Digital Risk Management

Risiken durch die Digitalisierung vermeiden

14.06.2019
Anzeige  Mit der Digitalisierung von Abläufen und Services verbinden sich nicht nur Vorteile, sondern auch Risiken. Daher ist Digital Risk Management unverzichtbar. Bei der Umsetzung einer entsprechenden Strategie helfen Frameworks, die auf spezielle Risikobereiche zugeschnitten sind.

Deutsche Unternehmen haben die Herausforderung erkannt, angenommen und digitalisieren ihre Geschäftsprozesse und Services. An die 72 Prozent der Firmen passen derzeit ihre Produkte und Dienstleistungen entsprechend an. Das ergab eine aktuelle Studie des Digitalverbands Bitkom. Mehr als die Hälfte der Befragten (53 Prozent) entwickelt sogar völlig neue digitale Angebote und erschließt sich auf diese Weise zusätzliche Einnahmequellen.

Digitalisierung erfordert ein Umdenken. Das gilt nicht nur für Geschäftsmodelle und Prozesse, sondern auch für die Risiken, die mit der digitalen Transformation einhergehen.
Digitalisierung erfordert ein Umdenken. Das gilt nicht nur für Geschäftsmodelle und Prozesse, sondern auch für die Risiken, die mit der digitalen Transformation einhergehen.
Foto: LeoWolfert - shutterstock.com

Doch diese positive Entwicklung hat auch Schattenseiten. Denn durch den digitalen Wandel entstehen neue Risiken. Dazu zählen bekannte Gefahren durch Cyber-Angriffe oder Aktivitäten von den eigenen Mitarbeitern ("Insidern"). Nach Angaben des Bitkom haben 84 Prozent der deutschen Industrieunternehmen in den vergangenen zwei Jahren einen Anstieg solcher Attacken registriert.

Neue Formen von Risiken

Doch sich nur auf Cyber-Angriffe und Risiken durch Insider zu konzentrieren, wäre fährlässig. Gefordert ist vielmehr: Eine Bestandsaufnahme aller Bereiche, die digitale Risiken für Unternehmen und Organisationen mit sich bringen können.

RSA, ein Spezialist für Cybersicherheit und das Management digitaler Risiken, hat acht Arten solcher Risikofaktoren identifiziert:

Cyber-Security, etwa bedingt durch die wachsende Angriffsfläche. Dazu tragen Technologien wie das Internet of Things (IoT) und die Vernetzung von Produktionsanlagen bei.

Schutz personenbezogener Daten:Hier sind gesetzliche Anforderungen zu beachten, etwa durch die EU-Datenschutz-Grundverordnung (DSGVO).

Compliance: Wachsende Datenmengen sowie Ansätze wie IoT und Big Data & Analytics machen es schwieriger, Compliance-Regeln einzuhalten.

Cloud-Computing: Risiken, die mit der Implementierung, dem Betrieb und der Nutzung von Cloud-Computing-Diensten verbunden sind.

Änderungen der Arbeitswelt:Hier spielen Faktoren eine Rolle wie der Trend zu flexiblen Arbeitsorten (Home-Office, mobile Mitarbeiter) sowie zu flexiblen, projektbezogenen Teams.

Risiken durch Dritte: Dies können Freelancer sein, aber auch Fachleute von Partnerunternehmen sowie Administratoren Dienstleistern wie Cloud-Service-Providern.

Prozessautomatisierung: Mögliche Probleme können durch das Automatisieren von Prozessen entstehen. Dieser Punkt wird im Zusammenhang mit autonomen Systemen und dem Einsatz von Künstlicher Intelligenz (KI) immer wichtiger.

Die "Resilience" (Widerstandsfähigkeit) von Geschäftsprozessen, Applikationen und IT-Ressourcen gegen Ausfälle und Störungen.

Unternehmen müssen nach Einschätzung von RSA mehrere Arten von digitalen Risiken im Auge behalten.
Unternehmen müssen nach Einschätzung von RSA mehrere Arten von digitalen Risiken im Auge behalten.
Foto: RSA

Wichtig: Einführung Digital Risk Management

Diese Aspekte machen deutlich, dass Unternehmen bei der Umsetzung einer Digitalisierungsstrategie mit einer Vielzahl von Risikofaktoren konfrontiert sind. Diese betreffen nicht nur IT-Ressourcen, sondern auch geschäftsbezogene Prozesse. Daher ist es notwendig, ein Digital Risk Management zu implementieren. Es erfasst und minimiert digitale Risiken aller Art.

Ein Digital Risk Management berücksichtigt zum einen, welche Auswirkungen der Einsatz von Technologien wie etwa Cloud-Computing, IoT, Big Data oder KI auf den Geschäftsbetrieb hat. Im Detail gilt es beispielsweise zu klären, welche Folgen der Ausfall einer Cloud-basierten ERP-Lösung oder einer IoT-Plattform auf Geschäftsabläufe hat. Das heißt, es findet eine Analyse auf der vertikalen Ebene statt.

Zum anderen erfasst ein Digital Risk Management auf der horizontalen Ebene den Einfluss der diversen Risikobereiche, etwa IT-Sicherheit, Compliance oder Risiken durch Dritte. Dieser ganzheitliche Ansatz berücksichtigt Technologien, Geschäftsprozesse und die Geschäftsziele eines Unternehmens gleichermaßen.

Umsetzung mithilfe von Frameworks

Doch wie lässt sich ein effektives und effizientes Digital Risk Management in der Praxis umsetzen? Ein praktikabler Lösungsansatz, den auch RSA forciert, sind Digital Risk Frameworks. Sie stellen Verfahren bereit, mit denen Unternehmen ermitteln können, wie hoch ihr "Reifegrad" in Bezug auf das Digital Risk Management ist. Als Maßstab dienen dabei Benchmark-Testverfahren renommierter Organisationen, etwa das Cybersecurity Framework (CSF) des amerikanischen National Institute of Standards and Technology (NIST).

Frameworks, die auf einzelne Risikofaktoren abgestimmt sind, helfen Unternehmen dabei, digitale Risiken zu erkennen und proaktiv Gegenmaßnahmen zu ergreifen.
Frameworks, die auf einzelne Risikofaktoren abgestimmt sind, helfen Unternehmen dabei, digitale Risiken zu erkennen und proaktiv Gegenmaßnahmen zu ergreifen.
Foto: RSA

Wichtig ist, dass Framework-Module für die unterschiedlichen Arten von Risiken zur Verfügung stehen. RSA stellt beispielsweise Lösungen bereit, mit denen Unternehmen ihr Risikoniveau in Bereichen wie Cyber-Security, Datenschutz, Business Resiliency und Kooperation mit Dritten ermitteln können. Durchführen lassen sich solche Assessments von eigenen Mitarbeitern aus der IT-Abteilung oder von den unternehmenseigenen Compliance-Fachleuten. Allerdings ist es in vielen Fällen hilfreich, bei Assessments auf die Unterstützung externer Spezialisten zurückzugreifen, etwa von RSA - gerade weil die hauseigenen IT- und Compliance-Fachleute häufig überlastet sind.

Risiken transparent machen

Das Resultat einer solchen Überprüfung macht deutlich, wie es um den Status von Risk-Management-Maßnahmen und entsprechender Prozesse in einem Unternehmen bestellt ist. So wird transparent, welche Risiken überhaupt bestehen. Ein Beispiel: Ein Digital Risk Framework erfasst, welche Geschäftsvorgänge von Partnern ("Dritten") abhängig sind. Damit nicht genug: Es wird deutlich, in welchem Maße diese Partner ihrerseits von Zulieferern oder anderen Dritten abhängig sind.

Außerdem macht ein Assessment klar, wie gut die IT-Abteilung, Fachbereiche, Compliance- und IT-Sicherheitsfachleute sowie die Geschäftsführung zusammenarbeiten, um digitale Risiken zu minimieren. So wird beispielsweise überprüft, ob allen Beteiligten die relevanten Informationen über Risiken im Zusammenhang mit der Kooperation mit Partnern zur Verfügung stehen. Zudem erfasst ein Framework, ob proaktiv Vorkehrungen für den Fall getroffen wurden, dass ein Partner oder dessen Zulieferer ausfallen.

Weiterhin wird das Schadenspotenzial quantifiziert, das mit den jeweiligen digitalen Risiken verbunden ist, etwa welche direkten und indirekten Kosten mit einem Verlust von Kundendaten durch einen Hacker-Angriff verbunden sind. Ein weiteres Beispiel ist der Schaden, den der Ausfall von geschäftskritischen Services verursacht - von einer Cloud-basierten ERP-Lösung bis hin zu einem Web-Shop. Dadurch lässt sich eine valide Bewertung der Risiken durchführen, inklusive einer Priorisierung von Gegenmaßnahmen und Vorkehrungen, um Schäden vorzubeugen.

Fazit: Digitale Risiken sind beherrschbar

Digitalisierung erfordert ein Umdenken. Das gilt nicht nur für Geschäftsmodelle und Prozesse, sondern auch für die Risiken, die mit der digitalen Transformation einhergehen. Risk Management Frameworks wie die von RSA sind eine praktikable, effektive und zeitsparende Option, um Lücken im Bereich Risikomanagement sichtbar zu machen und zu schließen.

Sie ermöglichen es Unternehmen und Organisationen, digitale Risiken nachhaltig in den Griff zu bekommen. Ein solches digitales Risikomanagement ist eine der Säulen, auf denen letztlich eine erfolgreiche Digitalisierungsstrategie beruht.