Risikomanagement in der Öffentlichen Verwaltung

Viel Baustelle, wenig Risikomanagement

| Autor / Redakteur: Andreas Eicher & Frank Romeike* / Susanne Ehneß

Stuttgart & Köln

Um einen Einblick in die Risikomanagementarbeit bei Verwaltungen zu erlangen, lohnt ein Blick in die Praxis. Die Landeshauptstadt Stuttgart setzt auf ein IT-Risikomanagement, anlehnend an den BSI-Standard 100-3. „Die Risiken werden anhand von Gefährdungen identifiziert und auf Basis des möglichen Schadensausmaßes und der Eintrittswahrscheinlichkeit mithilfe einer Bewertungsmatrix in drei Stufen klassifiziert“, erklärt Torsten A. Becker, zuständig für die Bereiche Datenschutz und IT-Sicherheit bei der Landeshauptstadt Stuttgart.

Die Verantwortlichen der Stadt Stuttgart unterscheiden zwischen Risiken mit einer geringen Eintrittswahrscheinlichkeit, bei dem es keinen Handlungsbedarf gibt sowie mittleren und hohen Risiken. „Mittlere Risiken werden, ­soweit technisch möglich und ökonomisch sinnvoll, reduziert. Risiken mit einem hohen Schadensausmaß müssen zwingend untersucht und behandelt werden“, so Becker. Immerhin ein pragmatischer und praxisorientierter Ansatz.

Und er ergänzt: „In einem eigens eingerichteten IT-Sicherheits­managementteam besprechen wir Lösungsalternativen zur Risiko­reduzierung und priorisieren die daraus resultierenden Sicherheitsmaßnahmen hinsichtlich ihres Kosten-Nutzen-Verhältnisses.“ Uwe Rühl fügt an: „Man sollte die Frage stellen, welche klaren Zuständigkeiten nach Geschäftsordnungen vorhanden sind. Vor allem geht es um die Frage, wer wann und unter welchen Umständen Entscheidungen zu Risiken fällt. Insbesondere Risikoakzeptanz ist ein schwieriges Thema.“

Dies vor Augen, setzt die Stadt Stuttgart beispielsweise beim Thema IT-Compliance auf die Koordination durch einen behördlichen Beauftragten für Datenschutz und IT-Sicherheit.

Die Stadt Köln wiederum hat einen „Public Corporate Governance Kodex der Stadt Köln“, mit dem „Standards zur Steigerung der ­Effizienz, Transparenz und Kon­trolle bei den Gesellschaften mit ­städtischer Beteiligung“ definiert sind. Weitere Städte folgen diesem Beispiel.

Niederlande & Schweiz

Risikomanagement fristet in vielen Kommunen noch immer ein Nischendasein. Andere Länder ­zeigen, wie es geht. So spielt ein proaktives kommunales Risiko­management in den Niederlanden und in der Schweiz bereits seit langer Zeit eine entscheidende Rolle. Zum einen gibt es in den Niederlanden eine gesetzliche Verpflichtung zum Risikomanagement, zum anderen ist Risikomanagement kein Tabuthema.

Komplexität erfassen

Kritiker vermissen darüber hinaus in den aktuellen Risikomanagementstrukturen von Organisationen, dass diese mit der zunehmenden Digitalisierung nicht Schritt halten können. „Der Mensch ist nur begrenzt in der Lage, komplexe Zusammenhänge, insbesondere unter Zeitdruck, zu erfassen. Mit der fortschreitenden Digitalisierung und der damit verbundenen Zunahme an Komplexität sind ­damit auch traditionelle Sicherheitsansätze nur noch bedingt wirksam“, so Tom Köhler, Strategie-Experte für Cybersecurity und Partner bei EY. So ist es bei einer komplexen Risikolandkarte schier unmöglich, Risiken mithilfe einer Eintrittswahrscheinlichkeit und einem Schadensausmaß zu bewerten. Abhängigkeiten zwischen ­Risiken können in komplexen Systemen nicht mithilfe einfacher Ursache-Wirkungs-Ketten beschrieben werden.

Hierauf hatte bereits vor Jahrzehnten der Systemforscher Frederic Vester hingewiesen, der ein kybernetisches Denken propagierte. Mit anderen Worten: Einzelrisiken und deren Betrachtung waren gestern. Heute geht es vielmehr um systemische Risiken. Und dazu gehört neben den Cybergefahren die gesamte Bandbreite potenzieller Risiken im öffentlichen Sektor – von Finanzrisiken über Infrastrukturmaßnahmen, dem Öffentlichen Personennahverkehr oder der Energie- und Wasserversorgung. Gelingt es öffentlichen Einrichtungen, ein stabiles und zukunftsweisendes Risikomanagement aufzubauen, haben diese gute Chancen, die Aufgaben tragfähig umzusetzen – im Sinne der Politik und des Bürgers. Verpassen Verwaltungen die notwenigen Schritte im Risikomanagement, heißt es auch weiterhin: Es herrscht viel Baustelle im öffentlichen Bereich.

* Andreas Eicher, Redakteur bei The Risk Management Network (RiskNET), Redakteur der Gesellschaft für Risikomanagement und Regulierung e.V. sowie freier Redakteur zu den Themen Risikomanagement, Compliance und Digitalisierung.

* Frank Romeike, geschäftsführender Gesellschafter bei RiskNET und Mitglied des Vorstands der Gesellschaft für Risikomanagement und Regulierung e.V.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44379392 / System & Services)