99
Liebe Leser und Leserinnen,
vor kurzem gingen Meldungen wie folgende
durch die Presse: „75.000 infizierte Rechner,
dutzende betroffene Länder – Europol spricht
von einer Cyberattacke von beispiellosem Aus-
maß“. Wie sich herausstellte waren von dieser
Attacke mit der Ransomware namens „Wanna
Cry“ (wörtlich übersetzt: „willst Du weinen“)
unter anderem mehrere Krankenhäuser in
Großbritannien, der Telekom-Konzern Telefónica
in Spanien oder auch russische Behörden
betroffen. Der französische Autobauer Renault
stellte infolge des Angriffs sogar die Produktion
an mehreren Standorten in Frankreich ein.
Zwar war dies eine der weitreichendsten Cyber-
attacken in letzter Zeit, aber keinesfalls die
einzige. Muss man nun bei diesen wiederholten
Cyberattacken davon sprechen, dass das Risiko-
management sowohl auf betrieblicher als auch
auf staatlicher Ebene versagt hat? Oder anders
gefragt: Was können Risikomanagement-
Maßnahmen hier überhaupt zur Risikovermei-
dung oder zumindest -reduktion beitragen?
Liest man den – fast schon prophetischen – Bei-
trag zum Thema Computer Security nur wenige
Wochen vor „Wanna Cry“, am 8. April, im Eco-
nomist, dann könnte man geneigt sein anzuneh-
men, dass alle Risikomanagement-Maßnahmen
in der Tat zwecklos sind. Der Beitrag beginnt
nämlich mit dem Statement: „Computers will
never be secure.“ Auch wenn man sich die zahl-
reichen Warnmeldungen über Sicherheitslücken
in verschiedener Software auf der Website des
deutschen Bundesamts für Sicherheit in der
Informationstechnik ansieht, dann versteht man
die Argumentation im Beitrag des Economist,
dass eine vollständige Sicherheit bzw. ein
komplettes Ausschalten von Risiken mit Compu-
tern und dem Internet nie möglich sein wird.
Muss dann der (IT-)Risikomanager vor den
Risiken kapitulieren?
Nein! Einerseits gibt es sowohl auf Ebene der
Unternehmen als auch auf staatlicher Ebene
doch noch Möglichkeiten die IT-Risiken zumin-
dest in gewissem Maße zu begrenzen. Das ein-
gangs erwähnte Beispiel „Wanna Cry“ zeigt dies
beispielhaft auf: Hätten alle Anwender frühzeitig
das notwendige Update zum Schließen der
Sicherheitslücke in den Microsoft-Programmen
eingespielt und zusätzlich auch Backups aller
wichtigen Dateien angelegt, so wären die Schä-
den minimiert worden. Außerdem haben
Geheimdienste in den USA die Sicherheitslücke
sehr frühzeitig erkannt, aber bewusst geheim
gehalten, um diese Lücken für eigene Zwecke zu
nutzen. Hätte hier der Staat anders agiert und
vor den Sicherheitslücken gewarnt, hätten diese
Lücken auch nicht kriminell ausgenutzt werden
können. Risikomanagement-Maßnahmen sind
somit auch im Bereich von Cyber-Risiken nicht
wirkungslos – auch wenn eben die vollständige
Risikolosigkeit in diesem Bereich auch nicht
annähernd erreicht werden kann.
Andererseits, und das ist ein ganz wesentlicher
Aspekt zum Verständnis von Risikomanagement,
besteht die Aufgabe des Risikomanagers nicht
alleine oder gar hauptsächlich darin alle Risiken
„aus dem Weg zu räumen“. Bei einer nicht sicher
vorhersehbaren Zukunft, in der eben Risiken vor-
handen sind, muss der Risikomanager vielmehr
dafür sorgen, dass durch adäquate Analyse und
Quantifizierung von Risiken ausreichende Trans-
parenz geschaffen wird, damit Management-
Entscheidungen rational getroffen werden
können. Risikomanagement ist nämlich nicht
gleichzusetzen mit Risikovermeidung, sondern
hat zur Kernaufgabe die Herbeiführung von
rationalen und bestmöglich informierten Ent-
scheidungen unter Unsicherheit.
Die beiden hier skizzierten Aspekte von Risiko-
management, einerseits Maßnahmen zur Risiko-
begrenzung, speziell auch im Bereich von
Cyber-Risiken, und andererseits die Verbesse-
rung unternehmerischer Entscheidungsfindung
unter Unsicherheit, werden im Rahmen des
Risk Management Congress der RMA am
16. / 17. Oktober prominent beleuchtet werden.
Darüber hinaus wird auf der zweitägigen Jahres-
konferenz ein breites Themenspektrum aus den
Disziplinen Governance, Risikomanagement und
Compliance geboten. Also: Kein Grund zu wei-
nen – die RMA-Jahreskonferenz bietet Ihnen die
notwendigen Informationen für die Navigation
durch die unsichere Umwelt. Seien Sie dabei! //
Ich wünsche in viel Spaß beim Lesen,
Jan Offerhaus
TOP
EVENT
05. Juli 2017
– Sitzung des Arbeitskreises
„Risikomanagement-Standards” bei EY in München
06. Juli 2017
– Sitzung des Arbeitskreises
„Risikoquantifizierung” bei AIG in Frankfurt / M
10. Juli 2017 -
Sitzung des Arbeitskreises
„Human Risk Factors” in der Hochschule für Technik
(HFT) in Stuttgart
14. Juli 2017
– 22. Sitzung des Arbeitskreises
„Integriertes Risikomanagement” bei der BDO in
Hamburg
Bereits jetzt vormerken!
16. /17. Okt. 2017
– Risk Management Congress
2017 – Die 12. RMA-Jahreskonferenz in Nürnberg
Impressum
Ralf Kimpel
Vorsitzender des Vorstands der
Risk Management Association e. V.
V.i.S.d.P.
RMA-Geschäftsstelle
Risk Management Association e. V.
Englmannstr. 2, D-81673 München
Tel.: +49.(0)1801 – RMA TEL (762 835)
Fax: +49.(0)1801 – RMA FAX (762 329)
E-Mail:
Web:
Prof. Dr. Werner Gleißner
Tel.: +49.(0)711- 79 73 58 30
CM Juli/ August 2017
Zum Weinen ? – „Wanna Cry“
oder Risikomanagement bedeutet nicht nur Risikovermeidung
Jan Offerhaus, Mitglied des Vorstands der RMA