IT-Risiken sind Teil der gesamten Unternehmens-Risikolandkarte

In einer zunehmend digitalisierten Welt sind IT-Risiken nicht mehr isoliert, sondern ein zentraler Bestandteil des gesamten Risikomanagements eines Unternehmens. Ob durch Cyberangriffe, Systemausfälle oder technische Fehlfunktionen – IT-Risikoereignisse können weitreichende Auswirkungen auf alle Geschäftsprozesse haben und somit den Unternehmenserfolg gefährden. Dieser Artikel soll das Faktum beleuchten, warum vermeintliche IT-Risiken als integraler Teil der Unternehmensrisiken betrachtet werden müssen und wie eine ganzheitliche Risikomanagementstrategie dazu beiträgt, die Resilienz und langfristige Stabilität eines Unternehmens zu sichern.

Die Notwendigkeit, IT-Risikomanagement (IRM) und Enterprise-Risikomanagement (ERM) zusammenzuführen und auf eine Unternehmenskennzahl, beispielsweise dem geplanten Budget oder EBIT, zu aggregieren, scheitert meist an einer geeigneten Methodik, einem geeigneten Werkzeug und am erforderlichen Know-How für ein quantitativ betriebenen Risikomanagement. Somit verbleibt lediglich die Aufgabe, das „Bauchgefühl“ als Punkt in eine rot-gelb-grün gefärbte Matrix zu transferieren. Man bedenke jedoch, Bäuche sind verschieden!

Der Bedarf ein integriertes Risikomanagement zu betreiben, liegt in der zentralen Bedeutung von IT-Systemen und ihrer Verknüpfung zu nahezu allen Geschäftsprozessen. Systembezogene IT-Risikoereignisse wie Hardwareausfälle, Softwarefehler oder Datenverlust können schnell andere Unternehmensrisiken wie operationelle oder finanzielle Auswirkungen nach sich ziehen. Diese Wechselwirkungen machen es erforderlich, IT-Risiken im Gesamtzusammenhang des Unternehmens zu betrachten. Zusätzlich müssen exogene, nicht steuerbare, von außen getriggerte Ereignisse wie Naturkatastrophen, externe Cyberangriffe, regulatorische Änderungen oder politische Unsicherheiten berücksichtigt werden. Diese Ereignisse beeinflussen sowohl IT-Systeme als auch das gesamte Unternehmen wesentlich. 

Eine aus externen und systembezogenen Risiken aggregierte Bewertung ermöglicht es, diese Risiken ganzheitlich zu erfassen, und eine realistischere Betrachtung der Auswirkungen auf das Unternehmen transparent zu gestalten. Daraus lassen sich geeignete Risikomilderungsmaßnahmen ableiten und  auf ihre Effizienz und Effektivität zu prüfen. So wird nicht nur die Resilienz aus eine IT-Sicht, sondern aus einer gesamtunternehmerischen Brille betrachtet. 

Die Problematik nicht aggregierter Risiken liegt darin, dass isoliert betrachtete Einzelrisiken nicht die tatsächlichen Wechselwirkungen und kumulierten Auswirkungen auf das gesamte Unternehmen widerspiegeln. Werden Risiken als vom Geschäftsbetrieb losgelöst betrachtete IT-Fehlfunktionen, finanzielle oder operationelle Risiken separat bewertet, werden wesentliche Verflechtungen übersehen. Ein Cyberangriff stellt ein Ereignis dar, das gegen IT-Infrastrukturen gerichtet ist. Erst die Auswirkung auf die Geschäftsprozesse, Kundenbeziehungen, den Umsatz und gesamthaft betrachtet, den Geschäftserfolg, bildet das Risiko. Ohne eine ganzheitliche Betrachtung besteht die Gefahr, dass Risiken falsch priorisiert oder unzureichend gemanagt werden, was zu unvorhergesehenen Schäden und einer geringeren Resilienz des Unternehmens führt.

Ein qualitativ betriebenes Risikomanagement wird zunehmend als weniger effektiv und veraltet angesehen, insbesondere im Vergleich zum quantitativen Risikomanagement, das präzise, datenbasierte Bewertungen und eine fundierte Entscheidungsfindung ermöglicht. Während das qualitative Risikomanagement oft auf subjektiven Einschätzungen und dem „Bauchgefühl“ basiert, fehlt es ihm an einer systematischen, messbaren Grundlage. Risiken werden häufig in Kategorien wie „hoch“, „mittel“ oder „gering“, die selten bis sehr oft passieren, ohne klare, objektive Kriterien eingeteilt, was zu wesentlichen Unsicherheiten und sehr großen Interpretationsspielräumen führt.

Bauchgefühle sind subjektiv und können nicht aggregiert werden. Qualitativ bewertete Risiken, sehr oft werden auch einzelne Risikoereignisse fälschlich als Risiko bezeichnet, bleiben somit immer isoliert. Eine gesamthafte Bewertung aller identifizierten Risiken auf den Geschäftserfolg ist nicht möglich. Dieser unscharfe Ansatz führt in vielen Fällen auch dazu, dass Risiken entweder überschätzt oder unterschätzt werden, da sie nicht mit konkreten Daten und Fakten unterlegt sind. In einer zunehmend datengetriebenen Welt, in der Unternehmen immer komplexeren und dynamischeren Bedrohungen ausgesetzt sind, reichen diese vagen und qualitativen Risikovermutungen nicht mehr aus, um fundierte Entscheidungen zu treffen.

Im Vergleich dazu bietet das quantitativ betriebene Risikomanagement konkrete, nachvollziehbare Daten und Modelle, die es ermöglichen, Risiken genauer messbar zu machen und die potenziellen finanziellen Auswirkungen auf eine wirtschaftliche Unternehmenskennzahl zu aggregieren. Dadurch wird nicht nur eine objektive Basis für Entscheidungen geschaffen, sondern auch eine klare Darstellung der Risiken ermöglicht, die eine fundierte Risikosteuerung ermöglicht.

Das qualitative Risikomanagement, ein in einer einfachen Matrix positionierter Punkt, erscheint daher zunehmend als unpräzise und ineffizient, da es der Komplexität moderner Unternehmen und ihrer Risiken nicht mehr gerecht wird. Unternehmen, die auf qualitative Ansätze setzen, laufen Gefahr, wichtige Risiken zu übersehen oder falsch zu bewerten, was langfristig zu größeren Schäden führen kann. In einer Zeit, in der Präzision und Datenanalyse entscheidend sind, hat der qualitative Ansatz seinen Wert als Entscheidungshilfe für den Vorstand oder Geschäftsführer verloren.

Zusammenfassend lässt sich feststellen, dass IT-Risiken ein integraler Bestandteil des gesamten Unternehmensrisikomanagements sind. Ohne eine Aggregation von IT-Risiken und anderen Unternehmensrisiken wird die tatsächliche Risikolage unzureichend erfasst, was zu falschen Priorisierungen und unzureichenden Schutz- und Risikomilderungsmaßnahmen führen kann. Qualitative Bewertungen sind in einem gesamten Risikoverbund nicht aggregierbar, da sie auf subjektiven Einschätzungen beruhen, die keine klare und messbare Grundlage bieten. Eine ganzheitliche, quantitative Betrachtung aller Risiken ermöglicht eine präzisere Einschätzung und stärkt die Resilienz des Unternehmens gegenüber potenziellen Bedrohungen.