Aus dem Unterricht des CAS Digital Risk Management mit Ferdinand Kobelt berichtet Remo Blättler:

Im Unterricht des CAS Digital Risk Management hat Ferdinand Kobelt aufgezeigt welches die wichtigsten Bausteine und Grundlagen eines guten Risikomanagements sind.

Die Grundaussage ist relativ simpel: Da wo gehobelt wird fallen Späne. Hat es in der Nähe der Späne Feuer muss zwangsläufig dafür gesorgt werden, dass diese kein Brand verursachen. Somit ist man schon mitten im Risiko Management. Was früher seine Gültigkeit hatte, hat diese auch in der neuen, digitalen Welt. Die Abhängigkeit an zum Teil bereits stark vernetzte Systeme macht es nicht nur dringend, sondern absolut zwingend diese Systeme auf bestehende und aber auch auf alle kommenden Gefahren hin zu schützen.

  • Zitat: Digital Risk Management bildet eine Brücke zwischen der Geschäftsstrategie, technischen und betrieblichen Aspekten sowie der Unternehmenskultur.

Die digitalen Gefährdungen müssen ganzheitlich aus der unternehmerischen Perspektive beurteilt werden.Es ist eine Aufgabe welche wegen dem stetigen Wandel der Technologien nie zur Ruhe kommen wird. Es gibt also nicht das berühmte Kreuz auf einer Karte das es zu erreichen gilt, vielmehr ist der Weg das Ziel. Unlängst wurde die Maslow Pyramide um weiter Grundbedürfnisse erweitert, oft nur als unterhaltsame Anlehnung an das Original. Dennoch ist es heute in der westlichen Welt kaum noch weg zu denken.

Aus genau diesen wachsenden Bedürfnissen entstehen die neuen Anforderungen an Systemen und der Uptime davon. Die Nicht-Erreichbarkeit von Diensten duldet der Endkonsumenten fast gar nicht mehr. Sehr rasch ist die Reputation von einer Firma oder einem Dienst geschädigt, sodass die Kunden zu der mehr als genug vorhandenen Konkurrenz abwandert.

Im Zeitalter wo nicht mehr nur der Mensch immer mehr vernetzt, auch Geräte (IOT) werden immer rascher direkt so gebaut damit out-of-the-box-magic möglich ist und direkt mit dem Internet verbunden werden kann. Damit eine möglichst komfortable Konfiguration möglich ist, lassen sich Hersteller auf immer einfachere Setup- und Konfigurationsprozesse ein. Dies ist leider sehr oft genau die Angriffsfläche die von „negativen Energien“ ausgenutzt werden. Die Gefahr steigt rapide an: Nicht nur der Mensch wird immer mehr digital angreifbar, auch alle sich im Netz befindlichen Geräte sind einer steigenden Bedrohung ausgesetzt.

Die Entwicklung von weiteren Automatisierungen werden so stark vorangetrieben, dass aufkommende Zweifel oft mit möglichen Gewinnen und Markanteilen einfach überrollt werden.

Der ganze Markt birgt enorme Chancen für Produkte und Services. Diese sollen auch realisiert werden, aber zu den Grundlagen gehört es sich hier nicht kopflos in das Abenteuer zu stürzen, sondern sich über die Gefahren der digitalen Welt im klaren zu sein. Nur so können mit gut geplanten Risiko-Management-Boards alte und neue Gefahren rechtzeitig erkannt werden. Dazu müssen 3 grosse Herausforderungen bestritten werden:

  • Komplexität bewältigen
  • Qualität langfristig sicherstellen
  • Sicherheit und Datenschutz gewährleisten

Damit Klarheit geschaffen werden kann, muss das Risiko eingeschätzt werden. Hierzu eignet sich die bekannte Vorgehensweise.

Für die Bewältigung dieser Analysen sind inzwischen bewährte Standards und Framworks definiert worden. Werden diese angewendet, ist schon ein guter Teil des Weges zur sicheren Technologie gemeistert.

  • COSO ERM Enterprise Risk Management – Integrated Framework (USA 2004)
  • AS/NZS 4360:2004 Risk Management (Australien, Neuseeland 2004)
  • ISO/IEC 31000:2009 Risk Management (2009)
  • ISO/IEC 31010:2009 Risk Management – Risk assessment techniques (international 2009)
  • ISACA Risk IT – IT Risk Management Framework (international 2009)
  • ISO/IEC 27001/27002:2013 – Information Security Management (2013)
  • ISO/IEC 27005:2011 – Information security risk management (international, 2011)
  • BITS – Social Media Risks and Mitigation (2011)
  • ISO/IEC 27032:2012 – Information technology — Security techniques (2012)
  • ISACA COBIT 5 (2012)
  • NIST SP 800-30 Guide for Conducting Risk Assessments (2012)
  • ISO/TR 31004:2013 – Guidance for the implementation of ISO 31000 (international 2013)
  • NIST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizations (2013)
  • ONR 49000:2014 ff. Risikomanagement für Organisationen und Systeme (2014)
  • NIST – Framework for Improving Critical Infrastructure Cybersecurity (2014)
  • ISACA CSX Implementing the NIST Cybersecurity Framework (2014)
  • Industrial Control Systems (ICS) (2015)

Als KMU wo sich nicht den grossen IT Overheads leisten kann, kann mit dem relativ simplen plan-do-check-act-Prozess selber zu einer guten Haltung zu digitalen Risiken verhelfen.

Wir sehen gespannt auf kommende Themen und Gefahrenbereiche die sich auf KMU, Industrie und Privat anbahnen. Genau wie die digitale Welt, sind auch die Gefahren dafür im stetigem Wandel.