Risikomanagement
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Einleitung
Für alle, die hier den "heiligen Gral" der Risikoanalyse erwarten, folgt hier zunächst eine kleine Ernüchterung.
"Die menschliche Wahrnehmung von Risiken ist subjektiv, emotional geprägt und durch kognitive Verzerrungen gestört."
Dies führt regelmäßig zu Fehleinschätzungen von Risiken. Schulung und objektive Daten helfen oft nur wenig, dies zu verbessern.
Jeder kennt das aus seinem persönlichen Umfeld:
Flugangst: Menschen neigen dazu, Flugreisen als riskant wahrzunehmen, fahren aber völlig angstfrei mit dem Fahrrad durch die Stadt. statistisch ist die Wahrscheinlichkeit eines tödlichen Unfalls beim Fahrradfahren deutlich höher.
Übertriebene Angst vor Krankheiten: Menschen können eine übermäßige Angst vor Infektionskrankheiten entwickeln, z.B. hat die Corona-Pandemie weltweit zu teilweise drastischen Maßnahmen geführt, statistisch sterben mehr Menschen an und mit Alkohol oder durch Luftverschmutzung, aber diese Risiken werden gesellschaftlich akzeptiert oder ignoriert.
Verfügbarkeitsheuristik: Nach einem medienwirksamen Ereignis wie einem Flugzeugabsturz oder einer Naturkatastrophe ist die Wahrnehmung dieser Risiken überproportional hoch, auch wenn sie extrem selten auftreten.
"Eine Risikoanalyse ist letztlich nur der mehr oder weniger hilflose Versuch, die subjektive Wahrnehmung durch technische Verfahren oder Prozesse regulatorisch zu untermauern."
Es gibt keine sichere Methode, die oben genannten Effekte wirksam zu eliminieren. Es ist daher wichtig, sich dessen immer bewusst zu sein und einerseits die eigenen Risikobewertungen immer wieder kritisch zu hinterfragen und andererseits von einem "100%-Ansatz" Abstand zu nehmen. Es gibt keine Risikoanalyse, die die tatsächlichen Risiken vollständig und objektiv abbildet.
"Das größte Risiko ist immer das, dessen man sich nicht bewusst ist."
Häufige Fehler
Im Folgenden sind einige grundlegende Fehler aufgeführt, die bei der Risikoanalyse immer wieder auftreten:
- Fehlender Abstand: Je mehr man selbst in das Thema involviert ist, desto größer ist der subjektive Einfluss. Die Risikoanalyse sollte daher von jemandem durchgeführt werden, der nicht direkt in den Untersuchungsgegenstand involviert ist und den "Blick von außen" einnehmen kann.
- Ignorieren der Realität: Die Eintrittswahrscheinlichkeit eines Schadensereignisses von "jährlich" für einen Verfahren, das bereits seit fünf Jahren problemlos und ohne Vorkommnisse läuft, ist bereits durch die Realität widerlegt.
- Nichtberücksichtigung von Wechselwirkungen: Risiken sind oft miteinander verbunden. Die Vernachlässigung dieser Wechselwirkungen kann zu unvollständigen Analysen führen. Risikoanalyse für einzelne Komponenten (z.B. einem einzelnen Server) sind daher nur bedingt aussagekräftig.
- Fehlende Einbeziehung von Stakeholdern: Die Meinungen und Perspektiven der relevanten Interessengruppen werden nicht ausreichend berücksichtigt.
- Überkomplexität der Methodik: Zu komplexe Modelle oder Methoden können zu Verwirrung führen und die Ergebnisse unverständlich machen. Insbesondere Eintrittswahrscheinlicheiten sind häufig zufallsabhängig und somit nicht vorhersagbar, daran ändern auch die komplexesten mathematischen Methoden nichts.
- Mangelnde Aktualisierung: Risikoanalysen sollten regelmäßig aktualisiert werden, um neue Bedrohungen und Entwicklungen zu berücksichtigen.
- Fokussierung auf Einzelrisiken: Einseitige Betrachtung einzelner Risiken ohne Berücksichtigung der Gesamtrisikolandschaft kann zu unangemessenen Maßnahmen führen.
- Bestätigungsfehler: Risikoanalysten neigen dazu, Informationen zu suchen, die ihre bestehenden Annahmen bestätigen, anstatt alternative Sichtweisen zu berücksichtigen (so kann es auch Risiken geben, die eigentlich keine sind).
- Unrealistische Annahmen: Die Verwendung unrealistischer Annahmen kann die Genauigkeit der Risikoanalyse beeinträchtigen.
- ...
Vorbereitung
Um diese Fehler zu vermeiden, ist es wichtig, Risikoanalysen sorgfältig zu planen, qualitativ hochwertige Daten zu verwenden, verschiedene Perspektiven einzubeziehen und die Methodik regelmäßig zu überprüfen und zu aktualisieren.
