Interview

Systemischer Ansatz im Risk Management

Risikomanager müssen umdenken

Redaktion RiskNET17.06.2016, 08:22

Industrie 4.0 und Digitalisierung ist in aller Munde. Land auf, Land ab, befeuern Wirtschaftsvertreter, Lobbygruppen und Politiker das Thema. Der Grundtenor: Wer nicht mitmacht bei der großen Digitalisierung hat verloren. Auf der anderen Seite steht das Thema Cybersecurity. Das Britische Versicherungsunternehmen Lloyd schätzt, dass Cyberangriffe Kosten in Höhe von 400 Milliarden US- Dollar bei den Unternehmen verursachen. Juniper Research schätzt, dass die Kosten durch Datenpannen weltweit bis 2019 bis zu 2,1 Billionen US-Dollar betragen werden. Zusätzlich besorgniserregend ist die Tatsache, dass diese Statistik nur die registrierten Angriffe erfasst.  Das World Economic Forum (WEF) sagt, dass ein signifikanter Anteil von Cyberkriminalität unerkannt bleibt. Dies gilt insbesondere für den Bereich der Industriespionage, da bei weitem nicht alle Angriffe bemerkt oder gemeldet werden. Die Redaktion von FIRM sprach in diesem Kontext mit dem Tom Köhler, international anerkannter Strategie-Experte für Cybersecurity und Advisory Partner bei EY über seine Einschätzungen zur Digitalisierungswelt. Damit eng verbunden: Die Chancen und Risiken im Umfeld der Cybersicherheit.

Die Digitalisierung ist für Unternehmen zu einem elementaren Erfolgsfaktor geworden. Nahezu jedes Unternehmen hat sich so gesehen zu einem IT-Unternehmen weiterentwickelt. Sie haben in Ihrem letzten Vortrag auf der RiskNET darauf hingewiesen, dass in vielen Punkten ein Risikomanagement 1.0 der digitalen und eng vernetzten Welt hinterherhinkt. Wo müssen Risikomanager dringend umdenken?

Tom Köhler: Die Digitalisierung konfrontiert Risikomanager wie kaum ein anderes Thema mit Komplexität und Unsicherheiten. In der Tat hat der Einsatz von Informationstechnologien Unternehmen in ihrer Aufbau- und Ablauforganisation stark verändert. Hinzu kommt, dass sich der Innovationszyklus für Hardware, Software und Services permanent beschleunigt. Diese Entwicklungen machen selbstverständlich keinen Halt beim Cybersecurity und Risikomanagement. Die Digitalisierung vernetzt auch Risiken, sodass Risikomanager innovative Ansätze im Umgang mit dynamischen Risiken benötigen. Risikomanager benötigen mehr als jemals zuvor eine engere domänenübergreifende und agilere Zusammenarbeit mit den Kollegen aus den Bereichen Strategie, Governance, Informationstechnologie und Cybersecurity, um vernetzte Risiken der Digitalisierung schneller zu erkennen und präventive Maßnahmen treffen zu können. Einfacher gesagt, es braucht einen neuen systemischen Ansatz, um den Sicherheitsfragen der vernetzen Welt gerecht zu werden.

Auf Unternehmensseite hat man nicht selten das Gefühl, dass Cybersecurity ein Thema ist, was einen nur bedingt direkt tangiert. Es ist eher ein Thema "der Anderen". Wie ist Ihre Einschätzung?

Tom Köhler: Durch die permanente Berichtserstattung von Cybesecurity-Vorfällen sind Unternehmen, die noch nicht selbst betroffen waren, bereits hoch sensibilisiert. Die brennendere Frage ist, wie sind Unternehmen auf den Worst-Case vorbereitet? Laut BITKOM verfügen nur 51 Prozent der Unternehmen über einen Notfallplan, um innerhalb kurzer Zeit auf den Abfluss sensibler Daten, digitale Wirtschaftsspionage oder Sabotage reagieren zu können. Unternehmen, die die Potenziale der Digitalisierung nachhaltig nutzen wollen, müssen zwangsläufig auch den Worst-Case in Betracht ziehen. Cyberangriffe sind ein integraler Bestandteil der Digitalisierung und müssen in der strategischen Unternehmensplanung mit berücksichtigt werden. Für die Unternehmenspraxis bedeutet das, dass szenario-basierende Simulationen von Cyberangriffen in regelmäßigen Abständen geübt werden sollten – damit nicht erst im Krisenfall die vermeintlichen Fehler in den Abstimmungs- und Kommunikationsprozessen sichtbar werden.

Welches Umdenken benötigen wir in einer Welt einer durchgängigen Digitalisierung und Vernetzung im Kontext Sicherheitsdenken? Inwieweit verlagert sich Cyber-Kriminalität heute in das "Internet der Dinge"?

Tom Köhler: Festzustellen ist, dass sich die organisierte Kriminalität im Darknet wesentlich besser vernetzt hat, um agile, hochentwickelte und komplexe Cyberangriffe zu orchestrieren. Unternehmen sind mit ihren Abwehrmaßnahmen im Vergleich dazu sehr ineffizient. Aufgrund hierarchischer Unternehmensstrukturen und der limitierten Kooperationsmechanismen innerhalb der Industrie sind die Kosten für hochautomatisierte Cyberangriffe geringfügig und die kriminellen Gewinne sehr hoch, sodass die Cyber-Kriminalität sicherlich weiter steigen wird. Wir benötigen eine Sicherheitskultur, die ebenso agil ist wie die der Angreifer und besser orchestriert ist. Ziel muss es sein die Kosten für Cyberangriffe bereits durch "Security by Design" in die Höhe schießen zu lassen und gleichzeitig vernetzte Systeme besser zu überwachen.

Wie bewerten Sie den Risikofaktor Mensch sowie eine adäquate Risikokultur in diesem Kontext?

Tom Köhler: Menschen haben schon immer interessante Überlebensstrategien entwickelt. Oft aber überschätzen wir unser Kontrollvermögen und unterschätzen die Risiken. Einfache Faustregeln für den Umgang mit Unsicherheiten in einer vernetzten digitalen Welt haben wir noch nicht entwickelt. Diese werden aber zwingend benötigt, wenn wir eine präventive Sicherheitskultur im Zeitalter der Digitalisierung erreichen wollen. Vor rund fünf Jahren entwickelte ich gemeinsam mit der Ludwig-Maximilians-Universität München den Internet Risk Behaviour Index. Ziel war es ein sichereres Verhalten der Benutzer beim Umgang mit Online-Risiken zu erwirken. Mit dem Prototypen eines Cyberrisiko-Simulators konnten wir Benutzer mit realen Cyberbedrohungen konfrontieren und gleichzeitig sein Verhalten messen. Damit erreichten wir, dass er Risiken, die durch sein persönliches Verhalten verursacht wurden, nachvollziehen konnte und lernt diese zu vermeiden. Leider wurde das Projekt nicht weiter finanziert. Ich bin überzeugt, dass dieser Ansatz heute mehr denn je gebraucht wird, wenn das vernetzte Denken beim Benutzer und der souveräne Umgang mit Cyberrisken gefördert werden soll. Hier gilt: "Übung macht den Meister".

Und an welchen Stellen sehen Sie den größten Nachholbedarf?

Tom Köhler: Der Mensch ist nur begrenzt in der Lage, komplexe Zusammenhänge, insbesondere unter Zeitdruck zu erfassen. Mit der fortschreitenden Digitalisierung und der damit verbundenen Zunahme an Komplexität sind damit auch traditionelle Sicherheitsansätze nur noch bedingt wirksam. Aus meiner Sicht liegt der größte Nachholbedarf bei der Entwicklung eines systemischen Ansatzes, bei dem  Risiken vernetzt betrachtet werden. Dies gilt insbesondere für zukünftige kritische IT-Infrastrukturen, wie beispielsweise eine hochautomatisierte Verkehrsleitzentrale für die Steuerung von autonom fahrenden Automobilen. Bei dieser Art von Infrastrukturen greifen verschiedene hochkomplexe Systeme, wie Geolokationssatelliten, Bodenstationen, Fahrzeugelektronik, Datennetze und Softwarekomponenten ineinander. Eine Cyberangriff auf nur eine der Systemkomponente kann verheerende Auswirkungen auf die Sicherheit des Systems haben und somit auf das Leben der Nutzer von "Connected Cars". Vielleicht erscheint dieses Beispiel dem einen oder anderen noch zu weit entfernt in der Zukunft zu liegen, doch existieren bereits heute stark vernetzte Infrastrukturen, wie beispielsweise Air-Traffic-Management Systeme oder Smart Grids.

Dieses Beispiel zeigt die hohe Relevanz die Cybersecurity in der Informationsgesellschaft einnimmt. Aber wo konkret besteht Nachholbedarf bei Unternehmen im Allgemeinen?

Tom Köhler: Konkret sehe ich fünf Schwerpunkte für Unternehmen. Zunächst die Identifizierung der "echten", sprich relevanten Cyberrisiken: Elementar für ein effektive Cybersecurity-Strategie ist die Top-Down-Definition des Risikoappetits und der kritischen Informations-Assets. Zudem braucht es den Laserfokus auf reale "Worst-Case" Szenarien: Unternehmen müssen davon ausgehen bereits gehacked worden zu sein.

Unternehmen benötigen eine höhere Resilienz gegen Cyberangriffe, sprich sie müssen ihre Controls und Prozesse besser auf die Identifizierung, den Schutz, die Response und der Business Recovery von Cyberangriffen ausrichten. Wichtig ist zudem die Governance Performance. Policies zu haben ist gut, sie agiler zu monitoren ist besser. Unternehmen benötigen einen aktuellen Blick auf ihr Governance Performance und Risikoposition. Für die Unternehmensführung ist es elementar aktuelle Indikatoren über die vernetzen Risiken, sprich Business und IT-Infrastruktur, zu erhalten. Die Optimierung der Investitionen ist ein weiter Punkt. Unternehmen müssen Risiken akzeptieren, wenn kein Budget verfügbar ist. Budget könnte in vielen Fällen aber durch eine Umschichtung verfügbar gemacht werden. Dies setzt ein Assessment der aktuellen Investitionen in Cybersecurity und ihrer Wirksamkeit voraus. Somit könnten Investitionsentscheidungen, beispielsweise zum Kauf von Cybersecurity-Versicherungen oder für Investitionen in innovative Cybersecurity-Initiativen, auf der Führungsebene nachhaltiger getroffen werden. Und letztendlich braucht es eine präventive Sicherheitskultur als Business Performance Enabler. Cybersecurity ist nicht nur ein technisches Thema, sondern auch eine Frage der präventiven Sicherheitskultur im Unternehmen. Wie gehen Mitarbeiter mit sensiblen Daten um? Wie verhalten sich Mitarbeiter, wenn sie vermeintliche Cyberrisiken erkennen? Die Verantwortung für Cybersecurity muss bei allen Mitarbeitern verankert werden. Eine präventive Sicherheitskultur ist eine gute Ausgangbasis um neue Technologie und Ansätze wie beispiel Bring your Own Device, kurz BYOD, risikobewusster in Unternehmen einzuführen.

Sie setzten sich täglich mit den negativen Auswirkungen des Cyberraum auseinander. Herr Köhler, wie gehen Sie mit Cyberrisiken um?

Tom Köhler: Ich bin nach wie vor von der Innovation im Bereich der Technologien sehr fasziniert und nutze viele der Möglichkeiten, um meinen Arbeitsalltag zu optimieren. Sicherlich, sehe ich auch mehr als der Durschnitt was alles so schief gehen kann. Aber ich sehe auch, mit welchen geringen Mitteln, beispielsweise klaren Verhaltensregeln, ich mein persönliches  Risiko im Cyberbereich  minimieren kann. Manchmal hilft eines ganz Besonders: "Einfach mal ausschalten!"

Tom Köhler ist international anerkannter Cybersecurity Strategie Experte und Advisory Partner bei EY. Er blickt auf eine über 20-jährige Karriere im Bereich der Informations- und Kommunikationstechnologie zurück. Seine Expertise entwickelte er in verschiedenen Management-Positionen bei international führenden ITK-Herstellern, u. a. bei RSA, bei Microsoft, VeriSign und SafeNet. Tom Köhler verantwortete innerhalb der Airbus Defence & Space in einer Doppelrolle als Chief Strategy Officer bei der Cassidian Cybersecurity die Strategie für Europa und als CEO Deutschland das operative Geschäft der Cassidian Cybersecurity GmbH. Darüber hinaus ist Köhler Mitglied in verschiedenen Gremien, unter anderem in der Permanent Stakeholder Group der European Union Agency for Network and Information Security (ENISA).

Bildquelle: RiskNET

[ Bildquelle: RiskNET GmbH ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

News

RiskNET Summit 2017

Antworten in einer Welt voller Unsicherheiten

Redaktion RiskNET15.05.2017, 20:00

Von Kultur ist im Zuge des Risikomanagements viel die Rede, doch kaum einer lebt sie. Dabei ist gerade besagte Kultur wichtig, wollen Unternehmen ein erfolgreiches Risikomanagement in der eigenen...

Kolumne

Digital, digitaler, disruptiv

Wahrnehmungs- und Arroganzrisiko

Andreas Kempf | Frank Romeike28.04.2017, 16:51

Der Begriff "Disruption" –Wirtschaftswort und Unwort des Jahres 2015 – ist in der aktuellen Diskussion um die Digitalisierung allgegenwärtig. Mit Unternehmen wie Uber, AirBnB, Netflix oder...

Interview

Verharren in der Komfortzone als Risiko

Mehr Speed – weniger Risiko

Redaktion RiskNET18.04.2017, 08:00

Risiken bewältigen, Entscheidungen treffen, Führungsrollen übernehmen, im Team kooperieren, Ziele setzen, durchhalten und vielleicht auch mal der Mut zur Umkehr sind Situationen, die sich im...

Interview

Digitalisierung, Cybersicherheit, disruptive Innovationen

Risiken in Zeiten des digitalen Bankschalters

Redaktion RiskNET23.03.2017, 20:32

Digitalisierung, Cybersicherheit, disruptive Innovationen und neue Geschäftsmodelle – die Bankenwelt müht sich mit vielen Themen. Vor allem klassische Banken müssen ihre Geschäftsmodelle überdenken,...

Kolumne

Schutz vor physischen Bedrohungen

Physical Security Management als integraler Bestandteil des Risikomanagements

Jörg Hensen | Sebastian Schmitz19.03.2017, 10:45

Sicherheitsthemen sind branchenübergreifend präsenter denn je. Aber es sind nicht ausschließlich die Gefährdungen im allgegenwärtigen Cyberraum, denen wir heute gegenüberstehen und in deren...