Risk Management Congress: Mensch und Technik im Fokus

Die Welt verändert sich so schnell wie nie und die viel zitierte Zeitenwende hält immer neue Herausforderungen für Unternehmen bereit. Doch eines bleibt stabil: die Cyberunsicherheit, mit der Organisationen jeder Größe, in allen Branchen umgehen müssen. Hausgemacht könnte vielfach ein Titel dazu lauten, denn der Mensch bleibt unsicher. Das zeigte sich im Rahmen des Risk Management Congress (RMC) im 2023 Mai in Köln. Eine zweitägige Fachkonferenz – organisiert von der RMA Risk Management & Rating Association e.V.

Der RMC zählt zu einem der großen Branchentreffen rund um die Themen Risiko- und Krisenmanagement, Compliance, Governance und Rating im deutschsprachigen Raum. Die mittlerweile 17. Auflage des RMC stand ganz im Zeichen eines zukunftsgerichteten Risikomanagements. Nicht umsonst folgten rund 160 Teilnehmer der Veranstaltung am 8. und 9. Mai 2023 nach Köln unter dem Motto: Nächste Ausfahrt Chancensicht. Eine wichtige Straßenführung im übertragenen Sinn. Denn es ist nicht die Frage, ob, sondern wann ein Cyberangriff stattfindet.

Dass diese Risikoeinschätzung vernünftig und nachvollziehbar ist, das unterstreichen die Zahlen zu möglichen Cybergefahren. „Der Schaden durch Cyberkriminalität in Deutschland wird im Jahr 2022 auf über 200 Mrd. EUR geschätzt. Tendenz steigend“, untermauert Dennis Müllerschön von der Managementberatung Horváth die konkreten Risiken im Cyberumfeld. In seinen Ausführungen zu: „Cyber Risken bedrohen Unternehmen –Informationssicherheit wird zum Game Changer“ sieht er Unternehmen grundsätzlich bedroht, wenn er sagt: „Es ist nicht die Frage, ob, sondern wann ein Cyberangriff stattfindet.“

Hierzu passt die Aussage Müllerschöns, wonach die Anzahl an Cyberangriffen auf Unternehmen im Jahr 2022 um 38 % gestiegen seien. Doch damit nicht genug, denn Unternehmen werden teils mehrfach im Jahr angegriffen. Zu den Arten der Angriffe nennt der Horváth-Manager vor allem das E-Mail-Phishing mit 45 %, gefolgt von Remote-Angriffen auf Server mit 21 %. Die Folgen von Cyberangriffen seien nach Müllerschön schwerwiegend, was einen systematischen Managementansatz erfordere. In diesem Kontext nennt er das Informationssicherheitsmanagement (ISMS) als einen risikobasierten, ganzheitlichen und proaktiven Weg. Hierzu gehören unter anderem die Behandlung von Cyberrisiken als Geschäftsrisiken sowie eine Transparenz über die Bedrohungslage, inklusive eines systematischen Umgangs mit Schwachstellen.

Hilfestellungen zum Thema Informationssicherheit bietet die RMA mit ihrem Arbeitskreis (AK) zum Information Risk Management, kurz IRM. Zielgruppe des AK sind Praktiker im Umfeld des Information Risk Managements. Dabei stehen Fragen im Mittelpunkt, wie Informationsrisiken identifiziert werden können und welche proaktiven oder reaktiven Maßnahmen im ISMS-Bereich ergriffen werden können. Laut Arbeitskreisleiterin Ines Heese müsse sich ein professionelles IT-Risikomanagement durch die Organisation in Gänze ziehen. Denn IT berühre ihrer Meinung nach alle Bereiche des Unternehmens und könne so auch alle anderen Kategorien von Risiken berühren. Mit Verweis auf den Allianz Risk Barometer 2023 zählen Cybervorfälle und Betriebsunterbrechungen im zweiten Jahr in Folge als die größten Geschäftsrisiken weltweit.

Das deckt sich mit den Aussagen von Dennis Müllerschöns Vortrag und zeigt im Umkehrschluss, dass ein umfassendes Informationssicherheitsmanagement de facto überlebenswichtig ist für Unternehmen. Heese, die neben ihrer Arbeitskreistätigkeit hauptberuflich Head of IT Audit bei der Hubert Burda Media Holding KG ist, stellte im weiteren Verlauf ihres Vortrags die Top 11-IT-Risiken vor, mit denen sich der AK in letzter Zeit intensiver auseinandergesetzt hat. Zur Erhebung der Top-11-Risiken setzte der IRM-Arbeitskreis auf das CIS Control (Center for Internet Security) Framework. Die Erhebungsergebnisse zeigen, dass die Risiken von den Bereichen der Hardware und Software über das Berechtigungsmanagement, der Datensicherung bis zur Awareness reichen. Hinsichtlich der Awareness sieht der AK und die AK-Leiterin Heese den „Mensch als Sicherheitsfaktor“. Hier ist häufig eine unzureichende Sensibilisierung rund um das Thema Informationssicherheit festzustellen. Die Auswirkungen können fatal enden und zum Beispiel den Verlust sensibler Unternehmensinformationen bedeuten. Als Gegenmaßnahme sieht sie neben adressatengerechten Awareness-Schulungen auch zielgerichtete Simulationen bestimmter Fälle. Die Erkenntnisse des AK sollen in einer Publikation zu einem praxisnahen IRM-Leitfaden demnächst verbreitet werden.

Das IRM ist auch im Hause Burda wichtig, reicht aber nicht aus. Hermann Huber, CISO, Hubert Burda Media Holding KG, sieht das Große und Ganze im Mittelpunkt. Das heißt: Lagebild. In seinem Vortrag hob er hervor, worauf ein Risk Manager unbedingt achten sollte. Dazu gehöre seiner Ansicht nach absolute Transparenz über die Gesamtorganisation. Huber nennt es die Wachsamkeit als den Preis der Freiheit. Diese Transparenz stellt das Unternehmen unter anderem mittels eines Cyber Defense Centers (CDC) als zentrale Überwachungsstelle über den gesamten IRM-Prozess sicher. Das heißt vom Asset Management über das Risikomanagement bis zur Risikobehandlung. Im Umkehrschluss heißt das nach Huber: „Ein Kernprozess als größte Schnittstelle.“ Der Burda-Manager beschreibt das CDC als „Herzstück“, das jederzeit die Übersicht bieten solle, die das Unternehmen brauche. Damit sind wir wieder beim Lagebild und einem Dauerblick darauf. „Es geht darum zu wissen, was passiert in meiner Organisation“, erklärt Huber und fügt hinzu: „Das CDC muss auch Warnen und Koordinieren.“ Das Ganze verstanden als dynamische Risikobewertung. Huber ist sich hinsichtlich des dynamischen Agierens sicher: „Wenn ich nicht sehr schnell auf eine Phishing-Attacke reagieren kann, dann kann ich einpacken.“ Darüber hinaus sieht Huber das Team als zentrale Instanz – vom Lead Auditor bis zum Forensiker. „Jeder im Team ist wichtig“, bringt er es auf den Punkt. Wen wundert es, dass das Team und die Kommunikation nach Hubers Worten wichtige Säulen im Gesamtprozess sind.

Mit diesem Bild, das den Menschen und die Kommunikation in den Mittelpunkt der ISMS-Betrachtungen und -Entscheidungen rückt, ist viel gewonnen. Sonst stehen Organisationen vor dem Risiko, die wichtigen IT-Security- und Risikomanagement-Funktionen rein Software-getrieben abzuwickeln. Niels von der Hude, Director Product Strategy, Beta Systems Software AG, vergleicht dieses Denken und Handeln mit einer Art Ablasshandel. Damit meint er, dass manch Unternehmenslenker denke, mithilfe einer Software seien alle Unwägbarkeiten in puncto IT-Sicherheit behoben. Ein Trugschluss, der sich nicht selten als Bumerang erweist mit Blick auf die nackten Zahlen und Fakten hinsichtlich der Cyberangriffe.

Und auch von der Hude hob in seinem Vortrag auf das Thema Cybersecurity ab. Unter dem Titel: „Identity & Access Management – Mehr als nur IT für das Risikomanagement“ fokussierte er sich auf die Innentäter. Seinen Worten folgend würden 70 % aller Vorfälle durch Innentäter verursacht. Vor diesem Hintergrund brauche es ein klares Berechtigungsmanagement. Er nennt es das Need-to-Know-Prinzip und meint: „Mitarbeitende erhalten nur die Rechte, die sie für ihre Tätigkeiten brauchen.“ Hierbei können sogenannte Identity- und Access-Management-Systeme unterstützen.

Im Grunde stehen Cyberangriffe vielfach im Interesse vieler Staaten - nicht nur von China, dem Iran oder Russland. Diese Gefahren zu minimieren heißt auch, sich darüber Gedanken zu machen, ob das jeweilige Mittel den Zweck heiligt. Das zeigt sich nicht zuletzt an den vielfältigen Konfliktlinien im internationalen Vergleich. Der Krieg in der Ukraine und damit einhergehend die Sanktionspolitik gegen Russland, ein schwelender politischer und wirtschaftlicher Konflikt mit China, aber auch die Handelshemmnisse mit den USA zeigen deutlich: Die Wirtschaft wird von vielen Staaten und Bündnissen als Waffe eingesetzt - und dabei spielt der Cyberraum eine entscheidende Rolle. In diesem Zuge ging Prof. Ulrich Blum in seinem RMC-Vortrag der Frage nach, ob ein umfassender Wirtschaftskrieg eine glaubhafte Drohung darstellt. Der Geschäftsführer von Itel – Deutsches Lithiuminstitut GmbH hob damit auf das westliche Ordnungsmodell ab. Dieses steht nach Lesart Russlands, Chinas und weiterer Staaten teils zumindest zur Disposition. Und das macht den Menschen weiterhin unsicher. Ist er doch vielfach der Schlüssel zum Einfallstor für Cyberangriffe. Wie es weitergeht mit den Cybergefahren zeigt sich spätestens im Mai 2024, wenn die 18. Auflage des RMC in Hamburg ansteht.