Risiken lauern überall. Wenn wir über die Straße gehen, laufen wir Gefahr, von einem Fahrzeug erfasst zu werden. Treten wir eine Flugreise an, können wir abstürzen. Attentate gibt es mittlerweile überall, und in exotischen Ländern lauern tödliche Krankheiten und giftige Tiere. Der Grund, warum wir trotz alledem noch den Kopf aus der Tür stecken, ist das Wissen, wie unwahrscheinlich jedes dieser Ereignisse in unserem individuellen Fall ist. Bewusst oder unbewusst wägen wir ständig Gefahren und Wahrscheinlichkeiten gegeneinander ab und betreiben so Risiko-Management - sei es durch Abschluss einer Versicherungspolice oder durch Vorsichtsmaßnahmen wie das Anschnallen im Auto.

Unternehmen müssen das Thema stringenter handhaben, denn ihnen drohen Gefahren, die schnell das wirtschaftliche Überleben gefährden können. Vor allem im Bereich IT nehmen die Bedrohungen zu, etwa durch immer komplexere Prozesse, kürzere Reaktionszeiten, den sich verschärfenden Wettbewerb oder ausufernde Compliance-Vorgaben. Die Erkenntnis, dass die gesamte Informationstechnik in das Risiko-Management einbezogen werden muss, setzt sich daher immer mehr durch. Um welche Risiken es sich dabei genau handelt und welche Gegenmaßnahmen möglich sind, ist allerdings noch weitgehend unklar.

Risiken kennen und beherrschen lernen

Mathematisch betrachtet ist ein Risiko das Produkt aus der Eintrittswahrscheinlichkeit eines Ereignisses und seinen Auswirkungen. Ein Risiko ist dann am größten, wenn ein Ereignis mit hoher Wahrscheinlichkeit eintritt und gleichzeitig schwer wiegende Auswirkungen hat. Risiken lassen sich demnach auf zweierlei Arten verkleinern: indem dafür gesorgt wird, dass der Eintritt unwahrscheinlicher und/oder die Folgen abgemildert werden. Sie sind beispielsweise zu reduzieren, indem bestimmte Regeln eingehalten werden, etwa im Hinblick auf Sicherheitsvorkehrungen, Materialeigenschaften oder auch Höchstgeschwindigkeiten. Übertragen auf Organisationen bedeutet das: Vor jeder Entscheidung sollte eine Risiko-Nutzen-Analyse stehen, mit der abgeschätzt werden kann, ob der Nutzen, sprich: der zu erwartende Gewinn, das Restrisiko überwiegt. Zu den Risiken, die die Vermögens-, Finanz- und Ertragslage eines Unternehmens mittel- und langfristig gefährden können, zählt der Bereich Informationstechnik. In nahezu keiner Organisation wäre ein länger andauernder Ausfall der IT-Systeme zu kompensieren, sondern hätte in den meisten Fällen katastrophale Folgen. Die zunehmende Technikabhängigkeit der Firmen hat dazu geführt, dass Risikobetrachtungen auch die Systeme einbeziehen. Hier werden gemeinhin die Bereiche Sicherheit, Verfügbarkeit, Performance und Compliance als IT-bezogene Risikofaktoren benannt.