Einzelrisiken

Weiterhin kann dokumentiertes Wissen vernichtet bzw. gelöscht werden. Dies kann durch Zutritts-oder Zugriffsverletzungen von Mitarbeitern und externen Akteuren verursacht werden. Weitere Ursa-chen stellen Angriffe auf IT-Systeme oder technisches Versagen dar. Zudem kann Fehlverhalten der Mitarbeiter eine Ursache darstellen und sich darin äußern, dass Mitarbeiter sensitive Inhalte verse-hentlich oder absichtlich löschen. Ebenso kann es im Rahmen von Einbrüchen zum Diebstahl von Hardware kommen. Dies betrifft insbesondere auch mobile Endgeräte wie Notebooks oder mobile Datenspeicher, da deren Verlust ein erhöhtes Risiko darstellt (Desouza, Awazu 2004; Freeman 2004, 6)¹⁴⁸.

Letztlich können Wissensverluste auch durch den Prozess des Vergessens eintreten und betreffen die Nichtdokumentation von Erfahrungen oder Ideen (siehe Abb. 22). Die Notwendigkeit einer effizienten Dokumentation ergibt sich auch dann, wenn die Fluktuation von Mitarbeitern absehbar ist. Im Rah-men der Projektarbeit ist dieses Problem zum Teil bewusst und es bestehen verschiedenste Methoden, um Wissen, das im Rahmen der Projektarbeit gewonnen wurde, zu dokumentieren und auch so für andere Organisationsmitglieder verfügbar zu machen. So können beispielsweise Erfahrungen zum Projekt im Rahmen von Gesprächsrunden oder in schriftlicher Form zu bestimmten Meilensteinen oder am Projektende mittels verschiedener Methoden erfasst werden (Disterer 2002, 517; Schindler, Eppler 2003, 221ff). Neben projektspezifischem Wissen kommt allerdings auch der Dokumentation von Wissen, das im Rahmen des Tagesgeschäfts generiert wurde, eine Bedeutung zu, um Wissensver-luste zu verhindern.

Im Hinblick auf die verschiedenen wissensbezogenen Ressourcen (siehe Abschnitt 2.2.3) betreffen Wissensverluste primär an Personen gebundenes bzw. in Objekten inkorporiertes Wissen. Bezüglich organisatorisch verankertem Wissen sind Verluste von geringerer Eintrittswahrscheinlichkeit bzw.

weisen ein geringeres Schadensausmaß auf, da Wissen auf mehrere Organisationsmitglieder verteilt ist und somit individuelle Verluste von anderen Organisationsmitgliedern kompensiert werden kön-nen. Im Falle der Abwanderung ganzer Abteilungen (z.B. durch Management Buy-Out) ist jedoch auch ein umfassender Verlust organisatorisch verankerten Wissens denkbar.

unbegleiteter Ruhestand (VP1): Wie bereits in Abschnitt 5.3.1 erläutert, bestehen vielfältige Ursachen für Fluktuation, die zur Folge haben, dass Mitarbeiter das Unternehmen verlassen und deren Kompetenzen und Erfahrungen dem Unternehmen nicht mehr zur Verfügung stehen. Eine Ursache ist das altersbedingte Ausscheiden aus dem Erwerbsleben. Der Eintritt in den Ruhestand in verschiedenen Formen wie Altersteilzeit oder Vorruhestand kann als reguläre Fluktuation gese-hen werden (Sabathil 1977, 14; Knaese 2004, 42f). Das Risiko des Ruhestands ist darin zu segese-hen, dass das Ausscheiden der Mitarbeiter unbegleitet erfolgt.

Beendigung der Erwerbstätigkeit (VP2): Wissensverluste können zudem dadurch hervorgerufen werden, dass Mitarbeiter sich dazu entscheiden, permanent aus dem Erwerbsleben auszuscheiden.

So kann beispielsweise eine Beendigung durch Kindererziehung und die Nichtinanspruchnahme des freigehaltenen Arbeitsplatzes verursacht werden. Ferner können sich Mitarbeiter aus weiteren persönlichen Gründen dazu entscheiden, sich vollkommen aus dem Erwerbsleben zurückzuziehen (Sabathil 1977, 14; Kiechle 2001, 19; Knaese 2004, 42f). Die Eintrittswahrscheinlichkeit dieses Risikos ist schwer zu ermitteln, da die Entscheidungen unter Umständen kurzfristig getroffen werden.

Unternehmenswechsel (VP3): Neben dem Ausscheiden aus dem Erwerbsleben kann sich ein Wissensrisiko dadurch ergeben, dass ein Mitarbeiter zu anderen Unternehmen oder im Speziellen zu einem Wettbewerber wechselt. Dies kann auf Eigenmotivation basieren, die beispielsweise auf Unzufriedenheit im Unternehmen, bessere Verdienst- oder Aufstiegsmöglichkeiten zurückgeführt werden kann (Sabathil 1977, 15ff)¹⁴⁹. Die Interfluktuation und damit der Verlust von Kompeten-zen kann ebenfalls dadurch hervorgerufen werden, dass sich Mitarbeiter selbständig machen bzw.

ein eigenes Unternehmen ausgründen. Durch derartige Ausgründungen können zudem neue Kon-kurrenten erwachsen und somit Wissen zum Nachteil des Unternehmens eingesetzt werden. Ana-loges gilt für den Wechsel zu Konkurrenten (Liman 1999, 241).

fahrlässiges Fehlverhalten (VP4)¹⁵⁰: Wissensverluste können sich daraus ergeben, dass Mitar-beiter, die an sie gestellten Anforderungen im Hinblick auf den Umgang mit Wissen nicht erfül-len. Dies kann sich darin äußern, dass bestehende Richtlinien nicht beachtet werden oder Mitar-beiter sorglos mit Wissen umgehen (BSI 2006, 486, 532f). So können beispielsweise definierte IT-Sicherheitsrichtlinien oder Richtlinien zum Umgang mit sensitiven Inhalten nicht eingehalten werden und so elektronisch oder physisch dokumentiertes Wissen nicht entsprechend gesichert sein. Neben der Nichteinhaltung bestimmter Vorschriften kann sich Fehlverhalten von Mitarbei-tern auch darauf beziehen, dass dokumentiertes Wissen versehentlich gelöscht wird (BSI 2006,

149 Die Attraktivität des Unternehmens für die Mitarbeiter im Vergleich zu anderen Unternehmen wird als akquisitorisches Potential bezeichnet und schließt u.a. Vergütung, Art der Aufgaben, Aufstiegschancen ein (Drumm 2000, 335).

150 Die Unterscheidung zwischen vorsätzlichem und fahrlässigem Fehlverhalten ist insbesondere im IT-RM weit verbreitet (siehe hierzu auch Kapitel 4).

485). Fahrlässigkeit kann auch darauf zurückgeführt werden, dass erforderliche Kompetenzen im Umgang mit sensitiven Inhalten im Allgemeinen oder IT-Systemen im Speziellen fehlen (Abell, Oxbow 2002, 128ff; BSI 2006, 491)¹⁵¹.

vorsätzliches Fehlverhalten (VP5): Neben einem fahrlässigen Fehlverhalten der Mitarbeiter können diese sich auch vorsätzlich über definierte Richtlinien hinwegsetzen, um dem Unterneh-men aus Eigeninitiative oder zu Gunsten eines Dritten zu schaden. So kann beispielsweise doku-mentiertes Wissen vorsätzlich durch Mitarbeiter gelöscht bzw. vernichtet werden, um bestimmte Sachverhalte zu verzerren oder eigene Interessen durchzusetzen (Alter 2006, 3). Die mutwillige Zerstörung von Datenträgern oder Geräten sowie die Löschung von Inhalten kann auf verschiede-ne Ursachen wie Rache, Böswilligkeit oder Frustration zurückgeführt werden (BSI 2006, 671, 675).

Prozesse: Wissensverluste in Bezug auf die Kategorie Prozesse betreffen Ursachen, die mit Schwä-chen von Prozessen, organisatorisSchwä-chen Richtlinien bzw. Verfahrensweisen in Zusammenhang stehen bzw. gehen von verschiedenen Maßnahmen aus, die seitens des Unternehmens ergriffen wurden.

Reorganisationsverlust (VO1): Wissensverluste können durch Reorganisationsmaßnahmen ver-ursacht werden, die ihrerseits mit Restrukturierungen, Fusionen oder Akquisitionen in Zusam-menhang stehen und zur Folge haben, dass Mitarbeiter zu anderen Unternehmen wechseln, aus dem Erwerbsleben ausscheiden oder unternehmensintern neue Stellen besetzen. Dabei kann der vom Unternehmen verursachte Stellenabbau erwünscht sein oder durch verschiedene Faktoren, wie z.B. drohende Insolvenz oder Abbau von Doppelfunktionen bei Fusionen oder Übernahmen durch Dritte, erforderlich werden. Ein Abbau von Stellen wirkt sich negativ auf das intellektuelle Kapital des Unternehmens aus, da Wissensträger das Unternehmen verlassen, während durch Intrafluktuation die Transparenz über das vorhandene Wissen verloren gehen kann (Probst, Knae-se 1999, 13; DeNisi et al. 2003, 17; Williams 2004, 368).

Nichtdokumentation (VO2): Personengebundenes Wissen, wie z.B. Erfahrungen aus Projekten, kann über den Prozess des Vergessens verloren gehen. Werden Erfahrungen oder Ideen, die im Tagesgeschäft oder im Rahmen des Projektgeschäfts gemacht wurden, nicht dokumentiert, gehen sie verloren. Dabei ist die Dokumentation im Hinblick auf die Vermeidung von Doppelarbeiten und die Nutzung von Synergien von Bedeutung. So kann die Nichtnutzung von in anderen Projek-ten entwickeltem Wissen zusätzlichen Aufwand generieren oder zur Wiederholung von Fehlern führen oder zur Folge haben, dass Problemlösungsprozesse nicht verkürzt werden. Dies hat nega-tive Auswirkungen auf die Durchführung der Prozesse. Auch von der mangelnden Erfassung von

151 Ein derartiger Mangel an Kompetenzen kann in verschiedenen Varianten vorliegen. So können Mitarbeiter im Glauben alles richtig zu machen handeln, die fehlenden Kenntnisse nicht zugeben oder bestrebt sein, die Kompetenzlücken zu schließen (van den Brink 2001, 5).

Wissen über Kunden geht in diesem Kontext ein Risiko aus (Disterer 2002, 517; Schindler, Eppler 2003, 221ff; Desouza, Vanapalli 2005, 84; Probst et al. 2006, 74).

Nachfolgeverlust (VO3): Wissensverluste können sich auch daraus ergeben, dass ein systemati-scher Wissenstransfer zwischen Vorgänger und Nachfolger unterbleibt oder dieser unzureichend ist. So kann die Qualität des Wissenstransfers bei Nachfolge v.a. durch Zeitdruck negativ beein-trächtigt werden (Rüstmann 1999, 214ff)¹⁵². Dieser ist insbesondere dann gegeben, wenn aufgrund einer kurzfristigen Fluktuation keine antizipative Vorbereitung möglich ist und die Nachbesetzung reaktiv erfolgen muss. Ist das zur Ausführung der Stelle bzw. der entsprechenden Aufgaben erfor-derliche Wissen nicht erfasst oder kann die Einarbeitung und Wissensvermittlung nicht durch an-dere Mitarbeiter erfolgen, können neben anfänglichen mit der Einarbeitung einhergehenden Per-formanceschwächen auch Wissensverluste schwer kompensiert werden.

Vertretungsverlust (VO4): Ebenso wie bei der Nachfolge von Mitarbeitern kann auch im Rah-men einer Vertretung das zur Ausführung der Stelle bzw. Aufgaben erforderliche Wissen fehlen und somit ein Mangel entstehen. Vertretungen erfolgen im Vergleich zur Nachfolge temporär und sind somit nicht permanent. Geht man allerdings davon aus, dass sich Krankheiten von Mitarbei-tern unter Umständen über Wochen und Monate erstrecken, kann Vertretung mit einer Nachfolge gleichgesetzt werden. Ein wesentlicher Unterschied besteht darin, dass Vertretungen im Vergleich zur Nachfolge vielfach kurzfristiger sind und aus diesen Gründen oftmals nur eine reaktive Pla-nung möglich ist. Aufgrund der reaktiven PlaPla-nung nimmt die Wahrscheinlichkeit von Fehlern bei der Durchführung der entsprechenden Aufgaben zu (van den Brink 2001, 66).

Übergabeverlust (VO5): Neben der Nachfolge und Vertretung von Mitarbeitern können sich Wissensverluste über den Prozess des Vergessens auch aus einer unzureichenden Übergabe von z.B. Aufgaben oder Arbeitsfortschritten zwischen den Mitarbeitern ergeben. Verschiedene Ar-beitssituationen wie Job Sharing oder Teamarbeit allgemein erfordern die Übergabe von Wissen zu bestimmten Arbeitsinhalten an andere Mitarbeiter. Sind die Übergabeprozesse nicht entspre-chend definiert, kann es zu Reibungsverlusten kommen und das zur Ausführung bestimmter Auf-gaben erforderliche Wissen verloren gehen (Pfitzer et al. 2002, 2006).

Zutrittsverletzung (VO6): Die Eintrittswahrscheinlichkeit von Wissensverlusten wird zudem dadurch erhöht, dass Zutrittsrechte zu den Unternehmensgebäuden allgemein bzw. zu bestimmten Bereichen innerhalb des Unternehmensgeländes unzureichend im Sinne von zu freigebig definiert sind oder eine entsprechende Rechtevergabe fehlt. Neben der unzureichenden Definition von Rechten können Zutrittskontrollen unzureichend sein und somit die Einhaltung entsprechend defi-nierter Rechte nicht durchgesetzt werden. Liegt ein unzureichendes Management der

Zutrittsrech-152 Ein derartiger Verlust ist in der Regel nie vollständig zu vermeiden, da nicht das gesamte Wissen des Vorgängers auf den Nachfolger transferiert werden kann. Jedoch können Verluste bei einer proaktiven, langfristigen und systemati-schen Nachfolgeplanung abgeschwächt werden.

te vor, können unautorisierte unternehmensinterne und -externe Personen Kenntnis nehmen und sich dokumentiertes Wissen, Prototypen etc. aneignen (BSI 2006, 332).

Zugriffsverletzung (VO7): Ebenso wie im Falle der Zutrittsrechte (siehe VO6) kann auch das Management der elektronischen Zugriffsrechte unzureichend sein. So kann einerseits die Definiti-on der Zugriffsrechte zu freigebig bzw. umfassend erfolgen und andererseits die Durchsetzung der definierten Rechte nicht entsprechend erfolgen. Je umfassender und unkontrollierter der Zugriff auf sensitive Inhalte erfolgt, umso höher ist die Wahrscheinlichkeit, dass Wissensverluste auftre-ten (BSI 2006, 626)¹⁵³.

unbegleitete Beendigung der Zusammenarbeit (VO8): Risiken in Bezug auf Wissensverluste können sich auch dann realisieren, wenn Beziehungen zu Kooperationspartnern, Lieferanten oder Kunden beendet werden bzw. diese gewechselt werden. Insbesondere durch langfristige Zusam-menarbeit wird umfassendes kollektives Wissen aufgebaut. Bei einer unbegleiteten Beendigung der Beziehungen bzw. mit dem Wechsel kann einerseits Wissen verloren gehen und andererseits wie im Falle der Einarbeitung von neuen Mitarbeitern eine Reduktion der Leistungsfähigkeit ein-hergehen (Kronen 1994, 67; Wagner 2003, 99). Das Schadensausmaß derartiger Wissensverluste ist dann besonders gravierend, wenn die Kooperation als Substitut jegliche Eigenentwicklung von Wissen angesehen wird (Lei 1993, 37; Schwamborn 1994, 241). Neben einer geplanten und be-wussten Beendigung der Zusammenarbeit kann auch ein unerwarteter Rückzug des Partners erfol-gen, der außerhalb des Einflussbereiches des Unternehmens liegt.

Systeme: Wissensverluste, die der Ursachenkategorie Systeme zugeordnet werden, betreffen die In-formationstechnologie des Unternehmens. Dabei werden nachfolgend insbesondere Risiken erörtert, die sich aus Versagen der Hardware, Fehlern der Software oder der Fehlkonfiguration der Systeme ergeben.

technisches Versagen / Fehlfunktionen (VS1): Wissensverluste können sich daraus ergeben, dass z.B. Systeme oder Speicherkomponenten aufgrund technischen Versagens nicht mehr nutzbar sind bzw. die gesicherten Inhalte nicht wieder rekonstruiert werden können (BSI 2006, 306). Auch temporäre Systemabstürze können den Verlust von dokumentiertem Wissen zur Folge haben. Die-se können beispielsweiDie-se auch die Folge von Stromausfällen Die-sein. Analoges gilt für Fehler der Anwendungssoftware, die z.B. zur Folge haben können, dass bestimmte Operationen nicht ausge-führt werden (Hadden, Hermanson 2003, 36; Knaese 2004, 39; BSI 2006, 590ff).

mangelnde Wiederherstellbarkeit (VS2): Wissensrisiken im Hinblick auf Wissensverluste kön-nen sich daraus ergeben, dass die Maßnahmen zur Datensicherung unzureichend sind, da so die durch verschiedene Ereignisse, wie z.B. Löschung, IT-Sicherheitsvorfälle oder technisches

Versa-153 Für weitere Details zu Zugriffsrechten siehe Abschnitt (siehe hierzu Kapitel 4) oder die Risikodiskussion in Abschnitt 5.4, da die Zugriffsrechtevergabe primär Risiken im Kontext der Wissensdiffusion betreffen.

gen, bedingten Datenverluste nicht oder nur bedingt wieder herstellbar sind (Knaese 2004, 40;

BSI 2006, 65ff). Neben den organisatorischen Verpflichtungen und der Einbindung der Mitarbei-ter, die Gegenstand verschiedener organisatorischer Richtlinien sein können, ist aus der Perspekti-ve der IT-Systeme die einwandfreie technische Umsetzung und die ZuPerspekti-verlässigkeit bedeutend.

Dies schließt zudem eine Planung der Speicherkapazitäten ein, da bei erschöpften Speichermedien Datenverluste auftreten können. Ebenso Gegenstand ist eine entsprechende Lagerung von Backup-Medien, da durch die Verkettung mehrerer Risikoereignisse eine Rücksicherung über diese Me-dien erforderlich sein kann (Kruth 2004, 151; BSI 2006, 65ff, 609).

externe Faktoren:Neben internen Ursachen der Kategorien Personen, Prozesse und Systeme können Wissensverluste auch auf externe Faktoren zurückgeführt werden. Nachfolgend werden die dieser Kategorie zugeordneten Wissensrisiken erläutert.

Abwerbung (VE1): Neben der Eigenmotivation der Mitarbeiter oder Maßnahmen seitens des Un-ternehmens kann die Interfluktuation auch extern durch andere Unternehmen im Allgemeinen so-wie Headhunter oder Konkurrenten im Speziellen verursacht werden, indem die Mitarbeiter ge-zielt abgeworben werden. Derartige Risiken betreffen insbesondere hoch qualifizierte Mitarbeiter, die Schlüsselpositionen im Unternehmen einnehmen bzw. über strategisch wertvolle Kompeten-zen verfügen (Sabathil 1977, 15ff; Maier 1992, 43f; Staudt 1992, 126; Liman 1999, 240). Das Be-kleiden von Schlüsselpositionen bzw. das Halten entsprechender Kompetenzen erhöht in diesem Fall das Schadensausmaß. Die Abwerbung durch Headhunter oder sonstige Dritte kann auch da-durch begünstigt werden, dass diese Kenntnis über betriebliche Expertiseverzeichnisse erlangen (Probst et al. 2006, 71). Dieses Risiko ergibt sich dabei durch die aus dem WM resultierende er-höhte Transparenz.

Personalausfall (VE2): Neben dem Ruhestand ergeben sich Risiken in Bezug auf Wissensverlus-te daraus, dass MitarbeiWissensverlus-ter dem UnWissensverlus-ternehmen für einen bestimmWissensverlus-ten Zeitraum nicht zur Verfügung stehen. Dabei stellen einerseits Krankheiten¹⁵⁴ einen Grund für einen temporären bzw. längerfris-tigen Personalausfall dar. Zum anderen kann Berufsunfähigkeit des Mitarbeiters, die eventuell als Folge einer Krankheit auftreten kann, zu einem permanenten Personalausfall und zugleich einem Ausscheiden des Mitarbeiters aus dem Arbeitsmarkt führen. Analoges gilt für den Tod von Mitar-beitern (Sabathil 1977, 14f; Kiechle 2001, 19; Knaese 2004, 42f). Die Eintrittswahrscheinlichkeit derartiger langfristiger bzw. permanenter Wissensverluste ist schwer zu prognostizieren, da die bedingenden Ereignisse vielfach kurzfristig auftreten, weshalb zumeist nur eine reaktive Steue-rung dieser Risiken möglich ist.

154 Es wird in diesem Kontext keine Unterscheidung vorgenommen, ob die Krankheit auf ein Handeln bzw. Verschulden des Mitarbeiters zurückzuführen ist oder nicht, sondern eine generelle Ursachenzuordnung zu externen Faktoren unter-stellt.

Diebstahl (VE3): Eine weitere Ursache für Wissensverluste stellt der Diebstahl von physisch oder elektronisch dokumentiertem Wissen dar. Derartige Verluste können im Zuge von Einbrüchen in Unternehmensgebäude und der entsprechenden Entwendung der Hardware, Datenträger oder phy-sischen Dokumente erfolgen. Besonders bedroht sind in diesem Kontext auch mobile Endgeräte wie Notebooks oder PDAs oder mobile Datenspeicher (z.B. USB-Sticks¹⁵⁵), die ebenso sensitive Inhalte enthalten können (Liman 1999, 238f; Desouza, Awazu 2004, 6; Freeman 2004, 6; BSI 2006, 648). Im Falle des Diebstahls von Notebooks, der jährlich ca. 6% aller Notebooks betrifft (Pohlmann 2006, 31), gehen vielfach die Arbeitsfortschritte ab der letzten Synchronisation bzw.

der letzten wieder herstellbaren Datensicherung verloren. Wissensverluste können sich neben ei-nem Diebstahl auch daraus ergeben, dass Dritte, die sich Zutritt verschafft haben, oder Mitarbei-ter, die im Auftrag eines Dritten handeln IT-Systeme sabotieren, dokumentiertes Wissen löschen bzw. zerstören (BSI 2006, 779). Dabei schließt Diebstahl in diesem Kontext auch die unautorisier-te Aneignung liegengelassener bzw. gefundener Objekunautorisier-te mit ein.

Angriff auf IT-Systeme (VE4): Wissensverluste in Bezug auf elektronisch dokumentiertes Wis-sen können auch die Folge von externen Angriffen auf die IT-Systeme des Unternehmens sein.

Dabei kann eine Vielzahl an Angriffen, wie z.B. Denial of Service Attacken oder die Einschleu-sung von Viren oder Würmern, herangezogen werden, die zur Folge haben können, dass in IT-Systemen dokumentiertes Wissen aufgrund von Nichtnutzbarkeit oder Löschung verloren geht (Noufal 2003, 144; Knaese 2004, 39; Kruth 2004, 163).

höhere Gewalt (VE5): Neben gezielten externen Angriffen oder technischem Versagen von Sys-temen können Wissensverluste auch auf höhere Gewalt, wie z.B. Feuer-, Sturm-, Wasser- oder Blitzschäden, zurückgeführt werden (BSI 2006, 304ff). Eine entsprechende Prognose der Ein-trittswahrscheinlichkeit derartiger Risiken ist durch die externe Bedingung schwer möglich¹⁵⁶. Nach der Betrachtung der Einzelrisiken werden im nachfolgenden Abschnitt die Interaktionen zwi-schen den Einzelrisiken analysiert.

155 Nach einer aktuellen Studie zum Thema Informationsrisiken, die mit 715 IT-Managern aus Europa und dem mittleren Osten durchgeführt wurde, sehen 68% der befragten IT-Manager im Einsatz von USB Sticks zunehmend ein Risiko in Bezug auf den Verlust vertraulicher Inhalte oder deren Diffusion (Collins, Vile 2007, 3).

156 Rückversicherer ermitteln allerdings die Eintrittswahrscheinlichkeit derartiger Schäden auf der Basis historischer Schadensdatenbanken und der regionalen Lage des Versicherten.