ein nützlicher Bestandteil eines Risikominderungsplans sein. Mehrere BC- und DR-Anbieter (Business Continuity, Disaster Recovery) konzentrieren sich auf die Risikominimierung, und selbst kleinere Organisationen können die Vorteile von DRaaS-Anbietern (Disaster-Recovery-as-a-Service) nutzen, um die Kosten relativ niedrig zu halten.