28.08.2019 – Generell sollte sich das Risk Engineering um die Analyse, Bewertung, Prävention, Kontrolle und Eindämmung von Risiken für die Geschäftsprozesse eines Unternehmens kümmern. Dabei müssen zuallererst die Geschäftsprozesse an sich betrachtet werden, wie Risiko-behaftet sie sind. In Zukunft sollten jedoch auch verstärkt geopolitische Überlegungen eine Rolle spielen, weil politische Umwälzungen unsere Risikolandschaft deutlich verändern.
Wenn chinesische Firmen deutsche High-Tech-Unternehmen übernehmen, wie z.B. der Verkauf von Kuka an den chinesischen Midea-Konzern, dann ändern sich nicht nur die Besitzverhältnisse, sondern es wandern auch Patente, Entwicklungs- und Produktions-Know-how, das Wissen über strategische Partnerschaften sowie nicht zuletzt die Daten sämtlicher Lieferanten und Kunden in andere Hände. Obwohl es in solchen Fällen meist Vertraulichkeitsvereinbarungen gibt, liegt der Zugriff auf die Daten nun doch in einem Land mit anderer politischer Ausrichtung, anderen Gesetzen und einem völlig unterschiedlichen Verständnis vom Begriff des „ehrbaren Kaufmanns“.
Wenn Cambridge Analytica die Facebook-Daten von ca. 87 Millionen Nutzern missbraucht, um im Jahr 2016 den Wahlkampf von US-Präsident Donald Trump zu manipulieren, oder Russland durch Propaganda und Desinformation versucht, 2017 die Wahlen in Frankreich zu beeinflussen, dann stellt sich die Frage, wie sehr man einzelnen Regierungen in Zukunft noch vertrauen kann und wie stark Manipulation, Desinformation oder Fake News eine Rolle spielen werden? Sicher ist auch hier, dass politische Umwälzungen die Geschäftsprozesse beeinflussen werden und sich das Risk Management darauf einstellen sollte.
Die aktuellen politischen Veränderungen führen dazu, dass die USA und selbst Länder in Europa nicht mehr vorbehaltlos als Freunde der deutschen Wirtschaft betrachtet werden können. Im Gegenzug dazu sollten aber auch China und Russland nicht generell als Feinde angesehen werden. China ist mittlerweile ein wesentlicher Handelspartner von Deutschland und der Einfluss Chinas auf den Welthandel wird durch die Hafenbaumaßnahmen entlang der „Neuen Seidenstraße“ noch gewaltig anwachsen.
Es gibt also eine ganze Reihe neuer Faktoren und Risiken, die in Zukunft verstärkt beachten werden müssen. Wenn künftig z.B. Software für ein Unternehmen angeschafft oder extern gehostete Server-Kapazitäten aufgebaut werden sollen, muss ein nachvollziehbares und parametrisierbares Bewertungsschema aufgebaut werden, in dem, losgelöst von alten Freund-Feind-Bewertungen, sämtliche geopolitischen Faktoren betrachtet werden. Bei der Bewertung müssen Faktoren wie Zölle, Sondersteuern, Ausfuhr- oder Zusammenarbeitsverbote betrachtet werden. Dies betrifft auch indirekte Verbote. Die europäische und insbesondere deutsche Politik im Umgang mit dem Iran läuft derzeit sehr konträr zur amerikanischen Sanktionspolitik. Fast jedes deutsche Unternehmen bezieht jedoch einen Teil seiner externen Serverkapazitäten über das amerikanische Unternehmen Amazon (amazon AWS). Daher sollten deutsche Unternehmen, die im Iran Geschäfte machen, derzeit besser kein Office 365 oder amazon AWS (Cloud Hosting) nutzen, weil dies den amerikanischen Sanktionen zuwiderlaufen würden.
Genauso sollten staatliche Zugriffs- und Eingriffsmöglichkeiten sowie die Verfügbarkeit der Infrastruktur genauestens geprüft werden. Sowohl in Russland als auch in China hat der Staat großflächig die Möglichkeit, Infrastrukturen zu kappen. Dies betrifft z.B. auch die Frage, welcher Telekommunikationsanbieter oder Netzwerkdienstleister ausgewählt wird. Hier sollten genauestens die staatlichen Eingriffsmöglichkeiten in die Vertraulichkeit der Daten bewertet werden. In vielen höher entwickelten Staaten sind Nachrichtendienste in der Lage, im Land gelagerte oder durch das Land transportierte Daten unbemerkt abzugreifen. Darüber hinaus gibt es unterschiedliche Regelungen zur Nutzung von Verschlüsselungstechnologie. Der amerikanische CLOUD Act geht dabei sogar soweit, dass er der US-Justiz Zugriffe auch im Ausland erlaubt.
Für den Bereich der IT-Sicherheit wird es sogar zunehmend wichtiger, geopolitische Faktoren zu berücksichtigen und jeden einzelnen Geschäftspartner stärker zu überprüfen, vor allem dort, wo es vernetzte Systeme gibt. Man sollte jedoch auch dort prüfen, wo zwar keine Vernetzung besteht, die Lieferanten jedoch wichtig sind für die eigenen Produktion, die Lieferfähigkeit oder die Vertraulichkeit des Know-hows. Hier muss in Zukunft sichergestellt sein, dass die Anforderungen an eine hohe Resilienz der Systeme gewährleistet ist. Die Prüfung, wie wichtig ein Lieferant tatsächlich ist, stellt sich dabei als gar nicht so einfach heraus. Geht es nach dem Umsatz, der Ausfallzeit, wenn ein System des Lieferanten befallen wird, oder dem Schaden für die Reputation des eigenen Unternehmens, wenn über einen Lieferanten plötzlich vertrauliche Daten abfließen.
Eine weitere Schwierigkeit, in den verschiedenen Ländern gibt es oftmals unterschiedliche Standards für die IT-Sicherheit und teilweise unterschiedliche gesetzliche Vorgaben für die Sicherung der IT-Systeme. Unternehmen dürfen sich daher nicht mehr darauf verlassen, dass der Geschäftspartner dies schon ordentlich erledigen wird. Gerade im internationalen Umfeld sollte mit einem Cyber Scoring überprüft werden, wie es um die IT-Sicherheit des Geschäftspartners bestellt ist. Mit dieser unabhängigen Außenansicht auf den „Fußabdruck des Unternehmens im Netz“ lassen sich schnell deren Schwachstellen und damit das Risiko für das eigene Unternehmen feststellen. Solche Cyber Scorings sind in der Regel so aufgebaut, dass sie vom Management verstanden werden, auch ohne tiefgreifende IT-Kenntnisse. Gerade in Zeiten von politischen Umwälzungen ist dies ein wichtiger Schritt, um das individuelle Risiko von Lieferanten anhand ihrer Wichtigkeit in Verbindung mit der geopolitischen Location bewerten zu können. Genau das ist das Ziel eines professionellen Risk Engineering.
Christian Schaaf
Corporate Trust Sicherheitsblog 