Organisationen sehen sich mit Fragen rund um das Thema Sicherheit auf verschiedenen Ebenen, respektive über sämtliche Geschäftsbereiche hinweg, konfrontiert. Arbeitnehmerschutz, Informationssicherheit oder die Aufrechterhaltung des Geschäftsbetriebs (BCM) sind nur einige Beispiele. Dabei stellt sich auch immer die Frage nach den Kosten. In diesem Beitrag beleuchten wir das Spannungsfeld rund um Investitionen in die Sicherheit und erklären, warum ein Budget für Sicherheit nur schwer rational begründbar ist. Zudem zeigen wir auf, warum ein agiles Vorgehen bei der Implementierung einer Sicherheitslösung helfen kann.
Das Notfall- und Krisenmanagement – respektive die Sicherheit im Allgemeinen – nimmt in einer Organisation eine Sekundärfunktion ein. Sie dient der Unterstützung und Erhaltung eines Primärziels: Der Schutz von Unternehmenswerten und die Sicherstellung eines Business Continuity Managements. Erschwerend kommt hinzu, dass Sicherheit eine sehr komplexe Aufgabe darstellt, welche im Normalfall eine ganzheitliche Anwendung von baulichen, organisatorischen, kommunikativen und technischen Massnahmen bedingt. All dies läuft unter dem Gesichtspunkt, dass eine hundertprozentige Sicherheit nicht zu erreichen ist. Sicherheitsverantwortliche kämpfen deshalb nicht selten mit dem Problem der Wertbestimmung. Wie viel darf und soll Sicherheit also kosten?
Trade-off zwischen unterschiedlichen Rationalitäten
Bei Investitionen stellt sich typischerweise die Frage nach dem Return on Investment (ROI). In Bezug auf die Sicherheit ist dieser schwer zu beziffern. Man muss sich überlegen, welche Arten von Schäden auftreten können (z.B. Personenschäden, Sachschäden etc.) und ob man die Kosten bei Schadenseintritt selber tragen kann oder allenfalls an Dritte überträgt (z.B. Versicherungen). Sicherheit, respektive ein funktionierendes Notfall- und Krisenmanagement, steht deshalb in einem starken Zusammenhang mit dem Risikomanagement. Schadensausmass und Eintrittswahrscheinlichkeit geben eine Orientierung, welche Risiken eine Organisation als tragbar erachtet und welche Massnahmen hinsichtlich der einzelnen Risiken getroffen und umgesetzt werden. Diese Evaluation geschieht normalerweise unter Berücksichtigung der eigenen Risikokultur, der Risikoaversion sowie der Risikoakzeptanz. Dabei steht immer das Ziel einer möglichst hohen Resilienz der Organisation im Vordergrund. Der dafür notwendige Ressourceneinsatz kann je nach Organisation stark variieren.
Weiter gilt es auch, gesetzliche Richtlinien und Vorgaben einzuhalten. Ein funktionierendes Notfall- und Krisenmanagement ist von verschiedenen gesetzlichen Vorschriften getrieben, beispielsweise im Bereich Arbeitssicherheit und Gesundheitsschutz. Da der Arbeitgeber für deren Einhaltung in seinem Betrieb verantwortlich ist, müssen zwangsläufig gewisse Investitionen in die Sicherheit getätigt werden.
Dass viele Risiken und kritische Ereignisse selten eintreten, verstärkt zudem das Dilemma: Die Frage nach dem (sichtbaren) Nutzen bzw. der Wertbestimmung lässt sich noch schwieriger beantworten. Bei Personenschäden kommen zusätzlich moralische und ethische Fragestellungen hinzu. Welche Kosten sind für die Absicherung von Personenschäden, oder im Worst Case Menschenleben, legitim? Eine Frage, die eigentlich nicht beantwortet werden kann.
Wie ein agiles Vorgehen bei der Implementierung helfen kann
Die Komplexität der Thematik führt oftmals zum Anspruch, sämtliche Fragestellungen und Szenarien lösen respektive absichern zu können. Dies ist jedoch ein Ding der Unmöglichkeit. Zudem verzögert es die Implementierung, weil man typischerweise in der Konzeptphase «stecken» bleibt. Mit verhältnismässig wenig Ressourcen ist es möglich, bereits einen wesentlichen Effekt zu erzielen. Ein agiles und schrittweises Vorgehen ist deshalb zu empfehlen. Es muss nicht immer die teure Lösung sein. Manchmal empfiehlt es sich, mit kostengünstigeren Varianten und einem «keep it simple»-Ansatz zu operieren. Nicht, weil Sicherheit nicht mehr wert ist, sondern, dass möglichst zeitnah erste Massnahmen implementiert sind, welche bereits einen Effekt erzielen. Ein Sicherheitskonzept kann fortlaufend ausgebaut und erweitert werden. Der agile Ansatz ermöglicht zudem, an den richtigen Prioritäten zu arbeiten und die einzelnen Bestandteile – durch die Erfahrung des Lernens während der Implementierung und Anwendung – besser aufeinander abzustimmen.
Sicherheit: Ein Spannungsfeld ohne Königsweg
Abschliessend lässt sich festhalten, dass Investitionen in die Sicherheit in erster Linie ein Abwägen zwischen ökonomischem Kalkül (Kosten-Nutzen-Rechnung), juristischer Rationalität (Compliance), Risikorationalität (Absicherung gegen intolerante Schäden) sowie Ethik und Moral bedeuten. Dies ist mehr als eine blosse Inkonsistenz oder Widersprüchlichkeit. Es zeigt nämlich, dass dem Problem der Ungewissheit durch bestimmte Gefährdungen nur durch ein ständiges Verschieben der Problemsubstanz durch unterschiedliche Sichtweisen auf die Problematisierung begegnet werden kann. Immer unter dem Aspekt, dass es eine vollumfängliche Sicherheit nicht gibt und das richtige Mass an Ressourceneinsatz je nach Organisation sehr individuell ist. Ein Budget für die Sicherheit ist deshalb nur schwer rational begründbar. Einen Königsweg gibt es nicht. Trotzdem ist es mit einem agilen Ansatz und etwas Pragmatismus möglich, eine sinnvolle und effektive Lösung zu erreichen. Und dies zu vernünftigen Kosten.
Quellen:
- Folkers, A. (2017): Das Sicherheitsdispositiv der Resilienz: Katastrophische Risiken und die Biopolitik vitaler Systeme. Campus Verlag: Frankfurt / New York
Kontakt
Demo-Version
Angebot
Blog
