Customized Risk Maps: Wie Unternehmen in der komplexen Welt den Durchblick behalten können

Bereits in der Zeit vor der Corona-Pandemie war die Komplexität der Sicherheit im Ausland für reisende Manager und Expats hoch. Zahlreiche Variablen spielten in die Risk Assessments mit hinein, das Risikoprofil des Unternehmens, wie zum Beispiel: Branche, Nationalität der Firma und der reisenden Mitarbeiter, geografische Standorte, Kategorien von Sicherheitsvorfällen, die als relevant eingestuften wurden usw. Meist konnte eine Standard Risk Map den Interessen der unterschiedlichen Unternehmen nicht derart feingliederig gerecht werden. In diesem Jahr kam dann noch die Corona-Pandemie dazu, mit all ihren täglich wechselnden Länder- und Regional-Einstufungen – ein Chaos. Die klassische Risk Map ist tot – es lebe die Customized Risk Map.

Risk Maps geben dem Betrachter eine schnelle weltweite und informative Übersicht, aber über was eigentlich? Viele Risk Maps stellen die Risiken zusammengefasst zu einem Wert für ein jeweiliges Land dar. Aber kann man diese Risiken einfach so über einen Kamm scheren? Und was bedeuten sie? Jedes Unternehmen ist heute so individuell, dass es sinnvoller ist, die einzelnen Bedrohungen, die für das jeweilige Unternehmen relevant sind, in einer Risk Map maßgeschneidert zusammenzustellen.

Risk Map Themen

Corporate Trust hat seit 2015 jedes Jahr aktuelle Risk Maps zur weltweiten Sicherheitslage in folgenden relevanten Themengebieten erstellt und veröffentlicht:

• Krisen & Konflikte
• Informationsabfluss
• Investi­tions­sicherheit
• Medizinische Risiken

Für die Erstellung der jeweiligen Risk Map werden spezifische Bedrohungen bewertet. Dafür werden weltweit unterschiedliche Datenbanken und veröffentlichte Statistiken analysiert und ausgewertet.

Die Einstufungen der 254 Länder erfolgt für jedes Risiko-Thema in vier Stufen: gering, erhöht, hoch und sehr hoch; sodass keine neutrale, unspezifische Mitte entstehen kann.

Für diese Einstufungen werden für jedes Risiko-Thema drei bis vier Bedrohungen herangezogen und in die Risikostufen eingeordnet. Dabei werden ggf. Maximal- oder Durchschnittswerte der Bedrohungen logisch verknüpft. Für die Risk Map mit dem Risiko-Thema Informationsabfluss beispielsweise wird aus drei Bedrohungen,

• Gefahr durch Verlust von IT-Geräten
• IT-Risiko durch staatliche Spionage
• IT-Risiko durch private Infobeschaffung,

der Maximalwert für die Gesamteinstufung des jeweiligen Landes bestimmt.

Um in einem Land den Informationsabfluss bewerten zu können, wird aus diesen drei Bedrohungen das Risiko berechnet.

Jede der drei Bedrohungen setzt sich wiederum aus einer Kombination von Einflussfaktoren zusammen. Beispielsweise wird die Bedrohung „Gefahr durch Verlust von IT-Geräten“, aus folgenden zwei Einflussfaktoren bestimmt: Wie hoch ist die Kriminalität und wie gut ist die technische Ausbildung in dem betrachteten Land (um mit den gestohlenen oder verloren gegangen IT-Geräten etwas anzufangen)?

Der Kern des Modells ist daher die Formel, die hinter jeder Corporate Trust Risk Map steht und mit der sich ein Risiko aus den grundlegenden Bedrohungen zusammensetzt. Diese Bedrohungen werden in einem speziellen, selbstprogrammierten internen System der Corporate Trust erfasst und gemonitort. Basis für jede Bedrohungskategorie ist eine Quelle wie z.B. eine Untersuchung zur Rechtsstaatlichkeit weltweit.

Diese Formel kann aus beliebigen Bedrohungen zusammengestellt werden, sodass eine individuelle, nach den Bedürfnissen des Kunden gestaltete Risk Map erstellt werden kann. Beispielsweise kann das Risiko der Bedrohung „Zensur“ in Verbindung mit der „Rechtsstaatlichkeit“ im jeweiligen Land ermittelt werden.

Auf Basis einer Bedrohungsanalyse kann ein für den Kunden angepasstes Modell erstellt werden. Dabei wird ein Risikoprofil des jeweiligen Kunden (Privatperson oder Unternehmen) erstellt, das Bedrohungen definiert und die gewünschten zu untersuchenden Themen bestimmt. Sobald die Experten der Corporate Trust die Risikoeinstufungen der spezifischen Bedrohungen mit Hilfe von Datenbanken, Berichten und Statistiken eingeordnet haben, ist zum einen zu erkennen, wie hoch ein jeweiliges Risiko in einem Land ist. Zum anderen ist ersichtlich wie damit umzugehen ist, sowohl präventiv als auch reaktiv. Die daraus entstandenen Risiken können an einen Maßnahmenkatalog geknüpft werden, den die Reisenden an die Hand bekommen.

Beispiel von Maßnahmenempfehlungen für das Risiko-Thema Informationsabfluss ab der Stufe erhöht:

• Stellen Sie sicher, dass die geschäftlichen IT-Devices nicht in Besprechungsräumen, bei Konferenzen, an anderen Veranstaltungsorten oder in öffentlichen Verkehrsmitteln (Zug, Flugzeug, Taxi, Mietwagen) zurückgelassen werden.
• Überlegen Sie, mit wem Sie sprechen. Ist die Identität dieser Person vertrauenswürdig. Reduzieren Sie die Menge der Informationen, die Sie preisgeben auf ein Minimum, selbst wenn es um die Nennung Ihres Arbeitgebers oder Ihrer Rollen und Verantwortlichkeiten geht.
• Reisen Sie so anonym wie möglich. Verwenden Sie für Ihr Gepäck verdeckte Adressaten, um offenes Ausspähen zu erschweren. Kennzeichnen Sie Ihr Gepäck nicht mit Firmenschildern oder Logos. Dies verhindert, dass Sie gezielt ausspioniert werden können.

Eine solche individuelle Risk Map kann je nach Kundenwunsch einmalig, jährlich oder sogar quartalsweise erstellt und aktualisiert werden.

Beispielkarten

Die folgenden Karten illustrieren, wie sinnvoll es ist, Bedrohungen und Risiken differenziert zu betrachten:

Eine Risk Map, auf der die Medizinischen Risiken der Länder abgebildet sind, steht im scharfen Kontrast zu einer Risk Map mit dem Thema Informationsabfluss. Wie in den anschließenden Risk Maps zu erkennen ist, sind die medizinischen Risiken überwiegend in Afrika, hingegeben sind die Risiken zum Informationsabfluss in Afrika marginal.

Wenn Sie Interesse oder Fragen zu einer Customized Risk Map haben, sprechen Sie mich gerne an.

Autorin:

Frederike Rehn
Consultant Travel Security & Crisis Management
rehn@corporate-trust.de
Tel. 089/599 88 75 80