Bessere Risikoprävention durch dynamische Schutzmaßnahmen

Durch die Dynamisierung der Schutzmaßnahmen kann man auch einer heterogenen Risikolage Herr werden. Bei gleichem Investment kann das Sicherheitsniveau und damit der Return On Investment signifikant gesteigert werden. Dieser Artikel basiert darauf, dass wir uns der Risikolage eines Unternehmens von den Prozessen her nähern: Kostenreduzierung durch prozessbasierte Risikoanalyse.

Ausgangslage

Zu oft ist die genaue Risikolage eines Unternehmens nur unzulänglich bekannt. Man weiß, dass die Anlagen des Unternehmens einem Risiko unterliegen. Schließlich sind technische Einrichtungen in ihrer Gesamtheit immer irgendwie gefährdet. Wo aber genau die Risiken liegen und welcher Art diese sind, ist oft unklar. Daher wird dem allgemeinen Risiko mit einer großen Feuerpatsche entgegen getreten. Oder lassen Sie es mich anders ausdrücken: Das Unternehmen breitet über den gesamten Anlagenpark eine gleichbleibend stabile (oder eher instabile) „Feuerdecke“ aus.

Lassen Sie mich ein Bild bemühen: Es ist Weihnachten. Sie schmücken den Baum mit echten Kerzen. Da Sie gegen die erhöhte Feuergefahr gewappnet sein möchten, sorgen Sie für Löschwasser. 20 Liter sollten für den Sofortangriff reichen. Sie verteilen also das Wasser in Schnapsgläser gefüllt im ganzen Haus. Das ist absurd, werden Sie einwenden. Und warum? Weil Sie die Risikolage kennen. Wenn es zu einem Brand kommen sollte, entsteht der beim Weihnachtsbaum im Wohnzimmer (oder wo der auch immer stehen mag) – und nicht im Badezimmer. Sie stellen daher einen Eimer mit hinreichend Wasser in dessen Nähe.

Das Beispiel zeigt sehr deutlich, dass es enorm hilft, die Risikolage genau zu kennen. Doch das ist in vielen Unternehmen nicht hinreichend der Fall. Häufig stoßen wir auf eine indifferente Risikokenntnis.

Nutzen-zentrierte-IT-Beratung: Indifferente Risikolage

Indifferente Risikolage: Die Risikolage ist nur unzureichend bekannt

Auf einer unklaren Grundlage kann man nur unklare Maßnahmen ergreifen. Der Anlagenpark wird also gleichmäßig mit gleichstarken Schutzmaßnahmen bedacht.

Nutzen-zentrierte-IT-Beratung - Standard Schutzmaßnahmen

Der Anlagenpark wird gleichmäßig mit allgemeinen Risikomaßnahmen bedacht

Die wirklich Risikolage

Doch die Risikolage eines Unternehmens sieht nie so gleichförmig aus. Es gibt immer Bereiche mit einem geringeren und einem höheren bis hohen Gefährdungspotenzial. In einem vorangegangenen Artikel habe ich das ja bereits beispielhaft dargelegt (End-to-end example of process based risk analysis).

Die Prozessbasierte Risikoanalyse zeigt die unternehmenskritischen Risikolage deutlich. Es gibt Anlagenbereiche mit vernachlässigbarem Risiko. Andere Bereiche würden bei einem Ausfall den Betrieb -und schlimmstenfalls das Unternehmen selbst- ernsthaft gefährden.

Nutzen-zentrierte-IT-Beratung: Risikolage über das gesamte Unternehmen hinweg

Risikolage über das gesamte Unternehmen hinweg

Risikobekämpfung mit der Gießkanne

Begegnet man dieser heterogenen Risikolage mit standardisierten Maßnahmen, die gleich dem Gießkannenprinzip die Anlagenlandschaft bedecken, werden bestenfalls niedrige Risiken abgesichert.

Nutzen-zentrierte-IT-Beratung: Risikolage mit Standardschutz

Risikolage mit Standardschutz: Mittlere und hohe Risiken werden nicht abgefangen

Vielen Unternehmen ist das glücklicherweise zu gefährlich. Sie nehmen deutlich mehr Geld in die Hand, um das Sicherheitsniveau anzuheben. Das Sicherheitsniveau wird durch zusätzliche Mittel gesteigert – eine zweite Ladung aus der Gießkanne sozusagen.

Nutzen zentrierte IT-Beratung: Risikolage mit Intensivschutz

Risikolage mit Intensivschutz: Es werden auch mittlere Gefährdungspotenziale abgedeckt. Nicht aber die hohen Risiken…

Dynamisierte Schutzmaßnahmen statt Gießkanne

Um die verbleibenden Risikopotenziale mit dem zuvor beschriebenen Gießkannenprinzip abzudecken, müsste man so viel investieren, dass auch das gesündeste Unternehmen in die Knie ginge. Es wäre zwar nicht durch Feuer oder Umweltkatastrophen ruiniert, aber zumindest finanziell „abgebrannt“. Es hilft also nur eine dynamische Anpassung der Schutzmaßnahmen an den Schutzbedarf.

Nutzen zentrierte IT-Beratung: Risikolage mit dynamischem Schutz

Risikolage mit dynamisch angepassten Schutzmaßnahmen

Hat man die Unternehmensprozesse hinsichtlich ihrer Relevanz für den Geschäftsbetrieb und die darin eingebundenen technischen Anlagen hinsichtlich ihrer Gefährdung analysiert, kennt man die Risikolage. Das ermöglicht die Dynamisierung der Schutzmaßnahmen und optimiert somit die Risikoprävention. Anlagen mit minderem Risikopotenzial werden mit einfachen Maßnahmen abgesichert. Die dadurch eingesparten Mittel steckt man in die Absicherung risikoreicher Anlagen.

Optimierungspotenzial

Daraus ergeben sich zwei Optimierungsperspektiven:

Minimalprinzip: Mit reduzierten Mitteln das gleiche Sicherheitsniveau gewährleisten.

und / oder

Maximalprinzip: Mit den bisher eingesetzten Mitteln die Sicherheitslage deutlich optimieren.

Je nach Unternehmen oder Risikosituation kann man die eine oder die andere Perspektive einnehmen. Beide Perspektiven verdeutlichen aber, wie der Return On Investment durch diesen Ansatz optimiert wird.

Fazit

Die Risikosituation eines Unternehmens ist in der Regel äußerst heterogen. Mit der Gießkanne verteilte Maßnahmen der Risikoprävention helfen nicht. Die Schutzmaßnahmen müssen sich in Umfang und Qualität an den einzelnen Schutzbedarf einer Anlage anpassen. Hierfür muss man die prozessuale Relevanz einer Anlage kennen. Durch die Dynamisierung der Schutzmaßnahmen lassen sich dann bei gleichem Sicherheitsniveau Mittel sparen und / oder das Sicherheitsniveau steigern.

Welche Optimierungspotenziale sehen Sie durch diese Dynamisierung? Ich freue mich auf Ihre Kommentare. Vielleicht interessiert dies auch Ihre Kollegen und Kunden. „Teilen“ und +1 stehen zur Verfügung.

 

Teile diesen Beitrag: