Risikobehandlung - Behandlung der IT Risiken

Grundlagen für das Setzen von Maßnahmen

Nach Abschluss der Risikobewertung sollen Maßnahmen gesetzt werden, um die Risiken für das Unternehmen zu verringern. Ziel ist es, das Unternehmen gegen die herausgearbeiteten Risiken abzusichern.

Folgende Strategien für den Umgang mit Risiken stehen zur Verfügung [Knoll, 2014, S. 140]:

  • Vermeidungsmaßnahmen - Vermeiden
  • Verminderungsmaßnahmen – Verringern
  • Versorgungsmaßnahmen - Vorsorgen
  • Risikoüberwälzung - Transferieren
  • Risikoselbsttragung – Akzeptieren

In erster Linie sollten Menschenleben geschützt werden. Die weitere Auswahl der geeigneten Maßnahmen kann dann anhand der Kosten getroffen werden.

Aus den Risikostrategien ergibt sich folgende Einteilung für die Maßnahmen

Vermeidungsmaßnahmen - Vermeiden

Durch genaues Studieren von Ursachen und Wirkung wird versucht, Risiken erst gar nicht entstehen zu lassen. Vermeidungsmaßnahmen verfolgen also das Ziel, Risiken zu beseitigen oder aufzulösen [Wallmüller, 2014, S. 173]. Dies kann weitreichende Änderungen im Prozess nötig machen, aber manchmal ist es bereits durch einfache bzw. wenig umfangreiche Maßnahmen möglich, Risiken zu vermeiden (ein Beispiel hierfür wäre die Reduktion von Internetzugriffspunkten).

Verminderungsmaßnahmen - Verringern

Wenn sich das Risiko nicht vermeiden lässt, soll es zumindest verringert werden. Hierbei wird versucht, die Schadenshöhe und/oder die Eintrittswahrscheinlichkeit zu verringern.

Versorgungsmaßnahmen - Vorsorge

Derartige Maßnahmen beschränken sich auf die Reaktion auf den Risikoeintritt. Es werden finanzielle Rücklagen gebildet, die im Falle eines Risikoeintritts genutzt werden können, oder technische Maßnahmen getroffen, um bei Risikoeintritt eine möglichst rasche Wiederherstellung zu ermöglichen.

Risikoüberwälzung - Transferieren

Unter Risikoüberwälzung versteht man die Übertragung von Risiken an Dritte, meistens an Versicherungen, oder im Zuge von Outsourcing auch an Lieferanten und Dienstleister. Im Fall einer Versicherung wird nur das finanzielle Risiko übertragen. Um Risiko übertragen zu können, ist es nötig, das Risiko genau zu definieren und beziffern zu können. Über die Wahrscheinlichkeitsrechnung wird das Risiko auf eine monatliche Prämie umgelegt. Oft gibt es speziell für IT-Risiken keine Versicherungsangebote, da es schwer ist, diese mit Geldeinheiten zu bewerten und abzugrenzen.

Risikoselbsttragung - Akzeptieren

Wird ein Risiko akzeptiert, ergreift das Unternehmen keine Maßnahmen und ist bereit, den Schaden im Falle eines Risikoeintritts selbst zu tragen.

Sämtliche getroffene Maßnahmen sollten geordnet vermerkt werden, um sie in den wiederkehrenden Risikomanagementprozess miteinbeziehen zu können. Dabei ist es wesentlich, nicht nur das Risiko mit der zugehörigen Maßnahme, sondern auch den momentanen Status der Umsetzung zu vermerken. Maßnahmen sowie der Status deren Umsetzung können im Risikokatalog vermerkt werden, welcher dadurch zum Risikoplan wird. Es kann aber auch ein eigener Risikobehandlungsplan erstellt werden. Auch bereits vorhandene Maßnahmen sollten erfasst und bewertet werden. Bei jeder Wiederholung des Risikomanagementzyklus sollte auch eine neuerliche Bewertung der vorhandenen Risiken erfolgen. In den meisten Vorlagen und Modellen tritt die Maßnahmenbewertung in den Hintergrund oder wird ganz übersprungen. Gerade für das bestehende Risikomanagement ist jedoch die wiederholte Bewertung der Risiken sowie der ergriffenen Maßnahmen von hoher Relevanz.