No risk, more fun

Auch in der freien Wirtschaft galt daher oft der Grundsatz „Was ich nicht weiß, macht mich nicht heiß.“ Doch diese Zeiten sind vorbei. Wer sich nicht mit seinen wesentlichen Risiken auseinandersetzt, riskiert im Schadensfall hohe Haftungsforderungen und seinen Versicherungsschutz. Am Ende steht der Unternehmer erfahrungsgemäß persönlich in der Haftung - auch für jene Schadensfälle, die durch ein präventives Risikomanagement verhindert hätten werden können.

Ein präventives Risikomanagement setzt einen einfachen, aber strukturierten Risikomanagementprozess voraus. Dieser ist allerdings längst kein Standard in kleinen und mittelständischen Unternehmen. Oft sind gute Umsetzungsideen vorhanden, doch mangelt es an Zeit und Ressourcen für eine gründliche Prozessorganisation und der geordneten Umsetzung von Präventionsmaßnahmen. Darum lautet die Zielsetzung des Vereins „Die Risikomanager e.V.“, diese Methodenkompetenz an mittelständige Unternehmen unkompliziert und eindeutig zu vermitteln sowie ein Bewusstsein für die Notwendigkeit von Risikomanagementprozessen zu schaffen.

Der Risikomanagementprozess besitzt eine Vielzahl von Methoden und eine große Bandbreite an Themen. Als fortwährender Zyklus aus Analyse, Bewertung, Maßnahmen und Review der eingeleiteten Maßnahmen hilft er, bestehende Sicherheitslücken dauerhaft zu schließen und neuen präventiv entgegenzuwirken. Risikomanagement ist eine notwendige Prophylaxe für Unternehmen insbesondere in wirtschaftlich schwierigen Zeiten, denn: Risikovermeidung ist deutlich günstiger als aufwendige Folgenbeseitigung. Die Einführung von Präventionsmaßnahmen ist also eine lohnenswerte Angelegenheit, wie sich auch in der Praxis zeigt.

Typische Risikofelder im Rahmen der Leistungserbringung beziehen sich auf die Bereiche Beschaffung, Produktion, Absatz, Betriebsmittel und der IT. Jeder Bereich stützt seine Wertschöpfung auf den Einsatz von Informationstechnologie. Ein erhebliches Sicherheitsrisiko zeigt sich immer wieder in der fehlenden Datensicherung in Unternehmen. Sei es nun durch Havarie (Brand oder Wasser, beispielsweise) oder aber durch natürliches Fehlverhalten eines Mitarbeiters: Daten und ihre Server sind ständigen Risiken ausgesetzt.

Oft spielen bei größeren Datenverlusten auch technische Pannen bei deren Aufbewahrung oder Übermittlung eine Schlüsselrolle. Häufiger als gedacht ist sogar Sabotage die Ursache für die mutwillige Zerstörung wichtiger Informationen. Die Folgen sind fatal und reichen weit. Sind beispielsweise für den Produktionsprozess notwendige Daten verschwunden, müssen die Fließbänder ruhen, Lieferprozesse verzögern sich, und schließlich bleibt der Umsatz aus. Dass mit geeigneten Präventionsmaßnahmen solche Ausfälle vermieden werden können, erschließt sich längst vielen Geschäftsführern. Dennoch werden die notwendigen Arbeitspakete nicht oder nur teilweise auf den Weg gebracht.

Dabei hilft oft schon die Optimierung interner Kommunikation und eine Sensibilisierung der Mitarbeiter, um zumindest das ungewollte Löschen wichtiger Daten zu vermeiden. Hinsichtlich der IT reicht oft schon ein verlässliches Backup-System, welches die Daten regelmäßig redundant hält.

Ein hochspezialisiertes Produktionsunternehmen in Baden-Württemberg beispielsweise lagert seine teilweise patentgeschützten Produkte in einem Hochregallager. Um die Abwicklung der Einlagerung und Auslieferung zu beschleunigen, wird jedes der Produkte mit RFID-Chips ausgestattet, die Informationen über Beschaffenheit, Abmessungen und Menge enthalten.

Der Lagerverantwortliche ist stolz auf seine neue Technik. Immerhin fühlt er sich nun in der Lage, durch die RFID-Chips auch Inventuren schneller als bisher durchführen zu können. Zudem verfügen die RFID-Chips nur über eine kurze Reichweite, so dass ein Ausspionieren von außen unmöglich erscheint.

Um die Bestände feststellen zu können, ist am Kopf jedes Ganges ein WLAN-Empfänger installiert. Bei der Begehung durch Sicherheitsspezialisten zeigten sich alle überrascht: Es wurde festgestellt, dass sämtliche IP- und MAC-Adressen der WLAN-Empfänger für jedermann sichtbar waren. In diesem konkreten Fall reichte ein iPhone aus, um sämtliche Geräte zu erkennen. Die Verschlüsselung der WLAN-Übertragung erfolgte zudem durch einen veralteten Standard. Auch außerhalb des Hochregallagers waren die WLAN-Empfänger erkennbar, so dass ein Angreifer mit einfachster Technik, die heute in jedem Elektronikfachhandel für unter 1.000 Euro erhältlich ist, in das Unternehmensnetz hätte einbrechen können. Professionell arbeitende Kriminelle benötigen hierfür weniger als zehn Minuten.

Ein hessisches Unternehmen mit etwa 150 Mitarbeitern besitzt in unmittelbarer Nähe des Produktions- und Verwaltungsstandort ein historisches Gebäude, das nicht für eigene Zwecke benötigt wird. Damit das Gebäude nicht leer steht, wurden die Räumlichkeiten an eine Kanzlei vermietet. Bei einer Begehung mit externen Sicherheitsexperten wurde festgestellt, dass im Archivraum der Kanzlei die Router und Server des Unternehmens untergebracht wurden – ohne jeglichen Schutz gegen unbefugten Zugriff. Neben der akuten Brandlast, die durch die Lagerung von brennbaren Materialien in Technikräumen entsteht, könnte ein potenzieller Angreifer mühelos (beispielsweise als Reinigungskraft getarnt) in das Netz des Unternehmens eindringen und dort Daten ausspähen oder das komplette Netz lahmlegen.

In den beschriebenen Fällen wurden die Geschäftsführer der Unternehmen nach der Begehung mit den Fachexperten des Risikomanager e.V. eingehend beraten. Die Risiken waren den Geschäftsführern in allen bislang begleiteten Fällen nicht bekannt und ihre Tragweite war keinem bewusst. Alle vom Verein betreuten Unternehmen haben kurzfristig entsprechende Gegenmaßnahmen ergriffen und führen jetzt in regelmäßigen Abständen in Zusammenarbeit mit externen Experten Risikountersuchungen durch. Die erhobenen Daten und Informationen dieser Untersuchungen fließen in anonymisierter Form in eine Datenbank ein, um die Partner des Risikomanager e.V. gezielter beraten zu können.

Im Sinne der Aufrechterhaltung der eigenen Wirtschaftlichkeit und auch der Wettbewerbsfähigkeit ist eine grundlegende Auseinandersetzung mit geeigneten Präventionsmaßnahmen unerlässlich. Kein Unternehmen, keine Organisation kann es sich leisten, auf eine sichere IT-Umgebung zu verzichten. Doch wie viel Sicherheit ist wirklich notwendig? Welche Vorkehrungen sind sinnvoll?

Nicht selten stellen die Fachverantwortlichen in den Betrieben fest, dass das gewünschte Maß an Sicherheit einen (hohen) Preis hat, der das vorgesehene Budget übersteigt. Alternativ dazu jedoch gar nichts zu tun, erscheint ebenso wenig erstrebenswert. Aus dieser wenig komfortablen Lage befreien sich nun immer mehr mittelständische Unternehmen: Sie lassen sich von externen, unabhängigen Spezialisten Wege aufzeigen, wie viel Sicherheit sie zwingend brauchen. So stellt sich in der Praxis oft heraus, dass pragmatische, günstige Lösungsansätze bei einem einfachen, aber umfassenden Risikomanagement ausreichen, um bestehende Probleme einzudämmen.