IT-Grundschutz / Risikomanagement

Chancen für Chancen

Ausbau eines Risikomanagements zum Chancen- und Risikomanagement

In sicherheitsorientierten Managementsystemen wie BCMS und ISMS stehen meist Risiken im Mittelpunkt. Die Fokussierung hierauf führt jedoch oft dazu, dass der Blick immer auf das Negative gerichtet wird, während man positive Aspekte leicht aus dem Blick verliert. Dabei kann ein Managementsystem längst nicht nur als Werkzeug zur Risikoreduzierung dienen, sondern auch ein interessanter und lukrativer Wegbereiter sein. Der Ausbau des Risikomanagements zu einem Chancen- und Risikomanagement ist hierzu ein wichtiger Schritt.

Von Robert Manuel Beck, Christiane Zenglein und Debora Röser, Berlin

Für die Managementsystem-Standards (MSS) der ISO definiert der sogenannte „Harmonized Approach“ [1] eine konsistente High-Level-Structure (HLS, seit Mai 2021 genauer: „Harmonized Structure“ – HS). In Abschnitt 6.1 werden in dieser „Maßnahmen zum Umgang mit Risiken und Chancen“ gefordert („actions to address risks and opportunities“, [2]). Inhaltlich werden Chancen an dieser Stelle allerdings nur nebensächlich definiert – vor allem beschreibt der Text das für das Managementsystem notwendige Risikomanagement. Aber dennoch wird die Berücksichtigung von Chancen auch von Prüfern zunehmend gefordert. Gerade für die sicherheitsorientieren Managementsysteme, wie Informationssicherheits-Managementsysteme (ISMS) oder Business-Continuity-Management- Systeme (BCMS), birgt das eine Chance in sich.

Begrifflichkeiten

Risiken stellen laut ISO 31000:2018 „Risk Management – Guidelines“ den „Effekt von Unsicherheit auf Ziele“ dar („effect of uncertainty on objectives“), wobei der „Effekt“ als Abweichung vom Erwarteten angesehen wird. Der Duden definiert Risiko hingegen als „möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust, Schäden verbunden sind“ oder als „mit einem Vorhaben, Unternehmen o. Ä. verbundenes Wagnis“. Zusammengefasst ist ein Risiko die Möglichkeit einer negativen Zielabweichung.

Bei ISMS oder BCMS sowie weiteren Managementsystemen (z. B. Qualitäts- oder Umweltmanagementsysteme) stellt das Risikomanagement ein Kernelement und die wichtigste Kommunikationsbasis zur Institutionsleitung dar: Damit vermittelt man, wie sich der Status quo zum jeweiligen Managementsystem auf die Zielerreichung auswirkt. In der Praxis geht es aber grundsätzlich darum, was „Schlimmes“ passieren kann, welche Auswirkungen das hätte und welche Maßnahmen ergriffen werden sollten, um das zu vermeiden. Eine stärkere Berücksichtigung von „Chancen“ eröffnet demgegenüber die Gelegenheit, das jeweilige Themenfeld in einem positiveren Licht darzustellen und den Mehrwert des jeweiligen Managementsystems hervorzuheben.

Chancen, im Umfeld der ISO eher als „opportunity“ (Gelegenheit) bezeichnet, werden dort als „Vorkommnisse, die sich günstig auswirken würden“ definiert (ISO/TR 21506:2018 „Project, programme and portfolio management — Vocabulary“). Der Duden versteht Chancen als „günstige Gelegenheit“ oder „Möglichkeit, etwas Bestimmtes zu erreichen“. In diesem Zusammenhang sind Chancen die Basis einer erfolgreichen Unternehmensführung: Sie sind der Motor, der Unternehmen voranbringt, um ihre Ziele zu erreichen oder auch neue Ziele zu setzen und sich weiterzuentwickeln.

Daher eröffnet die Berücksichtigung von Chancen in Managementsystemen die Möglichkeit, nicht nur Schwierigkeiten und deren Behandlung darzustellen, sondern vielmehr positive interne und externe Entwicklungen und Voraussetzungen zu identifizieren und aktiv für das Unternehmen zu berücksichtigen. Der Effekt von Chancen wird verstärkt, weil man negative Nebeneffekte (Risiken) verringert oder sogar neue Möglichkeiten eröffnet.

Was wäre, wenn?

Ein Beispiel: In einem Unternehmen will man die eigene IT effizienter aufstellen und hierfür Server bei einem Cloud-Provider einrichten. Dadurch erhofft sich das Unternehmen die Chance zur Fokussierung auf das eigentliche Geschäft und zudem eine Reduktion der IT-Kosten.

Ein verbreiteter Spruch besagt: „Es gibt keine Cloud, sondern nur anderer Leute Server.“ In diesem Sinne bestehen unterschiedliche Risiken für dieses Vorhaben: Wo werden die Informationen verarbeitet? Können unberechtigte Dritte die verarbeiteten Informationen einsehen oder gar verändern? Ist die Verfügbarkeit wirklich gewährleistet? Was passiert bei einem Ausfall des Cloud-Dienstleisters?

Es liegt nun am Informationssicherheitsbeauftragten und dem Business-Continuity-Manager diese Risiken zu bewerten. Hierfür werden sie mögliche Bedrohungen und Schwachstellen erörtern und entsprechende Behandlungsstrategien identifizieren, um die planmäßige Chance wahrnehmen zu können.

Aber durch die Behandlung dieser Risiken können sich auch weitere Chancen ergeben, die über die Fokussierung auf das Kerngeschäft hinausgehen: Der Cloud-Dienstleister könnte beispielsweise integrierte Sicherheitsfunktionen anbieten, die auf der eigenen Infrastruktur nur aufwendig zu integrieren und pflegen wären (z. B. Multi-Faktor- Authentifizierung, Transport- und Speicherverschlüsselung, ein integriertes Monitoring oder eine sichere Netzwerkumgebung).

Im Gegensatz zu einer ausschließlichen Betrachtung der Risiken im Rahmen des ISMS, lässt sich der Wert von Ursprungs- und erweiterten Chancen der „Cloud- Nutzung“ durch eine Analyse von Chancen- und Risiken deutlich ausbauen.

ChaRM-Prozess

Durch die Gegenüberstellung von Chancen und Risiken können sich durchaus tiefer greifende Erkenntnisse ergeben: Bestimmte Chancen könnten womöglich den Aufwand des „Ergreifens“ und der Behandlung der damit verbundenen Risiken gar nicht Wert sein. Oder eine zu gering geglaubte Chance könnte durch die Behandlung der Risiken doch eine Bereicherung des Unternehmens darstellen.

Eine Grundlage kann der allgemeine Risikomanagementprozess nach ISO 31000:2018 darstellen – denn Schritte für das Management von Chancen können analog erfolgen (vgl. [3]). Entsprechend muss man bei einem etablierten Risikomanagement nicht unbedingt einen neuen Prozess etablieren – vielmehr muss lediglich der vorhandene Prozess erweitert oder quasi „geklont“ werden. Abbildung 1 zeigt einen möglichen Aufbau für einen Prozess zum „Chance and Risk Management“ (ChaRM).

: Abbildung 1: Chancen- und Risikomanagementprozess (in Anlehnung an ISO 31000:2018 und Lück [3])

Einsatz von Werkzeugen

Im Prozess-Schritt „Anwendungsbereich, Kontext und Kriterien“ werden Scope, Umfeld und interessierte Parteien bewertet. Hierbei kann zum Beispiel eine PESTEL-Analyse helfen, die politischen (political), wirtschaftlichen (economonical), soziokulturellen (social), technischen (technical), ökologischen (environmental) und rechtlichen (legal) Einflussfaktoren als Basis für Chancen und Risiken zu bestimmen. Hieraus lassen sich Chancen und Risiken aus dem Umfeld des Unternehmens identifizieren. Das beispielhaft genannte Thema „Cloud“ wäre hier etwa ein „technischer“ Einflussfaktor – aber auch die anderen Bereiche können entsprechende Chancen wie auch Risiken bergen.

Darauf aufbauend könnte eine SWOT-Analyse durchgeführt werden, um weitere Chancen und Risiken zu identifizieren und diese um weitere Parameter, wie interne Voraussetzungen, zu ergänzen. Denn in der SWOT-Analyse werden Stärken (Strength), Schwächen (Weaknesses), Chancen/Gelegenheiten (Opportunities) sowie Risiken/Bedrohungen (Threats) in einer 2x2-Matrix einander gegenübergestellt (Abb. 2) – entsprechend werden die zuvor identifizierten „externen Faktoren“ Chancen und Risiken um die „internen Faktoren“ Stärken und Schwächen erweitert.

: Abbildung 2: Perspektiven einer SWOT-Analyse

Im Rahmen einer SWOTAnalyse ist jedoch nicht nur die „einfache“ Auflistung der Stärken, Schwächen, Chancen und Risiken möglich: Auch hier kann man eine Chancen- und Risikoanalyse durchführen – wie für Risiken gibt es auch für Chancen die Möglichkeit diese zu behandeln. Für die Risiken gilt hierbei unter anderem nach ISO/IEC 27005:2022 „Information security, cybersecurity and privacy protection – Guidance on managing information security“, dass Risiken allem voran vermieden, modifiziert, temporär akzeptiert oder geteilt werden können. Die quasi gegenteiligen Optionen lassen sich für die Chancen heranziehen (vgl. [3]), wie Tabelle 1 ausführt.

: Tabelle 1: Behandlungsoptionen für Risiken und Chancen (in Anlehnung an ISO/IEC 27005:2022 und Lück [3])

Diese Behandlungs- beziehungsweise Nutzungsoptionen gilt es in der Praxis zu kombinieren. Hierbei kann beispielsweise ebenfalls die SWOT-Analyse unterstützen: Denn anhand der Gegenüberstellung der Ergebnisse der externen Analyse (Chancen und Risiken) zu den Ergebnissen der internen Analyse (Stärken und Schwächen) können die in Abbildung 3 gezeigten Strategien abgeleitet werden. Hier ist dann im Einzelfall zu überlegen, welche der genannten Optionen zur Nutzung von Chancen und zur Behandlung von Risiken im jeweiligen Szenario genutzt werden sollten.

: Abbildung 3: SWOT-Matrix zu in- und externer Sichtweise (in Anlehnung an Romeike & Hager [4])

Transparenz durch Radare

Um das Ergebnis schließlich transparent zu machen und beispielsweise in einen Managementbericht aufnehmen zu können, lassen sich Chancen- und Risiko-Radare einsetzen. Hierbei handelt es sich in der Regel um Spinnennetzdiagramme, in denen die Chancen und/oder die Risiken wie auf einem Radarschirm eingezeichnet sind (Abb. 4).

: Abbildung 4: Skizze eines Chancen-/Risiken-Radars unter Nutzung der Control-Kategorien nach ISO/IEC 27002:2022 (in Anlehnung an Cuny, Riegel und Schütt [5])

Die einzelnen Abschnitte des Spinnennetzdiagramms sind dabei unterschiedlichen Themenbereichen des Chancen- und Risikomanagements zugeordnet. Hier könnte man beispielsweise die Perspektiven des Annex A der neuen ISO/IEC 27001 beziehungsweise ISO/IEC 27002 oder die Perspektiven der PESTEL-Analyse nutzen. Hinsichtlich der Darstellung kann überlegt werden, ob zwei Radare nebeneinander sinnvoll sind oder – bei identischen Skalen und Bereichen – ein einzelnes Radar für beides genügt.

Fazit

Durch die Einbeziehung von Chancen lässt sich der positive Einfluss des jeweiligen Managementsystems auf die Unternehmensziele und -aktivitäten transparent machen. Hierbei ergibt sich die Möglichkeit, über den sprichwörtlichen Tellerrand zu schauen: Wo bei einer ausschließlichen Betrachtung von Risiken in der Regel nur die negativen Aspekte und der potenzielle Schaden behandelt werden, kann man in einem Chancen- und Risikomanagement explizit hervorheben, wie durch das jeweilige Managementsystem Maßnahmen zur Behandlung von Risiken gleichermaßen zur Verstärkung einer Chance, zum Ausbau von Chancen oder sogar zur Generierung weiterer Chancen zu etablieren sind. Dadurch wird deutlich, welchen Mehrwert das jeweilige Managementsystem – über die Abwendung von Gefahren hinaus – für das Unternehmen leistet.

Der Prozess hierzu kann ähnlich sein, wie ein Prozess nach ISO 31000:2018: Vom Kontext über die Risikoidentifikation, -analyse und -bewertung bis zur Risikobehandlung lassen sich die gleichen Schritte für Chancen nutzen. Hierbei ist es möglich, das Chancen- Management als simultanen Prozess zum Risikomanagement aufzubauen oder einen gemeinsamen Chancenund Risikomanagementprozess zu etablieren.

Ein simultaner Prozess könnte gerade bei getrennten Managementsystemen sinnvoll sein – wenn beispielsweise in einem Unternehmen das ISMS und BCMS unabhängig voneinander arbeiten. Denn Chancen in Bezug auf Unternehmensziele werden oft generisch und daher auch für unterschiedliche Managementsysteme relevant sein. Risiken sind jedoch in der Regel spezifisch für ein Managementsystem.

Unabhängig von der Realisierung gilt: Die Berücksichtigung von Chancen im Risikomanagement bietet – vor allem für sicherheitsorientierte Managementsysteme – in sich eine Chance, die Aktivitäten des Systems in einem positiverem Licht darzustellen.

Robert Manuel Beck, Christiane Zenglein und Debora Röser arbeiten im Bereich Security Consulting bei der HiSolutions AG.

Literatur

[1] International Organization for Standardization (ISO), Harmonized approach for management system standards, Annex SL (normative) in: The ISO/IEC Directives, Part 1 – Consolidated ISO Supplement – Procedure for the technical work – Procedures specific to ISO, 13. Edition, 2022, www.iso.org/sites/directives/current/consolidated/index.xhtml#_id-TextAnchor645

[2] International Organization for Standardization (ISO), Harmonized structure for MSS with guidance for use, Appendix 2 (normative) of Annex SL, https://isotc.iso. org/livelink/livelink/fetch/8921878/ 8921901/16347356/16347356/18/ 2021-05_Annex_SL_Appendix_2_ rev1.pdf?nodeid=22360566& vernum=-2

[3] Wolfgang Lück, Chancenmanagement – neue Chancen für Unternehmen, Betriebs-Berater BB Heft 45, 2001, S. 2312, https://online.ruw.de/suche/bb/2001/45

[4] Frank Romeike, Peter Hager, Erfolgsfaktor Risiko-Management 4.0, Methoden, Beispiele, Checklisten – Praxishandbuch für Industrie und Handel, Springer Gabler, 4. vollständig überarbeitete Auflage, Juni 2020, ISBN 978-3-658-29445-8

[5] Frédéric Cuny, Gilbert Riegel, Jan-Peter Schütt, Wie man Risiken in Projekten verwaltet, CIO Magazin, März 2017, www.cio.de/a/wie-man-risiken-in-projektenverwaltet, 2935078