„Et hätt noch immer joot jejange“ (Es ist noch immer gut gegangen) ist kein wirklich gutes Motto für ein professionelles Risikomanagement. (Bildquelle: RMA)
„Katalysator-Diebe in Köln werden immer dreister – Was macht die Beute so begehrt?“ So titelt es der Kölner Stadtanzeiger in einem Beitrag vom 9. Mai 2023. Laut der Tageszeitung hätten sich die Zahlen von Katalysator-Diebstählen binnen eines Jahres verdreifacht. Was schlecht ist für die Autobesitzer, dürfte die Automobilhersteller weniger tangieren. Letztere müssen sich vielmehr mit den Herausforderungen im großen Maßstab auseinandersetzen. Und dabei hilft auch kein „Kölsches Grundgesetz“ der Marke: „Et hätt noch immer joot jejange“ (Es ist noch immer gut gegangen). Denn wie bereits in der Nachlese zum ersten Tag des Risk Management Congress (RMC) 2023 festgestellt, ist es mit einer entspannteren Grundhaltung im unternehmerischen Umfeld nicht getan. Es braucht Maß, Plan und Ziel im Risikomanagement, um die großen Themen zu stemmen – nicht nur in der Automobilbranche, wie Tag zwei der Nachlese zum RMC 2023 unterstreicht.
Florian Worm, Risikomanager bei Porsche, skizzierte zur Eröffnung den Risikomanagementprozess beim schwäbischen Autobauer. Sein Vortrag zur quantitativen Risikoanalyse am Beispiel der Statistik Software R verdeutlichte, dass die Einführung neuer Analysemöglichkeiten im Risikomanagement zunächst auf Widerstände innerhalb der Organisation stießen. Eine Antwort des Managements lautete anfänglich: „Wir bilden hier keine Professoren aus“, so Worm. Das heißt, es bestanden zu Beginn Vorbehalte gegenüber neuen Simulationsmethoden. Am Beispiel der frei verfügbaren Software R verdeutlichte er die Simulationsmöglichkeiten von Risiken. Ein wichtiges Element, denn ein Unternehmen mit rund 40.000 Mitarbeitern und einem Umsatz von 37,6 Milliarden Euro im Jahr 2022 braucht klare Antworten auf mögliche Risiken. Und dabei spielen Simulationen und Aggregationen von Risiken eine Schlüsselrolle. Eine Kernfrage lautet nach Worm: „Wie hoch ist die Risikotragfähigkeit?“ Grundsätzlich werden Risiken in einer Datenbank erfasst. Worm umschreibt diese Datenbank als das Herzstück bei Porsche.
Zu den Risikoabfragen konzentriert sich das Risikomanagement auf die Relevanz des Risikos für die Gesamtorganisation. „Wir haben zahlreiche Risiken und wollen uns nur auf die wesentlichen Risiken konzentrieren“, so Worm. Und dabei helfen analytische Methoden des Risikomanagements zur Entscheidungsfindung. Beispielsweise werden die Lieferketten bei Porsche automatisiert im Hintergrund überwacht.
Florian Worm, Risikomanager bei Porsche, und seine Ausführungen zu Simulationsmethoden. (Bildquelle: RMA)
Mit Blick auf neue Analysemethoden bringt es Worm auf den folgenden Punkt: „Wir nutzen Predictive Analytics, um die Zukunft von Porsche zu simulieren und stützen uns dabei auf die Expertise der Fachbereiche.“ Hinsichtlich möglicher Risiken ist die Cybersicherheit ein Thema, dem sich auch Automobilhersteller stellen müssen. Dementsprechend werden beispielsweise Cyberangriffe im Chancen- und Risikobericht von Porsche genannt. Hierzu heißt es: „Es bestehen Ausfallrisiken aufgrund von höherer Gewalt oder anderen unvorhergesehenen Ereignissen (z. B. Pandemie, Brand, Hochwasser, Cyber-Angriff).“
Von Cyberrisiken über die Top-11-Risiken …
Dass diese Risikoeinschätzung vernünftig und nachvollziehbar ist, das unterstreichen die Zahlen zu möglichen Cybergefahren. „Der Schaden durch Cyberkriminalität in Deutschland wird im Jahr 2022 auf über 200 Milliarden Euro geschätzt. Tendenz steigend“, untermauert Dennis Müllerschön von der Managementberatung Horváth die konkreten Risiken im Cyberumfeld. In seinen Ausführungen zu: „Cyber Risken bedrohen Unternehmen –Informationssicherheit wird zum Game Changer“ sieht er Unternehmen grundsätzlich bedroht, wenn er sagt: „Es ist nicht die Frage, ob, sondern wann ein Cyberangriff stattfindet.“ Hierzu passt die Aussage Müllerschöns, wonach die Anzahl an Cyberangriffen auf Unternehmen im Jahr 2022 um 38 Prozent gestiegen seien. Doch damit nicht genug, denn Unternehmen werden teils mehrfach im Jahr angegriffen. Zu den Arten der Angriffe nennt der Horváth-Manager vor allem das E-Mail-Phishing mit 45 Prozent, gefolgt von Remote-Angriffen auf Server mit 21 Prozent. Die Folgen von Cyberangriffen seien nach Müllerschön schwerwiegend, was einen systematischen Managementansatz erfordere.
In diesem Kontext nennt er das Informationssicherheitsmanagement (ISMS) als einen risikobasierten, ganzheitlichen und proaktiven Weg. Hierzu gehören unter anderem die Behandlung von Cyberrisiken als Geschäftsrisiken sowie eine Transparenz über die Bedrohungslage, inklusive eines systematischen Umgangs mit Schwachstellen.
Dennis Müllerschön von der Managementberatung Horváth zu den Cybergefahren. (Bildquelle: RMA)
Hilfestellungen zum Thema Informationssicherheit bietet die RMA mit ihrem Arbeitskreis (AK) zum Information Risk Management, kurz IRM. Stoßrichtung des AK sind Praktiker im Umfeld des Information Risk Managements. Dabei stehen Fragen im Mittelpunkt, wie Informationsrisiken identifiziert werden können oder welche proaktiven und reaktiven Maßnahmen im ISMS-Bereich ergriffen werden können. Laut Arbeitskreisleiterin Ines Heese müsse sich ein professionelles IT-Risikomanagement durch die Organisation in Gänze ziehen. Denn IT berühre ihrer Meinung nach alle Bereiche des Unternehmens und könne so auch alle anderen Kategorien von Risiken berühren. Mit Verweis auf den Allianz Risk Barometer 2023 zählen Cybervorfälle und Betriebsunterbrechungen im zweiten Jahr in Folge als die größten Geschäftsrisiken weltweit. Das deckt sich mit den Aussagen von Dennis Müllerschöns Vortrag und zeigt im Umkehrschluss, dass ein umfassendes Informationssicherheitsmanagement de facto überlebenswichtig ist für Unternehmen. Heese, die neben ihrer Arbeitskreistätigkeit hauptberuflich Head of IT Audit bei der Hubert Burda Media Holding KG ist, stellte im weiteren Verlauf ihres Vortrags die Top 11-IT-Risiken vor. „Informationen aus der Arbeitskreis-Arbeit und aus der Praxis“, wie sie es umschreibt. Zur Erhebung der Top-11-Risiken setzte der IRM-Arbeitskreis auf das CIS Control (Center for Internet Security) Framework. Die Erhebungsergebnisse zeigen, dass die Risiken von den Bereichen der Hardware und Software über das Berechtigungsmanagement, der Datensicherung bis zur Awareness und sonstigen IT-Risiken reichen. Letzter Punkt meint, dass es kein ausreichender Schutz der Vertraulichkeit und Integrität für sensible Daten besteht. Hinsichtlich der Awareness sieht AK-Leiterin Heese den „Mensch als Sicherheitsfaktor“.
Top-11-Risiken, vorgestellt von Ines Heese: IRM-Arbeitskreisleiterin der RMA. (Bildquelle: RMA)
Damit einhergeht eine unzureichende Sensibilisierung rund um das Thema Informationssicherheit. Die Auswirkungen können fatal enden und den Verlust sensibler Unternehmensinformationen bedeuten. Als Gegenmaßnahme sieht sie unter anderem Awareness-Schulungen sowie Simulationen bestimmter Fälle. Als finalen Schritt sieht Heese die Publikation eines praxisnahen IRM-Leitfadens.
… bis zum Risikolagebild und den Menschen
Das IRM ist auch im Hause Burda wichtig, reicht aber nicht aus. Hermann Huber, CISO, Hubert Burda Media Holding KG, sieht das Große und Ganze im Mittelpunkt. Das heißt: Lagebild. In seinem Vortrag hob er hervor, worauf ein Risk Manager unbedingt achten sollte. Dazu gehöre seiner Ansicht nach absolute Transparenz über die Gesamtorganisation. Huber nennt es die Wachsamkeit als den Preis der Freiheit. Diese Transparenz stellt das Unternehmen unter anderem mittels eines Cyber Defense Centers (CDC) als zentrale Überwachungsstelle über den gesamten IRM-Prozess sicher. Das heißt vom Asset Management über das Risikomanagement bis zur Risikobehandlung. Im Umkehrschluss heißt das nach Huber: „Ein Kernprozess als größte Schnittstelle.“ Der Burda-Manager beschreibt das CDC als „Herzstück“, das jederzeit die Übersicht bieten solle, die das Unternehmen brauche. Damit sind wir wieder beim Lagebild und einem Dauerblick darauf. „Es geht darum zu wissen, was passiert in meiner Organisation“, erklärt Huber und fügt hinzu: „Das CDC muss auch Warnen und Koordinieren.“ Das Ganze verstanden als dynamische Risikobewertung. Huber ist sich hinsichtlich des dynamischen Agierens sicher: „Wenn ich nicht sehr schnell auf eine Phishing-Attacke reagieren kann, dann kann ich einpacken.“ Darüber hinaus sieht Huber das Team als zentrale Instanz – vom Lead Auditor bis zum Forensiker. „Jeder im Team ist wichtig“, bringt er es auf den Punkt. Wen wundert es, dass das Team und die Kommunikation nach Hubers Worten wichtige Säulen im Gesamtprozess sind.
Mit diesem Bild, das den Menschen und die Kommunikation in den Mittelpunkt der ISMS-Betrachtungen und -Entscheidungen rückt, ist viel gewonnen. Sonst stehen Organisationen vor dem Risiko, die wichtigen IT-Security- und Risikomanagement-Funktionen rein Software-getrieben abzuwickeln. Niels von der Hude, Director Product Strategy, Beta Systems Software AG, vergleicht dieses Denken und Handeln mit einer Art Ablasshandel. Damit meint er, dass manch Unternehmenslenker denke, mithilfe einer Software seien alle Unwägbarkeiten in puncto IT-Sicherheit behoben. Ein Trugschluss, der sich nicht selten als Bumerang erweist, wie mehrfach in dieser Nachlese anhand von Zahlen und Fakten beschrieben. Und auch von der Hude hob in seinem Vortrag auf das Thema Cybersecurity ab. Unter dem Titel: „Identity & Access Management – Mehr als nur IT für das Risikomanagement“ fokussierte er sich auf die Innentäter. Seinen Worten folgend würden 70 Prozent aller Vorfälle durch Innentäter verursacht. Vor diesem Hintergrund brauche es ein klares Berechtigungsmanagement. Er nennt es das Need-to-Know-Prinzip und meint: „Mitarbeitende erhalten nur die Rechte, die sie für ihre Tätigkeiten brauchen.“ Hierbei können sogenannte Identity- und Access-Management-Systeme unterstützen. Apropos Unterstützen.
Bevor sich diese Nachlese des zweiten Konferenztages dem Ende zuneigt, sei zum Schluss explizit auf die Sponsoren hingewiesen. Ohne sie wäre eine solche Veranstaltung nur schwer umsetzbar. Von daher danke an die Firmen Antares, Belfor, Corporater, Crisam sowie Horváth, Lumivero und Schleupen. Und auch im Nachbericht zum zweiten Konferenztag wollen wir die übrigen Vorträge und Themen nicht vergessen. Hierzu zählte: „CxOs are not happy! - 5 ways to optimize your CxO communication“. Im Kern ging es darum, was Risiko- und Sicherheitsverantwortliche tun können, um die anhaltende Informationslücke hinsichtlich möglicher Cyberrisiken und Datenschutzbedenken zu verringern? Denn das Management braucht valide Daten zur Entscheidungsfindung. Mit der Risikotragfähigkeit beschäftigte sich der Arbeitskreis Risikoquantifizierung. Dabei gaben die Referenten unter anderem einen Überblick zum Prozessweg – von den zu quantifizierenden Risiken über die Aggregation bis zur Ermittlung der Risikotragfähigkeit. In eine ähnliche Richtung ging der Vortrag zu neuen Strategien für die Risikobewertung. Merke: Prüfe, ob die Annahmen die Charakteristika des Risikos widerspiegeln, verwende keine offensichtlich falschen Annahmen und mache stattdessen realistische Annahmen. Last, but not least ging es in einem abschließenden Vortrag um die Frage: Können Sie Zukunft? Warum es keine Zukunft ohne den richtigen Umgang mit Unsicherheit gibt. Die Vortragenden zeigten, wie mithilfe von „QScore“ der Weg in die Zukunft geebnet werden kann. Wichtig in diesem Zusammenhang: Mit der wissenschaftlich fundierten Maßgröße QScore stärken Anwender nicht nur die Zukunftsfähigkeit Ihres Unternehmens, sondern Sie promoten gleichzeitig auch ein professionelles Risikomanagement und einen adäquaten Umgang mit Unsicherheiten. Und damit wären wir wieder bei Maß, Plan und Ziel als wichtige Elemente im Gesamtrisikomanagementprozess – gerade in unsicheren Zeiten.
So endet die Nachlese des zweiten Tages zum RMC 2023 in Köln. Nächstes Jahr schreibt der RMC seine Erfolgsgeschichte weiter. Dann im hohen Norden. Genauer in Hamburg, mit neuen Themen aus der Welt des Risikomanagements. Somit bleibt jetzt nur ein: „Mach et jot“, wie der Kölner zu sagen pflegt und ein vorgezogenes hanseatisches „Moin“ zum 18. Risk Management Congress 2024.
Fotostrecke zum RMC 2023
Eine ausführliche Fotostrecke zum RMC 2023 in Köln finden Interessenten auf Flickr.
Ralf Kimpel, Vorstandsvorsitzender der RMA, im Rahmen des RMC 2023 in Köln. (Bildquelle: RMA)