Risikomanagement - Come in we're open
Ein Plädoyer für den Konjunktiv.

Risikomanagement – die Königsdisziplin im Glaskugellesen

Sie lassen doch sicher auch Ihre Wohnungstür aufgeschlossen, wenn Sie das Haus verlassen, oder etwa nicht? Ja, es könnte jemand Ungebetenes hereinkommen, Ihre privaten Unterlagen lesen oder Ihre wertvolle Uhr mitnehmen. Aber seien wir doch mal ehrlich, wie wahrscheinlich ist es denn, dass sich jemand unbefugten Zugang gerade zu Ihrer Wohnung verschafft und dann auch noch etwas mitnimmt, was Ihnen lieb und bedeutsam ist? Es könnte ja auch Ihren Nachbarn treffen. …und trotzdem fühlen Sie sich unsicher, wenn Sie beim Hinausgehen ihre Tür nicht abschließen und gehen lieber noch einmal zurück, um zu überprüfen, ob Sie diese auch wirklich abgeschlossen haben. Aber was wäre, wenn Sie nicht abschließen, jemand Fremdes sich bei Ihnen zu Hause Zutritt verschafft? Vielleicht würden Sie spontan denken, „hätte ich gewusst, dass wirklich jemand in meine Wohnung geht, wenn ich die Tür nicht abschließe, hätte ich sie verschlossen. Dann wäre das wahrscheinlich nicht passiert.“
Hätte, wäre, wenn… das ist ganz schön viel Konjunktiv und doch ist dieser unter bestimmten Umständen von besonderer Bedeutung. Unterbewusst wissen Sie genau, warum Sie ihre Tür abschließen. Sie möchte das schützen, was Ihnen lieb und bedeutsam ist und bei dem der Aufwand für den Schutz deutlich geringer ist als ein möglicher Schaden durch Verlust oder Zerstörung. Sie betreiben intuitiv ein modernes Risikomanagement für Ihre alltäglichen Risiken.

So alltäglich wie unser Leben ist auch unsere Arbeitswelt.

Wir treffen jeden Tag unzählige Entscheidungen, viele davon um zu vergleichen, mögliche Risiken abzuschätzen und sich dann für eine Möglichkeit zu entscheiden. Oft geschieht das ohne einen bewussten Aufwand. Da liegt die Vermutung nahe, dass sich mögliche Risiken nicht nur in unserem privaten Leben, sondern auch im unternehmerischen Kontext verstecken. Risiken, die sich nicht nur auf einen selbst, sondern auf Prozesse, Verfahren oder die Organisation im Gesamten auswirken können. Doch trotz der möglichen Risiken hat das Management eben dieser in einigen Unternehmen noch einen geringen Stellenwert.

Als Beraterin beschäftigt mich die Frage, warum das so ist. Warum die Geschäftsführung oft nicht bereit ist, die entsprechenden Ressourcen zur Verfügung zu stellen, warum sie Ausgaben scheut und zeitweilig so schwer von den positiven Auswirkungen eines angemessenen Risikomanagements zu überzeugen ist.

Die Geschäftsführung trägt eine hohe Verantwortung, in jedem Unternehmen. Neben den täglichen Aufgaben müssen Zukunftspläne erarbeitet, die Beschäftigten geführt, die Wettbewerber und der Markt beobachtet werden. Und dann ist da noch diese Informationssicherheit.

Die unaufhaltsame Digitalisierung vieler Wertschöpfungsprozesse führt zu einer immer größer werdenden Menge an verarbeiteten Informationen und Daten. Daten, die wichtig sind. Daten, die weniger wichtig sind. Daten, die gespeichert, in nachfolgenden Prozessen weiter verarbeitet werden, die sensibel oder nicht für die Öffentlichkeit bestimmt sind. Daten, die rund um die Uhr verfügbar sein müssen oder auf die wir auch mal einige Stunden oder sogar Tage verzichten können.

Doch genau diese Daten können gestohlen, veröffentlicht, manipuliert oder zur Erpressung, zu Wettbewerbsvorteilen oder ähnlichem genutzt werden. Es muss nicht passieren. Es muss nie etwas passieren und sollte etwas passieren, könnte es ja auch die anderen treffen.

Könnte. Da ist er wieder, der Konjunktiv. Doch Beispiele belegen, dass es häufiger anders kommt als man denkt.

  • April 2021: Das Medienhaus der Madsack Gruppe mit Sitz in Hannover wird angegriffen und es kommt zu massiven Einschränkungen in den Lokalteilen der Printmedien und des Online-Angebots.
  • Mai 2021: Cyberkriminelle greifen eine Kraftstoff-Pipeline in den USA an. Neben Datendiebstählen und der Datenverschlüsselung sorgte das für Hamsterkäufe und Tankstellen ohne Benzin. Es wurden fünf Millionen Dollar Lösegeld gezahlt.
  • Juli 2021: Die us-amerikanische IT-Firma Kaseya wird angegriffen. Die Kunden von Kaseya sind größtenteils IT-Dienstleister, die wiederum weitere Kunden betreuen. Ein Domino-Effekt tritt ein. Für die Entschlüsselung der Daten fordern die Erpresser 70 Millionen Dollar.
  • Im Juli 2021 wurde der erste Cyber-Katastrophenfall in Deutschland ausgelöst. Im Landkreis Anhalt-Bitterfeld wurde die Kreisverwaltung mit einer Schadsoftware attackiert. Die komplette Verwaltung ist für mehrere Tage arbeitsunfähig.
  • August 2021: Kriminelle verschlüsseln Daten und manipulieren IT-Systeme einer Maschinenfabrik im Landkreis Hameln-Pyrmont. Über 1000 Beschäftigte müssen bis zur Wiederherstellung der Arbeitsfähigkeit in Kurzarbeit.
  • August 2021: Erpressung des baden-württembergischen Sparkassenverbandes. Der Angriff und die Einschleusung einer Schadsoftware erfolgten per E-Mail.
  • September 2021: Angriff auf die Firma Olympus. Durch die BlackMatter Ransomware wurden Daten verschlüsselt und Lösegeld gefordert. Das betrifft auch die europäische Tochter von Olympus.

Das sind nur einige aktuelle Beispiele aus den letzten Monaten, deren Details Sie unter https://unternehmen-cybersicherheit.de/category/hackerangriff-aktuell/ nachlesen können.

Fällt Ihnen bei diesen Beispielen etwas auf? Cyberangriffe treffen nicht nur die großen Unternehmen. Vielleicht ist genau das der Moment, in dem Sie sich Gedanken über Ihr Informationssicherheits-Risikomanagement im Unternehmen machen sollten.

Erfolgreiches Risikomanagement – das ist Glaskugellesen der Königsklasse!

Die Gefahren sowie Schadensauswirkungen durch unerwartete Zwischenfälle werden oft unterschätzt und können zu hohen Kosten und/ oder Ausfällen von wichtigen (Geschäfts-)Prozessen führen. Dennoch gelingt es nur in wenigen Fällen, die Risiken genau zu quantifizieren, da nicht alle kritischen Prozesse sowie Abhängigkeiten untereinander und zur IT bekannt sind. In manchen Unternehmen wird versucht, Risiken nur unter finanziellen Gesichtspunkten zu betrachten. Abhängigkeiten werden oft nur sporadisch analysiert und Auswirkungen wie etwa Schäden durch den Verstoß von Gesetzen oder regulatorischen Anforderungen, negative Auswirkungen auf die Störung von Abläufen, die Gefahr für Leib und Leben oder gravierende Imageschäden nur punktuell oder gar nicht betrachtet.

Fakt ist, eine Beurteilung der Risiken lediglich unter Kostenaspekten ist weder zeitgemäß noch ausreichend. Dazu kommt, dass es ohne eine fundierte Grundlage und Bewertungsmaßstäbe nur bedingt möglich ist, angemessene Entscheidungen für die Bewertung von Risiken sowie deren Behandlung zu treffen.

Christin Döhring, Consultant

Warum Risikomanagement für Organisationen bedeutsam ist.

Ein reaktives Handeln zwingt Unternehmen oft zur schnellen Behandlung eines Problems, ohne die Ursache beheben zu können. Ein proaktives Handeln hingegen befähigt dazu, Ursachen und Probleme frühzeitig zu identifizieren und vor der Entstehung eines möglichen Schadens zu handeln und diesen in seiner Auswirkung zu begrenzen.

Für mich als Beraterin ist es nur schwer nachvollziehbar, warum dem aktiven Managen von möglichen Sicherheitsrisiken in einigen Unternehmen auch heute noch so wenig Aufmerksamkeit geschenkt wird.

Ich bin mir dessen bewusst, dass wir über Szenarien sprechen, die eintreten können, aber nicht müssen. Szenarien, die wenn sie eintreten, einen fundamentalen Schaden verursachen können, aber nicht müssen. Über Maßnahmen zur Behandlung von Risiken, deren Mitigation Zeit, Geld, Manpower und vielleicht auch Nerven kosten. Zeit, Geld und Manpower, die Unternehmer gerne an anderer Stelle investieren und ertragreich einsetzten wollen, um mögliche Wettbewerbsvorteile zu nutzen oder den Gewinn zu steigern. Das sind alles bekannte Überlegungen, wie man die wertvollen Ressourcen in einen maximalen Profit umwandeln könnte.  

Könnte. Da ist er wieder, der Konjunktiv. Aber wird das auch wirklich so eintreten?

Wer entscheidet das, was keiner entscheiden oder verantworten will?

Die meisten Unternehmen haben ihre Prozesse und Verfahren im Blick. Sie koordinieren, steuern und bewerten, ganz intuitiv. Die Geschäftsführung sollte wissen, worauf es ankommt, was Sie unbedingt brauchen, was keinesfalls in falsche Hände geraten darf und welche Schwachstellen es in Ihrem Unternehmen gibt, denn sie trägt die Gesamtverantwortung.

Ein Informationssicherheits-Risikomanagement kann dabei helfen, bereichsübergreifend für Transparenz zu sorgen und Risiken sichtbar zu machen. Es ist das moderne Glaskugellesen unserer Arbeitswelt, welches ausgehend von der „was wäre, wenn“-Betrachtung wertvolle Perspektiven aufzeigt, um möglichen Risiken angemessen entgegenzuwirken.

Die Entscheidung über die Einführung eines Informationssicherheits-Risikomanagement kann der Unternehmensführung niemand abnehmen. Was wir als Berater*in leisten können, ist mit Ihnen gemeinsam und möglichst objektiviert in die „Glaskugel“ zu schauen, um mit Hilfe von geeigneten und angemessenen Maßnahmen einen eventuellen Schaden zu verringern oder sogar zu verhindern. Einen Schaden, der durch ein potenzielles Risiko ausgelöst wird, bei dem wir nie genau vorhersagen können, ob er jemals eintreten wird.

Das klingt im ersten Moment vielleicht paradox, es ist jedoch eine bewährte Möglichkeit, Unsicherheiten zu vermeiden. Nach meiner Erfahrung gewinnt das Informationssicherheits-Risikomanagement mit der passenden Risikostrategie und der Identifikation Ihrer wichtigsten Prozesse und Verfahren deutlich an Greifbarkeit und ist weniger abstrakt. Ich spreche von Prozessen, die es Ihnen ermöglichen Ihre Risiken aktiv zu steuern, zu kontrollieren und zu überwachen. Ich bin davon überzeugt, dass jedes Unternehmen einen Zustand, frei von nicht vertretbaren Risiken schaffen kann. Einen Zustand, der es Ihrem Unternehmen ermöglicht auch in unsicheren Zeiten reaktions- und handlungsfähig zu sein und zu bleiben. Alles, was Sie dafür benötigen, sind geeignete Bewertungsmaßstäbe, eine übersichtliche Anzahl von Prozessen zur Analyse, Bewertung und Beurteilung Ihrer Risiken sowie die richtige interne Unterstützung, die Ihnen bei der Umsetzung und der kontinuierlichen Überprüfung der Sicherheitsmaßnahmen hilft.

Überlegen Sie selbst, ob Sie ihre Tür demnächst einfach mal offenlassen oder ob ich Sie dazu inspirieren konnte, ihr persönliches Risiko neu zu bewerten. Es könnte Sie schließlich ein ungebetener Gast besuchen kommen. Könnte.

Artikel von:
Christin Döhring
Christin Döhring
Senior Consultant
Seite teilen