"Das Leben ist eine Baustelle" lautet ein gleichnamiger Film aus den 1990er Jahren. Inhaltlich geht es um viel Unglück, der Suche sowie dem Neuanfang. Auch im öffentlichen Bereich geht es um viel Baustelle, Unglück sowie suchende Protagonisten. Und auch dort wäre ein Neuanfang vielfach hilfreich – zumindest was das Thema Risikomanagement in den Bereichen der öffentlichen Verwaltung betrifft.
Jüngst scheiterte der Verkauf des Flughafens Hahn an einen Großinvestor aus Asien. Mehrheitseigner des Hahn-Flughafens ist das Bundesland Rheinland-Pfalz mit 82,5 Prozent. Der Investor versprach viel und hielt wenig. Spätestens als es an das Bezahlen ging, duckten sich die Verantwortlichen aus Shanghai. Der Deal war geplatzt. Nun ist das Geschrei groß in der Rheinland-Pfälzischen Landesregierung. Es ist eine Binsenweisheit, dass die Beteiligten hinterher immer schlauer sind. Sei es am Flughafen Hahn, bei Stuttgart 21 oder dem BER-Hauptstadtflughafen. Der Rheinland-Pfälzische SPD-Innenminister Roger Lewentz formulierte es nach Medienberichten im Zuge des geplatzten "Hahn-Deals" wie folgt: "Heute würde ich einiges im Verhandlungsprozess anders machen."
Vielfältige Aufgaben und die Überwachung- und Sorgfaltspflicht
Land auf, Land ab, quält sich der öffentliche Sektor mit den großen und kleinen Risiken in Projekten, dem Controlling, der Informationssicherheit, beim Thema Compliance oder schlicht der Reputation. Doch woran liegt es, dass die vielfältigen Aufgaben in Verwaltungen nicht mit einem vorausschauenden Risikomanagement hinterlegt werden? Für Uwe Rühl, Risikomanagementexperte und seines Zeichens Geschäftsführer der gleichnamigen Rühlconsulting Gruppe, hängt vieles aufgrund mangelnder Zuständigkeiten, sprich wer für die Bewertung von Anforderungen und deren Umsetzung zuständig ist. "Hier klemmt es häufig durch Überlastung, wodurch Projekte stecken bleiben", erklärt Rühl, der weiß wovon er spricht. Denn er war selbst Leiter des kommunalen Teils (Rettungsdienst, Feuerwehr und Katastrophenschutz) der kooperativen Regionalleitstelle Nord. Rühl: "Risikomanagement ist eine Methode, die vermutlich kulturell nicht sonderlich einfach einzuführen ist. Wo man seitenlange Stellungnahmen zu Themen schreibt und Beschlussvorlagen formuliert, ist das Zusammenfassen von Themen in Risiken und deren Bewertung ein ungewöhnliches Verfahren mit dem man fremdelt."
Im Grunde liegt darin auch der permanente Widerspruch und das Spannungsfeld zwischen Sach- und Formalziel öffentlicher Organisationen begründet. Josef Scherer, Professor für Unternehmensrecht (Compliance), Risiko- und Krisenmanagement an der Technischen Hochschule Deggendorf (THD), weist darauf hin, dass öffentlich-rechtliche Institutionen primär andere Aufgaben und Ziele haben als die Gewinnmaximierung. "Nach dem ökonomischen Prinzip kann beispielsweise versucht werden, auf der Basis eines festen Budgets die Ziele bestmöglich zu erreichen", so Scherer. Im Umkehrschluss heißt das für Verwaltungen, vielfältige politische und wirtschaftliche Ziele unter einen oftmals zu kleinen Hut zu bekommen – bei gleichzeitig diversen Interessengruppen und Zielsetzungen.
Das ist eine Mammutaufgabe. Aber diese entbindet das Topmanagement öffentlicher Organisationen nicht von der Überwachungs- und Sorgfaltspflicht in puncto funktionierender Risikomanagement- und Informationssicherheitsprozesse. Die Realität ist indes ernüchternd. Laut einer Umfrage im Rahmen einer Masterarbeit zum Thema "Risikomanagement in der öffentlichen Verwaltung" aus dem Jahr 2012 zeigt sich, dass 80 Prozent der teilnehmenden Verwaltungen (befragt wurden Bundesverwaltungen sowie Kommunalverwaltungen in Baden-Württemberg und Bayern, Anmerkung der Redaktion) die Einführung eines Risikomanagements für ihre Verwaltung als sinnvoll erachten. Aber nach eigener Aussage hatten zu diesem Zeitpunkt nur 22 Prozent eine Risikomanagementfunktion eingerichtet. Bei näherer Betrachtung zeigte sich zudem, dass diese meist einen geringen Reifegrad besitzt. Im Vergleich zur Wirtschaft fehle es insbesondere an grundlegenden Richtlinien, beispielsweise der Definition von Risiken und Regeln wann diese kommuniziert werden sollen.
Entscheidungsträger in einer komplexen Risikomanagementwelt
Um einen Einblick in die Risikomanagementarbeit bei Verwaltungen zu erlangen, lohnt ein Blick in die Praxis. Die Landeshauptstadt Stuttgart setzt auf ein IT-Risikomanagement, anlehnend an den BSI-Standard 100-3. "Die Risiken werden anhand von Gefährdungen identifiziert und auf Basis des möglichen Schadensausmaßes und der Eintrittswahrscheinlichkeit mithilfe einer Bewertungsmatrix in drei Stufen klassifiziert", erklärt Torsten A. Becker, zuständig für die Bereiche Datenschutz und IT-Sicherheit bei der Landeshauptstadt Stuttgart. Die Verantwortlichen der Stadt Stuttgart unterscheiden zwischen Risiken mit einer geringen Eintrittswahrscheinlichkeit, bei dem es keinen Handlungsbedarf gibt sowie mittleren und hohen Risiken. "Mittlere Risiken werden, soweit technisch möglich und ökonomisch sinnvoll, reduziert. Risiken mit einem hohen Schadensausmaß müssen zwingend untersucht und behandelt werden", so Becker. Immerhin ein pragmatischer und praxisorientierter Ansatz.
Und er ergänzt: "In einem eigens eingerichteten IT-Sicherheitsmanagementteam besprechen wir Lösungsalternativen zur Risikoreduzierung und priorisieren die daraus resultierenden Sicherheitsmaßnahmen hinsichtlich ihres Kosten-Nutzen-Verhältnisses." Uwe Rühl fügt an: "Man sollte die Frage stellen, welche klaren Zuständigkeiten nach Geschäftsordnungen vorhanden sind. Vor allem geht es um die Frage, wer wann und unter welchen Umständen Entscheidungen zu Risiken fällt. Insbesondere Risikoakzeptanz ist ein schwieriges Thema." Dies vor Augen, setzt die Stadt Stuttgart beispielsweise beim Thema IT-Compliance auf die Koordination durch einen behördlichen Beauftragten für Datenschutz und IT-Sicherheit. Die Stadt Köln wiederrum hat einen "Public Corporate Governance Kodex der Stadt Köln", mit dem "Standards zur Steigerung der Effizienz, Transparenz und Kontrolle bei den Gesellschaften mit städtischer Beteiligung" definiert sind. Weitere Städte folgen diesem Beispiel.
Vom Nischendasein zu neuen Wegen in der Risikobetrachtung
Ob diese Maßnahmen fruchten ist eine andere Geschichte. Gerade unter dem Aspekt, dass Risikomanagement in vielen Kommunen noch immer ein Nischendasein fristet. Josef Scherer von der THD: "Selten findet man im Rahmen von Risiko-Checks eine Governance-Struktur vor, die sich an den Grundsätzen ordnungsgemäßer Unternehmensführung und -überwachung sowie den Grundsätzen ordnungsgemäßer Interaktion orientiert. Gerade in diesem Sektor herrscht Optimierungsbedarf."
Andere Länder zeigen, wie es geht. So spielt ein proaktives und kommunales Risikomanagement in den Niederlanden und in der Schweiz bereits seit langer Zeit eine entscheidende Rolle in der öffentlichen Verwaltung. Zum einen gibt es in den Niederlanden eine gesetzliche Verpflichtung zum Risikomanagement, zum anderen ist Risikomanagement kein Tabuthema. Kritiker vermissen darüber hinaus in den aktuellen Risikomanagementstrukturen von Organisationen, dass diese mit der zunehmenden Digitalisierung nicht Schritt halten können. Denn die neue digitale und eng vernetzte Welt fördert immer komplexere Zusammenhänge, die es in immer kürzeren Zeitabständen zu bewerkstelligen gilt. Auf diesen Faktor weist Tom Köhler, international anerkannter Strategie-Experte für Cybersecurity und Partner bei EY hin: "Der Mensch ist nur begrenzt in der Lage, komplexe Zusammenhänge, insbesondere unter Zeitdruck zu erfassen. Mit der fortschreitenden Digitalisierung und der damit verbundenen Zunahme an Komplexität sind damit auch traditionelle Sicherheitsansätze nur noch bedingt wirksam. Aus meiner Sicht liegt der größte Nachholbedarf bei der Entwicklung eines systemischen Ansatzes, bei dem Risiken vernetzt betrachtet werden."
So ist es bei einer komplexen Risikolandkarte schier unmöglich, Risiken mit Hilfe einer Eintrittswahrscheinlichkeit und einem Schadensausmaß zu bewerten. Abhängigkeiten zwischen Risiken können in komplexen Systemen nicht mit Hilfe einfacher Ursache-Wirkungsketten beschrieben werden (etwa mit Korrelationen). Hierauf hatte bereits vor Jahrzehnten der Systemforscher Frederic Vester hingewiesen, der ein kybernetisches Denken, also das Denken in Systemzusammenhängen, propagiert hatte. Mit anderen Worten: Einzelrisiken und deren Betrachtung waren gestern. Heute geht es vielmehr um systemische Risiken. Und dazu gehört neben den Cybergefahren die gesamte Bandbreite potenzieller Risiken im öffentlichen Sektor – von Finanzrisiken über Infrastrukturmaßnahmen, dem Öffentlichen Personennahverkehr oder der Energie- und Wasserversorgung. Gelingt es öffentlichen Einrichtungen ein stabiles und zukunftsweisendes Risikomanagement aufzubauen, haben diese gute Chancen, die jeweiligen Aufgaben tragfähig umzusetzen – im Sinne der Politik und des Bürgers. Verpassen Verwaltungen die notwenigen Schritte im Risikomanagement, heißt es auch weiterhin: Es herrscht viel Baustelle im öffentlichen Bereich.