Risikomanagement … ist nicht nur schwarzsehen20 | 08 | 21

Gerade im deutschsprachigen Raum verbinden wir mit dem Begriff Risiko immer etwas Negatives. Risiken gilt es zu vermeiden und ihre Auswirkungen sind zu begrenzen. Meist ist das Risikomanagement eine einzige Gefahrenabwehr. Im schlimmsten Fall lähmt es eine Organisation so sehr, dass strategisch wichtige Entscheidungen zu spät oder gar nicht getroffen werden.

Dabei betont das Standardwerk für Risikomanagement, DIN ISO 31000, dass die Auswirkung von Unsicherheiten auf erwartete Ziele eine positive oder negative Abweichung oder sogar beides sein kann. [1]

Verlassen wir die Arbeitswelt und schauen in andere Lebensbereiche sieht man, dass ein Risiko eingehen nicht zwingend damit einher geht, alles zu verlieren. Ganz im Gegenteil: es heißt nicht umsonst „Wer nicht wagt, der nicht gewinnt“. Es gilt also, Risiken abzuschätzen und zu schauen, ob die Gefahr (Bedrohung) oder die Chance (Möglichkeit) überwiegt.

Durch das Bewerten interner und externer Gefahren und Bedrohungen und zugehörige Überlegungen, wie die Auswirkungen vermieden oder begrenzt werden, können Produkte und Prozesse sicherer gemacht werden. Neue Produkte entstehen so in der Regel jedoch nicht. Viel wichtiger für den Fortbestand von Organisationen ist es, Chancen zu erkennen und zu nutzen.

Umgang mit Risiken in Pandemiezeiten

Die Pandemie hat uns gezeigt, dass vieles – nicht alles – durch mobiles Arbeiten effizienter ablaufen kann. Während vor der Pandemie lediglich 3 Prozent der Berufstätigen (1,4 Millionen) ausschließlich, sowie 15 Prozent (6,3 Millionen) teilweise im Homeoffice arbeiteten, waren es Ende 2020 etwa 45 Prozent. Das entspricht 18,8 Millionen Berufstätigen [2]. Firmen, die schon vorher ein ausgeprägtes Bewusstsein für Informationssicherheit und die Vertraulichkeit und den Schutz von Informationen hatten, hatten bei der Umstellung aufs Homeoffice deutlich weniger Probleme und gingen weniger Risiken damit ein. Bei anderen Unternehmen erhöhten die zeitweise Nutzung privater Hardware, schwach gesicherte Zugriffe auf Unternehmensnetzwerke und eine Welle mal schnell neu installierter und angewendeter (Kollaborations-)Tools die Bedrohung durch Cyberattacken. Es wird davon ausgegangen, dass im Jahr 2020/2021 durch Diebstahl, Spionage und Sabotage der deutschen Wirtschaft ein Gesamtschaden von 223 Milliarden Euro entstand. Neun von zehn Unternehmen waren einer repräsentativen Studie zufolge bereits Opfer eines Cyberangriffs [3].

So gut es war, in der Pandemie schnell auf mobiles Arbeiten umzustellen, so wichtig ist es, nun so schnell wie möglich dem Wildwuchs der Corona-Zeit eine Struktur zu geben. Informationssicherheit muss wieder an erster Stelle stehen. Die Organisation muss festlegen, wie ihre Mitarbeiter arbeiten dürfen und die passenden Arbeitsverträge und Betriebsvereinbarungen dafür entwickeln. Der Datenschutz muss entsprechend angepasst werden, das heißt neue Verarbeitungstätigkeiten kommen hinzu.

Homeoffice und mobiles Arbeiten werden sich in kaum einer Risikobetrachtung finden. Und eine jährliche routinemäßige Überarbeitung der Risikobetrachtung wird nicht ausreichen, um erkannte Chancen und Bedrohungen wirkungsvoll zu evaluieren und entsprechend handeln zu können. Auch sind Ad-hoc- und Kurzbewertungen sicherlich nicht die klassischen, internen Audits. Sie in das Auditprogramm des Unternehmens zu integrieren ist noch nicht verbreitet und Diskussionen mit externen Auditoren sind nicht ausgeschlossen. Doch die Chance, durch kurze, regelmäßige und zielgerichtete Bewertungen die Wirksamkeit des Managementsystems, einschließlich der Informationssicherheit, zu erkennen und so die Umsetzung von Verbesserungen und neuen Ideen zu begleiten, liegt auf der Hand [4].

Quellen:

• DIN ISO 31000 – Risikomanagement – Leitlinien (ISO 31000:2018)
• Mehr als 10 Millionen arbeiten ausschließlich im Homeoffice, Bitkom e.V., Berlin, 8. Dezember 2020
  https://www.bitkom.org/Presse/Presseinformation/Mehr-als-10-Millionen-arbeiten-ausschliesslich-im-Homeoffice
• Angriffsziel deutsche Wirtschaft: mehr als 220 Milliarden Euro Schaden pro Jahr | Bitkom e.V. 5/8/2021
• Fachkreis Audit und Assessment, DGQplus – FK A_Story 50_Methoden der Ad-hoc- und Kurzbewertung

Über den Autor: DGQ-Fachkreis Risiko als Chance

Der DGQ-Fachkreis Risiko als Chance hat sich zum Ziel gesetzt, das Bewusstsein für mögliche Risiken - Gefahren und Chancen - in den Organisationen zu erhöhen. Der Fokus der Fachkreisarbeit liegt darauf, Unternehmen einerseits die Palette möglicher Risiken aufzuzeigen und andererseits praktische Vorgehensweisen zu deren Lösung methodisch zu ermitteln. Dazu gehört auch, erkannte Gefahren und Bedrohungen gleichzeitig als Herausforderung für mögliche Chancen zu sehen. Wir hoffen, dass wir Ihr Interesse für unseren Fachkreis geweckt haben, und freuen uns über eine aktive Beteiligung. Bei Rückfragen wenden Sie sich gern per E-Mail an fk-risk@dgqaktiv.de.