Die Bedeutung der Eintrittswahrscheinlichkeit im Business Continuity Management
Im Risikomanagement haben wir gelernt, dass ein Risiko aus den beiden Dimensionen Eintrittswahrscheinlichkeit und Schadenshöhe besteht. Mit der Eintrittswahrscheinlichkeit wird bestimmt, wie oft mit dem Eintritt einer Bedrohung zu rechnen ist. Für Risiken wird diese aus den Erfahrungen der Vergangenheit zum Beispiel mittels Schadensfalldatenbanken ermittelt und / oder über Experten eingeschätzt. Die Schadenshöhe stellt einen monetären (finanzielle Schäden) oder nicht-monetären (Bsp. Reputationsschaden) Schaden dar, der bei Eintritt der Bedrohung zu erwarten ist. Der charmante Vorteil dieser Methode des Risikomanagements ist, dass beide Werte ins Verhältnis gesetzt werden können und Risiken berechnet werden können. Im operationellen Risikomanagement dienen diese Berechnungen zur Festlegung bilanzieller Rücklagen für den Eintritt von Risiken und damit der Risikovorsorge.
Häufig werden Risiken in Form einer BCG-Matrix mit der Eintrittswahrscheinlichkeit auf der X-Achse und der Schadenshöhe auf der Y-Achse dargestellt. Dies ermöglicht eine einfach verständliche Darstellung von Risikoportfolien.
Da BCM-Ereignisse wie der Ausfall von Personal, Lokationen, IT, technischen Anlagen oder Dienstleister ebenfalls Risiken darstellen, liegt es nahe, diese Risiken mit den bewährten Methoden des Risikomanagements zu betrachten. Zumal das Business Continuity Management eine Disziplin im Rahmen des Risikomanagements zur Bewältigung von Risiken ist.
Bei dem Versuch, die Methoden zu übertragen, zeigen sich allerdings schnell einige Herausforderungen – insbesondere bei der Einschätzung von Eintrittswahrscheinlichkeiten.
BCM-Risiken haben von Natur aus eine sehr geringe Eintrittswahrscheinlichkeit und es liegt keine Schadenshistorie vor, die für die Bewertung zu Grunde gelegt werden kann. Selbst wenn die bisherige Eintrittswahrscheinlichkeit für den Eintritt der Bedrohung bei null liegt, da es noch kein Schadensereignis gab, lässt dies keine Hinweise auf den zukünftigen Eintritt zu. Wenn ein Gebäude bislang noch nie ausgefallen ist, bedeutet dies nicht, dass dieses Szenario nicht jederzeit eintreten kann. Da die Folgeschäden bei BCM-Risiken für das Unternehmen jedoch existentiell sind, bildet das Produkt aus null*existentielle Schadenshöhe nicht das richtige Risiko ab. Steht am nächsten Tag, zum Beispiel auf Grund eines Fliegerbombenfunds in der Nachbarschaft, das Gebäude nicht mehr zur Verfügung, kann ein existentieller Schaden für das Unternehmen entstehen, vor dem sich das Unternehmen schützen muss oder für die das Unternehmen aus gesetzlichen und regulatorischen Gründen vorsorgen muss.
Die Eintrittswahrscheinlichkeit der Schadensursache ist daher nicht das richtige Maß für die Einschätzung der BCM-Risiken. Aus diesem Grund wird bei der Betrachtung der Risiken in der Business Impact Analyse der Schadensverlauf über die Zeit betrachtet ohne Berücksichtigung einer Eintrittswahrscheinlichkeit.
Die Fragestellung im BCM ist nicht, wie oft tritt ein Risiko eintritt, sondern ob der Eintritt einer Bedrohung existentielle Schadensfolgen für das Unternehmen durch die Unterbrechung zeitkritischer Geschäftsprozesse hat.
Die Schadenshöhe ist das entscheidende Kriterium für die Risikovorsorge in Form von schadensmindernden Maßnahmen wie Notfallkonzepte und -pläne.
Doch nicht zu vorschnell. Versuchen wir der Eintrittswahrscheinlichkeit eine Überlebenschance im Business Continuity Management zu geben und die Risikomanager wieder zu beruhigen.
Für die Entscheidung, ob wir für eine existentielle Bedrohung Vorsorge treffen, hat sie ausgespielt, hier macht die Schadenshöhe das Rennen. Doch wie sieht es im Ursache-Wirkungszusammenhang bei den Auswirkungen aus? Die Eintrittswahrscheinlichkeit eines BCM-Ereignisses als Ursache können wir nur sehr begrenzt steuern. Wir haben keinen direkten Einfluss auf den Eintritt von Wetterereignissen, Pandemien, Cyber-Attacken, Dienstleister- und Transportkettenstörungen sowie IT- und Telekommunikations-Ausfällen. Hier sind Pech, Schicksal, Fehler, Politik und die Vorsorge Anderer die entscheidenden Faktoren.
Wo wir jedoch einen direkten Einfluss auf das Risiko haben, ist die Dimension der Schadenswirkungen dieser Ereignisse auf die Organisation. Durch Risikomanagement-Maßnahmen wie zum Beispiel redundante Absicherungen, Workarounds und Notfallplanung können die Auswirkungen eines BCM-Ereignisses direkt beeinflusst und Schadenswirkungen reduziert werden. Das eingetretene Risiko kann durch Prävention im Idealfall keinen großen oder zumindest keinen existentiellen Schaden für die Organisation mehr anrichten. Und genau hier kommt im Business Continuity Management die Eintrittswahrscheinlichkeit wieder ins Spiel. Sie bemisst, wie hoch die Wahrscheinlichkeit ist, dass ein Schadensereignis zu einem Ausfall kritischer Assets und Geschäftsprozesse führt. Ohne Risiko- und Notfallvorsorge ist die Wahrscheinlichkeit, dass ein Schadensereignis zu einer Unterbrechung führt sehr hoch. Risiko- und Notfallvorsorgemaßnahmen wie Sicherungen, Redundanz, Umgehungslösungen / Workarounds sowie Notfallpläne senken die Eintrittswahrscheinlichkeit einer Geschäftsunterbrechung. Ein Risikomanager würde hier von Brutto- und Nettorisiko sprechen. Das Bruttorisiko bildet das Risiko ohne Vorsorgemaßnahmen ab. Nettorisiken beziehen diese Maßnahmen in die Risikobewertung ein. Sie berücksichtigen die Eintrittswahrscheinlichkeit der Auswirkungen und damit die Schadensfolgen.
Diese Risiko- und Notfallvorsorgemaßnahmen bedeuten in der Regel Kosten und Investitionen für das Unternehmen. Eine Ausweichlokation senkt die Wahrscheinlichkeit der Unterbrechung von Geschäftsprozessen durch einen Gebäudeausfall deutlich. Die Einrichtung und der Betrieb von Ausweichlokationen verursacht jedoch Kosten und Aufwand. Die Senkung des Bruttorisikos auf ein Nettorisiko ist daher immer auch eine risikoorientierte betriebswirtschaftliche Entscheidung. Ein Multi-Sourcing ist aufwändiger und teurer als Single-Sourcing, senkt jedoch auf der anderen Seite die Schadensfolgen bei einem Dienstleisterausfall.
Die Summe aller Maßnahmen, um eine Organisation gegen die existentiellen Auswirkungen von Ereignissen und Entwicklungen zu schützen, wird als operationale oder organisatorische Resilienz bezeichnet. Ziel der Resilienz ist die Widerstandsfähigkeit von Organisationen zu stärken, so dass sie besser auf Bedrohungen vorbereitet sind („prepare“), diesen besser widerstehen können („withstand“) und bei Eintritt einer Unterbrechung die kritischen Geschäftsprozesse schneller wiederherstellen („recover“) können.
Ziel ist es, bei Eintritt eines Ereignisses die Schadenswirkungen für die Organisation möglichst gering zu halten. Eine Cyber-Attacke auf ein Unternehmen kann letztendlich nicht verhindert werden.
Die Auswirkungen einer Cyber-Attacke können jedoch reduziert werden, indem
- die Eintrittswahrscheinlichkeit des Schadenseintritts so weit vermindert wird, dass aus der erfolgten Cyber-Attacke kein großer Schaden entsteht („protect“)
- die Schadenshöhe einer Cyber-Attacke für das Unternehmen reduziert wird („react“).
Bei der Darstellung ist zu beachten, dass auf der X-Achse nicht die Eintrittswahrscheinlichkeit für die Cyber-Attacke (=Ursache), sondern die Eintrittswahrscheinlichkeit einer Schadensfolge (Wirkung) abgebildet ist.
Um dieses Ziel einer Verringerung der Schadenswirkung eines Risikos zu erreichen, erfordert es die Zusammenarbeit vieler Disziplinen im Unternehmen.
Der ISO-Standard ISO 22316 „Security and resilience — Organizational resilience — Principles and attributes“ zählt im Annex A immerhin 20 Management Disziplinen auf, die zum Erreichen einer Resilienz erforderlich sind und zusammenwirken müssen.
Zusammenfassung:
Die Eintrittswahrscheinlichkeit spielt im Business Continuity Management eine zentrale Rolle. Jedoch nicht in der Bedeutung, wie wir sie aus dem klassischen Risikomanagement kennen. Die Eintrittswahrscheinlichkeit vieler Risiken kann eine Organisation nicht beeinflussen. Das bewusste oder unbewusste Ignorieren seltener Ereignisse mit existentiellen Auswirkungen und sehr geringer Eintrittswahrscheinlichkeit kann zu gravierenden Folgen führen. Der Fokus muss daher auf der Reduzierung der Wahrscheinlichkeit des Eintritts von Schäden und deren Schadenshöhe liegen.
Hierzu bedarf es vieler Management-Disziplinen, um das Risiko in eine für das Unternehmen ungefährliche Risikozone zu transferieren. Resiliente Unternehmen sind in der Lage, auf Ereignisse wie zum Beispiel Cyber-Attacken schnell und koordiniert zu reagieren, um Schäden für das Unternehmen zu minimieren. Oftmals liegt der Schlüssel zur Resilienz nicht in aufwändigen und kostenintensiven Maßnahmen, sondern in einer besseren „Orchestrierung“ der bereits bestehenden Management Disziplinen und Maßnahmen.
Matthias Hämmerle MBCI, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschaftswissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.