Ich tauche seit 2015 und bin mittlerweile lizenzierter Tauchlehrer der Professional Assocation of Diving Instructors (PADI). Tauchen ist grundsätzlich eine sichere Freizeitaktivität, bleibt aber trotz allem ein Exkurs in eine lebensfeindliche Umgebung – Unterwasser – und birgt somit einige Risiken. Hier gibt es viele Parallelen zur IT Security, allen voran das Bereitstellen eines IT-Services im Internet. Beide Aktivitäten können unter Berücksichtigung gängiger Vorsichtsmassnahmen sicher ausgeführt werden – eine davon ist Risk Management. In diesem Blogartikel zeige ich auf, welche Komponenten Risk Management umfasst und was wir dabei vom Tauchen lernen können.
Risk Management ist der wiederkehrende Prozess, Risiken ganzheitlich zu thematisieren: ermitteln, erfassen, behandeln und beobachten. Ich werde in diesem Blogbeitrag auf die vier bekannten Risk Treatments («behandeln») eingehen. Diese sind Risk Acceptance (keine weiteren Massnahmen ergreifen), Risk Mitigation (finanziell sinnvolle Gegenmassnahmen ergreifen), Risk Transfer (zum Beispiel möglichen Schaden versichern lassen) und Risk Avoidance (die risikobehaftete Aktivität einstellen).
Im Unternehmensumfeld werden die ermittelten Risiken im sogenannten Risk Register festgehalten, priorisiert und jedem Risiko wird ein Risk Treatment zugewiesen. Das Ziel ist das langfristige Verfolgen, Festhalten und Minimieren von geschäftsrelevanten Risken innerhalb des vom Management festgelegten Risk Appetite, das für das Unternehmen akzeptabel ist (wieviel Risiko können wir akzeptieren, wieviel möchten wir wagen?).
Beim Tauchen ist der zeitliche Rahmen für Risiken meistens kurzfristig, beispielsweise die Einschätzung der Gewässersituation hinsichtlich Wellengang und Strömung – in Schweizer Seen üblicherweise kein grosser Risikofaktor. Einige Massnahmen sind jedoch längerfristig angelegt, vor allem die Risk Mitigation.
Ich kann grundsätzlich die Risiken beim Tauchen minimieren, indem ich meine Fähigkeiten durch regelmässiges Tauchen oder Weiterbildungskurse vertiefe und meine Ausrüstung regelmässig von Fachleuten in Tauchshops warten lasse. Natürlich gibt es kurzfristigere Massnahmen im Bereich Risk Mitigation, wie beispielsweise das Reagieren auf niedrigere Wassertemperaturen, indem ich mit einem dickeren Neoprenanzug oder gar mit einem Trockenanzug tauche. Hier kann der Übergang zu Risk Acceptance fliessend sein, zum Beispiel wenn die Wassertemperatur im geplanten Tauchgang nur an der tiefsten Stelle unter den Erwartungen liegt, aber für wenige Minuten erträglich ist. Dann kann ich diese Situation akzeptieren, muss jedoch wie beim Risk Management üblich die Situation beobachten, um im Notfall reagieren zu können. Falls mein Körper durch Zittern anzeigt, dass die Temperatur zu niedrig ist, muss ich in eine seichtere Lage auftauchen, wo das Wasser wärmer ist.
Eine häufig falsch verstandene Art des Risk Treatments ist Risk Avoidance. Wie schon erklärt, bedeutet Risk Avoidance das Unterlassen einer Tätigkeit. Doch was bedeutet das genau? Erneut der Vergleich: Tauchen ist kein Leistungssport. Wenn sich eine Person körperlich nicht in der Lage fühlt, den geplanten Tauchgang durchzuführen, liegt es im Eigeninteresse sowie im Interesse aller Beteiligten (Tauchbuddies, Strandwache usw.), Vorsicht walten zu lassen und den Tauchgang zu unterlassen – das ist Risk Avoidance! Will heissen, ich vermeide bewusst das Risiko, beim Tauchen verletzt zu werden, indem ich einen Tauchgang aussetze, bis ich wieder fit bin. Diese Situation zu erkennen und mit der Risk-Avoidance-Strategie zu reagieren, ist keine Schwäche, sondern kann in diesem Fall lebensrettend sein.
Im Geschäftsumfeld erfordert Risk Avoidance grössere Entscheidung, gegebenenfalls auf Geschäftsleitungsebene. Dies kann Auswirkungen auf die Geschäftsstrategie haben und möglicherweise auch eine Neuausrichtung von Geschäftsbereichen oder -projekten – selbst, wenn bereits Investitionen getätigt wurden – aufgrund einer geänderten Bedrohungslage.
Ein Beispiel für missverstandene Risk Avoidance, dem ich im praktischen Berufsleben schon begegnet bin, war bei einem Risk Assessment eines IT-Services:
Aufmerksamen Leser*innen wird bereits aufgefallen sein, was hier offensichtlich nicht stimmt: Abgesehen davon, dass die aufgeführte Massnahme keine wirkliche Massnahme ist, passt das Risk Treatment (Avoidance) nicht zur Massnahme. Solange eine API extern erreichbar ist, besteht immer eine Wahrscheinlichkeit, dass die API über eine Schwachstelle gehackt werden kann. Falls also Risk Avoidance tatsächlich das gewünschte Risk Treatment ist, dann wäre die Konsequenz, dass die API nicht mehr extern erreichbar sein darf. Das heisst, die API müsste entfernt werden – andere Massnahmen wie API nur über VPN erreichbar zu machen, gehören nicht mehr zur Risk Avoidance.
Schlussendlich bleibt noch der Risk Transfer. Im Geschäftsleben ist es möglich, sich durch eine Versicherung oder durch eine Schadensersatzleistungsklausel in einem Vertrag vor finanziellem Schaden zu schützen – eine Option, die genau zu prüfen ist, wenn die Eintretenswahrscheinlichkeit eines Risikos klein, das Schadensausmass aber untragbar gross wäre.
Wenig überraschend ist eine Versicherung für Tauchlehrer keine Option, sondern ein «Must» und diese muss die Tauchschüler*innen ebenfalls decken.
Wie kann InfoGuard Sie bei Risk Assessments oder beim Risk Management unterstützen?
InfoGuard verfügt über Consulting-Spezialist*innen, die zertifiziert sind in Risk Management, beispielsweise ISACA CRISC, oder besitzen langjährige Erfahrung mit Risk Frameworks wie ISO/ISE 27005. Gemäss unserem Purpose «Wir unternehmen alles, damit unser Kunde sicher ist», beraten wir Sie gerne individuell, um Ihre spezifischen Bedürfnisse und Anforderungen im Bereich Risk Management zu erfassen. Kontaktieren Sie uns für eine kostenlose Beratung!