Zweifel an der Matrix?

15.05.2017

KRITIS ist in aller Munde. Damit fast zwangsläufig auch das Thema Risiko. Nicht nur in den Fachorganen wird deshalb der Risikobegriff in Zusammenhang mit Risikomanagement in jüngerer Zeit immer wieder gerne aufgegriffen. Aber leider nicht in einheitlicher und oft auch in missverständlicher Weise. So mehren sich auch die Anfragen an den Sicherheits-Berater zu diesem Thema.

Eine immer wieder vorzufindende Aussage ist, dass die übliche Verwendung von Risikomatrizen unzutreffende Schlüsse nahelegen und daraus häufig eine mangelhafte Risikobehandlung resultieren würde. Solche pauschalen Aussagen kann der Sicherheits-Berater nicht einfach so stehen lassen.

Hilfreich ist es zunächst zu klären, worum es bei Risikomanagement und Risikobehandlung eigentlich geht. Zunächst zum Wort – je nach Sichtweise und Ansatz wird der Risikobegriff unterschiedlich verstanden:

  • Risiko als Gefahr von Fehlabweichungen wird im wirtschaftswissenschaftlichen Umfeld gerne genannt.
  • Betriebswirtschaftlich kann Risiko als Ereignis mit möglicher negativer bzw. positiver Auswirkung betrachtet werden.
  • Im juristisch-baurechtlichen Sinn versteht man Risiko als abstrakte Gefahr, die streng von einer konkreten Gefahr unterschieden wird. Eine abstrakte Gefahr wird angenommen, wenn allein im Grundzustand ein Gefahrenpotenzial herrscht und dieser sich in eine konkrete Gefahr umwandeln kann. Sie, die abstrakte Gefahr, unterscheidet sich daher von der konkreten Gefahr hinsichtlich der Wahrscheinlichkeit des Schadenseintritts (vgl. Quack, BauR 2009). 

Der zuletzt genannte Ansatz führt zugleich auf eine weitverbreitete Verwendung von Risiko als mathematische Definition "Risiko = Wahrscheinlichkeit x Ausmaß". Oft wird dabei aber übersehen, dass dieser mathematische Zusammenhang (R = W x A) keine Risikodefinition selbst darstellt, sondern ein Werkzeug an die Hand gibt, wie man Gefährdungen quantifizieren, bewerten und darstellen kann.

Das betriebliche Risikomanagement befasst sich im Wesentlichen mit einer negativen Sichtweise von Risiken. Das Risiko wird begriffen als die Möglichkeit eines Schadens oder Verlustes als Konsequenz eines bestimmten Verhaltens oder Geschehens. Dieses noch abstrakte Bild wird üblicherweise in Form gebracht, indem man Gefährdungen betrachtet. Nächste Definition: Eine Gefährdung ist eine potenzielle Schwachstelle, auf die ein Ereignis wirken könnte, sodass es zum Schaden kommt.

In einer Risikomatrix werden den mehr oder weniger konkret beschriebenen Gefährdungen dann eine Eintrittswahrscheinlichkeit und ein Ausmaß – die Schadenshöhe – zugeordnet. Risikomatrizen sollen helfen, einzelne Risiken zu bewerten und aus dieser Bewertung eine Priorisierung der Risikobehandlung zu ziehen. In einer Risikomatrix werden Eintrittswahrscheinlichkeit eines Schaden stiftenden Ereignisses und die Schadenshöhe, die das Eintreten dieses Ereignisses mit sich bringen würde, kombiniert. Für beide Faktoren wird eine Skalierung, z. B. mit Werten von 1 bis 4 gewählt:

     Schadenhöhe
Wahrscheinlichkeit   Gering Mittel Hoch Sehr hoch
    1 2 3 4
Sehr wahrscheinlich 4 4 8 12 16
Wahrscheinlich 3 3 6 9 12
Möglich 2 2 4 6 8
Unwahrscheinlich 1 1 2 3 4


Die Multiplikation der beiden Faktoren ergibt dann einen  "Risikoindex". Aus den Risikoindices werden dann Klassen gebildet. Im obigen Beispiel könnten das die Klasse A (Werte kleiner 5), die Klasse B (Werte 6 bis 9) und die Klasse C (über 9) sein.

Während bis hierhin alles einfach ist, wird es in der Tat fragwürdig, wenn konkrete Werte für die Skalierung benutzt werden. Bei der Abschätzung der Schadenshöhe ist kaum abzuschätzen, wieviel Euro der betrachtete Ausfall oder Schaden tatsächlich kosten würde. Die Kosten für die Entsorgung und den Neubau eines niedergebrannten Gebäudes mag man bestimmen können, den indirekten Schaden durch Betriebsunterbrechungen, Ersatzquartiere und die Schäden an Image und Vertrauen kann man kaum beziffern. Sehr wohl kann man einen solchen Schaden zum Beispiel der Kategorie "sehr hoch" zuordnen.

Noch viel ungenauer ist die Abschätzung der Wahrscheinlichkeit. Wer sich hier zur Verwendung von Zahlen (Unwahrscheinlich = 0 bis 7,5 Prozent Eintrittswahrscheinlichkeit) hinreißen lässt, öffnet den Raum für fruchtlose Diskussionen. Statistisches Material zur Berechnung solcher Zahlen besitzen bestenfalls Versicherungen für gängige Schadenstypen.

Deshalb: Prinzipiell kann die Skalierung frei gewählt werden, z. B. das Schulnotensystem 1 bis 6, der Dezimalansatz 1 bis 10, oder das Prozentsystem bis 100. Solch hohen Differenzierungen sind in der Praxis kaum zielführend, da eine reelle Einschätzung (z. B. 87 oder 88) dann praxisgerecht nicht mehr möglich ist. Das Ziel einer Risikobetrachtung nach Wahrscheinlichkeit und Ausmaß soll ja Gefährdungen und Szenarien aufzeigen und identifizieren, die kritische, heißt relevante, negative Auswirkungen haben können. Dies ist mit einem einfachem granularem System, z. B. 1 bis 4, ebenso möglich.

Es gibt gewiss Anwender – vielleicht sogar Berater –, die das simple Werkzeug Risikomatrix "aufwerten" oder "präzisieren" und dabei im Grunde nur noch in Matrizenform sprechen. Aus solch überambitionierten Anwendungen der einfachen Risikomatrix aber direkt eine grundsätzliche Kritik an der Eignung dieses Werkzeugs in seiner üblichen Verwendung zu machen, ist zu viel des Guten.

Risikomatrizen sollen zeigen, wo es sich lohnt, mit dem tieferen Nachdenken zu beginnen. Sie sind auch ein gutes Werkzeug, um eine abgestimmte Meinung recht einfach und in überschaubarer Zeit zu erarbeiten. Anschließend kann es dann wirklich losgehen. Es gilt Wege zu finden, um entweder die Wahrscheinlichkeit oder einen möglichen Schaden zu verringern, mit dem ein konkretes Ereignis stattfinden könnte. Übliche Wege sind Maßnahmen zur Prävention oder die Bildung von Redundanzen an der richtigen Stelle. Um Schäden zu mindern, wenn Schwachstellen und zugehörige Ereignisse nicht zuverlässig beherrschbar sind, geht es um frühestmögliche Erkennung solcher Ereignisse.

Bei der Umsetzung von Maßnahmen darf aber nicht das Prinzip von operativer Hektik gelten, sondern vielmehr der im Sicherheitsmanagement altbewährte Ansatz, wonach auf Basis der Gefährdungswertung Schutzziele formuliert werden, denen dann mit Maßnahmen nachzukommen ist. Nur dies kann der richtige Weg sein, um einen strategischen Ansatz im Sicherheitskonzept nach vorne zu bringen.

Ein "vernünftiges" Risikomanagement geht auch nicht nur nach dem Risikoindex vor. Es kümmert sich oft mit hoher Priorität um die Kombination "Sehr wahrscheinlich/Gering". So erschwert der Zaun um das eigene Grundstück, dass Betriebsfremde den Verantwortungsbereich betreten und die Anti-Viren-Software auf dem PC wehrt die allgegenwärtigen "normalen" Computerviren für die Anwender ab.

Ebenso wird oft die Risikoklasse "Unwahrscheinlich/Sehr hoch" mit viel Aufwand behandelt. Jeder IT-Betrieb in zwei Rechenzentren behandelt den extrem seltenen Vorfall "Ausfall des RZ", weil die Schadenshöhe oftmals nur zu erahnen und kaum konkret zu beziffern wäre.

Auch für Risiko- und Gefährdungsbetrachtungen gilt die alte Erkenntnis, dass es weitaus einfacher ist, einfache Dinge kompliziert zu machen, als komplizierte Dinge einfach zu machen. Die Herausforderung bei der Erstellung von Risiko- und Gefährdungsbetrachtungen ist genau, dem nicht zu unterliegen.

Ein Tipp zu guter Letzt: Lassen Sie die Risiko- und Gefährdungsszenarien von unterschiedlichen Stellen im Unternehmen bewerten, ggf. auch mit Unterstützung von externen Beratern. Die hieraus resultierende Bandbreite spiegelt i. d. R. die Wirklichkeit ganz gut wider. Gleichzeitig holen Sie damit die verschiedenen Stellen und Zuständigkeiten mit ins Boot, die hinterher von der Umsetzung der abgeleiteten Maßnahmen mehr oder weniger betroffen sind. Damit lässt sich das Akzeptanzniveaus erheblich fördern.


Dieser Beitrag ist Bestandteil von: