An einem der ersten sonnigen Frühlingstage trafen sich Interessierte aus Wirtschaft, Universitäten und öffentlichen Dienst in den historischen Räumlichkeiten des Apothekertraktes im Schloss Schönbrunn ein.
Die Regionalkonferenz 2017 der Risk Management Association befasste sich mit den Auswirkungen der geopolitischen und technologischen Veränderungen auf das gesellschaftliche und wirtschaftliche Leben und stand deshalb unter den Motto ‚Risk Management in Progress – ohne die Chancen der Zukunft zu verpassen‘. Diese Veränderungen erzeugen Unsicherheit, weil sie auch mit hoher Geschwindigkeit, Volatilität und Komplexität in Erscheinung treten.
In seiner Keynote gab Univ.-Prof. Dr. Gottfried Haber von der Donau-Universität Krems einen Überblick über aktuelle weltweite Krisen und Risikofaktoren. Manche Risiken werden ihm zufolge unterschätzt. Beispielsweise ticke in Griechenland eine ökonomische Zeitbombe. Der Brexit verursacht in den nächsten zwei Jahren große wirtschaftliche Unsicherheit, mit noch ungeahnten Auswirkungen auf Märkte und Preise. Ob politische oder wirtschaftliche Konflikte, ob Terrorismus oder Cyberkriminalität, in einer globalisierten Welt haben wir es tatsächlich mit schwer kalkulierbaren Unsicherheiten zu tun. Um diese zu erfassen, werden sich die Tools und die Herangehensweise im Risikomanagement weiterentwickeln müssen. Das Risikomanagement müsste auch verstärkt Klumpenrisiken berücksichtigen. Ob in der Ökonomie, Finanzwelt, Gesundheitswesen oder anderen Themenbereichen, die Korrelation der einzelnen beeinflussenden Faktoren untereinander wurde im Risikomanagement der vergangenen Jahre vernachlässigt. Als alles überschattend sieht Haber, Leiter des Departments für Wirtschaft und Gesundheit, die industrielle Revolution durch die Digitalisierung an.
Sind unsere Geschäftsmodelle noch fit für aktuelle Cyberbedrohungen?
Diese Frage stellte Dr. Thomas Stubbings, Information Security Consulter, Vorstandsmitglied der European Cybersecurity Organisation (ESCO) und Vorsitzender der Cybersecurity Plattform der österreichischen Bundesregierung und warnt davor, dass der starke Ausbau der IT-Vernetzung derzeit besonders hohe Risken hervorruft. Es werden Unmengen an Devices verwendet, aber zu wenig Ressourcen eingesetzt, um diese zu schützen. Das eröffnet der Cyberkriminalität ungeahnte Möglichkeiten. Ransomware, Denial of Service (DoS) und digitale Erpressung sind die gängigsten Methoden. Mittlerweile würden rund 80 Prozent der Attacken durch die organisierte Kriminalität in einem arbeitsteiligen, hochprofessionellen Vorgehen verübt. Betroffen sind nicht nur große Unternehmen und Organisationen, sondern in zunehmenden Maße auch KMUs. Erster und wichtigster Schritt sei ein Basisschutz: „Fix the basics, das kann jedes KMU machen“, so Stubbings. Im Zuge des Risikomanagements gelte es dann zu überlegen, was die „Kronjuwelen“ sind – seien es vertrauliche Kundendaten oder die Vermeidung von Produktionsausfällen – um diese Bereiche besonders abzusichern.
Kritische Ressourcen in der Supply Chain
Um kontinuierliche Wertschöpfungsketten zu gewährleisten, müssen die erforderlichen Ressourcen jederzeit zur Verfügung stehen. Nicht zuletzt möchte jedes Unternehmen ein geplantes Ergebnis erzielen und seine Kunden zufriedenstellen. Die Komplexität der Wertschöpfungsketten hat sich in den letzten Jahren durch die stark arbeitsteiligen und globalisierten Prozesse dramatisch erhöht. Gerald Netal, Geschäftsführer der RiskExperts weist darauf hin, dass weitere Risikotreiber in der Reduktion von Personalressourcen und Working Capital, sowie im intensiven Einsatz von Informationstechnologie liegt. Starker Kostendruck lässt keine Reserven (z. B. Pufferlager) zu und der zunehmende Einsatz von Informationstechnologie erhöht die Verwundbarkeit der Lieferketten. Neben Feuer und Naturkatastrophen werden Lieferantenausfälle und Cyber-Vorfälle als die häufigsten Ursachen für Betriebsunterbrechung mit den gravierendsten Auswirkungen angesehen. Der Abschluss einer Betriebsunterbrechungsversicherung verleiht zwar Sicherheit, der Reputationsschaden, die Wiederbeschaffungsdauer, der Wiederanlauf und Folgeschäden werden unterschätzt. Netal berichtet, dass ihren Erfahrungen nach 4 von 10 KMUs im Katastrophenfall ein Jahr nach der Wiederaufnahme des Betriebes insolvent sind oder geänderte Eigentumsverhältnisse haben. Deshalb ist ein präventives Business Continuity Management unabdingbar, in dem die potenziellen Bedrohungen und die kritischen Geschäftsprozesse identifiziert werden und unter einer Kosten-Nutzen-Betrachtung Maßnahmen gesetzt werden. Mit einzubeziehen ist ein Notfall- und Krisenmanagement.
Digitale Transformation – mögliche Nebenwirkungen auf die industrielle Automation
Herbert Dirnberger, Automatisierungs- und Systemtechniker, sowie Mitglied der Cyber Security Austria zeigte Anhand einiger Beispiele sehr anschaulich den technischen Fortschritt und die rasante Entwicklung der Digitalisierung bis hin zur Industrie 4.0 mit den Auswirkungen auf Wirtschaft und Gesellschaft. Stand am Anfang das Produkt im Vordergrund, die in der Folge um Dienstleistungen bereichert wurden, stehen heute Daten, Informationen, Kooperationen und Services als eigene ‚Produkte‘ im Vordergrund. Als mögliche Nebenwirkungen werden u.a. gesehen die Ungewissheit der nächsten Technologiestufen, die Fragilität der Systeme, fehlende Resilienz, nicht beherrschbare Komplexität, menschliche Fehler, vergessene Sicherheit, Lock In Effekte und deren Abhängigkeit.
Gefahren für kritische Infrastrukturen – Vorbereitung auf ein Blackout
Herbert Saurugg, hat sich als ehemaliger Berufsoffizier zum Experten für die Vorbereitung auf den Ausfall lebensnotwendiger Infrastrukturen entwickelt. Er stellt die Frage, ob die Wirtschaft (Unternehmen) und die Gesellschaft (Privatpersonen, Familien) auf ein Blackout, nämlich auf einen plötzlichen, überregionalen und länger andauernden Strom- und Infrastrukturausfall vorbereitet wären. Damit ist nicht ein gewöhnlicher, kurzzeitiger Stromausfall gemeint, sondern ein solcher von mehr als 12 Stunden. Mit der Folge, dass andere Infrastrukturen (Telekommunikation, Logistik, Transport- und Verkehrswesen, Nahversorgung, Wasserver- und Entsorgung, Gesundheitswesen u.v.m.) sukzessive zusammenbrechen. Die öffentliche Wahrnehmung dieser Gefahr wird als gering bis unwahrscheinlich eingestuft, weil bis dato vor allem in Mitteleuropa ein solches Ereignis noch nicht eintraf. Dies ist ein trügerisches Sicherheitsdenken, denn ein Blackout wird durch eine Verkettung von an und für sich beherrschbaren Einzelereignissen ausgelöst. Auslöser einer solchen Kettenreaktion kann eine Extremwettersituation, ein Erdbeben, Sonnenstürme, ein Terroranschlag oder ein Cyber-Angriff sein. Aber auch technischen Gebrechen, menschliches Versagen und vor allem das zeitliche Auseinanderfallen von unterschiedlich hohen Energiebedarf und Energieeinspeisung in die Netze, wie dies bei erneuerbarer Energie (Wind, Photovoltaik, Biomasse etc.) auftritt, können die Verursacher eines Blackouts sein. Wir sind daher alle aufgefordert, das Szenario eines Blackouts in unser Risiko-, Krisen-, Notfalls- und Business Continuity Management einzubeziehen.
Ausfall, Haftung und Schadenersatz: Unternehmerische Risiken durch Cyber Crime
Schließlich zeigte Frau Christiane Flögl, Risiko- und Versicherungstechnikerin der GrECo JLT International, Möglichkeiten der Versicherung von Cyber Crime als möglichen ‚Airbag‘ auf. Anhand von einigen Cyber Crime Vorfällen, zeigt sie das Potential an Eigen- und Drittschäden auf. Selbst bei bestem Risikomanagement verbleibt ein Restrisiko. Durch Abschluss einer Cyber-Versicherung kann man auch dieses Risiko transferieren. Wichtig ist in jedem Fall das Bewusstmachen des Cyber Crime Risikos, das Verhalten der handelnden Personen und das Setzen von Präventivmaßnahmen. Das Herausfinden der Schützens würdigen ‚Kronjuwelen‘ und die Abgrenzung zu anderen Versicherungsparten bedarf jedoch profunder Beratung.
Weltweite legal Compliance von Betriebsanlagen
Die Unternehmensleitung ist verantwortlich für die Einhaltung von Gesetzen, Verordnungen und Behördenauflagen. Die große Anzahl an Gesetzgebungen und die laufenden Änderungen stellt Unternehmen vor eine kaum zu bewältigende Aufgabe. Die verschiedenen ISO-Normen in den entsprechenden Managementsystemen sehen vor, für jede Betriebsanlage im In- und Ausland die relevanten, landesspezifischen Rechtsnormen herauszufinden und in den Prozess einzubinden. Dr. Gutwinski zeigte an Hand eines Tools, wie diesen umfangreichen Betreiberpflichten nachgekommen werden kann. Somit können nicht nur strafrechtliche Konsequenzen vermieden werden, sondern auch Risiken, die die Versorgungssicherheit, Betriebsbereitschaft und Arbeitssicherheit gefährden könnten.
Für Teilnehmer der Konferenz stehen ausgewählte Präsentationen (Passwort notwendig) zum Download auf dieser Website bereit.
Partner der Regionalkonferenz
Herbert Dirnberger
ist über 20 Jahre für ein internationales Unternehmen in Niederösterreich tätig und verantwortlich für industrielle IT und technische Informationssysteme. Er ist Absolvent der Studiengänge Mechatronik/Wirtschaft (FH Oberösterreich) und Wirtschaftsinformatik (FernFH Wien) und unterstützt ehrenamtlich den gemeinnützigen und unabhängigen Verein Cyber Security Austria. Durch seine zahlreichen Fachpublikationen und -vorträge verfolgt er vor allem das Ziel Bewusstsein und Verständnis für Sicherheit in der industriellen Automatisierung und kritischer Infrastruktur speziell für Betreiber zu schaffen.
Mag. Christiane Floegl
ist Spezialistin für Cyber und Financial Lines bei der GrECo International AG.
Nach Abschluss des Studiums der Rechtswissenschaften an der Universität Wien war sie zuerst in der Rechts- und Versicherungsabteilung eines internationalen Speditions- unternehmen und seit 9 Jahren bei internationalen Versicherungsmaklern mit Fokus auf Haftpflichtsparten tätig.
Univ.-Prof. MMag. Dr. Gottfried Haber
ist Universitätsprofessor an der Donau-Universität Krems und verantwortlich für die Fachbereiche „Management im Gesundheitswesen“ sowie „Wirtschafts- und Finanzpolitik“. Studium der Volkswirtschaft und der Betriebswirtschaft. Langjährige Tätigkeiten in den Bereichen Wirtschaftspolitik, Volkswirtschaft, Regionalwirtschaft, Kreditwirtschaft, Bankwesen und Finanzmärkte sowie Gesundheitsökonomie und Management im Gesundheitswesen an und in Zusammenarbeit mit verschiedenen Institutionen (u.a. Pädagogische Akademie des Bundes, Wirtschaftsuniversität Wien, UNIDO, Regierung der Republik Slowenien, Bundeskanzleramt, Finanzministerium, Wirtschaftsministerium, Innenministerium, EU, Weltbank, Ludwig Boltzmann Institut, OeNB, Wirtschaftskammer). 2004-2013 Präsident von METIS Institut für ökonomische und politische Forschung. Initiator und Präsident des Forum Velden. Mitglied in verschiedenen Aufsichtsräten (HYPO NOE Gruppe Bank, HYPO NOE Landesbank, EBG Medaustron GmbH; frühere Mandate in Entwicklungsagentur Kärnten, Kärntner Tourismusholding sowie Kärntner Krankenanstaltenbetriebsgesellschaft KABEG). 2009-2015 Vorsitzender des Wirtschaftspolitischen Beirates des Landes Kärnten. Seit 2014 Mitglied des Entwicklungspolitischen Beirates. Seit 2013 Mitglied des Generalrates der OeNB und Vizepräsident des Fiskalrates. Seit 2016 Mitglied des Vorstandes von Transparency International Austrian Chapter (TI-AC).
Ing. Mag. Gerald Netal, MBA
ist Geschäftsführer der Risk Experts Risiko Engineering GMBH. Als Betriebswirt mit technischen Background (Maschinenbau) hat er seine Expertise im Enterprise Risk Management entwickelt. Er hält zahlreiche Vorträge und ist Seminarleiter von Risk-Management Ausbildungsprogrammen. Im Consulting beschäftigen sich die Risk Experts vorwiegend im deutschsprachigen Raum und CEE mit Risiko- und Schadenmanagement, erbringen Sachverständigenleistungen und tätigen Wertermittlungen.
Herbert Saurugg, MSc
ist Experte für die Vorbereitung auf den Ausfall lebenswichtiger Infrastrukturen. Er war 15 Jahre Berufsoffizier des Österreichischen Bundesheeres, zuletzt im Bereich IKT-/Cyber-Sicherheit. Seit 2012 beschäftigt er sich mit den möglichen Folgen der steigenden Vernetzung und Komplexität, insbesondere mit den Themen "Schutz VOR Kritischen Infrastrukturen ("Resilienz"), das europäische Stromversorgungssystem bzw. ein europaweiter Strom- und Infrastrukturausfall ("Blackout")". Er betreibt dazu einen umfangreichen Fachblog (www.saurugg.net).
Dr. Thomas Stubbings
Geschäftsführer TS Management Consulting. Er ist seit über 15 Jahren im Security Bereich tätig, war 12 Jahre lang Chief Security Officer der RZB Gruppe und der Raiffeisen Bank International und ist seit zwei Jahren als Geschäftsführer von TS Management Consulting selbständig im Bereich Cybersecurity Beratung tätig mit Fokus auf Strategie, Governance und Risikomanagement. Darüber hinaus ist er Vorsitzender der Cybersecurity Plattform der österreichischen Bundesregierung und in verschiedenen nationalen und europäischen Gremien engagiert.