"Aus der Vergangenheit kann jeder lernen. Heute kommt es darauf an, aus der Zukunft zu lernen." Was der ehemalige US-amerikanische Stratege Herman Kahn einst sagte, bekommt in unseren Tagen ein besonderes Gewicht – ist aktueller denn je. Der Grund? Die globale Welt ist voller Risiken und Chancen, sei es im politischen, gesundheitlichen, gesellschaftlichen oder wirtschaftlichen Umfeld. Kurz um: Die aktuelle Risikolandkarte ist breit gefächert und ein vorausschauender Blick gehört für Risikomanager zum Pflichtprogramm. Dies ist eine Erkenntnis des ersten Veranstaltungstages zum RiskNET Summit 2014 in Ismaning. Frank Romeike, Geschäftsführer von RiskNET und Initiator des RiskNET Summit, formulierte es in seiner Eröffnung vor rund 130 Teilnehmern aus Wirtschaft, Wissenschaft und dem öffentlichen Sektor so: "Es gibt keine spannendere Zeit, um über Risikomanagement zu sprechen." Den Beweis traten namhafte Referenten an. Der Tenor: Die Welt wird komplexer und Prävention tut Not – in allen Bereichen und für Organisationen jeder Größe.
Cybersicherheit: Wir haben viel zu bieten und viel zu verlieren
75.000 Arbeitsplätze und 50 Milliarden Euros. So hoch ist das Bedrohungspotenzial durch Wirtschaftsspionage in Deutschland. Damit zählt Wirtschaftsspionage zu den großen Themen. Darauf verwies Michael George, Leiter Cyber-Allianz-Zentrum Bayern, in seinem Vortrag zu "Cybersicherheit aus Sicht eines Nachrichtendienstes". Trotz dieser gewaltigen Zahlen fühlen sich viele Unternehmen im Grunde ziemlich sicher und haben viele Bedrohungsszenarien nicht auf dem Radar. Hinzu komme, dass das Thema Cybersicherheit vielfach nicht ernst genommen werde, sieht George die Gefahr für Unternehmen. Denn es fehle das Bewusstsein, da ein Datendiebstahl keine Spuren hinterlasse. Die Krux: Unternehmen merken vielfach nicht, wenn Informationen gestohlen werden und das große Erwachen folgt später – mit fatalen Folgen, wie enorme Kosten und Reputationsverlust.
Nach den Worten von Verfassungsschützer George weckt ein Land wie Deutschland mit seinem Know-how und der Innovationsfähigkeit weltweit Begehrlichkeiten, die kriminelle Banden, konkurrierende Unternehmen und ganze Staaten für sich gewinnen wollen. Und zwar durch einen "IT-Einbruch" in fremde Netze von Unternehmen oder Behörden. "Wir haben viel zu bieten und viel zu verlieren" untermauert George die prekäre Lage, die mit einem enormen Vertrauensverlust in der Bevölkerung einhergeht. Die Kernfrage lautet: Kann der Rechtsstaat uns noch schützen? Folglich herrscht vielfach eine Ohnmacht gegenüber kriminellen Machenschaften im Cyberraum, dem Organisationen und der Bürger wie beim "Hase- und Igelspiel" scheinbar machtlos gegenüberstehen.
Immer mehr Staaten benutzen den Cyberraum als Waffe, um Propaganda zu betreiben, Schadsoftware zu verbreiten oder gezielte und gleichzeitig großangelegte Hackerangriffe zu starten. Neben Staaten wie China oder Russland mischen auch die USA oder Israel im Cyberkrieg mit. Ein Beispiel: Die Schadsoftware "Stuxnet", die 2010 gegen das iranische Atomprogramm eingesetzt wurde. Der technisch hochentwickelte Computerwurm wurde von den USA und Israel gezielt gegen den Iran eingesetzt mit dem Ziel Sabotage zu betreiben. Und an dieser Stelle ist nach Georges Worten eine neue Dimension beim Thema Cybersicherheit erreicht. Denn Stuxnet zielte nicht auf den Datendiebstahl ab, sondern einzig auf Sabotage. Im Grunde eine gefährliche Entwicklung auf dem Weg zur Industrie 4.0. Denn viele Industrieunternehmen sind auf solche Szenarien nicht vorbereitet. Für George ist es im Kontext von Cybersicherheit wichtig, vom Gesetz des Schweigens zur Kultur des Vertrauens zu gelangen.
Michael George ist Leiter des Cyber-Allianz-Zentrums Bayern beim Verfassungsschutz
Demensprechend warb er für das Cyber-Allianz-Zentrum und dafür, die Experten bei Verdacht frühzeitig in den eigenen Prozess einzubinden und vor allem die Awareness gegenüber potenziellen Gefahren in der eigenen Organisation auszubauen.
Die globale Risikolandkarte auf dem Radar
Wie wichtig ein vorausschauender Blick auf potenzielle Risiken ist, untermauerte Dr. Rainer Sachs von der Munich Re. Der Leiter für "Group Accumulation & Emerging Risks" gewährte einen Blick auf die Risikolandkarte der Zukunft aus Sicht des global führenden Rückversicherers. "Es ist schlecht, wenn man nur nach hinten schaut", formulierte Sachs und fügte hinzu: "Wir müssen vorausschauend agieren, bevor etwas passiert." Wichtig, da die Höhe der versicherten Schäden zunimmt, was den Versicherungen Sorge bereitet. In diesem Kontext ist aufgrund der weltweiten Vernetzung von Produktionen, Lieferketten und Warenströmen eine exakte Planung und Analyse potenzieller Risiken für eine Rückversicherung unerlässlich. "Wir suchen die schwachen Signale", so Risikomanager Sachs. Als Beispiel nannte er das Thema Asbest, das die Risikomanager lange Zeit nicht auf dem Radar hatten. Die Folge ist, dass Asbestschäden im Versicherungsumfeld zu den größten Risikofaktoren zählen.
Der promovierte Physiker Rainer Sachs leitet das Referat "Group Accumulation & Emerging Risks" im Bereich Integriertes Risikomanagement bei der Munich Re
Um die globalen Risiken zu erfassen und nach den schwachen Signalen zu suchen, wird das Thema eines vorausschauenden Risikomanagements mit einem interdisziplinären Expertenteam erfolgreich umgesetzt. Und dieses ist nach den Worten von Sachs auch wichtig, um die Bandbreite möglicher Risiken – von der Cybersicherheit bis zur Rohstoffknappheit, Naturkatastrophen oder der Zukunft der Medizin – umfassend in der eigenen Risikolandkarte zu erfassen und auszuwerten. Hierzu hat die Munich Re ein eigenes System aufgebaut, um komplexe Risikofaktoren transparent darzustellen und mithilfe von Ereignisbäumen beispielweise Verknüpfungen von Ereignissen herzustellen. So kommt der Rückversicherer zu neuen Erkenntnissen, die er für ein vorausschauendes und beschreibbares Risikomanagement einsetzen kann. Im Grunde unterstützt solch ein System Unsicherheiten abzubauen und zu schlüssigen Entscheidungsgrundlagen zu kommen. Und dies wird auch vor dem Hintergrund immer entscheidender, dass die technologische Entwicklung am Rande der Beherrschbarkeit steht. Dem Motto "größer, schneller, weiter" folgen beispielsweise viele Infrastrukturprojekte. Die möglichen Folgen müssen Rückversicherer in die eigenen Risikomanagementplanungen aufnehmen, um im Risiko- und Schadensfall damit umgehen zu können.
Denkfehler vermeiden, in Szenarien denken
Die globale Welt im Wandel bringt seit Jahren mehr Risikofaktoren mit sich, die angemessen berücksichtigt werden müssen. Wahrscheinlichkeiten sind nach den Worten von Frank Romeike und Petra Reindl, Geschäftsführerin bei Sixtus, einem Hersteller von Fuß- und Körperpflegeprodukten mit einer langen Historie. Beide stellten in ihrem gemeinsamen Vortrag "Denkfehler im Risikomanagement" klar, dass eine Riskmap häufig blind für die wirklichen Risikofaktoren macht, da sich viele Risiken nicht mit einer Eintrittswahrscheinlichkeit oder einem Schadensausmaß beschreiben lassen. Als Beispiel führte Petra Reindl die Schwankungen beim Papierpreis an. Solch ein Vorgehen führt häufig zu einer reinen Risikobuchhaltung. "Das Erfassen nackter Zahlen ist Risikomanagement-Voodoo, führt in die Sachgasse und liefert den Entscheidern nicht den entscheidenden Mehrwert", erklärt Frank Romeike. Und er ergänzt: "Wer so an das Thema Risikomanagement herangeht, wird im Zweifel irgendwelche Zahlen erhalten, die keine Aussagekraft besitzen."
Petra Reindl, Geschäftsführerin bei Sixtus
Und auch die Intuition ist im Risikomanagement nur bedingt ein guter Ratgeber. Zu schnell tappt man in die Gegenwarts- oder Angstfalle. Die Folge ist, dass beispielsweise Risiken delegiert werden, ohne Verantwortlichkeiten – nach dem Prinzip: Ich höre nichts, ich sehe nichts und sprechen kann ich auch nicht. Fatal für Organisationen und das gesamte Risikomanagement.
Entscheidend sei ein Denken in Szenarien, um zu validen Einschätzungen zu gelangen und damit eine bessere Entscheidungsgrundlage zu erhalten. Hierzu sei nach Reindls Worten keine höhere oder komplexe Mathematik notwendig. Unser menschliches Gehirn denkt nicht in Wahrscheinlichkeiten, sondern in Bandbreiten, ergänzt Frank Romeike. Mit erklärbaren Szenarien lässt sich Transparenz im Risikomanagementprozess erzeugen. Vorausschauend, Risiken mindernd, Chancen wahrend.
Frank Romeike, Initiator des RiskNET Summit 2014