Unternehmerische Tätigkeiten sind grundsätzlich mit Risiken verbunden. Jede Entscheidung im Unternehmen ist risikobehaftet und erhöht, erhält oder verringert die Werte im Unternehmen. Eine gänzliche Vermeidung von Risiken würde somit den vollständigen Stillstand einer jeglichen unternehmerischen Tätigkeit bedeuten.

 

Der Umgang mit Risiken

Eine vollständige Vermeidung von Risiken ist entsprechend der vorstehenden Definition betriebswirtschaftlich nicht möglich. Um Werte zu schaffen, müssen Risiken eingegangen werden. Dies bedeutet aber nicht, dass Risiken pauschal und unkontrolliert akzeptiert werden dürfen. Vielmehr müssen Unternehmen in allen Bereichen der eigenen Organisation Risiken so steuern, dass nur diejenigen eingegangen werden, die zur Erfüllung der Unternehmensziele notwendig sind. Im Umkehrschluss bedeutet dies, dass die Ziele von Unternehmen sich auch an den Risiken orientieren müssen.

Dies kann anschaulich anhand des Risikos von eingehenden E-Mails erläutert werden:

Der E-Mail-Empfang stellt für viele Unternehmen ein hohes bis kritisches Risiko dar. E-Mails (Anlagen, Hyperlinks) werden häufig als Trägermedium für Schad-Software oder zur Vorbereitung eines Finanzbetruges verwendet.

Öffnet z. B. ein Mitarbeiter eine E-Mail-Anlage (Office-Dokument mit Makro oder ein PDF-Dokument) und es handelt sich dabei um eine im Dokument versteckte Schad-Software, könnten beispielsweise folgende Schäden eintreten.

  • Krypto-Trojaner: Ein Krypto-Trojaner könnte alle internen Systeme des Unternehmens (inkl. Back-ups, ICS etc.) verschlüsseln. Im Worst Case wäre eine Ausbreitung auf Netzwerke von Partnern oder Kunden denkbar. Werden Back-ups verschlüsselt oder über einen längeren Zeitraum vor der eigentlichen Verschlüsslung manipuliert, wäre dann eine Wiederherstellung der Daten nicht mehr möglich.
  • Finanz-Manipulation: Ein Trojaner kann z. B. Computer der Kreditorenbuchhaltung manipulieren und dann mit den Rechten des Kreditorenbuchhalters die Bankverbindungen von Lieferanten ändern. Solche Manipulationen können Schäden in mehrstelliger Millionenhöhe verursachen.

Die Risiken, die durch den E-Mail-Empfang entstehen, wären in der Theorie einfach abzustellen, indem der Empfang von E-Mails abgeschafft wird. Dies wiederum würde jedoch das Erreichen der strategischen Unternehmensziele teils schon kurzfristig unterbinden, ggf. sogar gänzlich unmöglich machen. Mittel- und langfristig würde ein Großteil der Unternehmen, die das Empfangen von E-Mails komplett unterbinden, nicht mehr wettbewerbsfähig sein.

 

Der richtige Ansatz wäre ein agiler und logischer Ansatz zur Reduzierung der Risiken auf ein vertretbares Maß, ohne eine nachhaltige Beeinträchtigung des Geschäftsbetriebes zu verursachen. In diesem Fall müsste in einem fortlaufenden und agilen Prozess definiert werden, wodurch beim E-Mail-Empfang Risiken entstehen, welche Mitarbeiter, welche Empfänger welche individuellen Risiken eingehen müssen und bei welchen Maßnahmen zur Risikoreduzierung vorgenommen werden können.

 

Dazu muss ebenfalls berücksichtigt und akzeptiert werden, dass ein agiler und logischer Ansatz zur Risikoreduzierung aufwendiger in der Konzeption, Umsetzung und Betrieb ist, als das vollständige Abschaffen oder vollständige Akzeptieren eines Risikos. Auch muss die Fähigkeiten der eigenen Mitarbeiter berücksichtigt werden, Änderungen im Umgang mit digitalen Medien zu verarbeiten.

 

Um dies zu erreichen, benötigen Unternehmen einen praktikablen, nachhaltigen und leicht verständlichen Prozess zur Risikobewertung und zum Umgang mit Risiken. Der Prozess muss strukturiert und diszipliniert ablaufen. Der Prozess muss individuell auf die Bedürfnisse des Unternehmens abgestimmt werden.

 

Letztendlich sollte dieser Risikobewertungsprozess in ein umfassendes Risikomanagement integriert werden.

 

 

  • Risikoakzeptanz: Das Risiko wird ohne weitere Maßnahmen akzeptiert. Eine Risikoakzeptanz sollte immer schriftlich erfolgen, innerhalb der Unternehmensleitung und ggf. gegenüber der Eigentümervertretung kommuniziert werden.
  • Risikovermeidung: Das Risiko wird durch die Unterlassung der risikobehafteten Aktivität komplett vermieden.
  • Risikominderung: Durch risikomindernde Maßnahmen wird das Risikopotenzial auf ein akzeptables Maß reduziert.
  • Risikotransfer: Durch Übertragung des Risikos auf Dritte, indem der Risikoträger wechselt (z. B. auf ein Versicherungsunternehmen oder Outsourcing Dienstleistungsunternehmen).
  • Risikodiversifikation: Bei IT- und Cyber-Risiken wird eine Risikodiversifikation häufig aufgrund von drohenden Haftungsrisiken durchgeführt.

Die mannigfaltigen Bedrohungen durch Cyber-Risiken haben Ausmaße angenommen, dass diese nicht allein durch die Umsetzung breitgestreuter IT-Sicherheitsmaßnahmen wie beispielsweise hochwertige Firewalls, Antivirenprogramme, Proxyserver und IDS beherrscht werden können. Vielmehr kann nur eine strukturierte, auf die individuelle und realistische Risikosituation identifizierter IT-gestützter Geschäftsprozesse abgestimmte Vorgehensweise ein adäquates Sicherheitsniveau erzielen.

Zum Erreichen dieses Zieles ist die Einführung eines professionellen IT-Risiko Managements unabdingbar. Dazu muss klargestellt werden, dass Sicherheit nur fokussiert auf unternehmerische Risiken und nicht als Schutz von IT-Systemen verstanden werden darf. Aus diesem Grund müssen IT Risk Assessments vorranging durch Business-Unit-Leiter, Geschäftsführer oder Vorstände auf Basis von Business-Prozessbewertungen durchgeführt oder begleitet werden. IT-Security-Analysen werden dann zur Bewertung von den zuvor eruierten Risiken herangezogen.

  • Bewertung Ihrer Geschäftsprozesse: Im ersten Schritt werden die aus Risikosicht kritischsten Geschäftsprozesse identifiziert und bewertet, bei denen eine direkte oder indirekte Abhängigkeit von IT-Systemen besteht.
  • Bewertung der Sicherheit der IT-Systeme: Die den identifizierten Prozessen zugeordneten IT-Systeme werden auszugsweise überprüft und bewertet.
  • Risikobewertung: Die Ergebnisse aus Schritt 1 und 2 werden zusammengefasst und eine ganzheitliche Risikobewertung inkl. Maßnahmenempfehlungen wird erstellt.
  • Reagieren auf Risiken: Als 4. Punkt wird der Umgang mit den Risiken behandelt. Grundsätzlich gibt es unterschiedliche Möglichlikeiten, mit Risiken umzugehen.