Aus dem Unterricht des CAS Digital Risk Management zum Thema „Outlook Digital Risk Management“ mit Dozent Matthias Bossardt berichtet Claudio Thürlemann:

Heute ist der letzte von insgesamt 18 Unterrichtstagen des CAS Digital Risk Management und dabei geht es darum, einen Ausblick in die Zukunft zu wagen, wie sich die folgenden vier Themen zukünftig entwickeln könnten:

  • The Insider Threat –> Unzufriedene Mitarbeitende als Bedrohung im eigenen Unternehmen
  • Digital Risk Quantification –> Quantifizierung und Bemessung von digitalen Risiken
  • Digital Geneva Convention –> Die Genfer Konventionen erweitert für den digitalen Raum
  • Freedom of Expression and Privacy –> Meinungsfreiheit und Privatsphäre und damit verbundenen Herausforderungen in einer globalen Gemeinschaft

Oft wird „Digital“ mit „Technologie“ gleichgesetzt, was jedoch nicht korrekt ist. Das digitale Leben beruht zwar auf Technologien wie Computer, Smartphones und Internet, umfasst jedoch noch viele weitere Aspekte, z.B. wie wir als Gesellschaft im digitalen Zeitalter miteinander umgehen. Deshalb müssen beim Digital Risk Management viele weitere Facetten mit einbezogen werden als es beim Technology Risk Management der Fall ist.

The Insider Threat

Unzufriedene Mitarbeitende können eine Gefahr fürs Unternehmen bedeuten. Das Schwierige ist, Betrugsfälle/Sabotagen/Missbräuche aufzudecken, da diese von Personen begangen werden, denen man grundsätzlich vertraut. Deshalb gilt es abzuwägen, wieviel Vertrauen man den Mitarbeitenden entgegen bringt und wieviel Überwachung man einsetzt. Dabei ist auch immer zu berücksichtigen, dass dieses Verhältnis je nach Branche, Regulatorien und Unternehmenskultur variieren kann.

Die Risikominimierung beginnt bereits beim Recruitment, denn bereits beim Rekrutierungsprozess lassen sich gewisse Faktoren feststellen und Angaben prüfen. Denn Studien haben gezeigt, dass beim Einstellungsprozess zwischen 7% und 15% fehlerhafte Angaben, meistens die frühere Anstellung des Kandidaten betreffend, gemacht werden! Es lohnt sich deshalb, Referenzen einzuholen, Straf- und Betreibungsregisterauszüge einzufordern, Bewerber zu durchleuchten und dabei lassen sich Geldprobleme, Suchtprobleme oder andere Probleme nicht selten erkennen.

Neben diesen menschlichen Aspekten gibt es auch zahlreiche technische Überwachungsmöglichkeiten mit entsprechenden szenario- und verhaltensorientierten Ansätzen:

Zusammenfassend lässt sich sagen: Kenne deine Mitarbeitenden und die damit verbundenen Risiken, treffe Vorkehrungen, Technologie hilft, löst die Problematik aber niemals vollends.

Digital Risk Quantification

Die heutige Art des Risiko Managements besitzt ein paar Unzulänglichkeiten: führen z.B. drei Personen unabhängig voneinander ein Risk Assessment durch, sind drei unterschiedliche Resultate das Ergebnis. Denn welche Art von Massnahmen für die Risikoszenarien ausgewählt werden, beruht auf individueller Einschätzung und führen folglich zu unterschiedlichen Ergebnissen. Es fliessen heutzutage viele persönliche, individuelle Faktoren ins Risikomanagement ein.

Beim Ansatz der KPMG werden möglichen Risiko Szenarien nach einer Standard Industrie Liste charakterisiert und die Eintrittswahrscheinlichkeit eines Risiko in einer entsprechenden Zeitperiode festgelegt. Mittels einer Monte Carlo Simulation wird die Erfolgsquote eines Angriffs ermittelt.

Digital Geneva Convention

Cybercrime wächst. Und es gibt immer mehr Angriffe ohne finanzielles Interesse und mehr politische Sabotagen auf nationalstaatlicher Ebene. Dabei ist die Schwierigkeit, dass der Cyberkrieg auf dem Schlachtfeld des Privatsektors  ausgetragen wird. Wie können Unbeteiligte im „grenzenlosen Cyberspace“ geschützt werden? Wie arbeiten staatliche und private Institutionen zusammen? Es braucht internationale für alle Nationalstaaten verbindliche Regeln!

Die Digital Geneva Convention, die von Microsoft vorangetrieben wird, stellt solche Regeln auf:

Freedom of Expression and Privacy

Das Spannungsfeld zwischen Privatsphäre/Rede- und Meinungsfreiheit vs. der Schutz von Minderheiten und die Kollaboration mit Behörden bei Verdachtsfällen bringt globale Tech-Firmen in ein Dilemma.

Mit diesen Fragen beschäftigt sich die Global Network Initiative, bestehend aus aus verschiedenen Stakeholders (Unternehmen, unabhängige/akademische Organisationen, Investoren, etc.), und versucht, Prinzipien und Richtlinien für den verantwortungsvollen Umgang mit Datenschutz und Meinungsfreiheit im ICT Sektor zu definieren.

Dass Daten auch an staatliche Stellen nicht ohne Weiteres herausgegeben werden und welcher Prozess dabei durchlaufen werden muss, zeigt das Video „Way of a Warrant“ von Google eindrücklich. Google veröffentlicht alle 6 Monate einen Transparency Report und zeigt die Anzahl eingegangener Anfrage zur Datenherausgabe sowie den Umfang der tatsächlich herausgegebener Daten.

Facebook sieht sich mit der Herausforderung ebenfalls konfrontiert. Tausende Facebook Mitarbeitende screenen die auf Facebook geposteten Inhalte. Dabei versucht Facebook mit der Abgrenzung zwischen freier Meinungsäusserung und „Hate Speech“ (Hassrede/Hetzerei) umzugehen. Es ist ersichtlich, dass dies in keiner Weise eine einfache Aufgabe ist. Zwar hat Facebook unterdessen seine Regeln, die es beim Screenen und Bewerten der Inhalte anwendet, veröffentlicht, jedoch zeigt sich auch hier, dass es unterschiedliche Wertevorstellungen und somit Massstäbe beim Einstufen entsprechender Inhalte gibt. Das Video „The Facebook Files“ des britischen „The Guardian“ zeigt die heikle Gratwanderung.