Risiko/Bereitschaft

Aus Foxwiki

Risikoappetit (Risikobereitschaft)

Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstan­ dene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht. Die Neigung, innerhalb einer Institution Risiken einzugehen, wird durch eine Vielzahl von Faktoren beeinflusst, sodass eine quantitative Einstufung des Risikoappetits recht komplex werden kann. Ein Ziel dieses Kapitels ist es, die Komplexität zu verringern und eine beherrschbare Zahl von Risikonei­ gungstypen zu definieren, denen Empfehlungen für einen sinnvollen Umgang mit Risiken gegeben werden können.

Einflussfaktoren

Zu den äußeren Bedingungen, die die Risikoneigung einer Institution beeinflussen, gehören:

  • * * * Kulturelle Einflüsse (Je nach Land und Mentalität gibt es unterschiedliche Bereitschaften, Risiken

einzugehen.) Interne Faktoren (Organisationskultur, Einstellung des Managements, Risiken als Problem oder Chance sehen) Konservative Institutionen neigen eher zur Risikovermeidung (z. B. Behörden oder Unternehmen, die um ein besonders seriöses Image bemüht sind). Schnell wachsende Unternehmen sind eher bereit, Risiken zu tragen, wohingegen etablierte Großunternehmen Risiken eher meiden. Bei Groß­ unternehmen ist es manchmal jedoch auch sinnvoll, das Risikomanagement für unterschiedliche Unternehmensbereiche unterschiedlich aufzusetzen, je nachdem, ob es sich bei den Bereichen um neue, technologieintensive Bereiche (mit hoher Risikoneigung) oder „Cash Cows“ (mit niedriger Risikoneigung) handelt. Großunternehmen haben hier den Vorteil, dass sie Risiken über verschie­ dene Bereiche streuen können. Daher kann der Risikoappetit in den diversen Unternehmensteilen auch unterschiedlich sein. Je klarer Visionen und strategische Ziele der Institution sind, desto direk­ ter ergibt sich daraus auch eine Einstellung zu Risiken. Marktumfeld (z. B. konservatives oder innovatives Umfeld) Das Marktumfeld und interne Faktoren stehen in einem engen Zusammenhang. Wer in neue Märkte einsteigt, muss sich auf die dort geltenden Regeln und insbesondere auf Wettbewerb ein­ stellen, auch wenn dies eventuell der Tradition der Institution zuwiderläuft. Es ist sinnvoll, konkur­ rierende Institutionen zu beobachten und die eigene Handlungsweise (z. B. nach den Regeln der Spieltheorie) danach auszurichten. Die Strategie kann (hier wiederum nach der Kultur innerhalb der Institution) darauf hinauslaufen, an der Spitze des Marktes stehen zu wollen: In diesem Fall wird Bereitschaft gezeigt werden müssen, hohe Risiken einzugehen. Im anderen Fall kann sich die In­ stitution entscheiden, als „Fast Follower“ zu agieren. Dies bedeutet, dass sie versucht, der Konkur­ renz die Risiken zu überlassen und trotzdem einen attraktiven Marktanteil zu erringen. Bei der Entscheidung, ob eine Institution bestimmte Maßnahmen umsetzt oder nicht, spielt auch häufig eine Rolle, was die Konkurrenz macht (sofern deren Maßnahmen bekannt sind). Risikotragfähigkeit (Finanzierung der Institution [Haftung, Kapitaldecke usw.]) Obwohl Großunternehmen, wie schon erwähnt, eher zur Risikovermeidung neigen, haben sie üb­ licherweise eine Kapitaldecke, die es zumindest bei Teilbereichen erlaubt, Risiken zu tragen. Kleine Unternehmen, die über eine eher geringe Kapitaldecke verfügen, aber trotzdem aus Gründen des Marktumfeldes signifikante Risiken eingehen müssen, arbeiten aus demselben Grund manchmal mit Risikokapitalgebern zusammen.

Quantifizierung von Risikoneigung

Vereinfacht dargestellt, läuft das Risikomanagement in folgenden Schritten ab. Präzise Definitionen können z. B. ISO/IEC 31000 (siehe [31000]) oder NIST SP 800-30 (siehe [NIST800-30]) entnommen werden:

  • Identifikation von Risiken
  • Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
  • Risikobewertung (Ermittlung der Risikokategorie)
  • Bestimmung von Maßnahmen zur Behandlung von Risiken
  • Vergleich der Kosten jeder Maßnahme mit zu erwartenden Schäden und Entscheidung für oder gegen die Umsetzung der Maßnahme
  • Restrisikobetrachtung: Festlegung von Handlungsoptionen
  • Abgleich mit Chancen (erwartete Einnahmen und Nutzen des Geschäftsfeldes)
  • Verfolgung der Risiken und Anpassung der Maßnahmen bzw. Handlungsoptionen im laufenden Betrieb

In mehreren dieser Schritte kann sich die Risikoneigung einer Institution widerspiegeln.

Kriterien für Risikoneigung

Beim Versuch, Kriterien für die Risikoneigung festzulegen, ergeben sich mehrere mögliche Ansätze. Es folgen einige Beispiele:

  • Höchstmögliches akzeptables Risiko
  • Höchstmögliche akzeptable Eintrittshäufigkeit für Risiken
  • Akzeptanz von Risiken bei gleichzeitig hohen Marktchancen
  • Akzeptanz von Unvorhersagbarkeit (z. B. wenn sich Risiken nur schwer einer Häufigkeit oder Schadenssumme zuordnen lassen)
  • Auswahl von Behandlungsalternativen ab einem bestimmten Restrisiko

Nicht immer lassen sich Einstellungen gegenüber Risiken rational begründen. Ein Beispiel wäre die pauschale Abneigung einer Institution, Risiken mit hoher Eintrittshäufigkeit einzugehen, denn wenn mit diesen Risiken keine hohen Schäden einhergingen, müssten sie nicht unbedingt vermieden wer­ den. Eine derartige Entscheidung könnte aber trotzdem intuitiv gefällt werden, wenn die Institution sich bei der Bestimmung der Schadenshöhe nicht ausreichend sicher ist. Ein analoges Argument träfe bezüglich der Einstellung gegenüber einer maximal akzeptierten Schadenssumme zu. Unpräzises Da­ tenmaterial führt dazu, dass sich Institutionen in der einen oder anderen Weise entscheiden müssen. Dabei wird die Entscheidung von der Risikoneigung stark beeinflusst.

Optimale Strategie und Unsicherheit

Wenn sich alle Parameter, die in das Risikomanagement eingehen, exakt bestimmen ließen, wäre auch ein optimaler Umgang mit diesen Risiken ermittelbar. Diese Parameter sind beispielsweise die Eintrittshäufigkeiten und Schadenssummen (vor und nach Behandlung durch Maßnahmen), die Kos­ten von Maßnahmen, die Kosten von Behandlungsalternativen und die erwarteten Chancen, also z. B. Einnahmen aus einem Geschäft. Risiken müssen immer gegen Chancen abgewogen werden. Typisch wäre beispielsweise bei einem Geschäftsfeld, mit dem Risiken verbunden sind, dass risikoscheue Institutionen das Risiko vermeiden und gleichzeitig die entsprechende Chance verpassen, während weniger risikoscheue Institutionen das Risiko eingehen, aber damit gleichzeitig die Chance wahrnehmen. Wenn sich die oben erwähnten Parameter alle exakt ermitteln ließen, könnte ein präziser Erwartungs­ wert für die erzielten Gewinne oder Verluste der Institution ermittelt werden, abhängig davon, ob das Risiko eingegangen wird oder nicht. In diesem Falle gäbe es eine optimale Strategie für die Institution und die Frage der Risikoneigung würde keine Rolle mehr spielen. Daran wird deutlich, dass die Risikoneigung deswegen bedeutsam ist, weil die Eingangsdaten für das Risikomanagement mit Unsicherheiten behaftet sind. Die Frage ist, wie man die Unsicherheiten be­ wertet und wie die Institution für einen hohen Schadensfall gerüstet ist.

Mögliche Maßzahlen

Unabhängig von eher intuitiv begründeten Risikoneigungen, wie sie oben beschrieben wurden, soll versucht werden, Maßzahlen für die Risikoneigung zu ermitteln. Dabei wird von den Schritten ausge­ gangen, die oben zum grundsätzlichen Vorgehen beim Risikomanagement beschrieben wurden, und es soll eine rationale Vorgehensweise bei der Beurteilung der Risiken angestrebt werden. Die einfachste Maßzahl orientiert sich am Erwartungswert für die Schadenshöhe, definiert als Produkt aus der Eintrittshäufigkeit für das Risiko und der Schadenshöhe. Risiken werden oft als Matrix darge­ stellt, bei der auf der einen Achse die Eintrittshäufigkeit und auf der anderen die Schadenshöhe an­ geführt wird. Die hohen Risiken befinden sich in der Matrix in einem rot eingefärbten Bereich. Ein „hoher Risikoappetit“ könnte also im einfachsten Falle als Bereitschaft definiert werden, auch Risiken in diesem Bereich zu akzeptieren. Ein „niedriger Risikoappetit“ hieße Vermeidung, also möglicher­ weise gleichzeitig Verzicht auf eine Einnahmechance.

Die Abbildung 4 zeigt eine beispielhafte Risikomatrix mit definierten Risikokategorien.

Um die Schwellwerte festzulegen, mittels derer die Eintrittshäufigkeiten und Auswirkungen als „hoch“ eingestuft werden, orientieren sich Institutionen typischerweise an ihren finanziellen Kenn­ zahlen. Die Leitungsebene entscheidet, welche Schwellwerte sie als „hoch“ einstuft. Die Schwelle könnte sich an den finanziellen Rücklagen orientieren, aber auch am Umsatz der Institution. So kann die Schwelle als ein bestimmter Prozentsatz des Umsatzes festgelegt werden. Sie kann sich aber auch daran orientieren, ob die Institution bei Eintritt eines bestimmten Risikos noch liquide wäre. Je nach der Höhe des Risikos müssen Entscheidungen normalerweise von verschiedenen Führungs­ ebenen genehmigt werden, hohe Risiken sollten demnach nicht ohne Erlaubnis des Topmanage­ ments eingegangen werden.

Abbildung 4
Beispielhafte Risikomatrix mit Risikokategorien

Wenn also Risiken eingeschätzt und in die oben dargestellte Risikomatrix eingetragen werden, ergibt sich eine Darstellung wie in Abbildung 5, innerhalb derer sechs verschiedene Risiken ermittelt wurden und als Kreise mit Nummern eingetragen sind. Hier würde eine Institution mit hohem Risikoappetit (die obere der zwei schwarzen Linien) die Risiken 1 und 3 unterhalb der Linie noch tragen, während eine Institution mit niedrigem Risikoappetit nur die Risiken 4, 5 und 6 tragen würde (untere Linie).

Risiko 2 würde in diesem Fall keine der Institutionen tragen.

Wie oben schon erwähnt, gäbe es aber auch für Institutionen mit einem geringen Risikoappetit keinen Grund, auf Chancen zu verzichten, wenn verlässliche Daten Einnahmen erwarten ließen, die die Kos­ ten durch eingetretene Risiken überträfen. Einzig und allein die Unsicherheiten bei den erhobenen Daten sind der Grund dafür, dass Institutionen mit einem geringeren Risikoappetit in derartigen Si­ tuationen zur Risikovermeidung neigen. Eine andere Definition für Risikoappetit besteht in der Akzeptanz von Unsicherheiten bei der Interpre­ tation des Datenmaterials. Gerade bei innovativen Branchen können Institutionen nicht auf viel vor­ handenes Datenmaterial bei der Ermittlung von Eintrittshäufigkeiten und Schadenshöhen von Risiken zurückgreifen. Unwägbarkeiten kommen bei Risiken im Bereich der Informationssicherheit nahezu immer ins Spiel, im Gegensatz zu statistisch gut vorhersagbaren Risiken, wie sie beispielsweise zu Elementarschäden in der Versicherungswirtschaft vorliegen. Die Unsicherheiten lassen sich in einem Risikodiagramm beispielsweise mit Fehlerbalken darstellen, die die Unsicherheit der Daten repräsentieren. Auch die Längen dieser Fehlerbalken sind bei größerer Unsicherheit nur intuitiv zu ermitteln.

Abbildung 6 zeigt eine Risikomatrix mit Fehlerbalken.

Sie sind in diesem Beispiel vertikal ausgerichtet, geben also eine Unsicherheit bei der Schadenshöhe an. Fehlerbalken in horizontaler Ausrichtung wä­ ren genauso denkbar. Institutionen mit einem geringen Risikoappetit würden sich in dieser Darstel­ lung eher am oberen Rand der Werte für die Eintrittshäufigkeit und Schadenshöhe orientieren, Insti­ tutionen mit einem hohen Risikoappetit in der Mitte (nicht am unteren Rand, weil das wiederum bedeuten würde, Risiken systematisch zu unterschätzen). Interessant ist ein Vergleich der Risiken 4 und 5: Eine Institution mit niedriger Risikoneigung würde in dieser Situation vielleicht eher das Risiko 4 als das Risiko 5 akzeptieren, obwohl es einen höheren Erwartungswert für den Schaden trägt. Hier ist die Unsicherheit bei der Schadenshöhe ausschlagge­ bend, die bei Risiko 5 höher liegt, gekennzeichnet durch den Fehlerbalken, der bei Risiko 5 in größere Schadenshöhen hineinragt als der von Risiko 4.

Abbildung 6
Risikomatrix mit Unsicherheiten

Zuletzt gibt es auch noch die Möglichkeit, Risiken in unterschiedliche Kategorien einzuteilen und ei­ nen unterschiedlichen Risikoappetit pro Kategorie zu entwickeln. Beispielsweise könnte eine Institu­ tion Rufschädigungen scheuen, aber bereit sein, hohe finanzielle Risiken einzugehen. Dadurch ändert sich prinzipiell nichts am Vorgehen, sondern die unterschiedlichen Kategorien werden einfach geson­ dert voneinander betrachtet. Risikotypen In einem einfachen Modell kann man Institutionen je nach ihrem Umgang mit Risiken in verschiedene Typen unterteilen. Eine beispielhafte Unterteilung wäre die folgende:

  • „Cowboy“ – entspricht einer Institution, die Risiken prinzipiell bereitwillig in Kauf nimmt
  • „Risk-Eater“ – nimmt hohe Risiken in Kauf, wenn diesen auch hohe Chancen gegenüberstehen
  • „Konservativer“ – versucht, alle Risiken durch Maßnahmen so weit wie möglich zu minimieren

Wenn unter „Cowboy“ eine Institution verstanden wird, die Risiken einfach ignoriert, widerspricht das den Prinzipien des Risikomanagements und verlässliche Angaben über zu erwartende Konse­ quenzen, also Schäden oder Chancen, sind schwer möglich. Für die folgende Betrachtung soll angenommen werden, dass eine Institution ein professionelles Risikomanagement betreibt. Auch wenn ein professionelles Risikomanagement nicht immer verhin­ dern kann, dass schlechte Entscheidungen getroffen werden, so stellt es dennoch sicher, dass diese bewusst aufgrund vorhandener Analysen getroffen werden. Die Risikoneigung sollte keinen Ein­ fluss darauf haben, ob überhaupt eine Risikoanalyse durchgeführt wird und mit welcher Sorgfalt dies geschieht. Sie kann allerdings Einfluss darauf haben, wie viele Ressourcen die Institution in Risikoanalyse und -behandlung investiert. Dabei sollte es sich jedoch um eine bewusste Entschei­ dung handeln.

Für den Rest dieses Kapitels werden folgende Kategorien benutzt
  • Konservativer

Der Konservative scheut Risiken, die sich in der Risikomatrix im roten (und eventuell auch gelben) Bereich befinden (siehe Abbildung 4) und meidet diese. Die damit verbundenen Chancen sind ihm zu unsicher, um sich auf die Gefahren einzulassen.

  • Risikoaffiner

Der Risikoaffine sieht stets die Chancen, die mit hohen Risiken verbunden sind. Wenn diese viel­ versprechend ausfallen – aber auch nur dann – ist er bereit, das Risiko einzugehen. Institutionen, die jedes Risiko eingehen, auch wenn ihnen keine gleichwertigen Chancen gegenüberstehen, han­ deln selbstzerstörerisch und werden im Folgenden nicht weiter betrachtet.

  • Unsicherheitsvermeider

Der Unsicherheitsvermeider versucht, möglichst verlässliche Daten über seine Risiken zu sam­ meln. Er neigt eher zur Vermeidung von Risiken, wenn diese sich quantitativ schwer einschätzen lassen, als wenn diese hoch, aber gut kontrollierbar und durch eine solide Finanzierung oder zu erwartende Einnahmen abgedeckt sind. Im letzteren Punkt unterscheidet er sich vom Konserva­ tiven.

Risikoneigung als Eingangsgröße im ISMS

Da die Risikoanalyse ein wichtiger Bestandteil des ISMS ist, sollten die Grundvoraussetzungen dafür vom Management der Institution vorgegeben werden. Die Leitungsebene gibt die Risikoneigung vor. Das Sicherheitsmanagement muss die Risikoneigung kennen und sie entsprechend umsetzen. Möglicherweise ist sich eine Institution ihrer eigenen Risikoneigung nicht bewusst oder hat ungenaue Vorstellungen von diesem Begriff. In diesem Fall sollte das Management eine Klärung und Entschei­ dung herbeiführen, gegebenenfalls unter Beratung durch eine Fachkraft (z. B. durch den Informati­ onssicherheitsbeauftragten bzw. ISB oder Risikomanager). Dabei werden die oben genannten Ein­ flussfaktoren berücksichtigt. Die für das Anforderungsmanagement (Corporate Compliance) zustän­ dige Organisationseinheit sollte ebenfalls gehört werden. Die vom Management vorgegebene Aussage zur Risikoneigung kann zu Beginn der Risikoanalyse präzisiert werden, im Sinne der oben definierten Kategorien oder Maßzahlen. Wichtig ist es, diese Vorgabe einerseits regelmäßig zu überprüfen und an den Zielen der Institution auszurichten, sie aber bei Risikoanalysen und -behandlungen auch konsequent umzusetzen. Zweifelsfälle können auftre­ ten, beispielsweise wenn es bei einem bestimmten Risiko nicht sinnvoll erscheint, die festgelegte Ri­ sikoneigung anzuwenden. Solche Ausnahmefälle sollten abgestimmt und dokumentiert werden. Oben wurde beschrieben, auf welche Aspekte die Risikoneigung Einfluss haben kann. Wenn Entschei­ dungen getroffen werden, die durch die Risikoneigung mit beeinflusst wurden, sollte dies dokumen­ tiert werden. Sobald die Risiken eingeschätzt und bewertet wurden, sollte bereits aufgrund der vorgegebenen Ri­ sikoneigung über eine mögliche Behandlung dieser nachgedacht werden, bevor ergänzende Sicher­ heitsmaßnahmen ermittelt werden. Unter Umständen lohnt sich die Planung von ergänzenden Sicher­ heitsmaßnahmen nicht. Im entgegengesetzten Fall werden Sicherheitsmaßnahmen geplant und be­ wertet, um das Risiko zu verringern, und anschließend das Restrisiko ermittelt. Restrisiken müssen behandelt werden, wenn sie das akzeptierte Risiko übersteigen. In eine Entscheidung für eine Be­ handlungsoption fließt abermals die Risikoneigung ein. Bei der Entscheidung, ob ein Risiko selbst getragen oder transferiert werden sollte, wird der „Risiko­ affine“ tendenziell eher zur ersten, die Typen „Konservativer“ und „Unsicherheitsvermeider“ eher zur zweiten Option neigen, obwohl pauschale Aussagen hier nicht immer zutreffen. Der „Unsicherheits­ vermeider“ wird gegebenenfalls versuchen, durch die Umsetzung von Maßnahmen unter seiner ei­ genen Kontrolle die Unsicherheit bei der Risikoeinschätzung zu verringern. Auch bei den einzelnen Entscheidungen, die bei der Risikoanalyse und -behandlung getroffen wer­ den, empfiehlt es sich, den Einfluss der Risikoneigung auf diese Entscheidungen zu dokumentieren. Bei einer Änderung der Risikoneigung (z. B. durch veränderte Marktbedingungen) lässt sich die Risi­ koanalyse dann leichter anpassen. Die Risikoneigung hat zudem Einfluss auf die Aufbauorganisation einer Institution. Ein Beispiel ist die Frage, ob es eine Organisationseinheit für das Risikomanagement gibt und wie diese zusammenge­ setzt ist, obwohl diese Entscheidung natürlich von Faktoren wie der Firmengröße mitbestimmt wird. Generell lautet die Empfehlung: Wer sich zu einer hohen Risikoneigung bekannt hat (Typus „Risiko­ affiner“), sollte dem in seinem Risikomanagementprozess und seiner Organisationsstruktur Rechnung tragen. Hohe Risiken verlangen eine aufmerksame Verfolgung und Kontrolle.

Auswirkung von Gesetzen und Regularien

Gesetze und Normen beeinflussen nicht die Risikoneigung einer Institution an sich, aber den Umgang mit Risiken. Die Risiken nehmen durch regulatorischen Druck zu, sodass sich das Verhältnis von Risi­ koappetit zu den ursprünglichen Risiken verschieben kann. Jede Institution muss Sanktionen auf­ grund von rechtlichen oder vertraglichen Verstößen in ihr Risikokalkül mit aufnehmen. Ein Beispiel für Gesetze, die das Risikomanagement von Unternehmen beeinflussen, sind Daten­ schutzgesetze. Bei etlichen Unternehmen gab es trotz vorbeugender Maßnahmen Datenschutzpan­ nen. Vor dem Hintergrund dieser Erfahrungen sollte dies beim Risikomanagement berücksichtigt wer­ den. Insbesondere geht es darum, die gemachten Fehler, die zu den Datenschutzverstößen führten, zu lokalisieren und geeignete Maßnahmen abzuleiten und umzusetzen. Infrage kommen beispiels­ weise Schulungen der Mitarbeiter und Awareness-Kampagnen. Beispiele für Regularien durch Aufsichtsstellen gibt es viele, beispielsweise im Bankenwesen. Entschei­ dungen einer Institution, Risiken auf jeden Fall zu tragen, obwohl bei seriöser Betrachtung die Kapi­ taldecke dafür nicht ausreichen würde, werden durch Vorschriften der Finanzaufsicht unterbunden oder mit entsprechenden Sanktionen belegt.