«Das Risiko lässt sich nicht berechnen»

Von der weit verbreiteten Formel zur Berechnung des Risikos hält Rudolf Baer von der BSG Unternehmensberatung in St. Gallen nichts. Und dies, obwohl er sich die Formel vor gut 30 Jahren selbst ausgedacht hat. Die als «Zauberformel» bekannte Gleichung berechnet das Risiko mit Hilfe der beiden Faktoren «Eintrittswahrscheinlichkeit» und «Auswirkung». An der 12. Berner Tagung für Informationssicherheit, die von der Information Security Society Switzerland (ISSS) und vom Informatikstrategieorgan Bund ISB veranstaltet wurde, wirft Baer die Formel über den Haufen. «Sie funktioniert nur, wenn man bereits weiss, was bei der Berechnung herauskommt», erklärt er. «Somit braucht man sie auch nicht», folgert Baer.

Das Problem liegt bei beiden Komponenten der Formel. So sei es unmöglich, die Eintrittswahrscheinlichkeit einer Katastrophe zu benennen. Für eine solche Statistik fehlt den IT-Verantwortlichen schlicht die sogenannte grosse Zahl. Die könne etwa der Versicherer aufweisen, weil er die Schadensfälle der letzten Jahrzehnte kenne. Der Versicherte kann die Rechnung dagegen nicht machen. «Sie sind die kleine Zahl», ruft Baer den Zuhörern zu. Deshalb könne nicht vorausgesagt werden, wann und ob das Rechenzentrum demnächst brenne. Ganz ähnlich verhält es sich laut Baer mit der Auswirkung eines Ereignisses. Vor allem eine Verkettung von ungünstigen Umständen könne hier nicht vorhergesehen werden.

Folglich müsse man im IT Risk Management nicht von den Risiken, sondern von den möglichen Schäden ausgehen. «Denn die Schäden kennen wir oder können sie uns vorstellen», erklärt Baer. So sei ein Computerstillstand von zwei Tagen für ein Unternehmen tödlich oder der Datenverlust der letzten sieben Tage. «Statt sich zu fragen, wie gross die Wahrscheinlichkeit ist, dass dieses Ereignis eintritt, machen Sie lieber vorwärts und räumen Ihr Rechenzentrum auf», rät er den Anwesenden.

Doch die von Baers Zauberformel abgeleitete Matrix zu Eintrittswahrscheinlichkeit und Ausmass sei in der Praxis ein brauchbares Mittel, gibt Urs Zurfluh, Verwaltungsrat der CSS Versicherung, in dem anschliessenden Referat zu bedenken. Wenn man sie nicht allzu dogmatisch betrachte, sei diese ein brauchbarer Leitfaden.

Allgemein ist Zurfluh davon überzeugt, dass das «IT-Risikomanagement ein einfaches, praktikables und wirksames Führungsinstrument ist». In dieses Risk Management sollten aber nicht nur die potenziellen Schäden einbezogen werden. «Vielmehr sollte man sich auch fragen, was für Auswirkungen nicht wahrgenommene Chancen auf die Zukunft eines Unternehmens haben», meint Zurfluh.

Ihm zufolge kann sich eine Unternehmensführung durchaus fragen: «Gehen wir das Risiko ein und bauen kein zweites Rechenzentrum, verwenden das gesparte Geld aber für Innovationen, die die Firma weiterbringen?». Schliesslich plädiert Zurfluh für die Bewahrung eines kühlen Kopfes, wenn ein immanentes Risiko entdeckt wird. Bei Schäden bringe schierer Aktionismus nichts, er könne vielmehr die Situation noch verschlimmern, ist Zurfluh überzeugt.

Homepage der ISSS (hier finden sich auch die Slides der Tagung)