In vielen Unternehmen nicht betrachtet, …
… die sogenannten HILP-Szenarien.
🆕„High impact, low propability“-Szenarien sind die Zukunftsbilder, die von den meisten Managern per se nicht betrachtet werden.
Immer mit der Begründung von deren Unwahrscheinlichkeit.
Dass eine wirtschaftliche Abwägung erfolgen muss welche Risiken und Szenarien von Unternehmen vorbereitet werden, wo in Maßnahmen der Prävention oder Reaktion investiert wird, leuchtet ein.
Dabei lohnt es sich jedoch, in der heutigen multikomplexen Welt, die übliche Gewichtung zu überdenken.
➡️ Viele Unternehmen konzentrieren sich heute darauf möglichst alle bekannten kleineren Risiken abzudecken, die im Geschäftsbetrieb auftauchen können.
Die vergleichsweise geringen Kosten für die einzelnen Sicherheitsmaßnahmen machen es Entscheidern leicht Gelder frei zu geben, mit dem zusätzlichen Vorteil gleichzeitig gedanklich mehrere Risiken abhaken zu können. Der Effekt verstärkt sich wenn unterschiedliche Abteilungen in die Sicherheitsmaßnahmen investieren und eine Streuung der Gesamtaufwendungen vorliegt, bzw. die Summen aus verschiedenen Töpfen stammen.
Mit Blick auf das gesamte Unternehmen ergeben sich große Investitionen zur Minimierung vieler kleinerer Risiken.
⚠️Je nach Geschäftsmodell und Branche existieren auch Risiken, die als existenzbedrohend eingestuft werden müssen. Diese Risiken zeichnen sich meist durch eine geringe Eintrittswahrscheinlichkeit aus.
In Folge werden sie in vielen Organisationen nicht betrachtet oder „schön“ gerechnet, sodass keine teureren Maßnahmen zur Verringerung oder zur Bewältigung der Folgen ergriffen werden müssen.
Das ist ein riskantes Vorgehen, denn hierbei handelt es sich um die signifikanten Risiken für Organisationen.
Nach dem Pareto-Effekt führen rund 20 % der Risiken zu 80 % der Schäden.
🟠Häufige Szenarien aus der Kategorie „unwahrscheinlich“ sind Cyberangriffe die einen Totalausfall aller Systeme verursachen, länger andauernde Stromausfälle, Gewalttaten im Betrieb oder Großbrände.
Dass ein zwar unwahrscheinliches, aber dennoch plausibles Risiko, unabgesichert bleibt hat verschiedene Ursachen. Eine Wesentliche ist, zu eindimensionale oder nicht zu Ende geführte Risikobeurteilungen. Folgende Punkte werden häufig nicht beachtet bzw. von gängigen Methoden nicht abgebildet:
1️⃣ Existenzielle Risiken werden, wie bereits angesprochen, von den Verantwortlichen als unwahrscheinlich angenommen und deshalb nicht betrachtet. Zusätzlich werden bei diesen Risiken häufig die teilweise sehr hohen Kosten, die eine Risikominimierung verursachen würde, als Ausschlusskriterium für weitere Handlungen angeführt. Mit dieser Vorgehensweise nimmt man der Organisation jede Möglichkeit der Vorbereitung, denn in den seltensten Fällen gibt es nur binäre Herangehensweisen im Sinne von „ganz oder gar nicht“-Entscheidungen. Für die Vorbereitung auf einen längeren Stromausfall ist beispielsweise die Schaffung eines Einspeisepunkts essentiell. Dafür muss noch kein eigenes Notstromaggregat für rund 600.000 Euro beschafft werden. Die Möglichkeit gestaffelter Maßnahmen, gekoppelt an gewisse Indikatoren, wird meist ebenfalls nicht in Betracht gezogen. Dabei können diese, sowie vorbereitende Maßnahmen oder das Mitdenken gewisser Optionen (z.B. bei Neubauten oder Umstrukturierungen) vergleichsweise günstig sein und im Fall der Fälle entscheidende Vorteile bringen.
Des Weiteren werden ausschließlich die Investitionskosten in Sicherheitsmaßnahmen betrachtet und diese nicht in Relation zu den Kosten gesetzt, die damit, im Ereignisfall, vermieden werden können. Kosten die in kein Verhältnis gesetzt werden erscheinen nur hoch oder niedrig, die Werte haben aber keine Aussagekraft ob sie wirtschaftlich (un)angemessen sind.
➡️Grundsätzlich wird ein Risiko kalkuliert, indem geprüft wird wie hoch die Eintrittswahrscheinlichkeit und das Schadenausmaß ist.
Liegt der so errechnete Wert über einer unternehmensindividuell festgelegten Schwelle, muss das Risiko behandelt werden bis es wieder unter der Schwelle liegt. Liegt die (angenommene) Eintrittswahrscheinlichkeit nahe null oder bei null, wird das Risiko in den meisten Unternehmen bisher nicht betrachtet, auch wenn das zu erwartende Schadenausmaß maximal hoch ist.
Dass unwahrscheinliche Szenarien dennoch eintreten haben uns u.a. die Corona-Pandemie, ein quer stehendes Schiff oder nicht anspringende Notstromaggregate in kritischer Infrastruktur in jüngster Zeit deutlich gezeigt. Die Unternehmenssicherheit/Corporate Security ist gefragt entsprechenden Fokus auf diese Risiken zu legen, statt sie, wie bisher, im Rahmen der regulären Risikobeurteilung gar nicht zu betrachten.
2️⃣Aus gängigen Risikobeurteilungen lässt sich meist nicht herauslesen welche Gesamtkosten sich aus einem Schaden ergeben (u.a. inkl. Überstunden, Gutschriften oder externe Dienstleister, die zur Bewältigung der Situation benötigt werden). Diese Berechnung ist aber relevant um eine realistische Einschätzung zu gewinnen welche Sicherheitsmaßnahmen zur Vermeidung eines Risikos (wirtschaftlich) angemessen sind.
➡️Dieser Punkt in der Risikobeurteilung erfordert das Durchdenken von Vorfällen, beispielsweise in Notfall- und Krisensimulationen. Viele Kosten entstehen erst im Verlauf eines Ereignisses.
Der zu betrachtende Zeitraum (Monate bis Jahre) ist für Risikobeurteilungen ebenfalls festzusetzen, um eine Vergleichbarkeit von Risiken sicher zu stellen.
3️⃣Hinzu kommt, dass nicht alle potentiellen Schäden bewertet werden und in die zu bewertende Summe mit einfließen, sondern sich meist auf Sachwerte (Schäden am Gebäude o.ä.) bezogen und begrenzt wird. Dem liegt der Versuch der Komplexitätsreduzierung zu Grunde, denn nur Sachwerte lassen sich unkompliziert quantitativ bewerten.
Diese Herangehensweise lässt jedoch die übrigen Schäden außer Acht, die durch ein Ereignis entstehen können. Personenschäden, die Haftung von Organen, Betriebsunterbrechungen und Reputationsschäden.
Wie berechnet sich ein Reputationsschaden ? In der Anzahl nicht verkaufter Produkte über einen gewissen Zeitraum ? Oder über Mitarbeiter die nicht gewonnen werden bzw. das Unternehmen verlassen ?
Die genannten Folgen lassen sich nur schwer beziffern. Unternehmensindividuelle Tabellen zur Bewertung dieser Schäden können helfen zu realistischen und vollständigen Schadensummen zu kommen.
➡️ Ein existenzbedrohender Schaden kann bei einem Hersteller von Babynahrung auch ein Reputationsschaden sein oder bei einem Gerätehersteller ein Lizenzentzug durch ein bestimmtes Softwareunternehmen. Diese Unterscheidung, die entscheidende Hinweise auf geeignete Sicherheitsmaßnahmen liefert, wird vielfach nicht vorgenommen. Sinnvolle Maßnahmen, in die es zu investieren gilt, können im ersten Fall ein hoch professionelles Reputations- und Krisen-PR-Konzept sein (Vorbereitung einer Reaktionsmaßnahme) oder die Forcierung der Suche eines zweiten SaaS-Anbieters oder einer Eigenentwicklung geeigneter Software für die Geräte um Abhängigkeiten zu reduzieren (Präventionsmaßnahme), im zweiten Fall.
📄Risikobeurteilungen dienen als Entscheidungsgrundlage.
Wenn die enthaltenen Informationen und Auswertungen unvollständig sind führen sie zu fehlgeleiteten Investitionen zur Minimierung von Risiken.
Die angesprochenen 3 Punkte werden in den meisten Unternehmen und den angewandten Methoden bisher nicht beachtet und repräsentiert, woraus sich sich verfälschte Ergebnisse und damit fragwürdige Schlussfolgerungen ergeben, sowie in Folge falsche Priorisierungen von Sicherheitsbemühungen. Häufig hängen an Risikobeurteilungen auch die Budgets für die Unternehmenssicherheit. Ein weiterer Grund möglichst präzise Berechnungsgrundlagen anzustreben und zu nutzen.
✅Für Manager: Durchdenken Sie für Ihr Unternehmen plausible Risiken, stellen Sie möglichst genaue Berechnungen zum Schaden und anfallenden Kosten für Maßnahmen an. Entwickeln Sie Konzepte die Prävention und Reaktion gleichermaßen abdecken. Auf dieser konzeptionellen Basis können Sie sich dann bewusst für oder gegen die Investition in passende, auch teure, Sicherheitsmaßnahmen entscheiden.
Risiken mit „unwahrscheinlich“ abzustempeln reicht für den erfolgreichen Fortbestand von Unternehmen heute und in Zukunft nicht mehr aus.
Bestehende Systematiken wie die Risikobeurteilungen, mit der einfachen Risikoidentifikation, -analyse und bewertung, müssen der zunehmenden Komplexität in der Realität Rechnung tragen und entsprechend angepasst werden.
Comentarios