Es gibt eine Konstante im Risikomanagement und das ist die Geopolitik. Die Überschrift könnte lauten: Die Welt befindet sich in unsicheren Zeiten – auf allen Kontinenten, um an das Thema Reisen anzuknüpfen. Professor Günther Schmid, ehemals Bundesnachrichtendienst, eröffnete den zweiten Tag des RiskNET Summit 2018 mit seinem Blick auf die Landkarte der geopolitischen Risiken. Die Geopolitik feiert nach Günther Schmids Worten eine Renaissance. Abfolge an geopolitischen Krisen in den letzten zehn Jahren, wie Schmid sie bis dato nicht erlebt habe. Geopolitik ist nicht tot, sondern so lebendig wie nie.
Günther Schmids Diagnose lautet: "Wir leben in einer Zeitenwende mit drei Stresstests." Es sind deutliche Risse in der Weltordnung erkennbar. Unsere Zeit sei durch eine apolare Welt gekennzeichnet, die keine Regeln mehr habe. Trump testet das demokratische System – bis zum Anschlag. Das sei der erste Stresstest. Unerfahrenheit und unprofessionelles Handeln kennzeichne das diplomatische Vorgehen Trumps. Der US-Präsident nimmt Abschied von der Wertegemeinschaft des Westens. Die Welt ist eine Arena des Kampfes von Akteuren. Der US-Präsident befindet sich in einem permanenten Kampfmodus. Über Tweets kommuniziert Trump jeden Tag direkt mit dem Volk. Keine Verlässlichkeit, sondern disruptive Politik. Politik wird nach Schmids Worten mit der Abrissbirne gemacht. China teile die Meinung über Donald Trump nicht. Vielmehr sehe man Trump einer rationalen Politik folgend.
Professor Günther Schmid, ehemals Bundesnachrichtendienst
Vom Testen der Weltordnung und der technischen Hoheit
Russland, China und die USA testen die Weltordnung. Das sei der zweite Stresstest. "Alle drei Akteure verfügen über eine hohe Machtkonzentration", so Schmid. Aber ihre Macht reiche nicht aus, um ihre Ziele in Gänze umzusetzen. Aber sie haben weltweit Zerstörungsmacht. Russland, China und die USA testen die Belastbarkeit der Weltordnung.
Stresstest drei: China prüft permanent seine Stellung in der Welt – vor allem gegenüber den USA. China strebt ein Jahrhundertprojekt an. Es soll mit Technologie und Digitalisierung die vollkommene Kontrolle über die Bevölkerung erlangt werden. Schmid nennt es eine technikbasierte Welt. "China hat eine Strategie, wir haben keine", zitiert er Sigmar Gabriel. China investiert in Griechenland, Ungarn, Serbien und dringt damit in die Machtsphäre der EU ein. Die Ungleichheit innerhalb Chinas sei enorm und werde zur Achillesferse für den Staat. Die Wachstumsrate sei ein weiteres Risiko für China. Denn das Land brauche acht Prozent Wachstum, wohingegen dieser Zahl real nur 6,5 Prozent gegenüberstünden.
Wir sind Zeuge eines Kampfes um die technologische Hoheit sowie um politische Systeme, ausgetragen von den USA und China. Diese Auseinandersetzung wird die Welt massiv betreffen. Die USA tritt als globale Ordnungsmacht ab, bleibt aber als Weltmacht erhalten. Keine andere Macht will an die Stelle der USA als neue Ordnungsmacht treten. Ein weiteres Thema sei der unaufhaltsame Migrationsstrom, vor allem von Afrika ausgehend. Dies ist ein Thema, das in der deutschen Politik kaum eine Rolle spielt.
"Wir stehen vor einem großen Strategiewechsel in der Entwicklungszusammenarbeit", fasst Schmid das Thema zusammen. Zudem wachse der Druck des Wandels in der deutschen Außenpolitik. Wir leben auf einer Insel der Glückseeligen. Von dieser Insel müssen wir uns verabschieden und eine Reise Richtung Ungewissheit antreten. Aber ohne Krise keine Chance, auf der Suche nach neuen Horizonten.
Attacken, Terroristen, Cyber-Trends
In seinem Beitrag zum Thema der Cyber-Risiken zeigte Martin Kreuzer, Leiter Corporate Underwriting für Cyber-Risiken beim Rückversicherer Munich Re, wie Cyber-Attacken Einflüsse auf einen Versicherer haben können. Dabei steht die Frage nach den Vermögenswerten im Mittelpunkt. Die Bandbreite an Risiken ist groß und erstreckt sich von Cybercrime über Cyberwar bis zum Cyber-Terrorismus und Hackern. Die Motivation dies zu tun ist ebenfalls vielfältig – sei es Geld, Spaß, Ideologie oder Politik.
Martin Kreuzer, Leiter Corporate Underwriting für Cyber-Risiken beim Rückversicherer Munich Re
Martin Kreuzer eröffnete am Beispiel des Cyber-Terroristen Junaid Hussain den Wertegang eines Cyber-Kriminellen vom "Skript Kiddie" zum Terroristen. Sein messbarer Erfolg zeigte sich in einer Sozialmedia-Kampagne im Vorfeld des IS-Angriffs und der Einnahme der irakischen Stadt Mossul. Aufgrund eines digitalen Bombardements in sozialen Netzwerken bereitete Hussain dem IS (ISIS) den Boden. Die Hauptmotive von Cyber-Terrorismus liegen in der Kommunikation, der Propaganda, der Rekrutierung und letztendlich Cyber-Angriffen.
Bei ISIS oder Al Quaida zeigt sich eine hohe Medienkompetenz in der Außendarstellung. Sei es mithilfe eines eigenen Medienzentrums, einer Foundation oder mit hochwertigen Publikationen. Auch in Deutschland schätzt der Verfassungsschutz noch rund 20.000 offene Seiten des Jihadismus. Mit "kybernetiq" bringen die Terroristen ein eigenes Fachmagazin in deutscher Sprache heraus – professionell in Layout und Inhalt. Ein Blick auf die globale Landkarte zeigt, dass unter anderem die USA, Russland, Nordkorea oder China führend sind beim Thema "Cyber-Warfare". Bei seinem Ausblick zeigte Kreuzer, wo die Reise beim Thema Cyer-Warfare und -Terrorismus hingeht. Neben dem Ausnutzen von Schwachstellen im Internet of Things, geht es verstärkt um mobile Attacken (unter anderem Mobile device locks), Manipulationen von Social Bots oder dem Angriff auf kritische Bereiche, wie die Energieversorgung.
"Kampf gegen digitale Datendiebe" lautete der Vortrag von Michael George vom Cyber-Allianz-Zentrum in Bayern. Die Akteure im Netz schauen wie weit sie mit Cyber-Attacken kommen können – von Jugendlichen bis zum Hacking-Profi. Die Sicherheitslage betrifft alle Bereiche des öffentlichen und wirtschaftlichen Lebens.
Es bestehe eine Situation zwischen permanenter Informationsflut zu Sicherheitswarnungen bis hin zum Desinteresse. Spionage sei das zweitälteste Gewerbe der Welt und verändert sich. Die Digitalisierung macht es möglich und birgt aufgrund der Vernetzung ganz neue Risikofelder. "Für die Automobilbranche hat IT-Sicherheit heute eine ganz andere Bedeutung als früher", erklärt George. Die Gefahren gehen mit einer Militarisierung des Internets einher. Der Cyber-Raum sollte besser geschützt werden. Dem stehe laut George die Uneinigkeit auf internationaler Bühne entgegen. Der Verfassungsschützer gibt zu bedenken, dass Nachrichtendienste zunächst das Internet bemühen, um Informationen über eine Person zu bekommen. Erfolgreich sind besonders die Cyber-Angriffe, wenn der Menschen involviert sind.
Michael George vom Cyber-Allianz-Zentrum in Bayern
Als Beispiel nennt George das CIO-Fraud, um Geld aus Unternehmen abzuziehen. Als konkreten Trend sieht er keine direkten Angriffe mehr, sondern die jeweilige Infrastruktur und der Provider. Angriffe auf Router innerhalb des Netzwerks ist nach Georges Meinung ein weiterer Trend sowie der "Faktor" Mensch als Angriffsziel.
Ein Trend bei der Abwehr ist unter anderem die Suche nach neuen Strategien. So sei die Grundlage heutiger Strategien, die Zeit nach einem Angriff bis zur Entdeckung zu verkürzen. Rund 200 Tage dauert es, bis Unternehmen einen Angriff bemerken. Hierzu braucht es neue Methoden, wie Analysen oder neue Tools, sowie vor allem Vertrauen in das Bayerische Landesamt für Verfassungsschutz. Dies fehle leider in vielen Fällen noch. Denn betroffene Unternehmen haben oft Angst, dass der Angriff öffentlich wird.
Aggregieren, Simulieren und Mitarbeiter mitnehmen
Tim-Benjamin Bohmfalk, Leiter Risiko- und Compliancemanagement bei der EDEKA AG, nahm die Besucher mit auf eine Reise in einen Handelskonzern. Er erklärte im Vortrag zu "Quantitativen Methoden in der Praxis des Risikomanagements und der Unternehmenssteuerung" unter anderem die Risikoermittlung innerhalb des Unternehmens. Typische Fehler bei der Risikoermittlung entstünden nach Bohmfals Worten unter anderem bei der Ermittlung der Gesamtrisikoposition durch eine reine Addition von Risiken oder Pauschalrückstellungen. Wie sollte die Lösung aussehen? Die Antwort: Mithilfe der Beschreibung von Risiken auf Basis von Szenarien und Verteilungsfunktionen, Stichwort Bandbreiten. Das Gesamtrisiko ermittelt EDEKA mithilfe der stochastischen Szenario-Simulation. Bohmfalk empfiehlt Einzelrisiken zu erfassen und mit Zahlen zu hinterlegen. Wichtig sei auch die Aggregation und Simulation mit einer guten Software sowie eine saubere Auswertung der Ergebnisse.
Tim-Benjamin Bohmfalk, Leiter Risiko- und Compliancemanagement bei der EDEKA AG
Über den Aufbau eines Risikomanagementsystems in der Unternehmenspraxis informierte Jens Schauffert, Risikomanager bei der EDEKA Handelsgesellschaft Nord mbH. Schauffert zeigte mithilfe der Risikomanagement-Roadmap die einzelnen Bausteine und Phasen auf – von der Orientierungs- bis zur Rolloutphase. Risikomanager Schauffert hob vor allem die Orientierungshase hervor, um den Weg hin zu einem zukunftsweisenden Risikomanagement solide festzulegen. Neben Standards (ISO 31000/IDWPS 340) gehören hierzu auch das Literaturstudium und das Netzwerk sowie das Thema Weiterbildung.
Wichtig sei nach den Worten von Jens Schauffert bei der Einführung eines Risikomanagements, sich zunächst einen Piloten auszuwählen und daran zu wachsen. Hinzu kommen Schulungen der Bereichsleitung sowie Risikomanagement-Schulungen. "Es geht darum, die Kollegen abzuholen", erklärt Schauffert mit Verweis auf die Schulungen bei EDEKA. Hinzu kommen Softwareschulungen, um den Aufbau des Tools zu erklären sowie Risiken einzugeben. Am Ende geht es darum, dass die Mitarbeiter Risiken selbständig eingeben können. Eine abschließende Abstimmung mit der Bereichsleitung. "Denn Geschäftsführer müssen ihre Risiken kennen", resümiert Schauffert.
Jens Schauffert, Risikomanager bei der EDEKA Handelsgesellschaft Nord