Behandlung von Risiken und Chancen¶
Behandlung von Chancen¶
Die Dokumentation der Behandlung von Chancen findet als Maßnahmen statt. Einen Überblick über die Behandlung von Chancen findet sich im Chancenmanagement.
Behandlung von Risiken¶
Es muss entschieden werden, wie mit den identifizierten A- und B-Risiken umgegangen wird. Es müssen dafür geeignete Optionen zur Risikobehandlung ausgewählt werden. Folgende Optionen stehen zur Verfügung:
| 1. Vermeidung |
|---|
| Risikovermeidung wird auch als die Königsdisziplin des Risiko-Managements bezeichnet. Das liegt daran, dass die vollständige Vermeidung schwer und komplex sein kann, manchmal sogar unmöglich. Entsprechend folgt hierauf in der Regel die Risikoreduktion (siehe nächster Punkt) als in der Praxis häufigste Strategie. Ein wesentlicher Fachbegriff in diesem Zusammenhang lautet “Poka Yoke” (japanischer Begriff für "Fehlerabsicherung"), bei dem durch die Art der Gestaltung von Systemen oder Prozessen das Auftreten von Fehlern oder Abweichungen extrem erschwert bis unmöglich gemacht wird. Als Nutzer fühlen Sie sich gerne eingeladen, diese „königliche“ Form des Risiko-Managements anzuwenden. Verlieren Sie jedoch nicht zu viel Zeit, falls sie hier keinen zündenden Ansatz finden. Fahren Sie dann mit insbesondere mit den folgenden Strategien fort. |
| 2. Reduktion |
|---|
| Risiken werden reduziert, indem eine oder mehrere Maßnahmen umgesetzt werden. Für die Dokumentation und Nachverfolgung der Reduktion von Risiken, können Maßnahmen angelegt werden. Denke in diesem Fall daran, als Quelle "Risikomanagement" anzugeben. → Zur Übersicht der Maßnahmen aus dem Risikomanagement |
| 3. Transfer |
|---|
| Risiken werden transferiert, indem die Risiken mit anderen Parteien geteilt werden. Der Transfer von Risiken geschieht typischerweise über Versicherungen oder Verträge. Die Dokumentation und Nachweisführung des Transfers von Risiken findet in der Regel innerhalb von Vertragsdokumenten statt. |
| 4. Akzeptanz |
|---|
| Verbleibende Risiken müssen unter Umständen dann akzeptiert werden, wenn beispielsweise Aufwand und Kosten für wirksame Gegenmaßnahmen nicht weiter als wirtschaftlich sinnvoll anzusehen sind. Das Akzeptieren von residuierenden Risiken muss begründet und schriftlich festgehalten werden. → Zum Template für Risikoakzeptanzen |
\
[!tip] Die (finale) Entscheidung über die Behandlung identifizierter Risiken sollte beim Risikoeigentümer des jeweiligen Risikos liegen, da er die Auswirkungen des Risikoeintritts bewerten kann und final die Verantwortung für den/die vom Risiko betroffenen Geschäftsprozesse trägt. In der Regel entscheidet oder sorgt der Risikoeigentümer auch über die Bereitstellung von Ressourcen (z.B. finanzielle Mittel).
[!tip] C-Risiken gelten grundsätzlich als akzeptiert, eine Behandlung ist daher optional.
\
\
\
Details zu den Risikobehandlungsoptionen
| Optionen zur Risikobehandlung | | --- | | Reduktion | | **Ist es sinnvoll und möglich, das Risiko durch weitere Sicherheitsmaßnahmen zu reduzieren?** Das Risiko durch die Gefährdung kann möglicherweise gesenkt werden, indem eine oder mehrere ergänzende Sicherheitsmaßnahmen erarbeitet und umgesetzt werden, die der Gefährdung entgegenwirken. Als Informationsquellen über ergänzende Sicherheitsmaßnahmen kommen beispielsweise folgende infrage: - die Dokumentation und der Service des Herstellers, wenn es sich bei dem betroffenen Zielobjekt um ein Produkt handelt, - Standards und Best Practices, wie sie beispielsweise von Gremien im Bereich der Informationssicherheit erarbeitet werden, - andere Veröffentlichungen und Dienstleistungen, die beispielsweise im Internet oder von spezialisierten Unternehmen angeboten werden, - Erfahrungen, die innerhalb der eigenen Institution oder bei Kooperationspartnern gewonnen wurden. Der hypothetische Aufwand und mögliche Kosten für gegebenenfalls erforderliche Sicherheitsmaßnahmen und Informationen über bereits vorhandene Sicherheitsmechanismen sind wichtige Entscheidungshilfen. | | Akzeptanz | | **Können die Risiken auf Basis einer nachvollziehbaren Faktenlage akzeptiert werden?** Gründe, auch höhere Risiken zu akzeptieren, können beispielsweise sein: - Die entsprechende Gefährdung führt nur unter ganz speziellen Voraussetzungen zu einem Schaden. - Gegen die entsprechende Gefährdung sind derzeit keine wirksamen Gegenmaßnahmen bekannt und sie lässt sich in der Praxis auch kaum vermeiden. - Aufwand und Kosten für wirksame Gegenmaßnahmen überschreiten den zu schützenden Wert. | | Transfer | | **Ist es sinnvoll, das Risiko an eine andere Institution zu übertragen, beispielsweise durch den Abschluss eines Versicherungsvertrags oder durch Outsourcing?** Gründe für diesen Ansatz können beispielsweise sein: - Die möglichen Schäden sind rein finanzieller Art. - Es ist ohnehin aus anderen Gründen geplant, Teile der Geschäftsprozesse auszulagern. - Der Vertragspartner ist aus wirtschaftlichen oder technischen Gründen besser in der Lage, mit dem Risiko umzugehen. | | Vermeidung | | **Ist es sinnvoll, das Risiko durch eine Umstrukturierung des Geschäftsprozesses oder der IT-Landschaft zu vermeiden?** Gründe für diesen Ansatz können beispielsweise sein: - Alle wirksamen Gegenmaßnahmen sind mit hohem Aufwand verbunden und damit sehr teuer, die verbleibende Gefährdung kann aber trotzdem nicht hingenommen werden. - Die Umstrukturierung bietet sich ohnehin aus anderen Gründen an, z. B. zur Kostensenkung. - Es kann einfacher und eleganter sein, die vorhandenen Abläufe zu ändern, als sie durch Hinzufügen von Sicherheitsmaßnahmen komplexer zu machen. - Alle wirksamen Gegenmaßnahmen würden erhebliche Einschränkungen für die Funktion oder den Komfort des Systems mit sich bringen. | \Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |