Wirksames Risikomanagement

Wirksames Risikomanagement

3. September 2022 - Umsetzung wichtiger als Analyse?
Artikel erschienen in IT Magazine 2022/09
In vielen Unternehmen ist es auch heute noch üblich, dass sich Führungsverantwortliche aus dem oberen Management, der Geschäftsleitung und allenfalls auch aus dem Verwaltungsrat einmal jährlich zusammensetzen, um die aktuelle Risikolage zu erheben und zu bewerten sowie dann entsprechende risikomindernde Massnahmen festzulegen - um dann diese Aufgabe für die kommenden 12 Monate als erledigt abzuhaken.

Mit Freude habe ich daher im Artikel von Matt Liang und Zultan Bucsko gelesen, dass solche Risikobewertungen (von Technologie- und anderen Risiken) teilweise monatlich oder sogar noch häufiger durchgeführt werden (sollten). Und kaum habe ich diesen Gedanken zu Ende gedacht, prasselte eine Serie von kleineren und grösseren «Aber» auf mich ein. Monatliche und häufigere Risikobewertungen können ja z.B. im Bereich des operativen Virenschutzes oder der Cybersicherheit schon Sinn machen - bei den allermeisten Risiken, die uns als Unternehmen innerhalb und ausserhalb der IT beschäftigen, ist wohl drei bis vielleicht vier Mal jährlich wesentlich zielführender!
Dafür gibt es zahlreiche Gründe, auf die ich nachfolgend nur beispielhaft eingehen kann:

- Wenn ich mich auf einem Segelschiff auf hoher See befinde und noch 5000 Meilen bis zum nächsten Hafen fahren muss, macht es wenig Sinn, den eigenen Standort in kurzen Intervallen zu überprüfen: Ich weiss ja, in welche Richtung ich mich bewegen muss - ich schaue also regelmässig, ob das Segel gut im Wind steht, ob der Bug in die korrekte Richtung zeigt usw. Auf das Risikomanagement übertragen heisst das, dass es viel mehr Sinn macht, sich um eine zeitnahe und inhaltlich korrekte Umsetzung der geplanten Sicherheitsmassnahmen und -projekte zu kümmern, als durch (zu) häufige Bewertungen zu erkennen, dass man noch keine grossen Verbesserungen der Risikolage erreicht hat.

- Damit man geplante Verbesserungen der Risikolage wirklich erreichen kann, benötigt man offensichtlich ausreichend viele ausreichend qualifizierte Ressourcen. Hierin liegt wohl das grösste Problem im Zusammenhang mit Risikomanagement: «Ausreichend viel» heisst, dass interne oder externe Mitarbeitende angestellt werden müssen - das kostet (viel) Geld, welches generell und im Moment erst recht nicht gerne zur Verfügung gestellt wird. «Ausreichend qualifiziert» ist aber schon seit Jahren das viel grössere Problem: Auch wenn z.B. nur schon an der Hochschule Luzern, wo ich als Dozent auch im Einsatz stehe, viele sehr gute CAS/DAS/MAS im Bereich IT-Sicherheit durchgeführt werden, reicht die Zahl der jeweils erfolgreichem Absolventen an allen Fachhochschulen der Schweiz überhaupt nicht aus, um den Bedarf zu decken. Auf unsere Risikolage bezogen heisst das, dass wir in den allermeisten Fällen gar nicht genug an der Verminderung der erkannten Risiken arbeiten können. Dann macht es definitiv keinen Sinn, im Zweiwochenrhythmus eine neue Beurteilung vorzunehmen.

- Zu häufige Neubewertungen führen übrigens in den allermeisten Fällen zu Bewertungsschwankungen (lies fiktiven Verbesserungen), ohne dass sich an den Risiken etwas geändert hat: Das hat viel mit der Verhaltenspsychologie zu tun: Man hat in den letzten Monaten so viel in neue Sicherheitsmassnahmen investiert - da muss das Risiko doch endlich abnehmen, oder nicht? Ich habe diese Wahrnehmungsverschiebung in zahlreichen Kundenmandaten beobachten können.
 
Seite 1 von 2

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER