Wir leben in unsicheren Zeiten: Uncertainty is the new certainty! Nicht wenige Experten sprechen gar von einer Zeitenwende. Ganz gleich ob nun unruhig oder Wende, für Unternehmen bedeutet das Risiko und Chance zugleich. Denn einerseits lauern vielfältige Risiken – von Cybergefahren bis zu geopolitischen Verwerfungen. Andererseits öffnen sich durch die Veränderungen neue Türen und damit Chancen, aufgrund digitaler Lösungen und damit verbundener Innovationen. Bei allem Für und Wider müssen Unternehmen ihre Risiken im Vorfeld kennen und sich darauf vorbereiten. Oder wie es der Industriesachversicherer FM Global formuliert: Resilienz entsteht vor einem Schaden.
Im Oktober 2019 wurde ein Unternehmen der Automatisierungstechnik Opfer eines Cyberangriffs. Das Medienecho war groß, die Folgen des Angriffs waren noch größer. Unternehmensserver und Kommunikationssysteme fielen weltweit aus, die Produktion stand still. Und auch einen internationalen Modekonzern traf es im Herbst dieses Jahres. IT- und Kommunikationssysteme waren die Ziele der Cyberangreifer. Trotz hausinterner IT-Sicherheitsstrategie konnte der Angriff laut Unternehmen nicht verhindert werden. Es brauchte Tage, um die IT-Systeme wiederherzustellen. Bezeichnend dafür war, dass laut Medienberichten über eine Woche nach dem Cyberangriff noch immer "Kernsysteme" sukzessive hochgefahren wurden. Zwei Fälle, ein Thema: Cyberangriffe. Neben den finanziellen Schäden dürften beide Unternehmen gleichzeitig mit einem Reputationsverlust zu kämpfen haben.
Dass diese Worst-Case-Szenarien längst keine Einzelfälle sind, zeigt die wachsende Zahl an Cyberangriffen auf Unternehmen. So kommt eine aktuelle Studie des Digitalverbandes Bitkom zu dem Ergebnis, dass sich die Schäden durch Cyberangriffe für deutsche Unternehmen auf über 100 Milliarden Euro pro Jahr belaufen. Mit einem Blick zurück bedeutet das eine Zunahme der Schadenssumme um rund 50 Prozent gegenüber der letzten Bitkom-Umfrage aus dem Jahr 2017. Beunruhigend ist zudem die Tatsache, dass die meisten Angriffe innerhalb der eigenen Organisationen gestartet werden. Zu dieser Erkenntnis kommt Tiago Dias, Assistant Vice President, Cyber Security Consultant, FM Global. "Einige Angriffe waren recht opportunistisch in der Vergangenheit, heute sind sie wirkungsvoller und die Zahl der Vorfälle nimmt rasant zu", so Dias. Dabei dürfte die Dunkelziffer bei Cyberangriffen nach Bitkom-Informationen weitaus höher liegen. Der Verband nennt die Zahl von 13 Prozent an Unternehmen, die einen Hardwarediebstahl, Social Engineering, Ausspähen oder schlicht eine analoge Sabotage vermuten.
Status quo, Risikobuchhaltung, fehlender Blick in die Zukunft
Während Cyberangriffe und damit verbundene Schäden nachweislich zunehmen, lassen viele Unternehmen ein präventives Risikomanagement vermissen. Dies zeigt eine jüngst von FM Global durchgeführte Umfrage unter 100 CFOs sowie weiteren leitenden Finanzmanagern. Demnach gehen sieben von zehn Befragten davon aus, dass die meisten oder sogar alle Schäden durch die jeweilige Versicherung abgedeckt seien. Ein Trugschluss, mit Blick in die Versicherungspolicen. Denn viele Schäden sind nicht Bestandteil des Versicherungsschutzes – seien es Reputationsverluste, Umsatzrückgänge oder die Schwächung des Aktienkurses. Neben dem Fehlurteil zur eigenen Risikoabsicherung ist diese Sichtweise zudem nicht zielführend.
Versicherungen zählen zu den wirkungsbezogenen Maßnahmen und "lindern" grundsätzlich die finanziellen Schmerzen eine Entschädigungszahlung. Ein präventives Risikomanagement sollte sich immer auf ursachenbezogene Maßnahmen konzentrieren und durch Prävention den Risikoeintritt verhindern oder zumindest deren Auswirkungen begrenzen.
Um präventive Maßnahmen zu definieren, ist es erforderlich, dass Unternehmen "aus der Zukunft lernen". Hierzu zählt insbesondere die Fähigkeit potenzielle Szenarien zu antizipieren und präventive Maßnahmen umzusetzen.
Cyber Risk Assessment als aktives Risikomanagement
Organisationen müssen ihre potenziellen Risiken und Stressszenarien analysieren und diese in einer Gesamtstrategie zum Risikomanagement einfließen lassen. Dias weist in diesem Kontext auf das sogenannte Cyber Risk Assessment von FM Global hin: "Wir setzen auf einen technischen und risikobasierten Ansatz zur Identifizierung von Cyberrisiken. Das Cyber Risk Assessment ist ein Instrument, das die Bewertung der Informationssicherheit auf der Ebene des Kunden ermöglicht und unterstützt." Und er ergänzt: "Unterstützt wird das Cyber Risk Assessment durch Vor-Ort-Bewertungen in den Bereichen physikalische Sicherheit und industrielle Steuerungs- und Automatisierungssysteme."
Grundsätzlich geht es bei FM Global darum, solche Cyberrisiken als Gefahr zu bewerten, die zu physischen Schäden durch einen Vorfall führen könnten. "Wir versuchen zu verhindern, dass solche Schäden entstehen, indem wir das Risiko einschätzen und verstehen." Nur dann könnten nach Dias Worten die richtigen Sicherheitsmaßnahmen umgesetzt werden. Tiago Dias: Wir raten unseren Kunden zum Proirisieren von cyberrelevanten Themen, um den Schutz vor Cyberrisiken gezielt auszubauen."
Dieses aktive Management von Risiken ist ein Weg, den auch Mike Lebovitz, Senior Vice President, Innovation, bei FM Global, im Fokus hat: "Das Tempo des Wandels in der Welt der Technik nimmt immer schneller zu. Unternehmen müssen die Signale erkennen, die von diesem Wandel ausgehen, um zu verstehen, welche Auswirkungen damit für die eigene Organisation verbunden sind." Damit einher geht, dass Risikomanager die Veränderungsprozesse im eigenen Unternehmen sowie außerhalb verstehen und im Sinne der Gesamtorganisation auf der Risikolandkarte verorten müssen. Lebovitz: "Ein Risikomanager muss in diesem Prozess eine bedeutende Stimme im eigenen Unternehmen haben."
Schäden vermeiden – auch mithilfe der Forschung und von Datenanalysen
Fakt ist, dass viele Schäden für Unternehmen vermeidbar sind. Entscheider und Risikomanager sollten diese Möglichkeit der Prävention stärker in den Fokus der Betrachtungen rücken. Denn laut eigener Recherchen von FM Global entstehen 70 Prozent aller Schäden in der Industrie aufgrund eines Maschinenausfalls. In Zahlen heißt das alleine über eine Milliarde Euro Schaden bei Turbinenausfällen und über 223 Millionen Euro im Falle des Betriebsausfalls von Generatoren. Sofia Teljevik, Vice Precident, Branch Manager, FM Global, spricht in diesem Zusammenhang von Großschäden. Nach Aussage Teljevik verzeichnete der Industriesachversicherer alleine 230 Großschäden im Jahr 2018. Ein Drittel dieser Verluste seien nach Teljeviks Worten auf den Ausfall von Maschinen zurückzuführen. "Bei spezifischeren Branchen, wie etwa dem Bergbau, der Chemieindustrie oder der Energieerzeugung sind es sogar zwei Drittel", unterstreicht die Branch-Managerin.
Auf die Frage, wie Risikomanager potenzielle Ausfallverluste identifizieren und minimieren können, antwortet Teljevik: "Unternehmen sollten viel mehr Ingenieure an die Maschinen lassen, um den Gesamtprozess besser zu verstehen". Und sie fügt hinzu: "Bei FM Global arbeiten etwa 200 Ingenieure, die speziell geschult und ausgebildet sind und sich mit großen Maschinen befassen. Das sind zum Beispiel Kessel, Transformatoren, Chemiebehälter und Turbinen." Wichtig ist nach Teljeviks Ansicht zudem, mit dem Kunden zusammenzuarbeiten, um das Risiko zu verstehen und zu minimieren.
FM Global tätigt zudem hohe Investitionen in die Bereiche Forschung und Entwicklung. Damit ist das klare Ziel verbunden, Schadensverhütung zu betreiben. "Unseren Kunden geben wir Handlungsempfehlungen auf Grundlage wissenschaftlicher Fakten und in Kombination mit unseren Versicherungsprodukten", resümiert Teljevik.
Ein weiterer wichtiger Punkt setzt bei der Datenanalyse an. FM Global nutzt hierzu Predictive Analytics, um Erkenntnisse aus den vielen Vor-Ort-Besuchen bei Kunden aufzunehmen und die Daten mit eigenen Schadensstatistiken zu kombinieren. Das ermöglicht es dem Unternehmen Vorhersagen zu treffen, wann und wo Verluste eintreten könnten. Mehr noch werden mithilfe von Predictive Analytics klassische Business-Intelligence-Lösungen um die Beantwortung der Frage aufgewertet: Was wird passieren? Für Unternehmen, wie FM Global, ein unerlässliches Werkzeug, um genauere Vorhersagen in Bezug auf mögliche Schadensereignisse zu treffen und letztendlich dem Kunden im Vorfeld bei einer vorausschauenden Schadensvermeidung zu unterstützen.
Gleichzeitig helfen diese Analysen den Risikomanagern, Ressourcen effizient dort einzusetzen, wo sie benötigt werden. An diese Stelle zeigen sich die positiven Effekte eines präventiven und wirksamen Risikomanagements und neuer Analysemöglichkeiten durch Predictive Analytics. Auf diesen Mehrwert weist auch Loïc Le Dréau hin. Der Operations Senior Vice President bei FM Global stellt auf das klare Bild ab wenn er sagt: "Fortschrittliche Technologien, wie Predictive Analytics, können dem Risikomanager ein sehr klares Bild vom Risiko vermitteln und zeigen, wie er die Risikoverbesserung priorisieren kann." Das zeigt sich nach Le Dréaus Worten unter anderem bei der der Identifizierung von reparaturbedürftigen Maschinen oder verlustanfälligen Standorten. "Risikomanager gewinnen mit Predictive Analytics einen wesentlich besseren Überblick über die Risiken, von denen früher oder später Risiken auf ihr Geschäft zu erwarten sind." Schlussendlich kann sich der Risikomanager durch die Überwachung dieser Daten einen genauen Überblick über das aktuelle Risiko verschaffen und Mängel erkennen, bevor sie zu einem Verlust führen.
Mensch und Wissenstransfer
Bei allen technischen Lösungen und Risikoanalysen kommt es vor allem auf eine Verhaltens- und Kulturänderung in der eigenen Organisation an. Denn am Ende sind es wesentlich die Menschen in den Unternehmen, die über das Gelingen eines qualitativen Mehr im Risikomanagement und letztendlich der Schadensvermeidung in der Gesamtorganisation entscheiden.
Dementsprechend müssen Programme zur Steigerung der Risiko- und Fehlerkultur in den Organisationen stattfinden, um den Mitarbeitern den Wert von Maschinen und Daten für das eigene Unternehmen zu vermitteln. Diese Sensibilisierung ist ein wichtiger Baustein, will man unternehmensintern Schäden im Vorfeld verhindern. Hinzu kommt der Wissenstransfer.
Das heißt, Mitarbeiter müssen in den Bereichen Maschinenführung und Wartung, Prozesse und Abläufe, sowie zu Notfallplänen, geschult werden. Denn im Grunde muss jeder wissen, was zu tun ist – im Regelbetrieb, aber auch im Falle einer eintretenden Störung.
Um Kunden im Risikomanagement zu schulen, bietet FM Global vielfältige Präsenz- und Onlineschulungen an. Ziel des Wissenstransfers ist es, Risikomanager, Ingenieure und andere Kundenmitarbeiter dabei zu unterstützten, sich auf unerwartete Szenarien vorzubereiten und den Geschäftsbetrieb dauerhaft aufrechtzuerhalten.
FM Global entwickelte ein spezielles Learning Center, um die Kreativität und Zusammenarbeit zu fördern. Inhaltlich werden in diesem Lernzentrum spezifische Schulungsmodelle angeboten, wobei der Industriesachversicherer mit erfahrenen Trainern auf neueste Technologien setzt.
Dies alles geschieht, um mit der digitalen und eng vernetzten Welt von heute und morgen Schritt zu halten, die Risikolandschaft im Blick zu haben und Schäden letztendlich vorzubeugen. In Summe aller Maßnahmen bietet FM Global damit ein vorbeugendes Unternehmensrezept an. Und das, um Risiken zu erkennen, Schäden zu vermeiden und letztendlich die Resilienz der Kunden auf- und auszubauen. Denn "Resilienz ist erfinderisch" und resiliente Unternehmen haben einen klaren Wettbewerbsvorteil in unsicheren Zeiten.
