RisikomanagementDrei Szenarien für den richtigen Umgang mit Risiken

Ingenieure, die sich in das Datenverarbeitungssystem eines Automobilherstellers hacken. Ein Virus, der unbemerkt in das Netzwerk einer Hightech-Firma implementiert wird. Mitarbeiter, die in Konkurrenzunternehmen eingeschleust werden. Solche Szenarien sind in Unternehmen längst Realität. Obwohl sich die meisten Unternehmen dieser möglichen Gefahren bewusst sind, gehen viele damit zu leichtfertig um.

Der Grund: Sie sind häufig zu sehr mit operativen Aufgaben beschäftigt, so dass für strategische Überlegungen größtenteils keine oder nur wenig Zeit bleibt. Oder sie überschätzen ihre eigens getroffenen Maßnahmen und gehen davon aus, dass einzelne Aktionen ausreichen, um gut vorbereitet zu sein. Eine umfassende, strukturierte Methode oder Risikostrategie wenden indes nur die wenigsten an; doch genau die sichert im Ernstfall die wirtschaftliche Zukunft des Unternehmens.

Szenario eins: Einer der zuverlässigsten Mitarbeiter erhält die Aufgabe, in einem Entwicklungsteam Steuerungselemente für Windkraftanlagen zu entwickeln. Das Unternehmen will die Konkurrenz damit endgültig hinter sich lassen. Stolz auf seine neue verantwortungsvolle Aufgabe teilt der Mitarbeiter seinen Freunden und Bekannten seine Beförderung mit und schildert ausführlich, wie seine tägliche Arbeit aussieht und welche Fortschritte das Projekt macht. Dies tut er in einem sozialen Netzwerk, in dem auch Mitbewerber mitlesen können. Sie nutzen diese Informationen, um sich ein Bild vom Entwicklungsstand des Unternehmens zu machen. Oder sie versuchen, den Mitarbeiter abzuwerben.

Unternehmen können mit der Regelung von Betriebsgeheimnissen diesen Situationen zuvorkommen. Dabei unterschreiben die Mitarbeiter bei Eintritt ins Unternehmen eine Erklärung, die festlegt, dass Betriebsgeheimnisse nicht geteilt werden dürfen – weder mit Freunden noch Geschäftspartnern oder gar Fremden. Auch der Umgang mit sozialen Netzwerken sollte darin detailliert geregelt werden. Wichtig ist, genau zu definieren, was unter einem Betriebsgeheimnis zu verstehen ist beziehungsweise welche Informationen nicht an Dritte weitergegeben werden dürfen wie etwa Geschäftsbilanzen, Kunden- und Auftragsdaten oder technisches Know-how.

Oft sind sich Mitarbeiter nicht bewusst, welchen Schaden sie durch Unachtsamkeit oder Plaudereien anrichten können. Unternehmen sollten deshalb sogenannte Awareness-Trainings anbieten, in denen sie ihre Mitarbeiter für diese Themen sensibilisieren und sie mit allen Informationen versorgen, die für das Unternehmen wichtig sind:

• Zurückhaltung gegenüber Dritten
• Umgang mit Betriebsgeheimnissen
• Umgang mit sozialen Medien wie Facebook, Twitter oder Xing

Neue Mitarbeiter sollten nicht nur aufgrund ihrer Kompetenzen und Qualifikationen ausgewählt werden. Wichtig ist auch, wie vertrauenswürdig der- oder diejenige ist. Unternehmen sollten daher gemäß den gesetzlichen Anforderungen sorgfältige Background-Checks oder wissenschaftlich fundierte Persönlichkeitstests durchführen.

Szenario zwei: Ein Unternehmen vertreibt seine Waren hauptsächlich über das Internet. Das Geschäft läuft gut. Plötzlich schnellen die Bestellungen schlagartig in die Höhe. Doch der Leiter des Online-Handels überbring eine schlechte Nachricht: Hacker sind ins Online-Portal eingedrunken und haben die Preise verändert. Alle Elektrowaren werden seit Tagen für nur einen Euro angeboten. Wie hätte sich das Unternehmen davor schützen können?

Die meisten Unternehmen behalten jahrelang ihre Passwörter und Zugangskennungen. Sie sollten jedoch für einen regelmäßigen Austausch sorgen und gewährleisten, dass die Passwörter auch wirklich sicher sind. In der Praxis haben sich sogenannte Passwort-Manager als sinnvoll erwiesen. Diese Programme erzeugen automatisch sichere Passwörter und verwalten sie. Der Anwender muss sich nur noch ein Master-Passwort merken, mit dem er Zugang zum Tool erlangt. Zudem ist es sinnvoll, weitere Faktoren wie biometrische Merkmale oder Einmal-Token einzusetzen. Banken arbeiten hier beispielsweise sicher und mobil mit der SMS-TAN.

Professionelle Penetrationstests helfen, Schwachstellen aufzudecken und zu schließen, bevor Angreifer gefährlich werden können. Diese Tests werden am besten von externen Dienstleistern regelmäßig durchgeführt, um die Aktualität der Sicherheitsmaßnahmen zu gewährleisten. Die identifizierten Schwachstellen und Ergebnisse können dann bewertet und in entsprechende Maßnahmen umgesetzt werden.

Sinnvoll ist es außerdem, Updates und Änderungen zu bewerten, bevor neue eingespielt werden. Viele Unternehmen legen in der Praxis darauf aber keinen besonderen Wert, da das mit viel Zeit verbunden ist. Doch jedes Update für sich kann wiederum ein Risiko bedeuten, wenn dadurch bisher noch nicht erkannte oder bekannte Schwachstellen geöffnet werden.

Deshalb: Updates sollten vorher genau analysiert und ermittelt werden, wie sich diese auf die Sicherheit und Stabilität der Applikationen auswirken. Auch eine möglichst schnelle Installation ist zu empfehlen, wenn dadurch Sicherheitslücken geschlossen werden. Ein entsprechend aufgesetztes Verfahren, mit dem Chancen und Risiken abgewogen werden, hilft bei der Entscheidung.

Szenario drei: Ein Unternehmen möchte sich verstärkt mit dem Zukunftsthema erneuerbare Energien beschäftigen und hat Patente für Steuergeräte entwickelt. Um diese allerdings selbst herzustellen, braucht es sogenannte Seltene Erden. Metalle, die nur begrenzt vorkommen. Doch es erhält keinen Zugriff darauf, da nur wenige Länder und Konzerne Zugang dazu haben. Allerdings möchte das Unternehmen auch keine Einkaufspartnerschaft zum Ressourcenerwerb eingehen.

Während Rohstoffe früher in größeren Mengen eingelagert wurden, haben viele Unternehmen ihre Lagerkapazitäten so weit wie möglich reduziert, um Preisrisiken vorzubeugen. Werden für die Herstellung allerdings seltenen Metallen oder Kunststoffe gebraucht, ist es sinnvoll, die Lager aufzustocken. So gerät die Produktion im Ernstfall nicht ins Stocken und Unternehmen müssen kritische Rohstoffe nicht zu überteuerten Preisen einkaufen.

Viele Verbraucher entsorgen ihre Geräte nicht fachgerecht, da sie keinen Anreiz erhalten, diese an den Händler zurückzugeben. Dabei enthalten die Endprodukte wertvolle Rohstoffe, die wiederverwertet werden können und somit teure Neukäufe vermeiden. Aus Mobiltelefonen, Computern oder LCD-Bildschirmen ließen sich beispielsweise Kupfer, Gold und Silber gewinnen.

Unternehmen sollten sich deshalb attraktive Aktionen überlegen, durch die Kunden ihre Geräte zurückbringen. Oder einen kostenlosen Abholservice anbieten, sofern sich das rechnet. Vielleicht lässt sich der für das Produkt wichtigste Rohstoff aber auch ohne Qualitätseinbußen durch einen anderen ersetzen? Bei der Suche nach einem Ersatzprodukt sollten Unternehmen in erster Linie darauf achten, dass dieser leicht verfügbar und qualitativ gleichwertig ist wie der Originalrohstoff.

Viele Unternehmen werden erst dann tätig, wenn es schon fast zu spät ist. Wenn der Hacker bereits zugeschlagen hat, Daten von Kunden in die falschen Hände gelangt oder brisante Informationen zur Konkurrenz abgeflossen sind. Einzelmaßnahmen helfen hier nur wenig. Was vor allem kleinere und mittlere Unternehmen brauchen, ist ein individuelles, auf ihre Bedürfnisse zugeschnittenes Risikomanagement.

Sie müssen sich kritisch mit ihren Aktivitäten, sensiblen Daten und möglichen Risiken auseinandersetzen, Notfallszenarien festlegen, die Technik auf den neuesten Stand bringen und das Sicherheitsdenken fest in den Köpfen aller Mitarbeiter verankern. Vor allem aber dürfen sie die wachsenden Gefahren für ihr Geschäft nicht länger ignorieren, sondern müssen sich systematisch mit ihnen auseinandersetzen und diese gezielt steuern – für einen langfristigen Erfolg des Unternehmens.