BCM Risikoanalyse mit der Bow-Tie-Methode – Risikoanalyse mit Fliege
Wie bereits im Beitrag „Die BCM-Risikoanalyse“ vom 24. März 2021 hier auf 3GRC ausgeführt, gibt es im Business Continuity Management grundsätzlich drei sich ergänzende methodische Vorgehensweisen für die BCM-Risikoanalyse. Die Risikoanalyse kann von den in der BIA identifizierten Assets ausgehen, Szenarien in den Fokus der Betrachtung stellen oder strategische Risiken in der Zukunft analysieren. Alle drei Vorgehensweisen ergänzen sich zu einer Gesamtbetrachtung der Risiken der Organisation.
In der Asset-bezogenen Risikoanalyse stehen die in der Business Impact Analyse identifizierten kritischen Ressourcen (Personal, Gebäude, IT, technische Anlagen, Dienstleister und Dokumente) im Mittelpunkt der Risikoanalyse. Für die zeitkritischen Ressourcen werden die Gefährdungen identifiziert und hieraus Risiken für den Ausfall der Ressource ermittelt als Basis für risikomindernde Maßnahmen.
Diese Asset-bezogene Risikoanalyse hat jedoch die Schwäche, dass durch den Fokus auf einzelne Ressourcen, die End-to-End-Wirkungszusammenhänge bei Eintritt eines Bedrohungsszenarios nicht erkannt und somit Lücken in der Absicherung entstehen können. Sie sollte daher um eine Szenario-orientierte Analyse relevanter Gefährdungen ergänzt werden.
Die Anwendung der Szenario-orientierte Risikoanalyse empfiehlt sich insbesondere auch dann, wenn quantitative Risikoanalysemethoden nicht sinnvoll eingesetzt werden können, wie dies bei seltenen Ereignissen mit extremen Auswirkungen („Black Swan“ oder „Grey Rhino“-Ereignisse) der Fall ist.
Für die Szenario-basierte Risikoanalyse wurde in den 80er Jahren in der Ölindustrie die Bow-Tie-Analyse implementiert. Ausgangspunkt war das schwere Unglück der Piper Alpha Ölplattform im Jahre 1988 in der Nordsee. Bei dem verheerenden Feuer am 06. Juli 1988 wurde die Bohrinsel zerstört und 167 der 226 Arbeiter auf der Plattform kamen bei dem Unglück ums Leben. Ursache der Katastrophe war das Versagen mehrerer Kontrollen und Vorsorgemaßnahmen. Die Royal Dutch Shell Group übernahm daraufhin die Bow-Tie-Methode zum Unternehmensstandard.
Mittlerweile ist diese Methode auch in der Luftfahrt, Chemie- und Gesundheitswesen verbreitet.
Den Namen hat die Methode aus der Darstellung der Ursachen und Wirkungen eines unterwünschten Ereignisses in einem grafischen Diagramm in Form einer Fliege.
Abb. 1: Grundstruktur der Bow-Tie-Methode in Form einer Fliege
Ausgangspunkt der Risikoanalyse ist ein Risikoereignis, das zu einem Schaden für die Organisation führt. Das Risikoereignis wiederum entsteht aus einer konkreten Gefährdung für das Unternehmen, aus dem das Risiko entsteht. Im industriellen Umfeld können das bspw. die Lagerung gefährlicher Güter sein, aber auch der Betrieb eines Gebäudes oder eines IT-Systems bei Dienstleistungsunternehmen. Im zweiten Schritt der Analyse werden die möglichen Ursachen identifiziert, die zu diesem Schadensereignis führen können. Mehrere verschiedene Ursachen können das Risikoereignis, wie zum Beispiel den Ausfall des kritischen IT-Systems, verursachen. Hierbei kann es sich um menschliche, technische, organisatorische oder auch externe Ursachen handeln. In einem dritten Schritt werden die Schadensfolgen des Risikoereignisses ermittelt. Hierzu zählen zum Beispiel finanzielle Schadensfolgen, Beeinträchtigungen von Health & Safety, Prozessunterbrechungen oder Reputationsschäden. Für die Nutzung der Bow Tie-Methode ist es hilfreich, die Ursachen und Schadensfolgen in Kataloge einzuteilen, auf die in der Modellierung zurückgegriffen wird. In einem weiteren Schritt werden die Kontrollen identifiziert, die auf der Ursachenseite den Eintritt des Risikoereignisses verhindern (präventive Kontrollen) oder erkennen (Detektions-Kontrollen) und auf der Wirkungsseite die Folgen des Risikoereignisses reduzieren (reaktive Kontrollen).
Hier eine beispielhafte Analyse des Risikoereignisses Stromausfall für einen Standort mit einer Produktionsanlage, Bürogebäude mit Arbeitsplätzen und einem Rechenzentrum:
Abb. 2: Beispiel für ein Bow-Tie Diagramm für das Szenario Stromausfall
Die Bow-Tie-Risikoanalyse zeigt auf, dass drei Ursachen für einen Stromausfall identifiziert wurden. Das Risiko eines Leitungsschadens konnte über präventive Kontrollen reduziert werden. Die beiden anderen Ursachen können über die Kontrollen lediglich aufgedeckt werden, das Risiko-Ereignis aber nicht verhindert werden. Tritt das betrachtete Risiko-Ereignis des Stromausfalls am Standort ein, lässt sich aus der Risikoanalyse erkennen, dass das Rechenzentrum am Standort mittels USV und Netzersatzanlage abgesichert ist, die Büroarbeitsplätze und Produktion am Standort in einem Stromausfall jedoch sofort ausfallen. Hierfür existieren BC-Pläne als Notfallvorsorge, die eine Verlagerung der Arbeitsplätze und der Produktion an einen anderen Standort vorsehen.
Das Beispiel-Diagramm wurde in einer speziellen Bow-Tie-Software erstellt.
Die Bow-Tie-Methode eignet sich sowohl für Szenarioanalysen als auch für die Analyse eingetretener Schadensereignisse, um bestehende Kontrollen zu überprüfen und zu optimieren.
Ihre Stärke ist neben der Darstellung von Ursachen und Wirkungen, die Modellierung der verschiedenen Controls zur Identifikation und Steuerung der Risiken. Eine Ursache-Wirkungsanalyse kann auch mit anderen Methoden wie zum Beispiel Ishikawa modelliert werden.
Ziel ist es, die Controls nach dem ALARP-Prinzip („as low as reasonably practicable“) so anzuordnen, dass aus Risiken keine Schäden resultieren, die über das akzeptierte Maß hinausgehen.
Abb. 3: Swiss Cheese Modell
Das „Schweizer-Käse-Modell“ illustriert die Entstehung von Unfällen trotz mehrfacher Kontrollen. Jede Kontrolle weist Schwächen auf. Wenn ein Ereignis die Mängel aller Kontrollen ausnutzen kann, entstehen die Schadensfolgen. Das Risikomanagement hat die Aufgabe, möglichst wenige Löcher in den Käsescheiben entstehen zu lassen und die Käsescheiben so zu gestalten, dass die Löcher keinen „Durchschuss“ ermöglichen.
Die Bow-Tie-Methode sollte für die kritischen Risikoszenarien der Organisation eingesetzt werden. Zu diesen Szenarien zählen beispielsweise
- Stromausfall, Blackout
- Supply-Chain-Unterbrechungen
- Massenerkrankungen von Mitarbeitern
- Ausfälle von IT, Maschinen, Anlagen
- Ausfall eines Standorts, Gebäudes
- Cyber-Attacken
- Datenverlust
Mit Hilfe der Bow-Tie-Methode sollten die wesentlichen bestandsgefährdenden Risiken des Unternehmens modelliert werden. Sie eignet sich auch sehr gut, um diese Risiken für das Management übersichtlich darzustellen, Lücken in der End-to-End-Absicherung zu identifizieren und hieraus risikomindernde Maßnahmen abzuleiten.
Eine Risikoanalyse mit der Bow-Tie-Methode kann einfach auf einem Blatt Papier oder am Flipchart grafisch modelliert werden. Für das Management der Risiken sind neben dem Diagramm jedoch noch weitere Daten zu den Ursachen, Wirkungen und Kontrollen wichtig. Die toolbasierte Erstellung von Bow-Tie-Szenarien ermöglicht daher zahlreiche weitere Funktionen, wie die Zuordnung von Kontrollen zu Verantwortlichen und deren Überwachung, Risikoanalysen und -auswertungen sowie zahlreiche Reports und grafische Auswertungen.
Hierfür gibt es spezialisierte Bow-Tie-Software, wie zum Beispiel die beiden folgenden Lösungen:
- Bowtiepro (Bow Tie Pro Limited, www.bowtiepro.com, cloud-, Einzelplatz- und Serverversion)
- BowTieXp (Wolters Kluwer CGE Risk, www.cgerisk.com, Einzelplatz- und Serverlösung)
Matthias Hämmerle MBCI, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschaftswissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.