Wie immer stellt sich zunächst die Frage, was genau der Begriff „Risikoappetit“ für eine Bedeutung hat.
Das „Gable Banklexikon“ formuliert es so:
Risk Appetite; drückt die Bereitschaft einer Person bzw. Institution aus, Risiken einzugehen. Gibt Auskunft darüber, welche Risikoarten in welchem Ausmaß und mit welcher Eintrittswahrscheinlichkeit zur Erreichung der Geschäftsziele bewusst eingegangen werden.
(https://www.gabler-banklexikon.de/definition/risikoappetit-81632)
Wie oft bei meinen Blogbeiträgen reagiere ich auf einen „Input“, den ich von einer meiner vielen Informationsquellen bekomme.
Diese Aussage ist mir aufgefallen:
„Die meisten Unternehmen, mit denen wir gearbeitet haben – mehr als 200 in den vergangenen 15 Monaten – hätten ihre Türen schließen müssen, wenn sie das Lösegeld nicht bezahlt hätten„, so Renfrow. „Auch wenn wir nicht unbedingt für die Zahlung von Lösegeld plädieren, so verstehen wir doch, dass es sich dabei um eine echte Geschäftsentscheidung handelt, und abgesehen von der Ethik der Lösegeldzahlung ist es eine schwierige Situation, in der der Lebensunterhalt vieler Menschen und manchmal auch Leben und kritische Infrastruktur auf dem Spiel stehen.“
(Heath Renfrow, Mitbegründer von Fenix24, einem Unternehmen für die Wiederherstellung von Cyberkatastrophen.)
Auch wenn es mich nicht wirklich überrascht – vielen Unternehmen scheint nicht klar zu sein, dass sie weniger „Hunger“ haben als das, was die Angreifer auf den Tisch stellen.
Oder anders ausgedrückt, haben viele Unternehmen offensichtlich die Risiken durch Cyberangriffe (immer noch) nicht richtig kalkuliert und nehmen den Mund zu voll.
In meinem letzten Seminar ging es genau auch um dieses Thema.
Der Referent sprach z.B. darüber, wieso wir in vielen, klassischen Risikomatrizen den „Impact eines Vorfalls“ mit der Höchstnote „existentiell“ bewerten aber durch die Eintrittswahrscheinlichkeit „unwahrscheinlich“ dann diesen Vorfall unter die Risikoakzeptanzschwelle senken.
Ist nicht ein existentielles Risiko einfach falsch aufgehoben in einer Matrix mit Wahrscheinlichkeiten?
Oft fällt mir dann das Beispiel „Atomkraft“ ein.
Ich habe selbst für ein Unternehmen gearbeitet das u.a. Reaktoren hergestellt hat. Man ging tatsächlich davon aus, dass der „schlimmste anzunehmende Unfall“ einfach sehr unwahrscheinlich ist. Tschernobyl und Fukushima zeigten uns das Gegenteil.
Auch ein unwahrscheinliches Risiko kann eintreten und offensichtlich ignorieren viele Unternehmen diese Tatsache.
Man kann etwas dagegen tun, indem man den wirtschaftlichen Schaden im Münzen und Scheinen definiert.
Stellt sich bei der Bewertung heraus, dass der Schaden die Liquiditätsgrenze oder andere „passende“ Schwellen überschreitet, dann würde ich dieses Risiko einer „Sonderbehandlung“ zuführen. Die „Eintrittswahrscheinlichkeit darf nicht verwendet werden, um das Gesamtrisiko zu neutralisieren.
In einer speziellen Risikoübersicht für das Management sollte dieses Risiko (zusammen mit anderen mit einer vergleichbaren Situation) klar kommuniziert werden. Es steht „On Top“ und muss mit hoher Priorität und regelmäßig betrachtet werden.
Allerdings muss ich auch zugeben – nicht immer habe ich eine Idee, wie das Risiko behandelt und mitigiert werden kann.
Betrachte ich aber die Erfahrung aus der Vergangenheit, dann habe wir es oft mit Vorfällen zu tun, bei denen Daten vernichtet oder verschlüsselt wurden.
Eine solche Tat führt oft dazu, dass weite Teile des Unternehmens nicht mehr handlungsfähig sind.
Et voilà – BCM und Desaster Recovery kommen in’s Spiel.
Was für ein Glück hat die ISO auch dieses Thema mit aufgenommen.
Wenn ich in der Lage bin, in einer o.g. Situation den Betrieb schnell, ganz oder teilweise wieder herzustellen, kann das Unternehmen auch wieder Geld verdienen.
Somit sind BCM und Desaster Recovery ein wichtiger Teil der Lösung bei existentiellen Risiken.
Vielleicht habe ich das Glück und ich erhalte in meinem nächsten Seminar in einigen Wochen – Thema “ Incident & Business Continuity Management“ – einige wichtige und hilfreiche Impulse.
Wobei es schon ein wenig entspannter ist, wenn meine Infrastruktur komplett in einer Cloud Umgebung liegt.
Dadurch bin ich definitiv nicht sicher und es kommen neue und andere Risiken auf mich zu.
Mit einem guten Backup und einer virtuellen Infrastruktur habe ich aber zumindest die Hoffnung, bei einem Angriff sehr schnell wieder arbeitsfähig zu sein.
Getreu dem Motto: „Die Hoffnung stirbt zuletzt“.