Leitfaden Schutz Kritischer Infrastrukturen - Deutsche Gesellschaft ...
Leitfaden Schutz Kritischer Infrastrukturen - Deutsche Gesellschaft ...
Leitfaden Schutz Kritischer Infrastrukturen - Deutsche Gesellschaft ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
3.2.2.4 Risikovergleich und Risikobewertung<br />
Die so ermittelten Risikowerte beziehungsweise Risikobe-<br />
schreibungen können nun miteinander verglichen werden.<br />
Dieser Vergleich ist insbesondere bei qualitativen und semi-<br />
quantitativen Analysen sinnvoll, da die hierdurch ermittelten<br />
Werte und Beschreibungen keine absolute Aussagekraft<br />
haben. In Relation zueinander, also im internen Vergleich,<br />
sind die Ergebnisse aus qualitativen und semiquantitativen<br />
Analysen hingegen sehr wertvoll.<br />
Ziel eines solchen Vergleichs ist es, diejenigen Risikoele-<br />
mente und Teilprozesse in der Einrichtung zu identifizieren,<br />
die den höchsten Risiken ausgesetzt sind.<br />
Die Risikobewertung soll aufzeigen, ob die eingangs defi-<br />
nierten strategischen <strong>Schutz</strong>ziele vor dem Hintergrund der<br />
bestehenden Risiken erreicht werden können. Bestehen<br />
zu viele hohe Teilrisiken, werden operative <strong>Schutz</strong>ziele<br />
formuliert, die den Ausgangspunkt für die Umsetzung von<br />
vorbeugenden Maßnahmen bilden. Beispiele für operative<br />
<strong>Schutz</strong>ziele sind<br />
die Reduzierung des Gesamtrisikos für Teilprozess X sowie<br />
die Reduzierung der höchsten Teilrisiken in allen Teilpro-<br />
zessen, die zu kritischen Prozessen gehören.<br />
Maßnahmen sollten vorrangig für die Teilprozesse umgesetzt<br />
werden, die die größten Teilrisiken aufweisen.<br />
Letztlich ist es die Aufgabe der Einrichtungsleitung und des<br />
fachlichen Leiters, über die Auswahl geeigneter operativer<br />
<strong>Schutz</strong>ziele und Maßnahmen zu entscheiden.<br />
3.3 Phase 3:<br />
Vorbeugende Maßnahmen und Strategien<br />
Vorbeugende Maßnahmen tragen zur Minderung von<br />
Risiken für kritische Prozesse bei. Sie helfen, operative<br />
<strong>Schutz</strong>ziele zu erreichen und damit die Krisenschwelle für<br />
Ereignisse mit Krisenpotenzial in der Einrichtung anzuheben<br />
(siehe auch Abbildung 5). Hierdurch kann die Anzahl krisen-<br />
hafter Ereignisse minimiert beziehungsweise die Intensität<br />
auftretender Ereignisse reduziert werden.<br />
Vorbeugende Maßnahmen sollten einer Kosten-Nutzen-<br />
Analyse unterzogen werden. Es geht bei der Prüfung um<br />
eine Reduzierung des Gesamtrisikos. Dies geschieht durch<br />
Gegenüberstellung der potenziellen Investitionen und der<br />
direkten sowie indirekten Kosten einer Beeinträchtigung der<br />
Einrichtung im Zuge eines extremen Ereignisses. Die Ver-<br />
knüpfung der Ergebnisse aus einer Risikoanalyse mit denen<br />
einer Kosten-Nutzen-Analyse führt zur Auswahl derjenigen<br />
Maßnahmen, die im Rahmen des vorhandenen Budgets<br />
besonders effizient sind. 26<br />
Allerdings können Maßnahmen zur Minderung von Risiken<br />
mit geringer Eintrittswahrscheinlichkeit und dramatischen<br />
Auswirkungen häufig nicht ausschließlich auf der Basis einer<br />
Risiko- und Kosten-Nutzen-Analyse gerechtfertigt werden.<br />
Neben rechtlichen Rahmenbedingungen ist es in diesen<br />
Fällen auch sinnvoll, soziale beziehungsweise ethische Über-<br />
legungen in die Entscheidung über <strong>Schutz</strong>maßnahmen ein-<br />
fließen zu lassen.<br />
Vorbeugende Strategien nutzen die Werkzeuge Risikover-<br />
meidung, Risikoüberwälzung oder Risikoakzeptanz. Sie<br />
sollten nur komplementär zu risikomindernden Maßnahmen<br />
genutzt werden, da sie wie im Falle der Risikovermeidung<br />
entweder die Flexibilität der Einrichtung stark einschränken<br />
können oder wie in den Fällen der Risikoüberwälzung und<br />
Risikoakzeptanz keinen Beitrag zur physischen Risikominde-<br />
rung leisten.<br />
3.3. Risikominderung<br />
RISIKO- uND KRISENMANAGEMENt<br />
ZuM ScHutZ KRItIScHER INFRAStRuKtuREN<br />
Abbildung 5: Ereignisintensität und Krisenschwelle<br />
Ereignisintensität<br />
Ereignisintensität<br />
Anhebung der Krisenschwelle<br />
durch vorbeugende Maßnahmen<br />
Normalbetrieb<br />
inkl. Störungsmanagement<br />
Krise Ereignis Krisenschwelle<br />
Maßnahmen zur Risikominderung reduzieren entweder<br />
die Verwundbarkeit der Risikoelemente gegenüber der Ein-<br />
wirkung von Gefahren oder richten sich unmittelbar an die<br />
betriebliche Kontinuität der kritischen Prozesse durch die<br />
Schaffung von Redundanz beziehungsweise Ersatz.<br />
26 Vgl. Australian/New Zealand Standard 2004, Seiten 21–22.<br />
2