Vor dem Hintergrund einer immer stärker vernetzten und dynamischen Risikolandschaft sehen sich Betreiber kritischer Infrastrukturen heute einem breiten Spektrum sich überlagernder Bedrohungen gegenüber. Geoökonomische Spannungen, Desinformation, bewaffnete Konflikte sowie extreme Wetterereignisse und Cyberangriffe können schnell ganze Prozessketten lahmlegen und die existenzielle Verfügbarkeit von Strom oder Wasser beeinträchtigen.
Die Folge: Kaskadeneffekte und sich verstärkende Bedrohungen über Sektoren hinweg.
In solchen Situationen zeigt sich: Ganzheitliches Business Continuity Management (BCM) ist keine Kür, sondern Voraussetzung dafür, dass zentrale Leistungen auch unter Stress funktionieren. Dennoch begegnen Organisationen dieser Realität häufig noch immer mit einem Einzelrisikomanagement. Risiken werden isoliert nach Zuständigkeiten, Systemen oder Fachbereichen betrachtet. Dadurch bleiben Wechselwirkungen unsichtbar, übergreifende Prioritäten unklar und Maßnahmen unabgestimmt.
Das KRITIS-Dachgesetz und der All-Hazards-Ansatz erfordern ein Umdenken. Resilienz rückt stärker in den Fokus der Unternehmenssteuerung. Risiken müssen ganzheitlich betrachtet, Maßnahmen nachvollziehbar begründet und ihre Angemessenheit bewertet werden.
Wie Risiken vergleichbar werden
Um aus KRITIS mehr als ein reines Compliance-Thema zu machen, müssen zwei zentrale Fragen beantwortet werden:
- Wie gelingt ein übergreifendes Risikomanagement nach dem All-Hazards-Ansatz?
- Wie trifft man die richtigen Investitionsentscheidungen in Resilienzmaßnahmen bei begrenztem Budget?
Bedrohungen wie Jahrhunderthochwasser oder KI-gestützte Cyberangriffe könnten ihrem Wesen nach unterschiedlicher kaum sein. Dennoch können sich beide in drastischen Betriebsunterbrechungen niederschlagen. Um Risiken übergreifend vergleichbar zu erfassen, ist daher eine konsistente Methodik zur Identifikation konkreter Risikoszenarien unerlässlich. Die „Risk-Flower“ in Abbildung 1 zeigt, welche Aspekte dazu zwingend zu betrachten sind.
Zusätzlich braucht es einen einheitlichen Maßstab zur Risikobewertung. Als Alternative zu klassischen qualitativen oder semi-quantitativen Bewertungsmustern rücken dabei zunehmend datenbasierte Verfahren in den Fokus. In Kombination mit bedrohungsspezifischen Datenquellen wie Klimakarten oder Cyber-Threat-Intelligence-Feeds ermöglichen insbesondere Versicherungsdaten eine finanzielle Quantifizierung von Risiken.
Dabei ist jedoch zu berücksichtigen, dass sowohl die zugrunde liegende Datenbasis als auch die verwendeten Modelle nicht alle Auswirkungen vollständig monetär abbilden können. Gleichwohl ermöglichen sie eine strukturierte Auseinandersetzung mit Fragestellungen wie etwa, ob die Resilienz gegenüber Geschäftsunterbrechungen durch verstärkten Schutz vor Cyberangriffen oder vor Jahrhunderthochwassern effektiver gestärkt werden kann.
Auf dieser Grundlage lassen sich durch eine methodisch konsistente Analyse und datenbasierte Risikoquantifizierung fundierte sowie wirtschaftlich sinnvolle Resilienzpläne entwickeln.