Risikomanagement im digitalen Zeitalter erfordert Zusammenarbeit

Risikomanagement im digitalen Zeitalter erfordert Zusammenarbeit

Der jährlichen CIO-Befragung von Gartner zufolge führt die Digitalisierung nicht nur zu neuen und höheren Risikolevels, sondern bringt auch völlig neue Risikoarten hervor, die alle gesteuert werden müssen. Risikomanagement ist deshalb wichtiger denn je.

Gespräche mit vielen hochrangigen Mitarbeitern aus Unternehmen, mit denen wir geschäftlich verbunden sind, haben gezeigt, dass mehr und bessere Informationen zur Risikolage benötigt werden, um ein Unternehmen voranzubringen. Auch auf globalem Niveau wurden ähnliche Beobachtungen gemacht.

In einer weltweiten Umfrage hat die Risk & Insurance Management Society (RIMS) über 500 Risikoverantwortliche in Führungspositionen gefragt: „Erwarten Sie, dass es für Sie in den nächsten drei Jahren einfacher wird, wichtige Risiken vorherzusagen?“ 74 Prozent sagten nein. Das ist alarmierend!

Risikoverantwortliche stehen vor einer enormen Herausforderung. Die Anzahl der Risiken, ihre Komplexität sowie die Überschneidung von Risiken aus globaler, organisatorischer und technischer Sicht haben eine schnelle Eskalation der Risiken im Unternehmen zur Folge. Die Komplexität erschwert es ihnen, das gesamte Risikoprofil zu erfassen.

Noch wichtiger ist: Die RIMS-Studie zeigte, dass eine kontinuierliche bereichsübergreifende Zusammenarbeit fehlt. Firmen können den aktuellen Risikoursachen nicht auf den Grund gehen oder die Risiken, die sie in Zukunft betreffen werden, nicht festmachen.

Gartner Research Director John Wheeler sieht einen engen Zusammenhang zwischen dieser fehlenden bereichsübergreifenden Zusammenarbeit und der Isolation der meisten heutigen Software-Implementierungen für Governance, Risikomanagement und Compliance (GRC). Dem kann ich mich nur anschließen. Zwar besteht Übereinstimmung darüber, dass die Lösung im Aufbrechen der traditionellen Silos und der Integration der unterschiedlichen GRC-Bereiche liegt, für viele Unternehmen bleibt das jedoch eine riesige Herausforderung.

Sie versuchen die Silos aufzubrechen, indem sie typische GRC-Bereiche wie operatives Risikomanagement, IT-Risikomanagement, Audit, betriebliches Kontinuitätsmanagement usw. integrieren. Die Zusammenarbeit zwischen diesen Bereichen ist ein Schritt in die richtige Richtung, aber noch keine perfekte Lösung für den Unternehmenserfolg im digitalen Zeitalter. Dafür müssen die GRC-Bereiche untereinander zusammenarbeiten UND sie müssen mit den Bereichen kooperieren, die zuständig sind für Geschäftsprozess-Design, Prozessausführung und last but not least für Geschäftsprozess-Ergebnisse/-Performance.

Erfahrungsgemäß nutzen Führungskräfte das Risikomanagement effektiver, wenn sie die Zusammenhänge zwischen Geschäftsergebnissen, Geschäftsprozessen und den damit verbundenen Risiken verstehen. Die Informationen über die Risiken müssen ihnen vom Unternehmen zur Verfügung gestellt werden. Das Risikomanagement sollte nicht in der Hand einer eigens dafür bestimmten Organisationseinheit liegen, die für die Fachbereiche alle Aufgaben im Zusammenhang mit dem Risikomanagement übernimmt.

Die fachlich Verantwortlichen müssen verstehen, dass sie für die mit ihren Prozessen verbundenen Risiken zuständig sind und diese gemeinsam mit allen Beteiligten steuern müssen, um den Unternehmenserfolg zu gewährleisten. Es muss also ein prozessgetriebener GRC-Ansatz verfolgt werden, um ein umfassendes und unternehmensweites Risiko- und Governance-Modell zu etablieren, das eine ausgewogene Risikostrategie und eine klare Definition der Zuständigkeiten sicherstellt. Es geht darum, dass alle Verteidigungslinien zusammenarbeiten und alle Beteiligten eine gemeinsame Infrastruktur und konsistente Methoden nutzen.

GRC kann eine Schlüsseltechnologie für diese Form der Zusammenarbeit sein, aber es muss eine Zusammenarbeit unterstützen können, die über die traditionellen GRC-Silos hinausgeht und in den Geschäftsbetrieb integriert ist.

Teilen:
Internet der Dinge: Vorsicht vor den Schattenseiten

Internet der Dinge: Vorsicht vor den Schattenseiten

Das Internet der Dinge kann für die Gesellschaft als Ganzes einen enormen Nutzen bedeuten. Der Fortschritt verläuft jedoch niemals geradlinig, und er hat auch Schattenseiten. Das zeigt der jüngste Mirai-Angriff auf populäre Webseiten in den USA, für den Millionen von vernetzen Geräten im IoT gekapert wurden.

Der Nutzen, den IoT für die Gesellschaft bietet, ist ein vielbesprochenes Thema. Dank des IoTs können einige der drängendsten Menschheitsprobleme bewältigt werden: die Überbeanspruchung unserer Ressourcen, Naturkatastrophen oder sogar das Artensterben. Deshalb ist dieser Angriff – und die Reaktion darauf – so wichtig.

Das IoT ist eines der umfangreichsten, wenn nicht das umfangreichste, Integrationsprojekt in der Geschichte der Menschheit. Manchmal vergessen wir, wie weit wir gekommen sind und wie eng das IoT mit unserem Leben verbunden ist.

Ein sehr anschauliches Beispiel dafür sind Reisen. Sie sind durch die Kombination und Integration Tausender Datenquellen bequemer und sicherer geworden. Mobile Datenquellen wie Autos schicken Wetterdaten an Flughäfen, Fluggesellschaften und an den einzelnen Reisenden. Sie melden Verzögerungen sofort und schicken Vorschläge für alternative Routen an jedes Mobilgerät. Sie kennen mehr Restaurants, Läden, Hotels, Sehenswürdigkeiten und Veranstaltungen als jedes Reisebüro, und alle Informationen sind auf Knopfdruck verfügbar, und alle sind personalisiert.

Diese mobilen Datenquellen können in Echtzeit Warnmeldungen an Reisende schicken, die in einem Gebiet unterwegs sind, das von einer Naturkatastrophe betroffen ist oder in dem es politische Unruhen gibt. Die Reihe ist endlos, und die Menge der verfügbaren Services steigt täglich mit jedem innovativen IoT-Geschäftsmodell, das auf den Markt kommt. Wissen Sie noch, wie schwierig es vor zehn Jahren war, eine Reise zu planen?

Der Nutzen des IoTs, von einfachen Annehmlichkeiten bis zu wegweisenden Antworten auf globale Probleme, beruht auf digitalen Sensoren oder Chips in Alltagsgeräten. Genau diese wurden in der jüngsten Internet-Attacke missbraucht. Möglicherweise wurden Hunderttausende TV-Geräte, digitale Videorecorder, Überwachungskameras, sogar Kühlschränke infiziert, um das Mirai-Botnet aufzubauen und sogenannte DDoS-Angriffe zu starten.

Ungewöhnlich an diesen Angriffen war, dass IoT-Geräte und nicht PCs oder Laptops infiziert wurden. Die IoT-Geräte bieten nur eine minimale bis gar keine Sicherheit und sind leichte Ziele für die Botnets der Zukunft.

Bei vielen Geräten werden weder der vom Hersteller festgelegte Benutzername noch das Passwort geändert. Das macht sie so angreifbar. Nach der ersten Mirai-Panik spielte man zwar das Ausmaß und die Anzahl der möglicherweise betroffenen Geräte herunter, dennoch war das ein lauter Weckruf für die IT-Branche. Einige Unternehmen haben bereits Schritte eingeleitet, um die Zukunft sicherer zu machen.

Es gibt den Ruf nach einer internationalen Gesetzgebung, bei der Europa hoffentlich federführend sein wird. Der Mirai-Angriff lenkt den Blick auch auf ein weiteres Problem: Wie können Unternehmen einen digitalen Sensor für noch unbekannte zukünftige Software-Updates, insbesondere Sicherheits-Upgrades, entwickeln? Müssen die regelmäßigen Microsoft- oder Apple-Sicherheits-Upgrades auf alle Geräte ausgeweitet werden? Wer bezahlt das?

Wie gesagt: „Wenn jemand heute für eine einfache Wasserpumpe 300 Euro bezahlt, was wird er morgen für eine smarte Pumpe bezahlen? Wie muss ein Preismodell aussehen, das die Weiterentwicklung der Software, die in der Pumpe eingesetzt wird, unterstützt? Wie muss das Preismodell aussehen, das die Kosten für die Daten-Connectivity während der Lebensdauer der Pumpe finanziert? Wird die Pumpe selbst kostenlos sein und für die zusätzlichen Services ein Subskriptionsmodell eingeführt?“

Weiter stellt sich die Frage: Was passiert wenn der Pumpenhersteller in Konkurs geht und das Gerät mit der Zeit immer angreifbarer wird?

Wasserpumpen sollen übrigens nicht schlechtgemacht werden, an den jüngsten Angriffen waren sie nicht beteiligt. Sie sind lediglich ein Beispiel dafür, wie ganz alltägliche Dinge für böswillige Zwecke missbraucht werden können.

Das digitale Zeitalter ist sehr komplex und die Branche, die produzierende Industrie und der Staat müssen sich daran beteiligen, den enormen Nutzen des IoTs greifbar zu machen. Es gibt viele Schritte, getan werden können. Zum Beispiel kann mithilfe von Analytics am IoT-Edge die Abhängigkeit von der Cloud-Verfügbarkeit reduziert werden, und somit etwas mehr Sicherheit bei zukünftigen Angriffen bieten. Jeder Beitrag hilft! Es gibt keinen Weg zurück. Der Nutzen des IoTs für die Menschheit ist zu groß. Aber vergessen Sie die Schattenseiten nicht.

Teilen: