Risiko/Bereitschaft
Risikoappetit (Risikobereitschaft)
Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht.
- Die Neigung, innerhalb einer Institution Risiken einzugehen, wird durch eine Vielzahl von Faktoren beeinflusst, sodass eine quantitative Einstufung des Risikoappetits recht komplex werden kann.
- Ein Ziel dieses Kapitels ist es, die Komplexität zu verringern und eine beherrschbare Zahl von Risikoneigungstypen zu definieren, denen Empfehlungen für einen sinnvollen Umgang mit Risiken gegeben werden können.
Einflussfaktoren
Zu den äußeren Bedingungen, die die Risikoneigung einer Institution beeinflussen, gehören:
- Kulturelle Einflüsse (Je nach Land und Mentalität gibt es unterschiedliche Bereitschaften, Risiken einzugehen.)
Interne Faktoren (Organisationskultur, Einstellung des Managements, Risiken als Problem oder Chance sehen) Konservative Institutionen neigen eher zur Risikovermeidung (z. B. Behörden oder Unternehmen, die um ein besonders seriöses Image bemüht sind).
- Schnell wachsende Unternehmen sind eher bereit, Risiken zu tragen, wohingegen etablierte Großunternehmen Risiken eher meiden.
- Bei Großunternehmen ist es manchmal jedoch auch sinnvoll, das Risikomanagement für unterschiedliche
Unternehmensbereiche unterschiedlich aufzusetzen, je nachdem, ob es sich bei den Bereichen um neue, technologieintensive Bereiche (mit hoher Risikoneigung) oder „Cash Cows“ (mit niedriger Risikoneigung) handelt.
- Großunternehmen haben hier den Vorteil, dass sie Risiken über verschiedene Bereiche streuen können.
- Daher kann der Risikoappetit in den diversen Unternehmensteilen auch unterschiedlich sein.
- Je klarer Visionen und strategische Ziele der Institution sind, desto direkter ergibt sich daraus auch eine Einstellung zu Risiken.
- Marktumfeld (z. B. konservatives oder innovatives Umfeld)
Das Marktumfeld und interne Faktoren stehen in einem engen Zusammenhang.
- Wer in neue Märkte einsteigt, muss sich auf die dort geltenden Regeln und insbesondere auf Wettbewerb einstellen, auch wenn dies eventuell der Tradition der Institution zuwiderläuft.
- Es ist sinnvoll, konkurrierende Institutionen zu beobachten und die eigene Handlungsweise (z. B. nach den Regeln der Spieltheorie) danach auszurichten.
- Die Strategie kann (hier wiederum nach der Kultur innerhalb der Institution) darauf hinauslaufen, an der Spitze des Marktes stehen zu wollen: In diesem Fall wird Bereitschaft gezeigt werden müssen, hohe Risiken einzugehen.
- Im anderen Fall kann sich die Institution entscheiden, als „Fast Follower“ zu agieren.
- Dies bedeutet, dass sie versucht, der Konkurrenz die Risiken zu überlassen und trotzdem einen attraktiven Marktanteil zu erringen.
- Bei der Entscheidung, ob eine Institution bestimmte Maßnahmen umsetzt oder nicht, spielt auch häufig eine Rolle, was die Konkurrenz macht (sofern deren Maßnahmen bekannt sind).
Risikotragfähigkeit (Finanzierung der Institution [Haftung, Kapitaldecke usw.]) Obwohl Großunternehmen, wie schon erwähnt, eher zur Risikovermeidung neigen, haben sie üblicherweise eine Kapitaldecke, die es zumindest bei Teilbereichen erlaubt, Risiken zu tragen.
- Kleine
Unternehmen, die über eine eher geringe Kapitaldecke verfügen, aber trotzdem aus Gründen des Marktumfeldes signifikante Risiken eingehen müssen, arbeiten aus demselben Grund manchmal mit Risikokapitalgebern zusammen.
Quantifizierung von Risikoneigung
Vereinfacht dargestellt, läuft das Risikomanagement in folgenden Schritten ab.
- Präzise Definitionen können z. B. ISO/IEC 31000 (siehe [31000]) oder NIST SP 800-30 (siehe [NIST800-30]) entnommen werden:
- Identifikation von Risiken
- Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
- Risikobewertung (Ermittlung der Risikokategorie)
- Bestimmung von Maßnahmen zur Behandlung von Risiken
- Vergleich der Kosten jeder Maßnahme mit zu erwartenden Schäden und Entscheidung für oder gegen die Umsetzung der Maßnahme
- Restrisikobetrachtung: Festlegung von Handlungsoptionen
- Abgleich mit Chancen (erwartete Einnahmen und Nutzen des Geschäftsfeldes)
- Verfolgung der Risiken und Anpassung der Maßnahmen bzw. Handlungsoptionen im laufenden Betrieb
In mehreren dieser Schritte kann sich die Risikoneigung einer Institution widerspiegeln.
- Kriterien für Risikoneigung
Beim Versuch, Kriterien für die Risikoneigung festzulegen, ergeben sich mehrere mögliche Ansätze.
- Es folgen einige Beispiele:
- Höchstmögliches akzeptables Risiko
- Höchstmögliche akzeptable Eintrittshäufigkeit für Risiken
- Akzeptanz von Risiken bei gleichzeitig hohen Marktchancen
- Akzeptanz von Unvorhersagbarkeit (z. B. wenn sich Risiken nur schwer einer Häufigkeit oder Schadenssumme zuordnen lassen)
- Auswahl von Behandlungsalternativen ab einem bestimmten Restrisiko
Nicht immer lassen sich Einstellungen gegenüber Risiken rational begründen.
- Ein Beispiel wäre die pauschale Abneigung einer Institution, Risiken mit hoher Eintrittshäufigkeit einzugehen, denn wenn mit diesen Risiken keine hohen Schäden einhergingen, müssten sie nicht unbedingt vermieden werden.
- Eine derartige Entscheidung könnte aber trotzdem intuitiv gefällt werden, wenn die Institution sich bei der Bestimmung der Schadenshöhe nicht ausreichend sicher ist.
- Ein analoges Argument träfe bezüglich der Einstellung gegenüber einer maximal akzeptierten Schadenssumme zu.
- Unpräzises Datenmaterial führt dazu, dass sich Institutionen in der einen oder anderen Weise entscheiden müssen.
Dabei wird die Entscheidung von der Risikoneigung stark beeinflusst.
- Optimale Strategie und Unsicherheit
Wenn sich alle Parameter, die in das Risikomanagement eingehen, exakt bestimmen ließen, wäre auch ein optimaler Umgang mit diesen Risiken ermittelbar.
- Diese Parameter sind beispielsweise die
Eintrittshäufigkeiten und Schadenssummen (vor und nach Behandlung durch Maßnahmen), die Kosten von Maßnahmen, die Kosten von Behandlungsalternativen und die erwarteten Chancen, also z. B. Einnahmen aus einem Geschäft. Risiken müssen immer gegen Chancen abgewogen werden.
- Typisch wäre beispielsweise bei einem
Geschäftsfeld, mit dem Risiken verbunden sind, dass risikoscheue Institutionen das Risiko vermeiden und gleichzeitig die entsprechende Chance verpassen, während weniger risikoscheue Institutionen das Risiko eingehen, aber damit gleichzeitig die Chance wahrnehmen. Wenn sich die oben erwähnten Parameter alle exakt ermitteln ließen, könnte ein präziser Erwartungswert für die erzielten Gewinne oder Verluste der Institution ermittelt werden, abhängig davon, ob das Risiko eingegangen wird oder nicht.
- In diesem Falle gäbe es eine optimale Strategie für die Institution und die Frage der Risikoneigung würde keine Rolle mehr spielen.
Daran wird deutlich, dass die Risikoneigung deswegen bedeutsam ist, weil die Eingangsdaten für das Risikomanagement mit Unsicherheiten behaftet sind.
- Die Frage ist, wie man die Unsicherheiten bewertet und wie die Institution für einen hohen Schadensfall gerüstet ist.
- Mögliche Maßzahlen
Unabhängig von eher intuitiv begründeten Risikoneigungen, wie sie oben beschrieben wurden, soll versucht werden, Maßzahlen für die Risikoneigung zu ermitteln.
- Dabei wird von den Schritten ausgegangen, die oben zum grundsätzlichen Vorgehen beim Risikomanagement beschrieben wurden, und es soll eine rationale Vorgehensweise bei der Beurteilung der Risiken angestrebt werden.
Die einfachste Maßzahl orientiert sich am Erwartungswert für die Schadenshöhe, definiert als Produkt aus der Eintrittshäufigkeit für das Risiko und der Schadenshöhe.
- Risiken werden oft als Matrix dargestellt, bei der auf der einen Achse die Eintrittshäufigkeit und auf der anderen die Schadenshöhe angeführt wird.
- Die hohen Risiken befinden sich in der Matrix in einem rot eingefärbten Bereich.
- Ein
„hoher Risikoappetit“ könnte also im einfachsten Falle als Bereitschaft definiert werden, auch Risiken in diesem Bereich zu akzeptieren.
- Ein „niedriger Risikoappetit“ hieße Vermeidung, also möglicherweise gleichzeitig Verzicht auf eine Einnahmechance.
- Die Abbildung 4 zeigt eine beispielhafte Risikomatrix mit definierten Risikokategorien.
Um die Schwellwerte festzulegen, mittels derer die Eintrittshäufigkeiten und Auswirkungen als „hoch“ eingestuft werden, orientieren sich Institutionen typischerweise an ihren finanziellen Kennzahlen.
- Die Leitungsebene entscheidet, welche Schwellwerte sie als „hoch“ einstuft.
- Die Schwelle könnte sich an den finanziellen Rücklagen orientieren, aber auch am Umsatz der Institution.
- So kann die Schwelle als ein bestimmter Prozentsatz des Umsatzes festgelegt werden.
- Sie kann sich aber auch daran orientieren, ob die Institution bei Eintritt eines bestimmten Risikos noch liquide wäre.
- Je nach der Höhe des Risikos müssen Entscheidungen normalerweise von verschiedenen Führungsebenen genehmigt werden, hohe Risiken sollten demnach nicht ohne Erlaubnis des Topmanagements eingegangen werden.
- Abbildung 4
- Beispielhafte Risikomatrix mit Risikokategorien
Wenn also Risiken eingeschätzt und in die oben dargestellte Risikomatrix eingetragen werden, ergibt sich eine Darstellung wie in Abbildung 5, innerhalb derer sechs verschiedene Risiken ermittelt wurden und als Kreise mit Nummern eingetragen sind.
- Hier würde eine Institution mit hohem Risikoappetit
(die obere der zwei schwarzen Linien) die Risiken 1 und 3 unterhalb der Linie noch tragen, während eine Institution mit niedrigem Risikoappetit nur die Risiken 4, 5 und 6 tragen würde (untere Linie).
- Risiko 2 würde in diesem Fall keine der Institutionen tragen.
Wie oben schon erwähnt, gäbe es aber auch für Institutionen mit einem geringen Risikoappetit keinen Grund, auf Chancen zu verzichten, wenn verlässliche Daten Einnahmen erwarten ließen, die die Kosten durch eingetretene Risiken überträfen.
- Einzig und allein die Unsicherheiten bei den erhobenen
Daten sind der Grund dafür, dass Institutionen mit einem geringeren Risikoappetit in derartigen Situationen zur Risikovermeidung neigen. Eine andere Definition für Risikoappetit besteht in der Akzeptanz von Unsicherheiten bei der Interpretation des Datenmaterials.
- Gerade bei innovativen Branchen können Institutionen nicht auf viel vorhandenes Datenmaterial bei der Ermittlung von Eintrittshäufigkeiten und Schadenshöhen von Risiken zurückgreifen.
- Unwägbarkeiten kommen bei Risiken im Bereich der Informationssicherheit nahezu immer ins Spiel, im Gegensatz zu statistisch gut vorhersagbaren Risiken, wie sie beispielsweise zu
Elementarschäden in der Versicherungswirtschaft vorliegen. Die Unsicherheiten lassen sich in einem Risikodiagramm beispielsweise mit Fehlerbalken darstellen, die die Unsicherheit der Daten repräsentieren.
- Auch die Längen dieser Fehlerbalken sind bei größerer
Unsicherheit nur intuitiv zu ermitteln.
- Abbildung 6 zeigt eine Risikomatrix mit Fehlerbalken.
Sie sind in diesem Beispiel vertikal ausgerichtet, geben also eine Unsicherheit bei der Schadenshöhe an.
- Fehlerbalken in horizontaler Ausrichtung wären genauso denkbar.
- Institutionen mit einem geringen Risikoappetit würden sich in dieser Darstellung eher am oberen Rand der Werte für die Eintrittshäufigkeit und Schadenshöhe orientieren, Institutionen mit einem hohen Risikoappetit in der Mitte (nicht am unteren Rand, weil das wiederum bedeuten würde, Risiken systematisch zu unterschätzen).
Interessant ist ein Vergleich der Risiken 4 und 5: Eine Institution mit niedriger Risikoneigung würde in dieser Situation vielleicht eher das Risiko 4 als das Risiko 5 akzeptieren, obwohl es einen höheren Erwartungswert für den Schaden trägt.
- Hier ist die Unsicherheit bei der Schadenshöhe ausschlaggebend, die bei Risiko 5 höher liegt, gekennzeichnet durch den Fehlerbalken, der bei Risiko 5 in größere
Schadenshöhen hineinragt als der von Risiko 4.
- Abbildung 6
- Risikomatrix mit Unsicherheiten
Zuletzt gibt es auch noch die Möglichkeit, Risiken in unterschiedliche Kategorien einzuteilen und einen unterschiedlichen Risikoappetit pro Kategorie zu entwickeln.
- Beispielsweise könnte eine Institution Rufschädigungen scheuen, aber bereit sein, hohe finanzielle Risiken einzugehen.
- Dadurch ändert sich prinzipiell nichts am Vorgehen, sondern die unterschiedlichen Kategorien werden einfach gesondert voneinander betrachtet.
Risikotypen In einem einfachen Modell kann man Institutionen je nach ihrem Umgang mit Risiken in verschiedene Typen unterteilen.
- Eine beispielhafte Unterteilung wäre die folgende:
- „Cowboy“ – entspricht einer Institution, die Risiken prinzipiell bereitwillig in Kauf nimmt
- „Risk-Eater“ – nimmt hohe Risiken in Kauf, wenn diesen auch hohe Chancen gegenüberstehen
- „Konservativer“ – versucht, alle Risiken durch Maßnahmen so weit wie möglich zu minimieren
Wenn unter „Cowboy“ eine Institution verstanden wird, die Risiken einfach ignoriert, widerspricht das den Prinzipien des Risikomanagements und verlässliche Angaben über zu erwartende Konsequenzen, also Schäden oder Chancen, sind schwer möglich. Für die folgende Betrachtung soll angenommen werden, dass eine Institution ein professionelles Risikomanagement betreibt.
- Auch wenn ein professionelles Risikomanagement nicht immer verhindern kann, dass schlechte Entscheidungen getroffen werden, so stellt es dennoch sicher, dass diese bewusst aufgrund vorhandener Analysen getroffen werden.
- Die Risikoneigung sollte keinen Einfluss darauf haben, ob überhaupt eine Risikoanalyse durchgeführt wird und mit welcher Sorgfalt dies geschieht.
- Sie kann allerdings Einfluss darauf haben, wie viele Ressourcen die Institution in
Risikoanalyse und -behandlung investiert.
- Dabei sollte es sich jedoch um eine bewusste Entscheidung handeln.
- Für den Rest dieses Kapitels werden folgende Kategorien benutzt
- Konservativer
Der Konservative scheut Risiken, die sich in der Risikomatrix im roten (und eventuell auch gelben) Bereich befinden (siehe Abbildung 4) und meidet diese.
- Die damit verbundenen Chancen sind ihm zu unsicher, um sich auf die Gefahren einzulassen.
- Risikoaffiner
Der Risikoaffine sieht stets die Chancen, die mit hohen Risiken verbunden sind.
- Wenn diese vielversprechend ausfallen – aber auch nur dann – ist er bereit, das Risiko einzugehen.
- Institutionen, die jedes Risiko eingehen, auch wenn ihnen keine gleichwertigen Chancen gegenüberstehen, handeln selbstzerstörerisch und werden im Folgenden nicht weiter betrachtet.
- Unsicherheitsvermeider
Der Unsicherheitsvermeider versucht, möglichst verlässliche Daten über seine Risiken zu sammeln.
- Er neigt eher zur Vermeidung von Risiken, wenn diese sich quantitativ schwer einschätzen lassen, als wenn diese hoch, aber gut kontrollierbar und durch eine solide Finanzierung oder zu erwartende Einnahmen abgedeckt sind.
- Im letzteren Punkt unterscheidet er sich vom Konservativen.
Risikoneigung als Eingangsgröße im ISMS
Da die Risikoanalyse ein wichtiger Bestandteil des ISMS ist, sollten die Grundvoraussetzungen dafür vom Management der Institution vorgegeben werden.
- Die Leitungsebene gibt die Risikoneigung vor.
Das Sicherheitsmanagement muss die Risikoneigung kennen und sie entsprechend umsetzen. Möglicherweise ist sich eine Institution ihrer eigenen Risikoneigung nicht bewusst oder hat ungenaue Vorstellungen von diesem Begriff.
- In diesem Fall sollte das Management eine Klärung und Entscheidung herbeiführen, gegebenenfalls unter Beratung durch eine Fachkraft (z. B. durch den Informationssicherheitsbeauftragten bzw. ISB oder Risikomanager).
- Dabei werden die oben genannten Einflussfaktoren berücksichtigt.
- Die für das Anforderungsmanagement (Corporate Compliance) zuständige Organisationseinheit sollte ebenfalls gehört werden.
Die vom Management vorgegebene Aussage zur Risikoneigung kann zu Beginn der Risikoanalyse präzisiert werden, im Sinne der oben definierten Kategorien oder Maßzahlen.
- Wichtig ist es, diese
Vorgabe einerseits regelmäßig zu überprüfen und an den Zielen der Institution auszurichten, sie aber bei Risikoanalysen und -behandlungen auch konsequent umzusetzen.
- Zweifelsfälle können auftreten, beispielsweise wenn es bei einem bestimmten Risiko nicht sinnvoll erscheint, die festgelegte Risikoneigung anzuwenden.
- Solche Ausnahmefälle sollten abgestimmt und dokumentiert werden.
Oben wurde beschrieben, auf welche Aspekte die Risikoneigung Einfluss haben kann.
- Wenn Entscheidungen getroffen werden, die durch die Risikoneigung mit beeinflusst wurden, sollte dies dokumentiert werden.
Sobald die Risiken eingeschätzt und bewertet wurden, sollte bereits aufgrund der vorgegebenen Risikoneigung über eine mögliche Behandlung dieser nachgedacht werden, bevor ergänzende Sicherheitsmaßnahmen ermittelt werden.
- Unter Umständen lohnt sich die Planung von ergänzenden Sicherheitsmaßnahmen nicht.
- Im entgegengesetzten Fall werden Sicherheitsmaßnahmen geplant und bewertet, um das Risiko zu verringern, und anschließend das Restrisiko ermittelt.
- Restrisiken müssen behandelt werden, wenn sie das akzeptierte Risiko übersteigen.
- In eine Entscheidung für eine Behandlungsoption fließt abermals die Risikoneigung ein.
Bei der Entscheidung, ob ein Risiko selbst getragen oder transferiert werden sollte, wird der „Risikoaffine“ tendenziell eher zur ersten, die Typen „Konservativer“ und „Unsicherheitsvermeider“ eher zur zweiten Option neigen, obwohl pauschale Aussagen hier nicht immer zutreffen.
- Der „Unsicherheitsvermeider“ wird gegebenenfalls versuchen, durch die Umsetzung von Maßnahmen unter seiner eigenen Kontrolle die Unsicherheit bei der Risikoeinschätzung zu verringern.
Auch bei den einzelnen Entscheidungen, die bei der Risikoanalyse und -behandlung getroffen werden, empfiehlt es sich, den Einfluss der Risikoneigung auf diese Entscheidungen zu dokumentieren. Bei einer Änderung der Risikoneigung (z. B. durch veränderte Marktbedingungen) lässt sich die Risikoanalyse dann leichter anpassen. Die Risikoneigung hat zudem Einfluss auf die Aufbauorganisation einer Institution.
- Ein Beispiel ist die
Frage, ob es eine Organisationseinheit für das Risikomanagement gibt und wie diese zusammengesetzt ist, obwohl diese Entscheidung natürlich von Faktoren wie der Firmengröße mitbestimmt wird. Generell lautet die Empfehlung: Wer sich zu einer hohen Risikoneigung bekannt hat (Typus „Risikoaffiner“), sollte dem in seinem Risikomanagementprozess und seiner Organisationsstruktur Rechnung tragen.
- Hohe Risiken verlangen eine aufmerksame Verfolgung und Kontrolle.
Auswirkung von Gesetzen und Regularien
Gesetze und Normen beeinflussen nicht die Risikoneigung einer Institution an sich, aber den Umgang mit Risiken.
- Die Risiken nehmen durch regulatorischen Druck zu, sodass sich das Verhältnis von Risikoappetit zu den ursprünglichen Risiken verschieben kann.
- Jede Institution muss Sanktionen aufgrund von rechtlichen oder vertraglichen Verstößen in ihr Risikokalkül mit aufnehmen.
Ein Beispiel für Gesetze, die das Risikomanagement von Unternehmen beeinflussen, sind Datenschutzgesetze.
- Bei etlichen Unternehmen gab es trotz vorbeugender Maßnahmen Datenschutzpannen.
- Vor dem Hintergrund dieser Erfahrungen sollte dies beim Risikomanagement berücksichtigt werden.
- Insbesondere geht es darum, die gemachten Fehler, die zu den Datenschutzverstößen führten, zu lokalisieren und geeignete Maßnahmen abzuleiten und umzusetzen.
- Infrage kommen beispielsweise Schulungen der Mitarbeiter und Awareness-Kampagnen.
Beispiele für Regularien durch Aufsichtsstellen gibt es viele, beispielsweise im Bankenwesen.
- Entscheidungen einer Institution, Risiken auf jeden Fall zu tragen, obwohl bei seriöser Betrachtung die Kapitaldecke dafür nicht ausreichen würde, werden durch Vorschriften der Finanzaufsicht unterbunden oder mit entsprechenden Sanktionen belegt.