IT-Risiken versus IT-Kosten: Wo liegt das Optimum?
Eine IT-Panne kann viel Geld kosten. Darum wird viel investiert, um das Risiko solcher Pannen zu minimieren. Aber wie viel Aufwand ist gerechtfertigt und wann stehen Kosten und Nutzen in keinem vertretbaren Verhältnis mehr? Vier Tipps für einen vernünftigen Umgang mit IT-Risiken und IT-Kosten.
1. Leben Sie mit dem Restrisiko
Wenn es um Risiken geht, unterliegen wir dem Zero-Risk Bias: Je näher ein Risiko gegen Null geht, umso grösseren Aufwand betreiben wir, um auch dieses Restrisiko zu beseitigen. Das dürfte damit zu tun haben, dass wir mit Wahrscheinlichkeiten nicht richtig rechnen können. Was bedeutet zum Beispiel eine Eintrittswahrscheinlichkeit von 1%? Einer von hundert ist betroffen? Alle hundert Jahre trifft es mich? Wenn es letztes Jahr eingetroffen ist, habe ich 99 Jahre Ruhe? Darum hätten wir am liebsten Null Risiko. Aber ein Restrisiko bleibt immer. Lassen Sie sich also von Ihrem Zero-Risk Bias nicht täuschen und akzeptieren Sie, dass Sie mit einem Restrisiko leben müssen.
2. Respektieren Sie das Gesetz des abnehmenden Grenznutzens
Auch Risiken unterliegen dem Gesetz des abnehmenden Grenznutzens: Je näher wir dem Nullrisiko kommen wollen, desto mehr Aufwand müssen wir betreiben. Soll zum Beispiel die Verfügbarkeit einer Anwendung verbessert werden, kann man den Server mit zwei statt einer Harddisk ausrüsten. Das kostet nicht viel und das Risiko, dass eine Harddisk ausfällt, ist relativ gross. Mit geringem Aufwand wurde also eine grosse Reduktion des Ausfallrisikos erzielt. Was aber, wenn der ganze Server ausfällt? Also betreiben wir die Anwendung auf zwei Servern mit je zwei Harddisks. Dass ein ganzer Server ausfällt ist allerdings schon recht unwahrscheinlich und ein zusätzlicher Server kostet zehnmal mehr, als eine zusätzliche Festplatte (ganz abgesehen von den zusätzlichen Betriebskosten). Für Massnahmen zur weiteren Erhöhung der Verfügbarkeit (zum Beispiel Aufbau einer Second Site) gilt dasselbe: jede zusätzliche Verbesserung bedingt überproportional mehr Aufwand.
3. Konzentrieren Sie sich auf die Konsequenzen
Zwischen den Polen „volles Risiko“ und „Null Risiko“ muss ein Entscheid für ein gewisses Restrisiko gefällt werden. Ein Risiko ist das Produkt aus der Eintrittswahrscheinlichkeit und den resultierenden Konsequenzen. Da wir schlecht mit Wahrscheinlichkeiten umgehen können (siehe Zero-Risk Bias), sollten wir uns auf die Konsequenzen konzentrieren. Was sind zum Beispiel die Kosten eines monatlichen Ausfalls der Anwendung von acht Stunden? Wie hoch sind Ertragsausfall, Reputationsschaden und allfällige Konventionalstrafen? Wenn Sie eine Summe berechnet haben, dann halbieren Sie diese. Das ist der maximale Betrag, den Sie pro Monat zur Verfügung haben, um die Ausfallzeit auf vier Stunden zu reduzieren. Aber Achtung: Dieser Betrag setzt sich zusammen aus einmaligen und wiederkehrenden Kosten!
4. Verbeissen Sie sich nicht in die kleinen Risiken und bleiben Sie pragmatisch
Der Zero-Risk Bias führt dazu, dass wir auf kleine Risiken fokussieren. Dabei geht unter Umständen die Gesamtsicht verloren. Wenn es in der IT zum Beispiel um Ausfallrisiken geht, liegt das Augenmerk in der Regel auf der Infrastruktur (Strom, Netzwerk, Server etc.). Der Grossteil der Ausfälle wird aber durch die Applikation verursacht. Ein Hype zum Beispiel kann eine Anwendung schnell überlasten. Mit relativ geringem Aufwand (beispielsweise einem Session Limiter) kann dieses Problem leicht behoben werden.
Fazit
Kein Risiko gibt es nicht. Mit Restrisiken müssen wir in allen Bereichen leben. Wenn wir aber den Zero-Risk Bias und das Gesetz des abnehmenden Grenznutzens im Auge behalten sowie die ungefähren Kosten des Eintritts eines Risikoereignisses kennen, dann können wir auch die adäquaten Massnahmen zur Risikoreduktion ergreifen.