====== Risikobehandlung ======

===== Kurz & Knapp =====

Die Risikobehandlung zeigt Strategien auf, wie mit Risiken, bzw. Gefährdungen umgegangen werden kann.

<WRAP team>
2-4 Personen
</WRAP>

<WRAP time>
mind. 1-2h
</WRAP>

<WRAP tool>
Plakat/Whiteboard oder Tools wie Excel
</WRAP>

===== Vorgehensweise =====

Zum Umgang mit Risiken können grundlegend vier verschiedene Möglichkeiten unterschieden werden. Prüfen Sie die aufgelisteten Optionen in folgender Reihenfolge für jedes Risiko, bzw. für jede Gefährdung:
  - **Risikovermeidung** \\ Es erfolgt eine Umstrukturierung des Projekts in dem Maße, dass ein Risiko nicht mehr wirksam werden kann. Solch ein Vorgehen ist empfehlenswert, wenn Gegenmaßnahmen realisiert werden können, der Aufwand aber zu hoch ist und/oder wenn das Risiko generell nicht akzeptiert werden kann.
  - **Risikoreduktion** \\ Durch zusätzliche Maßnahmen wie eine umfangreiche Überwachung oder andere Sicherheitsvorkehrungen kann das Ausmaß, aber auch die Eintrittswahrscheinlichkeit eines Risiko reduziert werden.
  - **Risikotransfer** \\ Im Rahmen des Risikotransfers werden Risiken verlagert und nicht mehr selbst getragen. Das kann z.B. durch Versicherungen, Auslagerungen an Dienstleister oder ähnliche Vorgehen realisiert werden.
  - **Risikoakzeptanz** \\ Sollte der Aufwand für Gegenmaßnahmen zu groß sein, sollten keine Gegenmaßnahmen bekannt sein, sollten Risiken nur unter sehr speziellen Bedingungen eintreten oder nur zu einer begrenzten Auswirkung führen, kann ein Risiko auch akzeptiert werden.

===== Tipps & Tricks =====

  * Entworfene Maßnahmen oder andere Vorgehen sollten bestenfalls in einem Maßnahmenplan festgehalten werden. Dieser enthält zusätzliche Informationen wie bspw. Verantwortlichkeiten, Terminierungen und ein Fortschrittstracking.
  * Für ein spezifisches Risiko können mehrere Maßnahmen ergriffen werden.


===== Beispiel =====

Die in der [[wissen:methode:risikomatrix|Risikomatrix]] identifizierten und bewerteten Risiken werden nachfolgend auf Strategien zur Risikobehandlung untersucht. Entsprechend ihrer Priorisierung sind sie von der größten hin zur geringsten Risikoauswirkung sortiert:

^ Risiko ^ Risikovermeidung ^ Risikoreduktion ^ Risikotransfer ^ Risikoakzeptanz ^
| **Individuelle Trainingspläne können nicht automatisiert erstellt werden** | |-frühzeitig im Proof of Concept prüfen | | |
| **Daten können nicht beschafft werden** | |-frühzeitig im Proof of Concept prüfen | | |
| **Datenschutz- und -sicherheitsprobleme** | |  | -Versicherungen abschließen | |
| **Zu lange Nutzungszeit (Datengenerierung), \\ bis ein Trainingsplan erstellt werden kann** | | -in Nutzertests prüfen | | |
| **Nutzer wollen keine individuellen Trainingspläne** | |-in Nutzertests prüfen | | |
| **Fitnessstudios kaufen Geräte nicht mehr (ggf. Konkurrenz)** | |-frühzeitig Kundenbefragungen starten | | |
| **Bessere Konkurrenzprodukte kommen auf den Markt** | | | |-Risiko wird getragen |
|**Generierte Trainingspläne sind uneffektiv** | | -anhand des Initialmodells oder dessen Iterationen testen | | |
|**...** | | | | |

===== Quellen =====

  * [[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_7_Risikoanalyse/Lektion_7_09/Lektion_7_09_node.html|Risikobehandlung]] \\ BSI (o.J.)
  * [[https://asana.com/de/resources/action-plan|Maßnahmenplanung]] \\ Asana, Alicia Raeburn (2023)