Was ist Digital Risk Management?

Risikomanagement ist ein wiederkehrendes Thema in allen Managementdisziplinen. Traditionelle Frameworks — vom Projektmanagement und Service Management bis hin zu IT-Governance und Unternehmensarchitektur — betonen durchweg dessen Wichtigkeit. Sogar agile Frameworks erkennen seinen Wert an.

Im Wesentlichen ist Risikomanagement (oder sollte vielmehr sein) ein Weg, mit Ungewissheit umzugehen. In der Praxis wird es jedoch oft als bürokratische Übung angewandt, wobei Verfahren rituell befolgt werden, ohne ein angemessenes Verständnis für deren Zweck oder Auswirkung.

Ein Grund dafür ist magisches Denken (oder was wir den „Cargo-Kult" des Risikomanagements nennen): die Überzeugung, dass Risiken korrekt gemanagt werden, nur indem man eine vorbestimmte Reihe von Verfahren anwendet.

Ein weiterer Grund ist eine Zweckverschiebung vom tatsächlichen Managen von Risiken hin zum Nachweis, dass die vorgeschriebenen Risikomanagement-Aktivitäten durchgeführt wurden. In diesem Fall wird der eigentliche Fokus zu Compliance: zu beweisen, dass angemessene Kontrollen vorhanden sind, um regulatorische Anforderungen und interne Richtlinien zu erfüllen.

Infolgedessen neigt Risikomanagement dazu, eine starke Neigung zur Bedrohungsminderung zu zeigen (und insbesondere zu sicherheitsbezogenen Bedrohungen), während es das Management von Chancen völlig übersieht. Jedoch wird ein Team im Geschäft wie im Sport, das sich ausschließlich auf die Verteidigung konzentriert und den Angriff vernachlässigt, schließlich in beidem ineffektiv werden.

Die dringendste Herausforderung, der sich Unternehmen heute gegenübersehen, ist die Frage, wie sie kontinuierliche Störungswellen navigieren können, die von modernsten Technologien angetrieben werden, wie künstlicher Intelligenz, dem Internet of Things, Blockchain, Robotik und Cloud Computing. Die technologische Beschleunigung hat die digitale Welt VUCA gemacht: Volatil, Ungewiss, Komplex und Mehrdeutig. Folglich ist es entscheidend, den Ansatz zur Geschäftsentwicklung von einer deterministischen „Wenn-Dann-Sonst"-Sicht zu einer probabilistischen „Wenn-Dann-Vielleicht"-Sicht zu verschieben, die sich enger an der agilen Denkweise orientiert, die Anpassungsfähigkeit, Experimentieren und kontinuierliches Lernen betont.

„Digitales Risikomanagement" ist der kontinuierliche Prozess der Identifizierung, Bewertung, Priorisierung und Behandlung sowohl positiver als auch negativer Risiken, um deren Auswirkungen auf die Unternehmensziele zu optimieren. Effektives digitales Risikomanagement hilft Unternehmen dabei, in einer zunehmend hyperkompetitiven digitalen Landschaft zu gedeihen.

Es ist wichtig zu betonen, dass digitales Risikomanagement kein Bruch mit dem traditionellen Risikomanagement ist, sondern vielmehr dessen natürliche Weiterentwicklung in einem Kontext, in dem, wie im DevOps Handbook hervorgehoben, jede Organisation als Technologieunternehmen betrachtet werden kann, unabhängig von dem Sektor, in dem sie tätig ist[i].

Viele technologische Innovationen entstehen nicht durch neuartige Erfindungen, sondern durch die Neukombination bereits existierender Ideen und Technologien. So basiert beispielsweise die Blockchain-Technologie auf der Integration von Peer-to-Peer-Netzwerken, Kryptographie und einer überarbeiteten Form der doppelten Buchführung.

Ebenso hat sich die künstliche Intelligenz dank der Konvergenz von verbesserter Rechenleistung, umfangreichen Datensätzen und jahrzehntelanger algorithmischer Forschung weiterentwickelt; während Cloud Computing aus der Kombination von Virtualisierung, verteilten Systemen und Hochgeschwindigkeits-Internetverbindungen hervorgegangen ist.

Managementdisziplinen sollten denselben Ansatz verfolgen, indem sie ihre bewährten Grundsätze im Lichte der neuen Gegebenheiten kontextualisieren. Digital Risk Management (DRM) veranschaulicht diesen Ansatz, indem es traditionelle Risikopraktiken neu konfiguriert, um die gegenwärtige digitale Realität zu bewältigen. Im Kontext der laufenden digitalen Transformationen kann DRM als aus folgenden Komponenten bestehend neu konzipiert werden.

Eine rigorose Definition der zentralen Risikobegriffe ist grundlegend für ein effektives Risikomanagement. In einer VUCA-Umgebung gewinnen Konzepte des 20. Jahrhunderts wie die epistemische Wahrscheinlichkeit (die durch die Erkenntnistheorie und die Bayes'sche Theorie entwickelt wurde) neue Relevanz.

Solche Konzepte adressieren die grundlegende Herausforderung des Denkens und Entscheidens unter Ungewissheit in digitalen Kontexten, wo jedes Phänomen aus einer einzigartigen und unwiederholbaren Konfiguration von Bedingungen, Kräften und Variablen hervorgeht — deren Auswirkungen oft nichtlinear und schwer zu isolieren sind.

Die Zerlegung eines Risikos in seine logischen Bestandteile und das Verständnis ihrer Wechselwirkungen ermöglicht eine bessere Beobachtung, Analyse und Kontrolle jedes einzelnen Elements und bietet dadurch mehr Möglichkeiten für wirksame Interventionen.

Jedes Risiko kann als Kombination aus der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungsstärke (falls es eintritt) verstanden werden. Betrachten Sie beispielsweise ein Unternehmen, das in ein neues Marktsegment eintreten möchte und die Gelegenheit hat, einen bereits etablierten Konkurrenten zu verdrängen. Diese Gelegenheit kann als Produkt aus der Erfolgswahrscheinlichkeit und ihrer Auswirkungsstärke (d.h. dem Umfang des eroberten Marktanteils) konzeptualisiert werden.

Die Wahrscheinlichkeit, das Ziel zu erreichen, hängt jedoch von mehreren Teilfaktoren ab. Einer ist der Grad, zu dem das Ziel zugänglich ist oder durch Markteintrittsbarrieren geschützt wird: Um diesen Aspekt besser zu verstehen, kann das Unternehmen versuchen, tieferes Wissen über die anvisierten Kunden zu erlangen. Ein anderer ist das Vertrauen des Unternehmens in die Initiierung von Maßnahmen, basierend auf einem Business Case, der Nutzen, Kosten und Risiken (einschließlich potenzieller Gegenangriffe von Konkurrenten) abwägt.

Weitere Faktoren umfassen die Möglichkeit, Konkurrenten zu überraschen (und dadurch Abwehrmaßnahmen zu verhindern) sowie die relativen Fähigkeiten und Ressourcen, die sowohl vom Unternehmen als auch von seinen Konkurrenten mobilisiert werden.

Beachten Sie schließlich, dass die Gesamtwirkung einer erfolgreichen Eroberung eines Vermögenswerts seinen intrinsischen Wert übersteigen kann: beispielsweise kann sie auch den Ruf des Unternehmens stärken. Soziale Netzwerke können insbesondere als mächtige Verstärker sowohl von Siegen als auch von Niederlagen dienen — wie es oft im Sport der Fall ist, wo Fans, Medien und virale Aufmerksamkeit das Ergebnis eines Spiels schnell vergrößern.

Gezielte Kontrollen sind spezifisch für jedes Element der Risikokonzeptionellen Zerlegung. Sie können sowohl von Akteuren ausgeübt werden, die eine Gelegenheit verfolgen (d.h. versuchen, Hindernisse zu überwinden und Zugang zu einem Wert zu erlangen), als auch von denen, die sich gegen eine Bedrohung verteidigen (d.h. versuchen, Verlust oder Störung zu vermeiden).

In beiden Fällen helfen Kontrollen dabei, die Wahrscheinlichkeiten und die potenziellen Auswirkungen sich entwickelnder Risikoszenarien neu zu gestalten, wodurch das Risikomanagement zu einem dynamischen und bidirektionalen Prozess wird, der einem Spiel ähnlicher ist als einem rein defensiven Mechanismus.

Der Prozess des Risikomanagements umfasst die Identifizierung von Risiken, deren qualitative und quantitative Bewertung sowie die iterative Planung und Umsetzung von Risikoreaktionen, die den Einsatz eines ausgewogenen Sets von RCD-basierten Kontrollen beinhalten. Während des gesamten Prozesses werden die Kommunikation und das Management risikobezogener Annahmen und Informationen als kontinuierliche Aktivitäten aufrechterhalten, um Transparenz und Anpassungsfähigkeit zu gewährleisten.

Digitales Risikomanagement kann als eigenständiger Prozess auf Unternehmensebene, im Geschäftsbetrieb und in Kontexten funktionieren, in denen nicht-agile Ansätze angewendet werden. Gleichzeitig sollte es in agilen Umgebungen als ergänzende Technik fungieren, die in bestehende Frameworks eingebettet ist.

Agile kann als von Natur aus mit Risikomanagement beschäftigt betrachtet werden, da es Unsicherheit schrittweise von Iteration zu Iteration reduziert[i]. Daher können iterative und inkrementelle Methodologien (wie Scrum oder AgilePM3) DRM als integrative Schicht einbinden.

Nach diesem Ansatz sollten Scrum Product Owner Risiken identifizieren, indem sie deren Verursacher und Ursachen, die Risikoereignisse und deren Auswirkungen auf Vermögenswerte spezifizieren; sie dann schätzen und ihren monetären Wert bewerten, um sie neben anderen Product Backlog-Elementen zu priorisieren. Sollte man einem Backlog-Element Priorität geben, das innerhalb eines Jahres einen garantierten Gewinn von einer Million generiert, oder einer Gelegenheit, die eine 50%ige Chance hat, im gleichen Zeitraum drei Millionen zu erwirtschaften?

Traditionelle Techniken, wie Monte-Carlo-Simulationen, können verwendet werden, um präzise Schätzungen der Wahrscheinlichkeit und Auswirkung jedes Elements der RCD zu liefern. Ein Entscheidungsbaum kann dem Product Owner dabei helfen, die Reihenfolge der Elemente im Product Backlog zu optimieren, indem er die nichtlineare Natur des Wertes berücksichtigt.

Darüber hinaus können Risiken, genau wie bei der Backlog-Verfeinerung grobe User Stories in feinere aufgeteilt werden, mit Hilfe von Fishbone-Diagrammen in ihre vielfältigen Ursachen zerlegt werden, wodurch die gezielte Verstärkung oder Minderung jeder einzelnen ermöglicht wird. Wenn wir wissen, welcher Schmetterling in Brasilien einen Tornado in Texas verursachen wird, können wir ihn einfach nehmen und an die Wand nageln, wodurch wir das Risiko mit sehr geringen Ausgaben vermeiden.

Während jedes Sprints können Entwickler die von der RCD für ihre verschiedenen Elemente bereitgestellten Kontrollen planen und implementieren. Noch wichtiger ist, dass sie die Modellierung jedes identifizierten Risikos und die darauf angewendeten Kontrollen testen können, indem sie dem Deming-Zyklus folgen (Plan, Do, Study, Act).

Der menschliche Verstand möchte Entscheidungen auf Gewissheiten stützen; in einer VUCA-Welt sind Gewissheiten jedoch oft Illusionen. Wer nicht lernt, wie man Risiken bewältigt, kann nicht konkurrenzfähig bleiben; die Lösung liegt im kulturellen Wandel. Nochmals: Stellen Sie sich vor, ein Unternehmen investiert in einen Backlog-Punkt, der innerhalb eines Jahres einen garantierten Gewinn von einer Million generiert, während ein anderes seine Ressourcen in eine Gelegenheit steckt, die eine 50%ige Chance hat, im selben Zeitraum drei Millionen zu erwirtschaften. Welches ist besser positioniert, um die digitale Disruption zu überstehen?

Der primäre Nutzen des Digital Risk Management liegt nicht in der gesteigerten Wirksamkeit bei der Eindämmung digitaler Bedrohungen; es ist die Fähigkeit, das Unternehmen umzustrukturieren, um seine langfristige Anpassungsfähigkeit und sein Überleben zu erhöhen.

DRM zielt darauf ab, Unternehmen in fraktale Systeme zu verwandeln, die in der Lage sind, kontinuierlich Informationen und Wissen auszutauschen und effektive Betriebsmodelle auf mehreren Ebenen der Organisation zu replizieren. Ein Unternehmen, das DRM praktiziert, entwickelt adaptive, selbstähnliche Strukturen, die die Flexibilität verbessern, den Wissensaustausch fördern und die langfristige Wettbewerbsfähigkeit erhalten, während gleichzeitig ein Rahmen für KI-gestützte Risikomodellierung und Entscheidungsfindung geschaffen wird.

Diese strukturelle Transformation verbessert die Fähigkeit der Organisation zum kontinuierlichen Lernen und positioniert sie so, dass sie digitale Chancen nutzen und nachhaltigen Wettbewerbsvorteil erreichen kann.

Um effektive Risikomanagement-Fähigkeiten aufzubauen, können Unternehmen bewährte Methoden aus Bereichen wie der Militärwissenschaft und Cybersicherheit wiederverwenden. Szenariobasierte Militärübungen und Purple Teaming aus der Cybersicherheit lassen sich an Geschäftskontexte anpassen.

Beispielsweise kann ein internes Team den Angriff eines Konkurrenten simulieren, während ein anderes Team reagiert, indem es aufgedeckte Schwachstellen behebt und Gegenmaßnahmen einleitet, und ein drittes Team spielt die Rolle der Kunden und entscheidet, welche Seite es unterstützt.

Diese Art von Simulation stärkt nicht nur die Teamarbeit und das Wettbewerbsdenken, sondern beschleunigt auch die Entwicklung einer Digital Risk Management-Kultur — einer Kultur, in der Widerstandsfähigkeit, Anpassungsfähigkeit und datengetriebene Entscheidungsfindung zu einem integralen Bestandteil des Unternehmens werden.

Digitales Risikomanagement verwandelt Störungen in Schwung und macht es zum Motor für effektives und nachhaltiges Wachstum im digitalen Zeitalter.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  „Richtig umgesetzt ist Agilität in Projekten ein wirksamer Weg, mit Projektrisiken umzugehen – es besteht weder Bedarf noch Nutzen für einen parallelen Prozess zum ‚Risikomanagement'." Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.