Unternehmen beschäftigen sich seit jeher mit Risiken. Die SWOT-Analyse ist ein gängiges Instrument. Stärken und Schwächen, Chancen und Gefahren sind zu beurteilen, unternehmerisches Handeln wird davon bestimmt. Im Ingenieurwesen kennt man die Berechnungen der Risiken ebenfalls seit langem. Seit 2007 ist die Beschäftigung mit den Risiken des Unternehmens eine gesetzliche Pflicht (OR 663b, Ziff.12).

Erster Schritt ist das Erkennen der Risiken. Folgerichtig sind in den letzten Monaten eine Vielzahl von Schriften, Empfehlungen, Fachartikeln erschienen, in denen die Methoden zur Risikobeurteilung eingehend beschrieben sind. Die empfohlenen Vorgehensweisen basieren aber allzu häufig auf Annahmen, die näheren Betrachtungen nicht standhalten.

Allgemeine Risikotheorie

Zuerst eine Definition: Ein Risiko ist die kalkulierte Prognose eines möglichen Schadens beziehungsweise Verlustes im negativen Fall. Im betriebswirtschaftlichen Sinne gilt: „Ein Risiko ist die Wahrscheinlichkeit des Eintretens eines negativen Ergebnisses multipliziert mit dem finanziellen Ausmaß“. Die Wahrscheinlichkeit ergibt sich aus dem Verhältnis der vermuteten Schadenfälle zu den insgesamt möglichen Fällen, normalerweise ausgedrückt in einer Verhältniszahl. 1:50 bedeutet also „Das Ergebnis tritt in einem von 50 gesamthaft beobachteten Fällen auf“. Diese Verhältniszahl kann auch umgerechnet werden in eine Zahl zwischen 0 und 1 (kartesianische Wahrscheinlichkeit). Die Wahrscheinlichkeit, dass eine geworfene Münze Kopf zeigt, ist genau 1:2 oder 0,5. Eng verwandt mit dem Begriff ist die Eintrittshäufigkeit. Damit wird ausgedrückt, wie oft ein Ereignis in einem bestimmten Zeitintervall eintritt. „Das Ereignis tritt einmal alle 100 Jahre auf“ kann man also auch ausdrücken als Ereigniswahrscheinlichkeit 0,01/Jahr. Sicherheit hingegen ist das Nichtvorhandensein eines Risikos. In der Umgangssprache erscheint Risiko oft gleich bedeutend mit Gefahr. Unter Risikomanagement versteht man den planvollen Umgang mit Risiken (aus Wikipedia). Allgemein akzeptiert ist die Risikoformel:

R = E x A

Dabei stehen die Buchstaben für:

R: Risiko bei Betrachtung eines Einzelereignisses
E: Eintrittswahrscheinlichkeit, dass das betrachtete Ereignis eintritt
A: Auswirkung bei Eintreten des Ereignisses, diese kann materieller, aber auch immaterieller Art sein.

Die Formel ist unmittelbar einleuchtend und unbestritten. Das Problem liegt nicht in der Formel, sondern in den beiden bestimmenden Parametern Eintrittswahrscheinlichkeit und Schadenfolge.

Erste Unbekannte: Die Eintrittswahrscheinlichkeit

Bereits bei sehr einfachen Gedankenexperimenten müssen wir feststellen, dass unser „Bauchempfinden“ bezüglich Wahrscheinlichkeiten uns öfters einen Streich spielt. Jedem von uns ist bekannt, dass Münzen oder Roulettekugeln kein Gedächtnis haben. Wir wissen auch, dass die Wahrscheinlichkeit, dass die Münze Kopf zeigt oder die Roulettekugel in ein rotes Feld rollt, 0,5 beträgt. Das es am Roulettetisch noch ein Feld ohne Farbe gibt, wollen wir hier ausblenden. Als Beispiel für „Zufall“ sei an dieser Stelle auf den Kastentext 1 verwiesen. Theoretisch ist alles klar, bei jedem Wurf beginnt die Geschichte von neuem. Und trotzdem: Wenn schon 16mal „Kopf“ gekommen ist, dann muss doch jetzt „Zahl“ kommen. Das sagt das Gesetz der großen Zahl. Stimmt das? Nein, natürlich nicht, die Münze hat kein Gedächtnis, jeder Wurf beginnt neu. Auch beim Würfeln ändert sich das nicht. Wenn schon 25mal die Sechs nicht gekommen ist, dann muss sie doch jetzt kommen. Eben nicht. Der Würfel hat kein Gedächtnis. Dem Würfel ist völlig egal, wie lange er schon keine Sechs mehr produziert hat. Er hält sich mit großer Gelassenheit an die geometrische Verteilung und deren Eigenart, sich nicht an die Vergangenheit erinnern zu können. Erst auf „lange Sicht“ nähern sich die Anzahl Würfe von „Kopf“ und „Zahl“. Dies wissen wir alles. Und trotzdem steigen die Lottoeinsätze dramatisch an, wenn eine bestimmte Zahl oder Zahlenkombination lange Zeit nicht gezogen wurde. Im Casino sind bei jedem Roulettetisch die gefallenen Zahlen angezeigt. Fanatische Roulettespieler versuchen, aus dieser Vergangenheit Permanenzen zu erkennen, also Gesetzmäßigkeiten. Diese werden dann in einem „todsicheren“ System verwendet. Vorausgesetzt, dass der Roulettetisch mechanisch einwandfrei funktioniert, ist dies jedoch ein hoffnungsloses Unterfangen. Die Kugel hat kein Gedächtnis. Eine Testfrage, um das eigene mathematische Verständnis zu prüfen: Gegeben sei eine faire Münze mit sechs Würfen. Wir wissen bereits, dass wir nicht voraussagen können, unabhängig von den vergangenen sechs Würfen, was als siebtes fällt. Aber welcher der folgenden drei Fälle für die ersten sechs Würfe ist der wahrscheinlichste?
(1) Alle sechs Würfe sind Kopf?
(2) Dreimal Zahl und dreimal Kopf?
(3) Sechsmal Zahl?
Sind alle Fälle gleich wahrscheinlich? Nein: Stellen Sie sich die sechs Würfe als Entscheidungsbaum vor. Es gibt nur je einen Weg, bei dem genau sechsmal Zahl oder genau sechsmal Kopf fällt. Aber es gibt mehrere Wege, bei denen dreimal Kopf und Zahl fällt. KKKZZZ, KZKZKZ, ZKZKZK, und so weiter. Wenn hingegen die genaue Sequenz vorgegeben wird, dann gibt es ebenfalls nur eine Variante und damit für Fall (2) die gleiche Wahrscheinlichkeit wie für (1) und (3).

Risikobeurteilung für den einzelnen Fall

Gemäß den allgemeinen Empfehlungen zum Risikomanagement ist zwecks Risikobeurteilung die beschriebene Risikoformel anzuwenden. Wir haben aber feststellen müssen, dass bei der Frage, ob als nächster Wurf Kopf oder Zahl fällt, keine Voraussage möglich ist, außer dass entweder Kopf oder Zahl kommt. Bereits die Aussage „in jedem zweiten Fall“ gilt nur bei der Beobachtung einer großen Anzahl Würfe. Für das Festlegen, was „groß“ sei, gibt es mathematische Verfahren, die hier nicht weiter ausgeführt werden sollen. In der Praxis der unternehmerischen Risikobeurteilung stehen wir vor der noch viel heikleren Frage, wie hoch denn zum Beispiel die Wahrscheinlichkeit sei, dass infolge eines Brands des Rechnerraumes die Informatik des eigenen Unternehmens still stehe. Fragt man die Versicherungsgesellschaft respektive die Gebäudeversicherung, so kann man durchaus Antworten erhalten. Allerdings beziehen sich die versicherungsmathematischen Modelle immer auf die große Zahl. „Von allen bei uns versicherten Häusern der Brandklasse xy brennen im Durchschnitt über die letzten 20 Jahre pro  Jahr n Gebäude vollständig ab.“ Aus dieser Aussage kann der gewiefte Versicherungsmathematiker eine Berechnung ableiten, mit der, basierend auf der Schadenformel und dem individuell festgelegten Gebäudewert, die Versicherungsprämie festgelegt werden kann. Dieses Modell funktioniert „auf lange Sicht“. Die lange Sicht haben wir bereits bei der Spielbank kennengelernt. Die Versicherungsgesellschaft hat durchaus die Möglichkeit, aufgrund langjähriger Erfahrung die Prämien anzuheben oder zu senken, je nach dem tatsächlichen Schadenverlauf. Wir sollten aussagen können, wie hoch die Eintrittswahrscheinlichkeit für unseren RZ-Brand sei. Auf die Frage nach dem Einzelereignis gibt es keine auch nur annähernd richtige Antwort. Es ist reine Spekulation. Ob nun die Aussage in eine kartesianische Zahl gekleidet ist (P=0.01 oder in den Satz „in 100 Jahren einmal“ oder „in einem Prozent der Fälle“, es ist immer die gleiche bloße Behauptung. Für eine zuverlässige Aussage fehlen die „lange Sicht“ und die „große Zahl“. Einzig die Aussage „ein Brand ist nicht mit Sicherheit auszuschließen“ wäre korrekt, aber wenig hilfreich. Zukunftsvoraussagen oder eben Wahrscheinlichkeiten über zukünftige Ereignisse können dann mit ausreichender Genauigkeit gemacht werden:

• Wenn eine hinreichend lange Beobachtungsfrist in der Vergangenheit zur Verfügung stand,
• die Aufzeichnungen sorgfältig waren,
• das Ereignis einer nachvollziehbaren Gesetzmäßigkeit folgt,
• die Anzahl Beobachtungen groß war,
• und die Aussage für die Zukunft auch wieder die „lange Sicht“ einbezieht.
• Die obigen Bedingungen sind kumulativ zu erfüllen!

So ist es relativ unproblematisch, im Oktober vorauszusagen, dass es zwischen November und Februar in den Alpen mindestens einmal schneien werde. Bereits wenn man sich auf einen Monat festlegen muss, wird es heikler. Und auf einen Tag kann man sich nicht kaprizieren, dann ist man definitiv im Bereich der Wahrsagerei.

Von Menschen beeinflusste Risiken

Bei den „technischen Risiken“ oder „exogenen Ereignissen“ mussten wir feststellen, dass keine Eintrittswahrscheinlichkeiten vorausgesagt werden können. Je komplexer Ursachen- und Wirkungszusammenhänge innerhalb eines Ereignisses sind, umso unmöglicher wird eine Voraussage. K. Hummler hat schon viele Jahre vor den üblen Börsenereignissen aus dem Jahr 2007/2008 am Beispiel eines Pferderennens erläutert, wie das menschliche Verhalten je nach Wettbewerbssituation die Ereignisse verstärken oder entschärfen kann. Die wenig erforschten „massenpsychologischen Kernprozesse“, schon in den 70er-Jahren von Prof. Jöhr an der HSG als Erklärungsmöglichkeit für die Entwicklung der Konjunktur genannt, müssten berücksichtigt werden. Um das Risiko „Börsenkurs unseres Unternehmens bricht ein“ berechnen zu können, wären so viele exogene und endogene Faktoren zu berücksichtigen, dass wir getrost feststellen können, dass keinerlei Aussage über Eintrittswahrscheinlichkeiten gemacht werden kann. Es lohnt sich nicht einmal der Versuch dazu.

Zweite Unbekannte: Die Auswirkungen

Häufig sind Ereignisse, die für das Unternehmen unerträgliche Auswirkungen haben, nicht einfach „da“, sie sind vielmehr Folgen von anderen, scheinbar voneinander unabhängigen vorgelagerten Ereignissen. Wir sprechen von einer Ursache-Wirkungskette. Beispiel:

• Trotz Rauchverbot braucht ein Angestellter eine „schnelle Zigarette“. Er raucht im WC und drückt den vermeintlich gelöschten Zigarettenstummel in den Korb mit Papiertaschentüchern. Ein Papiertaschentuch fängt Feuer, der Papierkorb brennt, die Kunststoffverkleidung brennt. Das Feuer dehnt sich aus, da nach Feierabend von niemandem entdeckt.
• Das Feuer breitet sich auf der Etage aus, auch Büroräumlichkeiten, unter anderem das Großraumbüro beginnt zu brennen.
• Im Großraumbüro sind viele geschäftsrelevante Akten aufbewahrt. Da die computerunterstützte Archivierung noch nicht funktionsfähig ist, werden die wichtigsten Transaktionen ausschließlich auf Papier dokumentiert, welches jetzt verbrennt.
• Trotz erfolgreicher Löschaktion durch die spät alarmierte Feuerwehr sind die Geschäftsakten vollkommen zerstört.
• Mangels Geschäftsakten muss die Abteilung einsehen, dass eine Weiterführung des Geschäfts unmöglich ist. Das Unternehmen erleidet größte Verluste.

Einzelereignisse können, müssen aber nicht zu solch großen Schäden führen. Jedes einzelne dieser Einzelereignisse einzuschätzen auf alle denkbaren Schadenfolgen, führt nicht zum Ziel. Gesucht sind „Schlüsselereignisse“.

Das zweite Beispiel – aus dem Leben gegriffen – zeigt deutlich, dass zwar Risikoabschätzungen nötig sind, aber nicht mit einer „Zauberformel“:

• Der stellvertretende Informatikleiter eines bedeutenden Unternehmens der Finanzbranche spekuliert auf den Posten des Leiters Organisation und Informatik.
• Tatsächlich wird aber nicht er, sondern eine andere Person befördert. Der Übergangene wittert Vetternwirtschaft und ist verschnupft.
• Weitere an sich unbedeutende Vorkommnisse führen zu immer größerem Frust.
• Um für alle Fälle gewappnet zu sein, nimmt er eine Kopie des Kundenverzeichnisses mit nach Hause.
• Eine zweite Beförderung an ihm vorbei führt zu seiner Kündigung.
• Der Frustrierte versucht, seine Daten einem ausländischen Nachrichtenmagazin zu verkaufen. Diesem sind die Daten zu heiß.
• Der Journalist gibt dem örtlichen Polizeikommando einen Tipp, dass da heiße Daten im Umlauf seien.
• Die Daten werden beschlagnahmt.
• Die Polizei gibt die Daten dem Eigentümer zurück, aber eine Kopie geht auch an die Steuerfahndung.
• Der Rest ist wohl dokumentierte Geschichte und liegt nun schon ein paar Jahre zurück. Das betroffene Unternehmen verliert Kunden, muss Schadenersatz in unbekannter Millionenhöhe zahlen, nicht wegen der Steuersparunterstützung (wegen dieser mussten die Kunden teuer zahlen!), sondern weil das Unternehmen die Kunden nicht rechtzeitig vor der drohenden Steuerfahndung warnte!

Hätte eine Wahrscheinlichkeits-Schätzung etwas zur Schadenvermeidung oder mindestens -minimierung beigetragen? Wie wahrscheinlich ist, dass ein enttäuschter Mitarbeiter Daten stiehlt, die Daten in ein fremdes Land gelangen und dort immensen Schaden anrichten? Nur eine Aussage ist möglich und richtig: Eine solche Verkettung von Ereignissen ist nicht mit Sicherheit auszuschließen. Und: ungeachtet der Ursachen: Die unerwünschte Einsicht in die heißen Daten kann unternehmensbedrohenden Schaden an Reputationen und Finanzen stiften. Gesucht sind Schlüsselereignisse, nicht die Wahrscheinlichkeiten, mit der sie eintreffen, sowie die Auswirkungen der Schlüsselereignisse. Auf diese Art kann mit überblickbarem Aufwand herausgefunden werden, gegen welche Auswirkungen (Folgen) Maßnahmen ergriffen werden sollten (vgl. Kastentext 2).

Kernaussage

Die Auswirkung eines Ereignisses kann einfach und direkt, oder aber indirekt (sekundäre oder gar tertiäre Auswirkung) sein. Jedem Ereignis eine Auswirkung zuschreiben zu wollen, und die Ursache – Wirkungskette jedesmal ausloten – würde den zumutbaren Aufwand für eine Risikoanalyse bei weitem übersteigen. Hier sind andere Modelle nötig. Obschon die Risikoformel R = E x A immer gilt, ist sie für die vom Gesetz vorgeschriebene Risikobeurteilung von keinem praktischen Nutzen, sind doch weder E noch A mit auch nur geringster Annäherung berechen- oder festlegbar. Immer wieder hört man, dass die obigen Einwände zwar schon stimmen, aber die Formel halt doch eine Richtung zeige. Dem kann nur entgegengehalten werden, dass man zwar durchaus aussagen kann, wovor man mehr oder weniger Angst haben sollte, aber das hat nichts mir einer mathematischen Voraussage zu tun, sondern mit Gefühlen. Man soll das dann auch so deklarieren.

Haben die Risikomodelle versagt?

Angesichts der Milliardenabschreiber aller großer Banken im Zusammenhang mit der amerikanischen Hypothekenkrise wurde des öfteren erwähnt, dass die ausgeklügelten Risikomodelle der Banken versagt hätten. Es steht dem Verfasser mit seinen bescheidenen mathematischen und versicherungsmathematischen Kenntnissen nicht an, die Schöpfer der offensichtlich umfassenden Risikomodelle der Banken zu kritisieren oder gar zu hinterfragen. Aber, „am Ende des Tages“ bleibt irgendwann die Frage nach R = E x A. Wenn die Mathematiker vor lauter Formeln vergessen, die Gier des Menschen oder die „Unvernunft“ des Marktes zu berücksichtigen, dann können sie rechnen, soviel sie wollen, es gibt keine brauchbare Antwort. Je raffinierter die Modelle, je intransparenter die Verfahren, je schwieriger wird es für das Management, den Blick fürs Ganze zu wahren. Hätte denn nicht jemand bei den großen Banken mal den Finger draufhalten sollen, angesichts des wahnsinnig überhitzten Immobilienmarktes in der USA und dem Engagement der eigenen Bank in solchen Geschäften? Dazu hätte es gewiss keine hundertköpfige Risikoberechnungsabteilung gebraucht. Nicht die Risikomodelle haben versagt, sondern die Vorgesetzten aller Stufen, die vor lauter Formeln und Mathematik vergaßen, genau hinzuschauen, was denn eigentlich an Geschäften gemacht wird.

Umgang mit Risiken

Wenn man mit einer Methode in eine Sackgasse gerät, kann es hilfreich sein, anstatt von der Ausgangslage zum Ziel einmal vom Ziel zur Ausgangslage zu schauen. Also zurück zu unserer Frage und Aufgabenstellung: Was wollen wir denn mit der Risikoformel erreichen? Wir wollen erreichen, dass man sich mit dem Wesentlichen beschäftigt, die wichtigen Probleme anpackt und für die wesentlichen Gefahren auch die richtigen Maßnahmen ergreift. Statt „Risiken zu berechnen“, könnte man doch einfach festlegen, was man ungeachtet des Einzelereignisses einfach machen muss, um bestimmten Gefahren auszuweichen oder sie wenigstens zu beherrschen. Anstelle des Risikos „Erstereignis“ steht die inakzeptable sekundäre oder tertiäre Auswirkung im Zentrum und wie man sie vermeiden/ bekämpfen/ umgehen könnte.

• Statt zu fragen, wie hoch die Wahrscheinlichkeit eines Bürobrandes sei, könnte man einfach alles brennbare Material aus dem Büro entfernen, das Rauchen verbieten, die Computer am Abend abstellen und erst noch eine Brandwarnanlage installieren.
• Statt zu fragen, wie groß die Wahrscheinlichkeit eines Datendiebstahls (von Kundendaten bei einer Bank in einem sehr kleinen Land) sei, könnte man (angesichts der unabsehbaren bitteren Folgen) einfach die Daten viel besser vor Entwendung schützen oder (Maßnahmenkategorie „verzichten“) auf das Speichern dieser Daten verzichten.

Man muss die Einzelschadenereignisse respektive Ursachen-Wirkungsketten gar nicht kennen, um vernünftige Sicherheitsmaßnahmen anzuordnen und zu befolgen. „Regeln der Baukunst“ gibt es in jedem Bereich. Im Informatikbereich sind diese genügend bekannt, international normiert und von einzelnen Spezialisten auch in genügend Präzision formuliert. Unser Leitmotiv ist: „Es ist alles Zumutbare vorzukehren, um das Voraussehbare anzuwenden“. Unter zumutbar sind technische und organisatorische Möglichkeiten, aber auch Wirtschaftlichkeitsaspekte zu berücksichtigen. Beim Voraussehbaren geht es nicht um die Frage, wie häufig die Ereignisse eintreten, sondern ob sie überhaupt eintreten können.

Die Risikolandkarte

In Zusammenhang mit den Aufgaben der Geschäftsleitung im Risikomanagement wird oft vom Restrisiko geschrieben, welches die GL zu tragen habe. Hier wird eine problematische Wortwahl unbesehen immer wieder weiterverbreitet, die zu grob falschen Entscheiden führen kann. Die Risiken eines Unternehmens können gegliedert werden in voraussehbare, nicht voraussehbare, bekannte, bearbeitete und nicht bearbeitete Risiken. Bild 1 zeigt, dass wir uns normalerweise nur mit den Ereignissen der Risikolandkarte beschäftigen, nicht mit allen voraussehbaren Risiken. Dies ist eine fatale Einschränkung des Handlungsspielraumes. Wir sollten oder müssen auch dort Maßnahmen ergreifen, wo wir ein Ereignis nicht voraussehen konnten oder wollten. Die Umkehrlösung, also Maßnahmen planen, die „einfach ergriffen werden müssen“, schützt uns also vor einer möglicherweise gefährlichen zu engen Fokussierung. Im Bild ist das Restrisiko außerhalb des Voraussehbaren lokalisiert. Als Restrisiko wird eine Gefährdung bezeichnet, die einer Tätigkeit, einer Methode, einem Verfahren oder einem Prozess nach dem Stand der Wissenschaft selbst bei Anwendung aller theoretisch möglichen Sicherheitsvorkehrungen noch anhaftet. Da der Stand der Wissenschaft technisch nicht immer zu verwirklichen ist, wird bei besonders sicherheitskritischen Verfahren die Formulierung „Stand der Wissenschaft und Technik“ und bei weniger gefährlichen Verfahren die Formulierung „Stand der Technik“ verwendet. Die Definition des Restrisikos wird bei der Risikobetrachtung herangezogen und gegen die möglichen Schäden und ihre Eintrittswahrscheinlichkeit abgewogen. Da in vielen Bereichen Schadensschwere und Schadenswahrscheinlichkeit sehr gering sind, wird für die meisten Tätigkeiten, Methoden, Verfahren oder Prozesse ein Grenzrisiko festgelegt. Bei der Risikobetrachtung wird das Restrisiko meist mit dem Stand der Wissenschaft gleichgesetzt und das Grenzrisiko in der Nähe des Standes der Technik vermutet. Da dabei aber häufig auch marktwirtschaftliche Überlegungen eine Rolle spielen, liegt das Grenzrisiko meist weit über dem Stand der Technik. Für die praktische Handhabung ist es also wichtig, dass das Risikomanagement unterscheidet zwischen dem, was man nicht voraussehen kann, und dem, was man voraussehen könnte, aber nicht will.

Ausblick

Im zweiten Teil dieses Beitrages (Ausgabe 9/10) wird es handfest: Wie soll die Risikolandkarte „begehbar“ gemacht werden, wie mit der großen Menge an Informationen umgegangen werden. Der Autor zeigt das „umgekehrte Verfahren“, in welchem statt „Risiken berechnen“ das Maßnahmen planen im Vordergrund steht. Praktische Hinweise auf die Arbeitsteilung im Projekt runden den Artikel ab.

Rudolf Baer

Diesen Artikel finden Sie auch in der Ausgabe Juli/August 2008 des it security.