Aufrufe
vor 1 Jahr

RISIKO MANAGER 09.2018

  • Text
  • Risikomanagement
  • Risiken
  • Unternehmen
  • Informationen
  • Strategische
  • Risiko
  • Strategischen
  • Chancen
  • Digitalisierung
  • Transparenzanforderungen
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

28

28 RISIKO MANAGER 09|2018 Was ist riskant? Eine neue Art der Risikobetrachtung Ein Risiko abzuschätzen bedeutet, den Eintritt eines negativen Ereignisses vorherzusagen. Gilt das auch für die IT? Kann man wirklich mit einer gewissen Wahrscheinlichkeit abschätzen, ob ein Hacker eine bestimmte Firma angreifen und wie groß der daraus resultierende Schaden sein wird? Unser Autor nähert sich dem Thema aus einer gänzlich neuen Blickrichtung. Das Thema Risikobetrachtung ist so alt wie die Menschheit. In der antiken Sage von Dädalus und Ikarus versucht der Erfinder Dädalus mit seinem Sohn vor einem Tyrannen zu fliehen, indem er aus Federn und Wachs Flügel baut. Er warnt seinen Sohn, nicht zu riskant und nicht zu nah an der Sonne zu fliegen. Natürlich wird das Risiko von seinem Sohn falsch eingeschätzt, was zu seinem Tod führt. Schaut man bei Google nach dem Schlagwort Risiko, so findet man fast 67 Millionen Einträge. Und auch in der Musik kommt dieses Thema vor. Laut Musikdatenbanken gibt es mehr als 2.500 Songs, die das Wort „Risk“ enthalten. Darunter auch der letzte Bond-Song. Dort heißt es: „If I risk it all, do you break my fall?“. Dieser Liedtext beschreibt sehr gut, dass man oft versucht, die Auswirkungen eines Risi- kos zu verringern. Doch was ist ein Risiko? Wie kann man es einschätzen? Ein Risiko ist verbunden mit dem Eintreten eines negativen Ereignisses, mit einer gewissen Wahrscheinlichkeit und einer klar definierten Auswirkung. Also zum Beispiel eine 33-prozentige Wahrscheinlichkeit, dass innerhalb eines Jahres der Schaden eines bestimmten Ereignisses 10.000 € Schaden erzeugt. Diese Betrachtung ist wichtig für die Versicherungswirtschaft. Doch wie groß ist die Wahrscheinlichkeit, dass ein Hacker eine bestimmte Firma angreift? Kann man wirklich abschätzen, wie hoch der Schaden sein wird? So ist zum Beispiel der Reputationsschaden, wenn Kundendaten geklaut wurden, im Voraus sehr schwer einzuschätzen. Doch bevor wir eine neue Methode betrachten, sollten wir uns ansehen,

OpRisk 29 wie schwer es ist, Risiken aus vorsätzlichen Handlungen wie zum Beispiel Hacking einzuschätzen. Wahrscheinlichkeit maliziöser Handlungen Wie groß ist die Wahrscheinlichkeit, dass ein Hacker angreift? Dass ein Virus den Virenscanner überlistet? Statistiken helfen hier wenig. Die Zahl der kleinen mittelständischen Unternehmen in Deutschland beträgt ca. 3,5 Millionen. Die Zahl der im Jahr 2017 gemeldeten Fälle von Datenmanipulation beträgt etwa 3.500. Dies würde statistisch bedeuten, dass nur jedes 1000. dieser Unternehmen Opfer einer solchen Computerattacke wird. Aus Angst vor Reputationsverlust bei einer Offenlegung des Vorfalls – oder weil man es im Unternehmen gar nicht bemerkt, dass Daten verändert wurden – ist die Dunkelziffer der betroffenen Unternehmen viel höher. Jeder kennt sicherlich im privaten Umfeld ein KMU (oder eine Gemeindeverwaltung), die von den Viren Wannacry oder Notpetaya getroffen wurde, die zu einer umfassenden Verschlüsselung von Daten führten. Twin Towers – eine Wahrscheinlichkeitsbetrachtung Im Jahr 2001 kam es zu einem der schlimmsten Terrorakte der Neuzeit. Zwei Passagierflugzeuge wurden mit wenigen Minuten Abstand von fanatischen Entführern in jeweils einen der Twin Towers des New Yorker World Trade Centers gelenkt. Das führte zum Einsturz der Hochhäuser und Tausenden Opfern. Betrachtet man – unabhängig von dem entsetzlichen Blutbad – die Wahrscheinlichkeiten aus Sicht der klassischen Risikoanalyse, so ist die Wahrscheinlichkeit, dass ein Flugzeug einen solchen Turm rammt, kurz vor dem Unglück viel kleiner als einmal in 100 Jahren (wenn man etwa 100 Jahre für die Zeit der Flugzeuge ansetzt, denn Hochhäuser sind noch älter). Im Moment des ersten Flugzeugeinschlags hat man dann die Wahrscheinlichkeit von etwa einmal in 100 Jahren. Und schon wenige Minuten später geschieht das Unfassbare, ein zweites Flugzeug trifft den anderen Turm des WTC und veränderte die Wahrscheinlichkeit eines solchen Ereignisses von nahezu Null über einmal in hundert Jahren zu zweimal innerhalb einer Stunde. Das zeigt, wie schwer es ist, bei vorsätzlichen Handlungen eine Eintrittswahrscheinlichkeit abzuschätzen. Wahrscheinlichkeit des Unbekannten Bestimmte IT-Gefahren sind schon sehr lange bekannt. Einer der ersten Computer, der Z1, fiel 1946 kurz nach seiner Erstkonstruktion aufgrund einer Motte aus, die in dem Relay-Computer verglühte und einen Kurzschluss auslöste – daher stammt auch das Wort Bug (Käfer) für Fehler. Ein Ausfall, den niemand vorhersah. 1983 kam es zum ersten Computervirus, im gleichen Jahr zum sogenannten BTX- Hack des Chaos Computer Clubs. Ende der 90er-Jahre des letzten Jahrhunderts gab es die ersten Phishing-Mails. Doch selbst in den letzten Jahren – ca. sieben Jahrzehnte nach dem ersten Bug in einem Computer, kommt es noch zu neuartigen „Angriffen“, wie z. B. dem CEO Fraud, bei denen arglose Prokuristen eines Unternehmens dazu gebracht werden, große Geldbeträge an unbefugte Personen im Ausland zu überweisen. Fast täglich kommen in der Cyberwelt neue Gefahren und neue Angriffe hinzu, an die niemand zuvor gedacht hat. Viele sind so ungewöhnlich, dass sie die Hersteller des betroffenen Produkts vollkommen überraschten, wie der Hack von Heizungsthermostaten, Fernsehern oder der von über WLAN steuerbaren Glühlampen. Wer hätte dies abzuschätzen vermocht? (Un-)Wahrscheinliche Auswirkung 1999 zerschellte die Sonde Climate Orbiter auf dem Mars, weil die internationalen Entwicklerteams mal in Zoll und mal in Zentimeter gerechnet hatten – ohne die Maßeinheit anzugeben. Im Jahr 2012 entdeckte man den systematischen Diebstahl von Ahornsirup aus der staatlichen kanadischen Notreserve. Der Diebstahl umfasste 5.000 Tonnen Ahornsirup. 2017 richtete ein Verschlüsselungstrojaner bei Maersk einen Schaden in Höhe von 300 Mio. € an, weil weltweit keine Schiffe der dänischen Reederei mehr entladen werden konnten. 2016 versuchten Hacker einen digitalen Bankraub in Bangladesch, der nur aufgrund eines Tippfehlers der Hacker schon bei einer geraubten Summe von 180 Mio. US-$ entdeckt wurde – eigentlich wollten die Bankräuber eine Milliardensumme erbeuten. Jeder einzelne dieser Fälle wäre so von keinem Risikomanager der Welt eingeschätzt worden. Die sinnvolle Vorhersage eines vorsätzlich herbeigeführten Schadens ist rein spekulativ. Hier gilt der alte Merksatz: Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer als in der Theorie. Was lernen wir daraus? Zunächst: Das Leben ist unberechenbar! Unwahrscheinliche Ereignisse und unerwartete Auswirkungen machen die Vorhersage von Ereignissen wie Hacking-Angriffen, Computerviren oder Systemausfällen durch Sabotage zu einer reinen Spekulation. Was gehackt werden kann, wird gehackt, ganz egal, ob es sich um ein Fernsehgerät, WLAN-Glühbirnen oder sogar – wie es 2015 in Kanada geschah – eine Keksfabrik handelt. Dabei ist das Schadensausmaß meist weit höher, als die größten Pessimisten im Unternehmen es vorhergesagt hätten. Im Fall der Keksfabrik verstopften die Rohre durch den Teig, und die komplette Fabrikationsanlage musste ausgetauscht werden. Auch der oben erwähnte Bankraub mit dem Ziel, 1 Mrd. US-$ zu erbeuten, ist schwer vorstellbar. Daher sollte man stets davon ausgehen, dass die Eintrittswahrscheinlichkeit in naher Zukunft nahezu 100 Prozent beträgt – und sei es durch schnell wachsende Möglichkeiten des Hackings. Die Schadenshöhe ist immer weit höher als erwartet. Und die hinzukommenden Reputationsschäden können eine Firma durchaus an den Rand des Ruins treiben. Somit brauchen wir einen anderen Weg, der im folgenden beschrieben wird.

RISIKO MANAGER

RISIKO MANAGER 01.2019
RISIKO MANAGER 02.2019
RISIKO MANAGER 03.2019
RISIKOMANAGER_04.2019
RISIKO MANAGER 05.2019
RISIKO MANAGER 06.2019
RISIKO MANAGER_07.2019
RISIKO MANAGER 08.2019
RISIKO MANAGER 09.2019
RISIKO MANAGER 10.2019
RISIKO MANAGER 01.2018
RISIKO MANAGER 02.2018
RISIKO MANAGER 03.2018
RISIKO MANAGER 04.2018
RISIKO MANAGER 05.2018
RISIKO MANAGER 06.2018
RISIKO MANAGER 07.2018
RISIKO MANAGER 08.2018
RISIKO MANAGER 09.2018
RISIKO MANAGER 10.2018
RISIKO MANAGER 01.2017
RISIKO MANAGER 02.2017
RISIKO MANAGER 03.2017
RISIKO MANAGER 04.2017
RISIKO MANAGER 05.2017
RISIKO MANAGER 06.2017
RISIKO MANAGER 07.2017
RISIKO MANAGER 08.2017
RISIKO MANAGER 09.2017
RISIKO MANAGER 10.2017
RISIKO MANAGER 01.2016
RISIKO MANAGER 02.2016
RISIKO MANAGER 03.2016
RISIKO MANAGER 04.2016
RISIKO MANAGER 05.2016
RISIKO MANAGER 06.2016
RISIKO MANAGER 07.2016
RISIKO MANAGER 08.2016
RISIKO MANAGER 09.2016
RISIKO MANAGER 10.2016
RISIKO MANAGER 01.2015
RISIKO MANAGER 02.2015
RISIKO MANAGER 03.2015
RISIKO MANAGER 04.2015
RISIKO MANAGER 05.2015
RISIKO MANAGER 06.2015
RISIKO MANAGER 07.2015
RISIKO MANAGER 08.2015
RISIKO MANAGER 09.2015
RISIKO MANAGER 10.2015
RISIKO MANAGER 11.2015
RISIKO MANAGER 12.2015
RISIKO MANAGER 13.2015
RISIKO MANAGER 15-16.2015
RISIKO MANAGER 17.2015
RISIKO MANAGER 18.2015
RISIKO MANAGER 19.2015
RISIKO MANAGER 20.2015
RISIKO MANAGER 21.2015
RISIKO MANAGER 22.2015
RISIKO MANAGER 23.2015
RISIKO MANAGER 24.2015
RISIKO MANAGER 25-26.2015
 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.