Die Gefahr eines Imageschadens bewerten Reputationsrisiko in die Risk-Management-Strategie aufnehmen

Autor / Redakteur: Wolfgang Böhmer, (ISC)2-zertifizierter CISSP / Stephan Augsten

Datenmissbrauch und Lücken in der IT-Sicherheit können das Image eines Unternehmens erheblich schädigen. Wie aber bewertet man das Risiko eines Image- bzw. Reputationsschadens? Ein Ansatz besteht darin, derartige Risiken mit einer kombinierten Methodik aus Business Continuity Management und einer Auswirkungsanalyse (FMEA/FMECA) zu betrachten.

Firma zum Thema

Eilgut: Die Reputation ist äußerst zerbrechlich und sollte deshalb Teil der Risk-Management-Strategie sein.
Eilgut: Die Reputation ist äußerst zerbrechlich und sollte deshalb Teil der Risk-Management-Strategie sein.
( Archiv: Vogel Business Media )

Ob gewollt oder ungewollt, die Finanzkrise zerrt das Risikomanagement ins Blickfeld der Unternehmen. Es gewinnt mehr und mehr an Bedeutung – und zwar auch in Unternehmen, die nicht im Finanzdienstsektor tätig sind. Die Rezession schwemmt die Defizite im Risikomanagement an die Oberfläche. Neben den finanziellen Folgen haben viele Unternehmen äußerst schmerzhaft auch an Reputation eingebüßt. Gerade dieser Risikofaktor, der sich auch mit Image umschreiben lässt, wurde oftmals unterschätzt.

Eine gute und solide Reputation aufzubauen ist ein langwieriger und mühsamer Prozess, dessen Ergebnis in wenigen Minuten zerstört sein kann. In der Literatur wird die Reputation auch als Cinderella Asset betitelt. Das Cinderella Asset ist ein fragiles Gut und stellt für die Unternehmen ein nicht unerhebliches Risiko dar.

Das Reputationsrisiko gilt unter Risk-Managern als das bedeutsamste und gleichzeitig am schwierigsten zu handhabende Risiko. Es lassen sich eine Fülle von Bespielen aufzeigen, in denen sich das Reputationsrisiko auf eine herausgehobene Person (Politiker, Sportler, Firmenchef) oder eine Firma entfaltet. Diese hätten meist durchaus Steuerungs- und Kontrollmöglichkeiten gehabt, diese aber zu spät bemerkt oder genutzt.

Komplexe Wechselwirkung, einfache Rechnung

Das Reputationsrisiko hat seinen Ursprung in der fehlerhaften oder fehlenden Aktivität der Betroffenen, die dann oft von den Medien ausgenutzt wird. Risiko und Sicherheit lassen sich über die simple Gleichung Risiko = 1 – Sicherheit ausdrücken und beeinflussen sich gegenseitig.

Der Verlauf eines Reputationsrisikos lässt sich in vier verschiedene Phasen unterteilen. Diese Phasen lassen sich empirisch nachweisen.

In der Regel kündigt sich das Reputationsrisiko bereits einige Zeit vorher einigen Insidern im Unternehmen an. Anschließend kommt es scheinbar plötzlich zu einer Eskalation (Krise), die dann in eine Phase mündet, die als Kommunikationsphase bezeichnet wird. Wird diese signifikante Zeitspanne der Kommunikation überschritten und in dieser nur geschwiegen, besteht keine Möglichkeit der Abfederung mehr. Die Person bzw. das Unternehmen hat seine Chancen verspielt, das Geschehen zu seinen Gunsten zu beeinflussen.

Diese bedeutsame Zeitspanne kann man – wie im Risikomanagement üblich – als Maximum tolerable Period of Communication Vacuum (MTPCV) beschreiben. Die letzte Phase tritt als Entscheidungsphase in Erscheinung, die häufig auch ein finanzielles Desaster nach sich zieht.

In den beiden markanten Phasen der Ankündigung und Kommunikation muss während der Entfaltung eines Reputationsrisikos aktiv gehandelt werden. Wenn hierfür geeignete Instrumente zur Verfügung stünden, könnte ein Reputationsrisiko abgefedert oder gar ganz verhindern werden. Je nachdem wie gut diese Instrumente gespielt werden, ist die Abfederung besser oder schlechter.

Seite 2: Früherkennung eines drohenden Imageverlustes

Früherkennung eines drohenden Imageverlustes

Es liegt auf der Hand, dass die Phase der Ankündigung, also die Phase für den Zeitraum vor der Eskalation, mit einer Methode zur Früherkennung begegnet werden kann. Hierfür erscheint es zweckmäßig die FMEA/FMECA-Methode einzusetzen. Diese bekannte Methode wird mit einer geringfügigen Anpassung in diesem Kontext verwendet.

Kern der Methode ist die Abschätzung des Risikos z. B. des Eintretens eines Fehlers in der Technik und die Betrachtung der Auswirkung. Um ein fassbares Maß für das Risiko eines Fehlers zu erhalten, wird die so genannte Risikoprioritätszahl (RPZ) berechnet. Diese setzt sich aus dem Produkt der Eintrittswahrscheinlichkeit einer fehlerhaften Aktivität (A), der Bedeutung (B) und der Entdeckungswahrscheinlichkeit (E) zusammen.

Hieraus ergibt sich die Formel RPZ = A * B * E. Die drei Faktoren werden als natürliche Zahl zwischen eins und zehn angegeben, wobei ein kleiner Wert (nahe eins) ein geringes Risiko und ein großer Wert (nahe zehn) ein ernsthaftes Risiko darstellt. Die Risikoprioritätszahl kann demzufolge einen Wert zwischen eins und 1.000 anehmen.

Im Falle des Reputationsrisikos haben wir es üblicherweise mit einer fehlerhaften Aktivität der Betroffenen zu tun. Deshalb müsste die RPZ des Reputationsrisikos durch das Produkt der Eintrittswahrscheinlichkeit einer fehlerhaften Aktivität (A), der Bedeutung oder Auswirkung der fehlerhaften Aktivität auf die Firma oder den Betroffenen (B) und die Entdeckungswahrscheinlichkeit durch die Medien (E) bestimmt werden.

Auswirkungen des Reputationsrisikos mindern

Darüber hinaus ist ein Instrument für die Kommunikationsphase notwendig, also die Phase nach der Eskalation. In dieser Phase kann mit Methoden des Business Continuity gearbeitet werden. Der Eintritt eines Reputationsrisikos ist ein überaus seltenes Ereignis, jedoch mit gravierender Auswirkung für ein Unternehmen.

Für derartige Fälle sind insbesondere die Methoden des Business Continuity prädestiniert. Es müsste – in Anlehnung an ein Businness Continuity Plan (BCP) – ein Reputation Continuity Plan (RCP) für die Kommunikation im Fall eines eingetretenen Reputationsrisikos entworfen werden, um das eingetretene Reputationsrisiko abzumildern.

Somit ist die oben erwähnte MTPCV direkt vergleichbar mit der MTPD (Maximum tolerable Period of Disruption) eines Business-Continuity-Management-Systems wie gemäß der BS25999:2008. Dabei handelt es sich um den im Dezember 2008 von der British Standard Institution vorgestellten Standard „Information and communications technology continuity management – Code of practice“.

Ist der Ruf erst ruiniert…

Bei Überschreitung der MTPD-Zeitspanne ist ein Unternehmen „verloren“, wenn bis dahin der BCP nicht gegriffen hat. Dies gilt ebenso für die MTPCV, wenn keine Kommunikation (RCP) nach außen erfolgt ist. Die Reputation geht dann im nahezu freien Fall verloren, meist mit fatalen finanziellen Folgen.

Letztlich kommt es darauf an, in der richtigen Phase einer Krise die für das jeweilige Unternehmen richtigen Maßnahmen zu ergreifen. Firmen, die allerdings bereit sind, das Reputationsrisiko in ihr Risikomanagement aufzunehmen und die damit verbundenen Konsequenzen entsprechend beherzigen, sind definitiv besser aufgestellt. Denn sie fangen an, auch dieses schwer zu greifende Risiko systematisch zu managen.

Dr. rer. nat. Wolfgang Böhmer

Dr. rer. nat. Wolfgang Böhmer ist zertifizierter CISSP, CISA, ISO27001 LA, BS 25999 LA sowie GS Auditor 27001.

(ID:2041630)