Rückblick
Ein Rundgang durch das Firmengelände eines Maschinenbauers. Ein unscheinbarer Schuppen, in dem Fässer mit Schmiermitteln stehen. Mittendrin an einem Pfosten angepinnt: ein Zettel mit einer Rezeptur für den optimalen Mix dieser Mittel für den Betrieb der hergestellten Maschinen. Wie sich herausstellt, ist dies eines der zentralen Geheimnisse der Firma, ein kritischer Wettbewerbsvorteil. Was in der analogen Welt ein ungläubiges Kopfschütteln hervorruft, gibt es in der digitalen Welt öfter als man glauben möchte: ungeschützte Vermögenswerte. Wie man diese überhaupt erkennt und was der Schutz digitalisierter Vermögenswerte konkret heisst, war das Thema der Jahrestagung.
Cornel Furrer, InfoSec, gab den Teilnehmenden konkrete Hilfestellung bei der «Trüffelsuche» nach Vermögenswerten. Im digitalisierten Umfeld existieren spezielle Risikofelder: Aufbewahrungs- und Speicherorte ohne Grenzen, verfälschte Informationen welche zu zu drastischen Fehlentscheiden führen können oder ein einfacher Netzwerkausfall, welcher das das Unternehmen handlungsunfähig macht. Oft wird ein Verlust überdies gar nicht erkannt. Ein einheitliches Schutzniveau macht dabei in den wenigsten Fällen Sinn und ist ökonomisch kaum zu rechtfertigen. Vielmehr gilt es, jedem schützenwerten Objekt einen Eigner zuzuweisen, welcher das Schutzniveau desselben nachvollziehbar definiert und mit den dazu notwendigen Aufgaben, Verantwortlichkeiten und Kompetenzen betraut ist. Was einfach klingt, wird in der Praxis zunehmend schwierig: klare und eindeutige Verantwortlichkeiten scheinen in der agilen Welt immer weniger Platz zu haben. Der Referent zeigt konkret auf, welche Kriterien man bei der Ermittlung des «Schutzbedarfes» berücksichtigen sollte. Pro Schutzklasse müssen dann die konkreten Anforderungen definiert werden. Diese «vererben» sich über alle «Informationsträger» hinweg – das sind IKT-Anwendungen und –Infrastrukturen, physische Infrastrukturen, Mitarbeitende und Dienstleister bzw. Lieferanten. Wichtig ist darüber hinaus, dass das System immer wieder einem Realitätscheck unterworfen wird, denn: Papier ist geduldig. Wie man diese Herkulesaufgaben bewältigt? «Klein anfangen!» ist der Rat des Referenten. Cornel Furrer erachtet drei bis fünf Jahre bis zu einem wirksamen Schutzkonzept in einem Unternehmen als realistisch. Auch auf die Gretchenfrage «was darf das kosten» gibt es eine Antwort, die den Risikomanagern gefallen dürfte: «Das hängt davon ab, wieviel Risiken das Unternehmen tragen will und kann».
Nach dieser Grundlagendiskussion ging es um die speziellen Spielregeln, die im Innovationsbereich gelten. Innovation lebt von Kreativität, Probieren, Scheitern und Schnelligkeit. Ist da die Überlegung nach dem Schutz von Vermögenswerten nicht ein Klotz am Bein, eine Innovationsbremse? Nein, meint Marcello Pizzichetta von CSL Behring. Er stellt fest, dass die «klassischen» materiellen und immateriellen Vermögenswerte – auch im Zusammenhang mit der zunehmenden Globalisierung – mit den digitalisierten Unternehmenswerten einen dominierenden Partner erhalten haben. Die Auswirkung auf das Risikoportfolio ist offensichtlich. Risikomanagement bei seinem Unternehmen heisst, die Unternehmenswerte zu schützen. Also auch in der Innovation. Risikomanager brauchen ein anderes Skill-Set als früher. Zum Beispiel braucht es die Fähigkeit, Risiken zu gruppieren und zu konsolidieren: es empfiehlt sich dabei, sich auf die relevanten 3 oder 4 Kernrisiken zu konzentrieren. Eine zentrale Rolle nimmt dabei das Chancenmanagement ein; in einem Umfeld, welches sich denselben Risiken gegenübersieht, gewinnt derjenige, welcher sich am schnellsten auf die Situation einstellen kann.
Dieser positiven Einstellung dem Risikomanagement gegenüber kann sich Lorenz Wyss von der Post anschliessen: Als Innovationsmanager sieht er sich als systematischer De-Risker: «Make sure you build the right it, before you build it right!» Es geht also darum, Unsicherheiten so schnell und gut wie möglich zu eliminieren. Allerdings verfolgt die Post einen grundsätzlich anderen Kurs als das Biotechnologie-Unternehmen: Um zu guten Ideen zu kommen, brauche man den Austausch mit anderen Marktplayern und somit potenziellen Korkurrenten. Eine Idee allein ist nicht schützenswert, erst das umgesetzte marktfähige Produkt. Der beste Schutz ist daher die Schnelligkeit im Sinne einer steilen Lernkurve: schneller mit einer Lösung am Markt zu sein als andere. Auch bezüglich Schutz der immateriellen Vermögenswerten agiert die Post anders: Sie meldet keine Patente an, macht sie sogar oft publik. Kosten-Nutzen-Überlegungen hätten zu diesem Vorgehen geführt, so Wyss. Zwei spannende Gegensätze, wenn es um Schutz der Vermögenswerte in der Innovation geht. Einig sind sich beide aber in einem: Risiken müssen bewusst eigegangen werden.
Bernhard Hamberger, Eidg. Finanzkontrolle, war nun an der Reihe, die Relevanz vom Vermögensschutz in Projekten zu beleuchten. In der Bundesverwaltung existieren eine Menge an Vorgaben und Instrumenten, um den Schutz auch digitalisierter Vermögenswerte über den gesamten Lebenszyklus sicherzustellen. So muss in Projekten analysiert werden, ob allfällige Sicherheitsanforderungen bestehen, die über den sog. «Grundschutz» hinausgehen. Hierbei ist die Risikobetrachtung ausschlaggebend: Welche Risiken ergeben sich für ein Schutzobjekt, und wie hoch ist der Risikoappetit? Anschliessend geht der Referent auf konkrete Risiken ein, die sich aus der agilen Softwareentwicklung ergeben: Die IKS- und Compliance-Systeme folgen noch den «alten» Regeln und hinken somit den Anwendungen, die sich rasch und fortlaufend verändern, hinterher. Auch das Konzept, sogenannte MVP (minimum viable product) rasch als einzelne Lösungskomponenten in Betrieb zu nehmen, widerspricht dem klassischen Konzept der umfassenden Qualitätssicherung und IKS Gestaltung. Er kommt zur Erkenntnis, dass Querschnittsthemen wie Architektur, Sicherheit, IKS und BCM in der «neuen Welt» vernachlässigt werden und eine bewusste Abgrenzung zur Wartungs- und Unterhaltsphase oftmals fehlt. Risikomanagement muss folglich den konstanten Wandel meistern; der Fokus der Risiko-Verantwortlichen muss auf die Veränderungsprozesse gerichtet werden und nicht auf einen aktuellen Status. Abschliessend stellte er noch das Modell der Finanzkontrolle vor, mit dem sie digitale Transformationsprojekte prüft. Der Katalog mit 19 Risiken ist für Risikomanager ein hilfreiches Instrument.
Abschliessend referierte Lukas Ruf vom Migros-Genossenschaftsbund über die Herausforderungen von Cyber-Security in einer grossen, hybriden Multi-Cloud Umgebung. Da die Migros ein systemrelevantes Retail-Unternehmen ist, ist dessen Schutz von hoher Relevanz. In der multinationalen, heterogenen Unternehmensstruktur ist das zentral gemanagte Enterprise Security Programm ein zentraler Erfolgsfaktor. Unter diesem Schirm agieren Risikomanagement, Security Management und Security Operations sowie das Security Regelwerk quasi Hand in Hand. Die Beziehungen zwischen diesen Einheiten werden mittels Verträgen, welche einheitlichen Prinzipien und Vertrauensebenen folgen, geregelt. Die daraus resultierenden Verantwortlichkeiten werden detailliert umschrieben. Der Referent bringt es folgendermassen auf den Punkt: Zusammenarbeit und Partnerschaften sind der Schlüssel zum Erfolg.
Abschliessend gab es einen spannenden Perspektivenwechsel. Stephan Siegrist, Schweizer Extrembergsportler und Profi-Alpinist, sorgte mit atemberaubenden Bildern, Videos und Geschichten zu seinen Abenteuern in schwindelerregender Höhe bei so manchem Zuhörer für Gänsehaut. Risikomanagement ist zentral – wer zu viel wagt, riskiert das Leben. Der Vortrag definierte das Verständnis vom Umgang mit Risiken bei vielen neu. Beim anschliessende Apéro wurde der rege Austausch weitegeführt.
Die 52. Fachveranstaltung des Netzwerk Risikomanagement fand am 23. Juni in Bern statt.
Die Dokumente finden Sie hier:
Die Folien finden Sie nachfolgend im PDF zum Herunterladen:
