Risikomanagement und KRITIS

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu gehört zum Beispiel das Gesundheitswesen, Strom- und Wasserversorgung etc… Laut dem IT-Sicherheitsgesetz werden KRITIS-Betreiber aufgefordert, einen Mindeststandard an IT-Sicherheit zu gewährleisten. Sicherheitsvorfälle müssen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Außerdem wurde die Forderung nach einem systematischen Umgang mit Risiken und Chancen, in die ISO 9001:2015, neu aufgenommen. Organisationen müssen zukünftig Risiken und Chancen identifizieren, analysieren, bewerten sowie Gegenmaßnahmen planen, umsetzen und ihre Wirksamkeit kontrollieren. Wie sie dies zu tun haben, legt die ISO 9001:2015 nicht genau fest. Wer allerdings kein Risikomanagement aufbaut, dem drohen das nichtbestehen der Zertifizierung und staatliche Sanktionen. Zusammengefasst: No risk management no fun.

Risikomanagement in der Theorie

Solange Auswirkungen bzw. Tragweite und Wahrscheinlichkeit möglicher negativer Ereignisse noch nicht bekannt sind, sprechen wir von Gefährdungen. Mit Gefährdungen werden zunächst nur vage Möglichkeiten von negativen Ereignissen beschrieben. Sind mögliche Auswirkungen und die Wahrscheinlichkeit des Eintritts zu erkennen, wird die Gefährdung zum Risiko. Das Risikomanagement ist das Erkennen und der Umgang mit Risiken in Form von Abwehr, Ausweichen oder Mindern negativer Auswirkungen. Was nicht vergessen werden darf, unternehmerische Risiken sind Chefsache.

Warum ist es überhaupt wichtig seine Risiken im Überblick zu behalten?

Stromausfall im Krankenhaus Boberg – Patienten in Gefahr 27 – Februar 2008

Stromausfall in Deutschlands größtem Querschnittgelähmten-Zentrum:In Teilen des Unfallkrankenhauses Boberg kam es am Freitagmorgen zu einem schweren Zwischenfall. Ein Kurzschluss am Notstromaggregat legte die komplette Stromversorgung lahm, Patienten, die auf dauerhafte Beatmung angewiesen sind, gerieten in Gefahr.(…) Um 10.45 Uhr war im Kellergeschoss ein Verteilerkasten in Brand geraten, nachdem am Notstromaggregat, das eigentlich anspringen sollte, wenn der normale Strom einmal ausfällt, ein Kurzschluss entstanden war. Folge: Weder Normalnoch Notstrom konnten die medizinischen Instrumente, mit denen im Boberger Krankenhaus viele Menschen am Leben gehalten werden, versorgen. In Teilen des Haupthauses und im Querschnittgelähmten-Zentrum, in dem etwa 100 Patienten versorgt werden, wurde es dunkel. Besonders dramatisch: Die Lage auf der Beatmungsstation im Untergeschoss des Zentrums. (…) (…)Voeltz: „Als die Akkus schwächer wurden, haben unsere Mitarbeiter sieben Patienten unter körperlichem Einsatz beatmet.“ Die Klinik verfüge über eine große Zahl von Handbeatmungsgeräten, sofort seien auch Mitarbeiter anderer Stationen zur Hilfe geeilt. Nach einer halben Stunde hatten Feuerwehr und Techniker die Stromversorgung in der Klinik wieder hergestellt. (…)

Quelle: //www.abendblatt.de/hamburg/article107370253/Stromausfall-im-Krankenhaus-Boberg-Patienten-in-Gefahr.html

Risiken können sehr individuell für jedes Unternehmen sein. Fest steht aber, wenn Risiken nicht beachtet werden, dann können Sie viel Geld und im schlimmsten Fall sogar Menschenleben kosten.

Risikomanagement in der Praxis

Risikomanagement hat sich niemand ausgedacht, um Organisationen zu ärgern. Es ist tatsächlich ein gutes Werkzeug, um Kosten zu senken, bessere Entscheidungen zu treffen und letztendlich für höhere Sicherheit und Vertrauen zu sorgen. In der Praxis wird es bisher wenig gelebt und der erste Schritt ist ein grundsätzliches Bewusstsein dafür zu schaffen. Wenn die Notwendigkeit in der Geschäftsführung und bei den Mitarbeitern angekommen ist, kann das Managementsystem wirklich gelebt werden.

Die wichtigsten Schritte, um ein Risikomanagement aufzubauen sind:

-Erstellung einer Risikomatrix

-Risikobetrachtung eines ausgewählten Bereichs

-Themenfelder für diesen Bereich erfassen

-Gefährdungen den Themenfeldern zuordnen

-Schadensausmaß und Wahrscheinlichkeit der Gefährdungen bestimmen

-Maßnahmen vergeben, um hohe Risikogruppen zu vermindern

-Maßnahme umsetzen, überwachen und auf Wirksamkeit kontrollieren

-Dokumentation über die Entwicklung und Auswertungen

Ein Beispiel: Ich führe in meinem Unternehmen eine Risikobetrachtung durch und nehme z.B. den Bereich IT. Zu diesem Themengebiet gehören Arbeitsplatz PCs, Server, Drucker, Mobilgeräte etc…. Jetzt betrachte ich das Cluster „Arbeitsplatz PCs“ genauer und ordne diesen mögliche Gefährdungen zu. Stromausfall, Virenbefall, Hacking usw… Jetzt muss ich bewerten. Wie hoch ist eigentlich die Eintrittswahrscheinlich und wie groß ist das Schadensausmaß, wenn es wirklich passiert? Natürlich muss ich meine Einschätzung auch sehr gut begründen, um möglichst objektiv zu bleiben. Wenn ich feststelle, dass einige meiner Betrachtungen im kritischen Risikobereich liegen, muss ich dementsprechend Maßnahmen festlegen, um das Risiko zu vermindern und nach der Umsetzung dieses neu zu bewerten. Es macht durchaus Sinn einen externen Berater als Sparringspartner hinzuzuholen und das komplette Unternehmen auf diese Art zu durchleuchten.

Softwarelösung

Viele Unternehmen nutzen Excel-Tabellen und Vorlagen, um einen ersten Überblick zu bekommen. In der Umsetzung gestaltet sich der Aufbau, die regelmäßige Pflege und die Vergabe von Aufgaben allerdings als sehr schwierig und man stößt schon bald an seine Grenzen. Spezielle Software kann helfen, solange sie auch den Anforderungen standhalten kann. Grundsätzlich gilt, Software sollte sich dem Unternehmen anpassen und nicht das Unternehmen an die Software. Doch was sollte diese können, damit man effektiv damit arbeiten kann und welche Faktoren sind wichtig für mein Auswahlverfahren?

-Sollte Orts und Geräteunabhängig genutzt werden können

-Sollte Rechte über eine Benutzerstruktur vergeben und einschränken können

-Sollte Schnittstellenfreundlich sein

-Sollte anpassbar und erweiterbar sein

-Sollte Benutzerfreundlich sein und sich auf das wesentliche beschränken

-Sollte an verschiedene Normen, wie die ISO 27001, angepasst sein

-Sollte die oben genannten Strukturen ohne viel Aufwand abbilden können

-Sollte Maßnahmen vergeben und überwachen können

-Sollte verschiedenste Auswertungen der vorhandenen Daten liefern können

Fazit: Es empfiehlt sich also das Thema Risikomanagement ernst zu nehmen und in diesem Fall kein Risiko einzugehen.