risikomanagement Analyse, Planung, Umsetzung Digital Cybercrime und Wirtschaftsspionage Seite 12

Transkript

1 juli 2015 Auch als APP für Smartphones & Tablets risikomanagement Analyse, Planung, Umsetzung Systemisch Neue Risiken für Unternehmen Seite 7 Digital Cybercrime und Wirtschaftsspionage Seite 12 Global Exportrisiken im Mittelstand Seite 18 Dies ist eine unabhängige Publikation des in pact media Verlags und liegt der Gesamtauflage der WirtschaftsWoche bei.

2 Impressum grusswort aktuelles Seite 3 Liebe Leserin, lieber Leser, Fokus: Neue Risiken in pact media GmbH Dircksenstraße 40 D Berlin T +49 (0) F +49 (0) E redaktion@inpactmedia.com Chefredaktion Mirko Heinemann stellv.chefredaktion Klaus Lüber (V.i.S.d.P.) PROJEKTLEITUNG / Anzeigenverkauf Lilith Eitel Art Direction / Layout Denis Held Autoren Andreas Eicher Mirko Heinemann Klaus Lüber LEKTORAT Agnieszka Kaczmarek IllustrationEN Lalala Buero Raby-Florence Fofana Fotos (S.3) Druck Mohn Media Mohndruck GmbH herausgeber Edi Karayusuf Geschäftsführung Edi Karayusuf Sara Karayusuf-Isfahani Hinweis: Alle nicht mit dem Zusatz»Redaktion«gekennzeichneten Beiträge sind Auftragspublikationen und damit Anzeigen. Ralf Kimpel Vorsitzender des Vorstands Risk Management Association e.v. dem international geflügelten Wort German Angst, das für Sicherheitsbedenken, Technikfurcht und Besitzstandswahrung steht, setzte der FDP-Vorsitzende Christian Lindner jüngst den Begriff German Mut entgegen, mit dem er an eine neue Grundhaltung appellierte. Dass statt Mut im englischen schnell mud (Schlamm) verstanden werden kann, konnte er wohl nicht vorhersehen. Inwiefern wir in Politik und Gesellschaft tatsächlich an einem Mangel an Mut leiden, darüber lässt sich streiten. Was allerdings das Unternehmertum und die Rahmenbedingungen für Unternehmen angeht, muss man anerkennen, dass die sprachlich vielleicht etwas verunglückte Kampagne dennoch eine unbequeme Wahrheit ausspricht: Statt innovativ und erfolgreich in die Zukunft zu steuern, überwiegt in vielen Fällen die Furcht vor Veränderungen. Das gilt auch für den deutschen Manager. Dieser ist von regulatorischen Einschränkungen und steigenden Compliance-Anforderungen getrieben, hat nur noch die Absicherung seines Handelns im Fokus und verharrt mitunter wie das sprichwörtliche Kaninchen vor der Schlange. Da hilft nur ein modernes Chancen- und Risikomanagement, eng verzahnt mit der Unternehmensplanung und anderen Corporate-Governance-Funktionen. Wichtig ist vor allem eine Vision, um entscheidungsorientierte Risikoinformationen bereitzustellen, die mutige Entscheidungen ermöglichen. Lohnende Risiken einzugehen, die einzeln und in der Gesamtheit mit intelligenten Modellen kalkuliert werden, bieten die Basis für eine neue Haltung deutscher Unternehmer und Manager. In diesem Sinne sollen Ihnen die Beiträge in dieser Ausgabe Anstöße geben und Hilfestellungen bieten, Chancen- und Risikomanagement als Steuerungssystem zu verstehen, mit dem Sie die Zukunft Ihres Unternehmens oder Ihrer Organisation gestalten. inhalt Seite 3 Seite 4 Seite 7 Fokus: Neue Risiken Themen & Trends Fehler im System Seite 12 Wettrüsten im virtuellen Raum Seite 16 Forum der Akteure Seite 18 Mittelstand im Wandel Seite 22 Strategieforum emagazine Cyberattacken Öffentlicher Sektor Globalisierung Der Bundestag hat ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verabschiedet. Betreiber sogenannter Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Dies erstellt dann aufgrund der Ergebnisse ein Lagebild, um andere Unternehmen zu warnen und so den Schaden einzudämmen. Um Reputationsverluste zu vermeiden, erfolgen die Meldungen in der Regel anonym. Darüber hinaus werden die Anforderungen an die Anbieter von Telekommunikations- und Telemediendiensten erhöht. Diese werden durch die neue Regelung dazu verpflichtet, Kunden zu warnen, wenn sie einen Missbrauch feststellen. Provider dürfen zur Identifizierung solcher Angriffe bis zu sechs Monate die Verbindungsdaten speichern. Spätestens seit der Finanzkrise ist in der Privatwirtschaft die sogenannte Risikoquantifizierung gang und gäbe. Dabei wird auf Grundlage von Verlustdaten und Expertenschätzungen eine Bewertung der potenziellen Schadenshöhe und -häufigkeit vorgenommen und mit Hilfe statistischer Verfahren mögliche Verluste errechnet. Nun gibt es Überlegungen, dieses Instrument auch für den öffentlichen Sektor zu nutzen. Ob Haftungsrisiken bei Großveranstaltungen, Investitionsstau oder demographische Entwicklung: Kommunen müssen sich einer zunehmenden Zahl an komplexen Herausforderungen stellen, die ein effizientes Risikomanagement im öffentlichen Sektor voraussetzen. In Anlehnung an die Vorgehensweise im Finanzsektor berechnen beispielsweise in den Niederlanden Organisationen im öffentlichen Sektor ein sogenanntes Widerstandsvermögen. Unterschreitet das Vermögen einer Kommune das unter bestimmten Annahmen berechnete Widerstandsvermögen im Zeitraum eines Jahres, gilt die Kommune als nicht hinreichend finanziert und wird durch die Aufsichtsbehörden genauer beobachtet. Durch die Globalisierung sind die Unternehmen stärker miteinander verflochten als je zuvor. Die Zahl der multinationalen Unternehmen ist in den letzten 50 Jahren von auf fast gestiegen. Bis 2020 wird es voraussichtlich multinationale Unternehmen geben. Dies führt zu einer deutlichen Erhöhung der Risikokomplexität, so der aktuelle Allianz Risk Barometer, eine jährliche Umfrage unter 500 Risikoexperten aus der ganzen Welt. Ein Risiko, so die Ansicht der befragten Experten, ziehe immer öfter viele andere nach sich. Naturkatastrophen und Cyberangriffe zum Beispiel können zu Betriebsunterbrechungen führen, die nicht nur einem Unternehmen, sondern einer ganzen Branche oder Infrastruktur schaden. Durch eine globale Vernetzung werden zudem politische und soziale Unruhen und Krieg für viele Unternehmen zu unmittelbaren Bedrohungen. Die negativen Folgen dieser Instabilität neben möglichen direkten Schäden gehören zu den fünf Risiken, auf die Unternehmen laut Studie im Augenblick am wenigsten vorbereitet sind.

3 Seite 4 MARKTGESCHEHEN Beitrag Debitos GmbH Seite 5 Themen & Trends Klaus Lüber / Redaktion Forderungsverkauf: Bilanziell hoch interessant Offene Forderungen werden von vielen Unternehmen abgeschrieben. Zu hoch die Unsicherheit, zu gering die Aussichten auf Erfolg dabei kann man sie auch verkaufen. Neue Synergien Die Erwartungen an eine gute, transparente Unternehmensführung sind gestiegen durch die Stakeholder, aber auch durch neue Vorschriften, Regeln und Standards. Viele Experten empfehlen, die Bereiche Governance, Risikomanagement und Compliance stärker miteinander zu vernetzen. Die Einbindung der Compliance-Systeme würde das Radar des Risikomanagements vergrößern, die Verbindung mit dem Risikomanagement sorge dafür, dass Compliance weit mehr ist als bloße Pflichterfüllung. Und Steuerung und Governance profitieren von noch solideren Grundlagen und können ganzheitlicher den Zielen des Unternehmens dienen. Risiko Niedrigzins In ihrem jüngsten Unternehmens- und Finanzausblick spricht die OECD eine Warnung vor den Effekten des Niedrigzinsumfeldes aus. Diese richtet sich vor allem an Lebensund Rentenversicherungen. Um ihre Versprechen im anhaltenden Niedrigzinsumfeld halten zu können, müssten die Gesellschaften auf ertragsstärkere und damit riskantere Anlagen ausweichen. Zudem operieren viele Anbieter mit einer großen Diskrepanz zwischen Verbindlichkeitsdauer und Kapitalreserven. Nach den neuen Kapitalrichtlinien für Versicherer (Solvency II) muss diese Lücke durch Rücklagen gedeckt sein. Das könnte gerade kleinere Gesellschaften in Schwierigkeiten bringen. Großbanken uneinsichtig Trotz aller Gelöbnisse zur Besserung - die Finanzkrise hat offensichtlich bei Großbanken nicht zu einer positiven Verhaltensänderung geführt. Zu diesem Ergebnis kommt eine aktuelle Studie der Londoner CCP Research Foundation. Demnach sind die Strafzahlungen für das Fehlverhalten von Banken in den Jahren 2010 bis 2014 nicht etwa gefallen, sondern rapide gestiegen obwohl die Banken versicherten, die Fehler aus der Zeit der Finanzkrise seien ausgemerzt. Für die Forscher ist dies auch ein Zeichen dafür, dass die angekündigten Reformbestrebungen der Banken noch nicht wirklich greifen. Sie plädieren für eine höhere Transparenz durch ein internationales Strafregister. Defizite beim Datenmanagement Ähnlich wie die Basel-II-Vorgaben in der Bankenbranche sollen die sogenannten Solvency-II-Regularien dafür sorgen, dass Versicherungen ihr Risikomanagement verbessern. Versicherer müssen ihre Risikostruktur transparenter gestalten, um Versicherte vor Kapitalverlust zu schützen. Als zentrales Element gilt das Datenmanagement in Form eines möglichst effizienten Reportings. Genau hier haben aber laut einer aktuellen Befragung des Branchenportals RiskNET die meisten Versicherungen noch große Defizite. Solvency II wird nach dem Beschluss des Bundesrates zur nationalen Umsetzung der europäischen Vorgaben aller Voraussicht nach zum 1. Januar 2016 in Kraft treten. Internet der Dinge Die zunehmende Vernetzung von Geräten und Produkten zum sogenannten Internet of Things stellt Unternehmen und staatliche Institutionen vor große Herausforderungen. In einer aktuellen Studie der Software AG gaben 65 Prozent der befragten Firmen an, enorme Schwierigkeiten zu haben, die anfallenden Datenmengen zu analysieren. Hinzu kommen die Sicherheitsrisiken, die sich durch die Vernetzung ergeben. Im Rahmen des Trends zu Smart Cities ergeben sich laut Studie auch für Kommunalverwaltungen neue Anforderungen: Wer ist verantwortlich, wenn eine intelligente Ampel ausfällt und es zu einem Verkehrsunfall kommt? Die Stadt? Der Technologieanbieter? Der Autohersteller? Interim-Management Jedes zweite Unternehmen (55 Prozent) im deutschsprachigen Raum setzt regelmäßig Interim Manager ein. Das ist ein Ergebnis der Studie Führung in flexibilisierten Arbeitsstrukturen der Hamburger Helmut-Schmidt-Universität (HSU) und des Arbeitskreises Interim Management Provider (AIMP). Dabei hätten sich 72 Prozent der Befragten zufrieden mit der Leistung der Interim Manager geäußert. Führungskräfte auf Zeit verfügten oft über langjährige Erfahrungen im Change-Management und brächten den unvoreingenommenen Blick des Außenstehenden in Managementprozesse ein. Nicht nur in Konzernen, sondern auch im Mittelstand herrscht steigender Bedarf nach Risikomanagern und anderen Interim Managern. Herr Peters, woher kam die Idee, eine Online-Plattform für Forderungen zu etablieren? Ich war Anfang 20, hatte einen anderen Unternehmer verklagt und einen Titel in Höhe von Euro erwirkt. Der Unternehmer ist unbekannt verzogen und ich blieb auf den Anwaltskosten sitzen. Mit dem Titel konnte ich nichts anfangen, also kam mir die Idee, ihn auf Ebay zu verkaufen. Die Rechtsabteilung dort teilte mir jedoch mit, dass dies nicht möglich sei. Damals ist die Idee geboren und über die Jahre vor allem mit wachsenden Berufserfahrung im Umfeld von Fintech- und Factoring-Unternehmen weiter gewachsen, bis ich sie schließlich mit Debitos umgesetzt habe. Debitos bringt also Verkäufer und Käufer zusammen? Genau. Wir sind eine B2B-Plattform, über die Unternehmen ihre Forderungen an professionelle Investoren verkaufen können. Bisher haben Forderungspakete vor allem bilateral den Besitzer gewechselt. Nun haben auch Mittelständler und Unternehmen mit kleineren Paketen Zugang zu diesem Teil des Kapitalmarktes. Kapitalmarkt? Die Käufer der Forderungen, die über unsere Plattform gehandelt werden, sind professionelle Investoren, Banken, Fonds, Inkassounternehmen und Rechtsanwälte. Ihre Motivation für den Kauf ist einfach: In Deutschland herrscht Rechtssicherheit, Forderungen bleiben 30 Jahre bestehen und werden über diesen Zeitraum fest verzinst. Das ist gesetzlich geregelt. Aus Sicht der Käufer ist der Forderungsankauf also ein Investment, mit einer fixen Rendite über einen definierten Zeitraum und einem kalkulierbaren Ausfallrisiko. Und die Motivation der Verkäufer? Die ist Vielschichtig. Beispiel Griechenland: Ein deutsches Unternehmen wartet auf Zahlungen eines griechischen Kunden. Doch die zahlen aktuell nicht, da sie ihre Liquidität horten. Der Handlungsspielraum für das deutsche Unternehmen ist gering. Aus dem Markt wurde bekannt, dass Inkassounternehmen in Griechenland bereits im Juni von der Regierung angewiesen wurden, kein Inkasso mehr zu betreiben. Aus bilanzieller Sicht, kann es also Sinn machen, solche Forderungen mit einem Abschlag über unsere Plattform zu verkaufen. Inwiefern? Der Forderungsverkauf ist deshalb bilanziell interessant, weil in der Regel bereits Mehrwertsteuer, bei älteren Forderungen auch schon Körperschafts- und Gewerbesteuer gezahlt wurde. Dann entsteht meist die Diskussion, wann die offenen Forderungen zu Null abgeschrieben werden. Wenn ich diese Forderung aber über Debitos verkaufe sagen wir mit einem Abschlag von 60 Prozent erhalte ich immer noch einen Erlös von 40 Prozent sowie die Steuererstattung auf die Abschreibung. Das ist unter Liquiditätsaspekten interessant und eine bessere Alternative zur vollen Abschreibung. Was motiviert Verkäufer noch? Denken Sie an Firmeninsolvenzen. Die Unsicherheit für die Gläubiger ist hier extrem hoch. Bei Kirch-Media sind beispielsweise über fünf Milliarden Euro an Forderungen festgestellt und das Verfahren dauert bereits mehr als 12 Jahre. Bei der Prokon-Insolvenz wissen die Gläubiger nicht, wie die Abstimmung ausgeht und welche Quote dann tatsächlich ausgeschüttet wird. Bei beiden Verfahren konnten wir Gläubigern bereits helfen. Viele unserer Käufer sind auf Firmeninsolvenzen spezialisiert, können die Quoten sehr gut abschätzen und entsprechend auch gute Angebote für den Forderungsankauf machen. Wird das Angebot angenommen? Absolut wurden Forderungen von über 1,2 Milliarden Euro über Debitos angeboten, von denen rund 60 Prozent verkauf wurden. Im ersten Halbjahr 2015 liegen wir bereits bei Forderungen in Höhe von 895 Millionen Euro. Mail: service@debitos.de Tel: Timur Peters Gründer und Geschäftsführer, Debitos GmbH

4 Seite 6 Beitrag KMPG AG Seite 7 Marcus Plattner Director, KPMG AG Wirtschaftsprüfungsgesellschaft in Düsseldorf. Er leitet den Bereich Corporate Risk Management innerhalb der Governance & Assurance. Dr. Timo Schmidt Senior Manager bei der KPMG AG Wirtschaftsprüfungsgesellschaft in Frankfurt. Er ist im Bereich Governance & Assurance Corporate Risk Management tätig. Risikomanagement als Antwort auf unsichere Zeiten Der Umgang mit Volatilität in den Steuerungssystemen wie sich Unternehmen auf stetig ändernde Markt- und Wettbewerbsbedingungen vorbereiten können. Die Welt steht Kopf hohe Schwankungen in Absatzzahlen, Rohstoffpreisen oder Finanzierungskosten bestimmen die Märkte. Modelle, Prognosen und Szenarien haben diese Entwicklungen nicht vorausgesehen, Abweichungen zwischen Planung und Realität werden immer größer. Doch wie kann das sein? Oder stehen wir vielleicht auf dem Kopf und unsere Erwartung von Beständigkeit und langfristigen Trends sind falsch? Tatsächlich erleben wir seit Mitte des letzten Jahrhunderts eine Periode der Beständigkeit, und die Erfahrungen aus dieser Zeit bestimmen in weiten Teilen noch heute unsere Erwartungen an die Zukunft. Unsere Modelle und Methoden zur Unternehmenssteuerung basieren auf Daten dieser Zeit, sind nicht falsch, aber vielleicht nicht mehr auf unsere heutige Realität anwendbar. Der Faktor Unsicherheit muss neu betrachtet werden. Vereinfacht betrachtet meint Unsicherheit das Eintreten oder Nichteintreten eines Ereignisses. Wie wir es beeinflussen oder uns darauf vorbereiten, bestimmt über Erfolg bzw. Misserfolg. Diese Erkenntnis ist nicht neu. Neu ist aber, dass die Reaktionszeit immer kürzer wird. Informationen sind global in Sekunden verfügbar, Ideen können über Crowdfunding in kürzester Zeit realisiert werden, die Reichweite von Medien und Meinung ist faktisch unbegrenzt. Doch wie können Unternehmen auf sich schnell verändernde Umweltbedingungen reagieren? Wie können kapitalintensive Unternehmen ihre Investitionstätigkeit entsprechend ausrichten, um sich gegenüber Schwankungen an den Kapitalmärkten robust aufzustellen, stark nachfrageabhängige Branchen wie der Handel die Bestands- und Nachschubsteuerung flexibel gestalten oder Geschäftsmodelle, die auf externe Liquiditätsversorgung angewiesen sind, ihre Finanzierungstätigkeit stabil regeln? Um Lösungen für diese Fragen zu finden, müssen neue Ansätze in der Unternehmenssteuerung entwickelt werden, um den Umgang mit Unsicherheit in den Managementsystemen zur Strategie- und Zielentwicklung und zur Erfolgsmessung angemessen zu berücksichtigen und die richtigen Steuerungsimpulse abzuleiten. Vielleicht ist es an der Zeit, dass eine Disziplin, deren Ziel die frühzeitige Identifikation, Bewertung und Steuerung von Risiken ist, genau diese Aufgabe auch wahrnimmt. Zeit, dass Risikomanagement aus dem Schatten eines Compliance-getriebenen Systems heraustritt und mit seinen Methoden aktiv die Unternehmenssteuerung unterstützt und damit zu einem wertschaffenden Element der Unternehmenssteuerung wird. Es geht dabei nicht zwingend um die Entwicklung mathematischer Prognosemodelle, sondern auch darum, bestehende Ansätze der Risikoidentifizierung zu nutzen, um Trends und Entwicklungen schneller zu identifizieren und deren Auswirkungen zu qualifizieren. Die Integration von Risikomanagement und Unternehmenssteuerung bietet die Möglichkeit, Transparenz über die Ursachen von Volatilitäten herzustellen und Hebel zur Steuerung der Volatilitätstreiber zu entwickeln. So werden Unternehmen in die Lage versetzt, nicht nur reaktiv auf Unsicherheit reagieren zu können, sondern diese proaktiv zu steuern Unsicherheit wird eine Chance, Risikomanagement ein Wettbewerbsvorteil. Fehler im System Ein Gespräch mit dem Risikoforscher Ortwin Renn über globale, vernetzte Risiken und die Möglichkeiten für Unternehmen, sich für die Zukunft zu wappnen. Interview: Klaus Lüber / Redaktion

5 Seite 8 Herr Renn, Sie sagen, wir würden wenig bedrohliche Risiken überbewerten und wirklich bedrohliche dagegen nicht ernst genug nehmen. Geben Sie uns hierfür ein Beispiel? Die meisten Menschen nehmen an, dass Chemie und Umweltbelastungen uns zunehmend krank machen und technische Risiken und schwere Unfälle unser Leben immer stärker bedrohen. In der Statistik der schweren Erkrankungen und Todesfälle sind diese Bereiche aber nur minimal vertreten. Dadurch ist relativ gesehen der Anteil der durch das eigene Verhalten direkt beeinflussbaren Krankheiten stets angestiegen. Heute sind fast zwei Drittel aller vorzeitigen Todesfälle auf die vier Ursachen Rauchen, Alkohol, ungesunde Ernährung und Bewegungsmangel zurückzuführen. Kann man dieses Phänomen auch auf den Bereich Unternehmensführung übertragen? Auf einer individuellen Ebene, also die einzelne Firma betreffend, werden oft Faktoren wie Liquiditätsengpässe, Zahlungsausfälle und Innovationshemnisse sehr ernst genommen. Beitrag RadarServices Smart IT-Security GmbH Dr. Christian Polster Chief Strategy Officer und CFO, RadarServices Prof. Dr. Dr. h.c. Ortwin Renn Direktor des Zentrums für Interdisziplinäre Risiko- und Innovationsforschung an der Universität Stuttgart Schaut man aber in die Insolvenzstatistik, spielen oft ganz andere Dinge eine Rolle: zum Beispiel unternehmerische Fehlentscheidungen oder mangelnde Kundenbindung. Aber es gibt noch eine andere, viel entscheidendere Risiko-Kategorie, die von den meisten Unternehmen bislang sträflich vernachlässigt wurde. Was meinen Sie? Risikoforscher sprechen von sogenannten systemischen Risiken. Damit sind Risiken gemeint, die globale Auswirkungen haben können, mit vielen Funktionsbereichen von Wirtschaft und Gesellschaft eng vernetzt sind, häufig stochastische und nichtlineare Ursache-Wirkungsketten aufweisen und in der Regel schleichend voranschreiten, so dass wir sie entweder nicht frühzeitig erkennen oder nicht genügend ernst nehmen. Also ist das Problem, dass diese Risiken gar nicht als solche erkannt werden? Ja. Oder man ist sich den Problemen durchaus bewusst, fühlt sich aber eher als Spielball von Kräften, gegen die man Tatsächliche statt nur fiktive IT-Risiken erkennen Herr Dr. Polster, haben sich Cyberrisiken in den letzten Jahren verändert? Ja, sie haben deutlich zugenommen, sind professioneller und komplexer geworden. Denken Sie an die Angriffe auf die IT des Deutschen Bundestags, an die Wirtschaftsspionagefälle in Frankreich oder den millionenfachen Datenklau in den USA bei Anthem, CareFirst oder OPM. Kann man sich da überhaupt wirkungsvoll schützen? Wir sehen keine Möglichkeit, Angriffe auf Unternehmen komplett zu verhindern. Aber: Risiken lassen sich mit Hilfe einer effektiven Überwachung der IT-Sicherheit drastisch minimieren. Dafür müssen IT-Risiken erkannt und anschließend mit strukturierten Prozessen behoben werden. Kurz: Würden mehr Unternehmen ihren Fokus auf das zeitnahe Erkennen von tatsächlichen Risiken legen, statt auf die Abwehr fiktiver Gefahren, könnten auch die Schäden deutlich stärker begrenzt werden. Wie genau kann eine effektive IT-Überwachung aussehen? Hierfür haben wir fünf Schlüsselstrategien entwickelt, mit deren Hilfe Cyberrisiken erkannt und bekämpft werden können. Zunächst einmal müssen für ein Big Picture sicherheitsrelevante Daten aus möglichst vielen Quellen zentral ausgewertet werden. Der nächste Schritt ist eine Kombination aus automatisiertem IT-Sicherheits-Monitoring und kontinuierlicher Überwachung durch Experten, sozusagen ein 24/7-Audit. Denn Hacker und Cyberkriminelle entwickeln sich permanent weiter, darauf müssen Sie als Unternehmen reagieren können. Und außerdem? Wichtig ist weiterhin die Transparenz der Risiko-Behebungsprozesse ebenso wie eine Vorausschau darauf, was im Unternehmen passieren wird, wenn ein Risikofall eintritt. Zudem helfen klare, leicht verständliche Risikoberichte allen beteiligten Parteien, den Überblick zu behalten. So können IT-Risiken effizient gemanagt werden und die IT-Sicherheit trägt zum langfristigen Geschäftserfolg bei. Die OPTURE AG ist einer der führenden Anbieter für professionelle und unternehmensweite Risikomanagement (ERM) Systeme. Wir sind mit unseren Kunden weltweit in über 80 Ländern vertreten, mit Niederlassungen in Hamburg (Deutschland), Zürich (Schweiz) und London (England). Seit 2002 entwickeln und vertreiben wir innovative Risikomanagement Softwarelösungen für Industrieunternehmen, Banken, Fonds und Versicherungen. Alle OPTURE Risikomanagement Softwarelösungen sind intuitiv bedienbar, modular erweiterbar, flexibel modifizierbar, branchengerecht konfigurierbar und einfach administrierbar. Die OPTURE Software ist eine state-of-the-art Webanwendung, erhältlich in verschiedenen Sprachen mit mandanten- und rollenfähigen Autorisierungsrechten. Weitere Informationen finden Sie unter: ohnehin wehrlos ist. Es herrscht die Haltung: Dagegen kann ich sowieso nichts unternehmen, also beschäftige ich mich lieber erst gar nicht damit und konzentriere mich auf Dinge, die mich scheinbar direkter betreffen. Also beispielsweise die Gefahr, dass ich eine notwendige Investition nicht tätigen kann, weil ich in einen Finanzierungsengpass gerate. Warum sind systemische Risiken dennoch so gefährlich? Spielen globale Effekte wirklich eine so große Rolle für, sagen wir, ein mittelständisches deutsches Unternehmen? Wenn wir nur im großen, globalen Massstab denken, dann wirkt das alles weit weg vom Alltag eines deutschen Mittelständlers. Aber wir sprechen hier eben nicht nur von Naturkatastrophen, geopolitischen Krisen oder globalen ökologischen Gefährdungen, sondern von konkreten Defiziten in der Art und Weise, wie wir Risiken auf einer operativen Ebene managen. Eigentlich jede große Studie der letzten Jahre hat diesen Steuerungsdefiziten eines der höchsten Gefahrenpotenziale zugesprochen. Und das ist sehr wohl für jedes einzelne deutsche Unternehmen, auch den Mittelstand, hochrelevant. Inwiefern? Steuerungen werden im Augenblick vor allem als partielle Optimierungen verstanden. Unternehmen sind gegliedert in bestimmte Organisationseinheiten, wie beispielsweise Controlling, Marketing oder Internationales, die alle weitgehend unabhängig voneinander operieren. Das Problem ist, dass jede Einzeloptimierung einer Sparte zu einer überproportionalen Gefährdung einer anderen führt. Es kann aus Controlling-Gesichtspunkten vernünftig sein, eine Lieferkette so effizient wie möglich zu halten. Nur kommt es dann, wenn die Infrastruktur ausfällt, zu einer Katastrophe. Hier kann es sinnvoll sein, eigentlich entgegen der Interessen des Controllings einen Puffer einzubauen und das ganze System zwar weniger effizient, aber dafür resilienter, das heißt widerstandsfähiger, zu machen. Was können Unternehmen noch tun, um sich gegen systemische Risiken zu wappnen? Der vielleicht wichtigste Punkt ist es, zu erkennen, dass sämtliche Risiken, die man in der Vergangenheit vielleicht isoliert voneinander betrachtet hat, wie Finanzrisiken, Haftungsrisiken, Ausfallrisiken, Reputationsrisiken und Sicherheitsund Gesundheitsrisiken, in einer zunehmend vernetzten Welt immer stärker untereinander wechselwirken. Ein massives Engagement in einem Bereich geht immer auf Kosten eines anderen. Man kann Haftungsrisiken durch einen effizienten Versicherungsschutz minimieren, ist deshalb aber nicht gefeit gegen die negativen Auswirkungen eines massiven Reputationsverlustes, der sich im Haftungsfall einstellen kann. Und ein Reputationsrisiko kann unter Umständen wiederum zu einem Ausfallrisiko werden.

6 Seite 10 Beitrag AXON INSIGHT AG Seite 11 Warum fällt es Unternehmen bislang so schwer, sich adäquat zu verhalten? Das hat auch mit den Mechanismen der menschlichen Wahrnehmung zu tun, besonders bei Entscheidungsprozessen, die intuitiv ablaufen. Unsere Intuition funktioniert in vielen Fällen unglaublich gut, denn sie ist ein für den Menschen überlebenswichtiger Mechanismus. Sie erlaubt uns, uns schnell und in der Regel richtig zu entscheiden. Das Problem ist nur: Bei systemischen Risiken versagt dieser Mechanismus. Es scheint fast so, als ob uns die Natur nicht darauf vorbereitet hätte, uns in diesen Fällen richtig zu verhalten. Was passiert genau, wenn menschliche Intuition auf ein systemisches Risiko trifft? Wir bewerten es falsch. Es gibt eine ganze Reihe von Verhaltensmustern, regelrechte Wahrnehmungsfallen, in die wir hineintappen. Etwa neigen wir dazu, Dinge, nur weil sie in zeitlicher und örtlicher Nähe zueinander stehen, in einen kausalen Zusammenhang zueinander zu stellen, obwohl in komplexen Systemen oft genau das Gegenteil der Fall ist. Ein weiteres Muster ist die sogenannte Hybrisfalle, die immer dann wirksam ist, wenn wir denken: Wir haben das ja schon in der Vergangenheit geschafft, dann schaffen wir es auch in der Zukunft. Doch auch dafür gibt es in komplexen Systemen überhaupt keine Garantie. Welche Lösungen bietet die Risikoforschung? Uns steht hier das Leitbild der sogenannten Good Governance zu Verfügung. Die Idee ist, eine Balance zwischen vier Bereichen zu erzielen, von denen man annehmen kann, dass sie einen Großteil der Risikofelder abdecken, mit denen wir es in Zukunft zu tun haben werden: Effizienz, Effektivität, Resilienz und Fairness. Die Herausforderung ist es, diese Felder intelligent aufeinander abzustimmen. Wenn ein Faktor, im aktuellen globalen Finanzkapitalismus ist es die Effizienz, zu sehr im Fokus steht, geht das auf Kosten der Fairness mit allen globalen Verwerfungen, die wir zunehmend spüren. Oder nehmen Sie den Bereich der Effektivität. Natürlich kann man Systeme mit hoher wissenschaftlicher Expertise hocheffektiv machen. Aber dann sind sie eventuell nicht mehr effizient oder vielleicht auch nicht mehr resilient. Wie wahrscheinlich ist es, dass sich ein solches Ideal tatsächlich in der gesellschaftlichen Breite umsetzen lässt? Gar nicht so unwahrscheinlich. Erstens werden die heutigen Probleme das über kurz oder lang erzwingen. Denken Sie etwa an die Energiewende, die nur dann gelingen kann, wenn die Bürger die dazu notwendigen Veränderungen der Infrastruktur auch mittragen. Ohne eine stärkere Einbeziehung der Zivilgesellschaft werden große politische Vorhaben keine Zukunft in diesem Lande haben. Und zum anderen ist klar, dass die Kosten, die beispielsweise mit den Symptomen des systemischen Risikos mangelnde Fairness verbunden sind, ungleich höher ausfallen als die Investitionsmittel, die wir zur Angleichung der Lebenschancen aufwenden müssten. Digitale und soziale Intelligenz optimal verknüpfen Die Versicherungs- und Investmentbranche ist im Umbruch. Niedrige Courtagen und magere Zinsen bestimmen den Markt. Darüber hinaus stellt die zunehmende Digitalisierung die Branche vor große Herausforderungen zugleich bietet sie Unternehmen jedoch erhebliche Chancen. Die Gewinnung von Neukunden wird für Vertriebler seit Jahren schwieriger. Hinzu kommt, dass sie bei der Marktbearbeitung stets Ausfallrisiken im Blick haben müssen. Netzwerkintelligenz beziehungsweise die exakte Analyse von Daten kann Versicherungen bei der erfolgreichen Akquise von Neukunden unterstützen. Darüber hinaus können Assekuranzen mithilfe der Daten Betrugsnetzwerke im Neu- und Bestandskundengeschäft aufdecken und so ihr Risikomanagement optimieren. Axon Insight hat ein Netzwerktool entwickelt, das digitale und soziale Intelligenz optimal verknüpft. Mit Axon Insight erhält Netzwerkintelligenz Einzug in die Versicherungswirtschaft und Investmentbranche, so Alexander Sieverts, CEO von Axon Insight. Anwender können mithilfe der validen Wirtschaftsdaten Business-Opportunities identifizieren, die sich über bereits bestehende Kontakte eröffnen, und dadurch ihr Ausfallrisiko senken. Die Softwarelösung kann Versicherer allein in Deutschland mit 1,5 Mio. Unternehmen, 2,7 Mio. Menschen und 15 Mio. Verbindungen vernetzen. Grundlage bilden valide Wirtschaftsdaten sowie historisierte und kontinuierlich aktualisierte Wirtschaftsinformationen. Um noch detailliertere Informationen zu erhalten, können diese durch Daten aus unternehmenseigenen Adress- und Kontaktdatenbanken sowie auch XING ergänzt werden. Über eine API-Schnittstelle lassen sich kundenseitig eigene CRM-Systeme an Axon Insight anbinden. Dadurch können Netzwerkinformationen in das System des Kunden gepusht werden. Anwender erkennen durch Axon Insight den kürzesten Weg zu entscheidenden Personen oder Unternehmen. Versicherungen können damit auf Grundlage bestehender Kontakte potenzielle Neukunden identifizieren und durch aktive Empfehlung ihrer Verbindungen akquirieren. Auch das Potenzial des Firmenkunden-Netzwerks wird so sichtbar. Key-Accounts können so gezielt aufgebaut, gepflegt und stabilisiert werden. Indem das Netzwerk mit Kundenund Risikoinformationen überlagert wird, können Versicherer potenzielle Gefahren besser bewerten und erkennen. Um möglichen Versicherungsbetrug aufzudecken, gleicht Axon Insight etwa die Handelsregister-Daten mit Mustern der Versicherung ab, die sie von früheren Missbrauchsfällen kennt. Außerdem sind Versicherungen mithilfe des Netzwerktools in der Lage, Ausfallrisiken durch ein kontinuierliches Monitoring des Vertragsbestandes vorzubeugen. So wird Schaden durch kriminelle Organisationen im Neukundenund Bestandskundengeschäft abgewendet. Über die AXON INSIGHT AG Die Axon Insight AG mit Sitz in Luzern ist auf die Entwicklung originärer Decision-Support-Lösungen für die Bereiche Strategie, Marketing und Vertrieb spezialisiert. Axon Insight analysiert und bewertet weltweite Netzwerkverbindungen von Board-Mitgliedern, dem C-Level-Management und zentralen Entscheidern über sämtliche erfasste Unternehmen und stellt diese auf intuitive Weise dar. Die Lösung identifiziert so potenzielle Kunden und den effizientesten Weg zu Entscheidern oder High Potentials. Außerdem unterstützt Axon Insight Unternehmen bei der Evaluation möglicher Geschäftsrisiken. Alexander Sieverts CEO Axon Insight AG

7 Seite 12 Wettrüsten im virtuellen Raum Das Internet ist zum Risikofaktor geworden. Besonders deutsche Unternehmen und Institutionen stehen im Visier von Cyberkriminellen und Geheimdiensten. Ein effektiver Schutz ist anspruchsvoll, aber dringend notwendig. Mirko Heinemann / Redaktion eder wird diese s kennen: Höflich im Ton, holprig im Deutsch, bitten vorgebliche Geschäftsleute aus einem fernen Land um Hilfe. Es geht meist um die Transaktion einer höheren Geldsumme, die aus einer Firmenauflösung oder einer Erbschaft stamme und jetzt in Sicherheit gebracht werden müsse. Ob man nicht bei der Transaktion helfen und sein Bankkonto zur Verfügung stellen wolle? Am Ende der Transaktion wird 40 Prozent für Sie sein, und 60 Prozent für mich und meine Kollegen sein, heißt es da etwa. Wer sich wundert, ob es Menschen gibt, die solche s positiv beantworten: Es gibt sie. Obwohl jedem klar sein dürfte, dass hinter dem Absender mit hoher Wahrscheinlichkeit eine kriminelle Bande steht. Noch höher ist die Wahrscheinlichkeit, dass, sollte tatsächlich eine Transaktion stattfinden, sie nicht nur illegal ist, sondern ein weitaus größeres Verbrechen verschleiern soll. Auf diese Weise werden aus Bürgern leicht Money Mules, Geld-Esel, die etwa Cyberkriminellen helfen, gestohlenes Geld in verborgene Kanäle zu transferieren. So geschehen bei den Anschlägen einer internationalen Hackergruppe auf österreichische Großbanken. Ein kriminelles Netzwerk war über Jahre in Online-Banking-Systeme eingedrungen und hatte mit Schadprogrammen wie den Trojanern Spxeye oder Citadel TAN-Codes gestohlen. Mit diesen TAN-Codes überwiesen die Täter fremdes Geld auf Konten von Mittelsmännern. Die Rekrutierung dieser Mittelsmänner erfolgte über Spam-Mails, mit denen die Kriminellen für eine lukrative Heimarbeit warben. Der Job bestand dann Beitrag HDI-Gerling Industrie Versicherung AG Aktiv gegen Cyber-Angriffe schützen Jedes zweite Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer eines digitalen Angriffs geworden. Im Mittelstand sind es sogar 61 Prozent. Bei fast jedem fünften Unternehmen geschah dies durch den Diebstahl von sensiblen elektronischen Dokumenten. Zu diesen Ergebnissen kommt eine aktuelle repräsentative Umfrage unter Führungskräften im Auftrag von Bitkom. Der Branchenverband beziffert den jährlichen Gesamtschaden für die deutsche Wirtschaft auf 51 Milliarden Euro. Individuelle Absicherung durch modular aufgebauten Versicherungsschutz darin, gegen Bezahlung das eigene Konto zur Verfügung zu stellen, über das von fremden Konten gestohlenes Geld transferiert wird. Zwei Millionen Euro sollen die Hacker auf diese Weise nur in Europa erbeutet haben. Weltweit soll der Schaden ein Vielfaches davon betragen. Dieser Fall zeigt nicht nur, dass sogar die sicher erscheinenden Online-Banking-Systeme angreifbar sind. Sondern auch, dass viele Menschen entweder keinerlei Ahnung von den Möglichkeiten moderner Cyberkriminalität haben oder sie gar als eine Art Kavaliersdelikt einschätzen. Das ös-»auch deutsche Unternehmen sind schlecht geschützt gegen Cyberangriffe.«Der betriebliche Schutz vor Cyber-Angriffen gehört daher zu den zentralen Herausforderungen in den Geschäftsleitungen. Mit Cyber+ von HDI-Gerling können sich Unternehmen bestmöglich gegen diese Risiken wappnen. Der modular aufgebaute Versicherungsschutz zeichnet sich insbesondere durch die Absicherung von Eigen- und Drittschäden aus. Unternehmen können sich damit nicht nur gegen Schäden versichern, die sie selbst als Opfer von Cyber-Kriminalität erleiden. Abgedeckt sind auch solche Schäden, für die sie von Kunden, Lieferanten oder Dritten haftbar gemacht werden. Für die IT-Sicherheit sind Unternehmenslenker persönlich verantwortlich. Deshalb lassen sich eine Managerhaftpflicht und ein Straf-Rechtsschutz optional integrieren. Das Unternehmen kann sich gegen die finanziellen Folgen absichern, wenn Cyber-Angriffe auf Fertigungsanlagen die Produktion lahm legen. Es besteht Zugriff auf ein Krisen- und Risikomanagement, das u. Seite 13 Philipp Lienau Leiter Vermögensschadenhaftpflicht Vertrag, HDI-Gerling a. forensische Untersuchungen, die Öffentlichkeitsarbeit und die Wiederherstellung von Daten und Programmen im Krisenfall beinhaltet. Durch eine Deckungserweiterung lässt sich zudem der Fall einer möglichen Erpressung absichern. Geschäftsleitung und Mitarbeiter sind damit optimal auf den Ernstfall vorbereitet. Damit es möglichst gar nicht erst dazu kommt, unterstützt HDI-Gerling Unternehmen ebenso dabei, bestehende Cyberrisiken zu identifizieren sowie technische bzw. organisatorische Gegenmaßnahmen zu entwickeln. terreichische Bundeskriminalamt zeigte sich jedenfalls überrascht über die Bereitschaft einer relativ großen Anzahl an Personen in Österreich, sich am Geldwäsche und -verschiebe-system solcher Banden zu beteiligen. Viele Beteiligte wollen nicht gewusst haben, dass sie etwas Illegales tun. Der Fall zeigt auch: Kein System ist sicher, nirgendwo auf der Welt. Auch deutsche Unternehmen sind schlecht geschützt gegen Cyberangriffe. Der Hightech-Verband Bitkom gibt an, dass jedes dritte Unternehmen in Deutschland in den vergangenen zwei Jahren IT-Sicherheitsvorfälle verzeichnete. Danach waren kleine und mittelständische Unternehmen öfter betroffen als große. Das ergab eine repräsentative Umfrage unter 458 Unternehmen ab 20 Mitarbeitern. Deutsche Unternehmen sind zu einem attraktiven Ziel für Cybergangster und ausländische Geheimdienste geworden, erklärte Bitkom-Präsident Dieter Kempf. Umso wichtiger ist es, die Sicherheitsvorkehrungen immer auf dem neuesten Stand zu halten und regelmäßig in den Schutz der eigenen IT-Systeme zu investieren. Dass sogar dies nicht immer ausreicht, zeigt der Fall der österreichischen Großbanken. Egal, wie die Geldinstitute ihre Sicherheitssysteme aufrüsteten die Täter zogen nach. Die avisierte Beute von kriminellen Hackern ist zum einen das schnöde Geld, so wie bei dem Anschlag auf die österreichischen Großbanken. Attacken gegen das produzierende Gewerbe zielen hingegen meist auf die Erbeutung von technologischem Know-how oder von strategischen Informationen. Andere wollen unliebsame Konkurrenten schwächen. Manche Angriffe haben auch politische Gründe, so mutmaßlich im Fall des Filmstudios Sony Pictures.

8 Seite 14 Beitrag KPMG AG Seite 15 Im vergangenen November hatten Hacker vertrauliche Daten aus dem Unternehmen entwendet darunter s von Hollywood-Stars und unveröffentlichte Filme und sie ins Netz gestellt. Vorangegangen war ein Konflikt zwischen dem Unternehmen und der nordkoreanischen Regierung wegen der von Sony Pictures produzierten Nordkorea-Satire The Interview. Der US-amerikanische Geheimdienst sah nordkoreanische Hacker am Werk. Amy Pascal, Co-Chefin von Sony-Pictures, kostete der Hackerangriff den Posten. Die Politik hinkt hinterher. Wie zum Hohn wurde der Deutsche Bundestag zwei Wochen vor Verabschiedung des sogenannten IT-Sicherheitsgesetzes selbst zur Zielscheibe eines groß angelegten Cyberangriffs. Die Täter erbeuteten vertrauliche Dokumente von Abgeordneten. Mit dem neuen IT-Sicherheitsgesetz möchte die Regierung vor allem die Versorgung der Bürger sichern. Betreiber von IT-Infrastrukturen aus den Bereichen Energie, Transport, Verkehr und Wasser werden verpflichtet, einen Mindeststandard einzuhalten und Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Ziel ist es, ein umfassenderes Bild der Gesamtbedrohungslage zu erlangen Beitrag Hiscox Europe Underwriting Limited Cybercrime: Versicherungsschutz wird vernachlässigt Tobias Wenhart Manager Products & Underwriting, Hiscox Eine aktuelle Forsa-Umfrage im Auftrag des Versicherers Hiscox unter deutschen Digitalunternehmen überrascht: Während die technischen Standards hoch sind etwa bei Firewall, Virenscan oder Backup-Systemen besitzen nur 36 Prozent der befragten Unternehmen Versicherungsschutz gegen Cyberrisiken. Und das, obwohl gerade sie besonders im Fokus der Cyberkriminellen stehen. Wer nur auf technische Lösungen setzt und dabei nicht-technische Maßnahmen vernachlässigt, ist im Ernstfall unvollständig geschützt. Das kann einem Unternehmen letztendlich das Genick brechen, weiß auch Tobias Wenhart, Manager Products & Underwriting bei Hiscox. Gemeint sind vor allem die Kosten, die im Ernstfall auf ein Unternehmen zukommen können. Wer im Onlinevertrieb Opfer von Datenklau wird, muss vor allem für die geltend gemachten Vermögensschäden haften etwa wenn sich die Angreifer Zugang zum Bezahlsystem verschafft und die Kundendaten missbraucht haben. Hinzu kommen und andere Unternehmen vor ähnlichen Angriffen warnen zu können. Kritiker halten das Gesetz für zahnlos, so lange die Betreiber nicht gezwungen seien, Schwachstellen ihrer IT sowohl nachträglich zu beheben als auch aktiv zu suchen und zu beseitigen. Diese Kritik wurde von einem Sprecher des Chaos Computer Clubs in einer Stellungnahme für den Bundestagsinnenausschuss geäußert. Und auch der Brachenverband Bitkom meldet Bedenken an. Laut einer aktuellen Studie belaufen sich die jährlichen Kosten durch die gesetzliche Meldepflicht auf 1,1 Milliarden Euro. Besonders ärgerlich ist, dass aufgrund der klandestinen und internationalen Strukturen Täter selten ausfindig gemacht werden. Kleiner Trost: Im spektakulären Fall der österreichischen Großbanken konnten 60 Beschuldigte ermittelt, viele auch verhaftet werden. Vier Jahre lang hatten Europol-Beamte gemeinsam mit Behörden aus Belgien, Finnland, Großbritannien, den Niederlanden und Norwegen ermittelt. Mitte Juni war es soweit: Ukrainische Sondereinheiten, Europol-Spezialisten und Beamte des Wiener Bundeskriminalamtes durchsuchten Räume in Kiew, Odessa, Charkiv und Dnipropetrowsk und verhafteten fünf führende Mitglieder der Bande. forensische Dienstleistungen, Rechtsberatung und -beistand, PR-Unterstützung für die angeschlagene Reputation und die gesetzlichen Informationspflichten, so dass sich das Schadenausmaß schnell im hohen sechsstelligen Bereich bewegen kann. Eine Cyberversicherung ist aber nicht nur aufgrund des finanziellen Beistands im Schadenfall attraktiv, wie Hiscox-Experte Wenhart zu berichten weiß: Sowohl wir als Versicherer als auch unsere Kunden wollen den Schadenfall, also einen Cyberangriff, vermeiden. Deshalb leisten wir bereits im Vorfeld entsprechende Hilfestellung für unsere Kunden. Im konkreten Fall der Cyberversicherung von Hiscox kann das beispielsweise ein Risiko-Check durch HiSolutions, einem der führenden IT-Risikospezialisten, sein. Zusätzlich wird jedem Unternehmen, das eine Hiscox Cyberversicherung abschließt, ein Krisenplan zur Verfügung gestellt, der in den ersten Stunden nach einem Schadenfall die Sicherung der Daten entscheidend erhöht. Wer also auf den Versicherungsbaustein gegen Cyberrisiken verzichtet, hat nur einen halbierten Schutz. Herr Geschonneck, zentrales Ergebnis Ihrer e-crime Studie 2015: Das Risiko nimmt deutlich zu. Das ist richtig. Im Vergleich zu 2013 ist laut unserer Studie die Anzahl der e-crime-opfer von 27 auf 40 Prozent gestiegen. Vor allem für Finanzdienstleister nimmt die Problematik zu. Hier gaben 55 Prozent an, betroffen zu sein. Analog dazu ist auch die Risikowahrnehmung gestiegen. 89 Prozent glauben, dass das Risiko hoch, beziehungsweise sehr hoch ist, dass deutsche Unternehmen Opfer von e- Crime werden. 70 Prozent rechnen damit, dass dieses Risiko in den kommenden zwei Jahren weiter steigen wird. Warum ist das e-crime-risiko so rasant gestiegen? Das liegt zum einen daran, dass die Täter immer professioneller werden, international und organisiert operieren. Zum anderen hinterlässt Cyperkriminalität kaum Spuren und verursacht in der Regel kein Getöse. Denken Sie zum Beispiel an den Datendiebstahl. Das Problem: Oft wird er erst bemerkt, wenn die Daten missbraucht werden. Das macht die Detektion für Unternehmen deutlich schwerer, ist aber sicher nicht der einzige Grund für den Anstieg. Sondern? Viele Unternehmen sind sich der Risiken gar nicht bewusst. Einerseits nehmen sie an der digitalen Welt teil, statten ihre Mitarbeiter mit der nötigen Mobilität aus. Wissen dabei aber nicht, welche erhöhten Risiken mit Smartphones, USB-Sticks, Remoteverbindungen oder auch mit der Nutzung sozialer Netzwerke einhergehen. Doch genau diese Schwachstellen neuer Technologien nutzen die Angreifer, die im Übrigen oft wie Unternehmen organisiert sind. Ein Grund, warum der Großteil der von uns befragten Unternehmen glaubt, dass es noch keine ausreichenden Schutzmaßnahmen gibt. Ist diese Einschätzung richtig? Nicht unbedingt. Fakt ist aber, dass eine risikobasierte Betrachtung nicht überall stattfindet. Zu wenige Unternehmen fragen sich ernsthaft, was passieren kann, wie hoch Schäden sein könnten oder wo ihre Kronjuwelen sind. e-crime: Schockstarre in Deutschland? Die Bedrohung durch e-crime nimmt zu, wie die aktuelle KPMG-Studie zeigt. Doch viele Unternehmen wissen sich nach wie vor nicht zu schützen. Häufig fehlt die Fantasie dafür, dass und wo man Opfer von Cyberkriminalität werden kann. So ist es natürlich schwierig, entsprechende Schutzmaßnahmen einzuleiten. Die wären wiederum auch sehr teuer? Auch das ist ein Trugschluss. Viele Unternehmen glauben, dass sich das Problem mit hohen Investitionen in Hard- oder Software löst. Dieses Freikaufen klappt aber nicht. Denn wirkungsvoller Schutz vor e-crime muss immer ein kontinuierlicher, sich weiterentwickelnder Prozess sein. Lassen Sie mich noch einmal betonen, dass die Täter hoch professionell und unternehmerisch agieren. Auch hier findet eine permanente Entwicklung statt, der sie entsprechend begegnen müssen. Womit die Frage nach den hohen Investitionen noch nicht gänzlich beantwortet wäre. Man kann auch mit kleinen Budgets, die gezielt eingesetzt werden, eine Menge erreichen vor allem, wenn eine Sensibilisierung im Unternehmen stattfindet. Sie müssen zunächst einmal Ihre Mitarbeiter schulen, auf mögliche Schwachstellen aufmerksam machen. Wie etwa sollten sichere Passwörter konzipiert sein? Wie gehe ich mit verdächtigen s um? Wann darf ich Anhänge öffnen? Gilt das für Unternehmen aller Branchen? Natürlich sind Finanzdienstleister, der Handel aber auch große Industrieunternehmen Stichwort Spionage besonders betroffen. Grundsätzlich empfehlen wir jedoch allen Unternehmen, sich mit dem Risiko der Cyperkriminalität auseinander zu setzen. Denn zunehmend mehr Geschäftsmodelle und -prozesse werden heute digitalisiert. Damit nehmen natürlich auch die potenziellen Angriffspunkte für Täter immer mehr zu. Alexander Geschonneck Leiter Forensic Deutschland, KPMG, Berlin T ageschonneck@kpmg.com

9 Seite 16 forum der akteure Beitrag Nexus Technology GmbH Seite 17 Neue Gefahren für Unternehmen Die Redaktion befragt Experten zu aktuellen Herausforderungen im Risikomanagement. Dr. Bernhard Rohleder Hauptgeschäftsführer BITKOM Prof. Dr. Rainer Kalwait Leiter Fachkreis Controlling & Risikomanagement ICV und RMA Dr. Alexander Moseschus Geschäftsführer des Deutschen Factoring-Verbandes e.v.»digitale Identität ist ein Menschenrecht«Die Grenzen zwischen physischer und digitaler Welt verschwimmen rasant. Der Schutz der digitalen Identität wird dabei zu oft vernachlässigt technisch möglich ist er.»vertrauliche Kommunikation ist die Basis digitaler Souveränität.«Die Digitalisierung eröffnet nicht nur Unternehmen zahlreiche neue Geschäftsmodelle, sie bietet auch Kriminellen häufig ein Einfallstor: Mehr als die Hälfte aller Unternehmen ist in den vergangenen beiden Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dabei entsteht ein jährlicher Schaden von 51 Milliarden Euro für die deutsche Volkswirtschaft. Viele Unternehmen haben bereits einen guten Basisschutz aufgebaut, umfassende Sicherheitsmaßnahmen sind dennoch selten. Doch das wäre dringend notwendig, da die Schadsoftware immer komplexer wird und sich immer besser tarnen kann. Selbst wenn ein Angriff bemerkt wird, kann ein Datenverlust oft nicht mehr verhindert werden. Wie der Cyber-Angriff eines mächtigen Gegners aussehen kann, zeigt der aktuelle Fall des Deutschen Bundestages. Beim Schutz vor digitalen Angreifern geht es auch um Digitale Souveränität für Deutschland und Europa. Wir müssen unsere Wirtschaft, aber auch Staat und Bürger künftig besser in die Lage versetzen, vertraulich und geschützt in digitalen Netzen zu kommunizieren. ist an der Zeit, Controlling und Risikomanagement zu verbinden.«geht es darum, Unternehmensziele zu planen, steuern und kontrollieren, ist dies die klassische Aufgabe des Controllings. Anhand von Kennzahlen trifft man Aussagen über den betriebswirtschaftlichen Ist-Zustand des Unternehmens und die zu erwartende Erreichung der Ziele. Das ist effektiv, birgt aber auch ein großes Risiko: Jede der Zahlen enthält eine Rest-Unsicherheit, die sich zu einer Gesamtrisikoposition aggregieren lässt, die bisher oftmals nicht auf Anhieb sichtbar ist. Nun hat Chancen- und Risikomanagement in den letzten Jahren einen enormen Aufschwung erfahren und stellt, etwa mit der Monte-Carlo-Simulation, alltagstaugliche Software-Instrumente bereit. Wir glauben deshalb, es ist an der Zeit, Controlling und Risikomanagement zu verbinden. Mit der damit erreichten sogenannten Bandbreiten- bzw. Korridorplanung erhalten Unternehmen eine große Chance, mehr Flexibilität in der Planung zu erlangen. Mit der Weiterentwicklung dieser Methodik befasst sich der Fachkreis Controlling & Risikomanagement von Internationalem Controller Verein (ICV) und Risk Management Association (RMA). bleibt ein verlässlicher Partner in der Mittelstandsfinanzierung.«Seit Ende 2008 ist Factoring in Deutschland eine erlaubnispflichtige Finanzdienstleistung, daher unterliegen die aktuell 197 deutschen Factoringunternehmen der Aufsicht durch die BaFin. Nur wenige dieser Institute sind Banken, die meisten sind Finanzdienstleistungsinstitute und unterfallen einigen Ausnahmeregelungen, insbesondere in puncto Eigenkapital- und Liquiditätsaufsicht. Trotzdem sind die für alle Factoringinstitute geltenden Anforderungen und Pflichten wie Melde- und Anzeigepflichten, die Mindestanforderungen an das Risikomanagement (Ma- Risk), die verstärkten Anforderungen an Jahresabschlüsse sowie Vergütungsregularien gerade für kleine Anbieter nicht zu unterschätzen. Trotz der zunehmender Aufsichtsregulatorik bleibt Factoring ein verlässlicher Partner in der deutschen Mittelstandsfinanzierung. Es ermöglicht eine umsatzkongruente Finanzierung und bietet Schutz vor dem häufig bedrohlichen Forderungsausfallrisiko. Zudem ist es damit möglich, Unternehmen im Bereich Debitorenmanagement zu entlasten. Herr Olsson, warum kämpfen Sie für den Schutz der digitalen Identität? Immer mehr Dienstleistungen sind heute digital Bankgeschäfte, Steuerklärungen, vielleicht wählen wir bald schon unsere Regierungen digital. Zudem agieren im Internet mittlerweile nicht nur Menschen, auch Maschinen und Systeme kommen hier zusammen, Stichwort Internet of Things. Im echten Leben legitimieren Sie sich mit Ihrem Pass oder der EC-Karte. Im Internet wird leider noch viel zu häufig die eigene Identität mit Nutzername und Passwort geschützt. Und das ist meiner Meinung nach ein Sicherheitsniveau, das dem Gewicht von Identität nicht gerecht wird. Was würde ihrem Gewicht gerecht? Je anspruchsvoller der Schutz der digitalen Identität, desto schwieriger ist ihr Missbrauch. Anstatt also nur Benutzernamen und ein immer geltendes Passwort festzulegen, können einmalige Passwörter für den Login über ein Mobiltelefon verschickt werden. Noch sicherer sind so genannte PKI-Strukturen Public Key Infrastructures. Dahinter verbirgt sich vereinfacht ausgedrückt eine Hochsicherheitsumgebung, die digitale Zertifikate ausstellen, verteilen und prüfen kann. Ideal ist immer eine Kombination aus verschiedenen Zugriffsmodellen. Und solche Strukturen existieren? Ja, wir bieten entsprechende technische Lösungen für einen anspruchsvollen und sicheren Schutz der digitalen Identität. Für uns ist dabei besonders wichtig, dass die Sicherheitslösungen zwar technisch komplex, für den Nutzer aber einfach einzusetzen sind. Denn wenn die Benutzerfreundlichkeit auf der Strecke bleibt, haben Sie keine Anwender und damit auch keine Sicherheit mehr. Welche Unternehmen nutzen Ihre Lösungen? Unsere Kundenliste ist lang und beinhaltet viele große deutsche Firmen. Weltweit verwalten wir über 100 Millionen Identitäten. Insgesamt kann ich sagen, dass vor allem große Unternehmen sich bereits sehr intensiv mit dem Schutz der digitalen Identität beschäftigen. In kleineren Unternehmen ist diese Entwicklung leider noch nicht so weit fortgeschritten. Hier dominiert das Modell Username-Password, das dringend ein Upgrade benötigen würde. Wie kann das aussehen? Viele Unternehmen geben Schlüsselkarten an ihre Mitarbeiter, die auch für die Zeiterfassung oder das Bezahlsystem in der Kantine funktionieren. Genauso könnte auch der Zugang zu Systemen, Daten oder Programmen geregelt werden. Das Mobiltelefon ist eine weitere Option, um einfach und mit entsprechendem technischen Hintergrund sicher die jeweilige Identität und Zugangsberechtigung des Mitarbeiters zu prüfen. Allerdings muss auch der Prozess der ID-Übergabe sicher gestaltet sein. Was nützt der anspruchsvollste Identitätsschutz, wenn die Zugangsdaten in einem ungeschützten Umschlag übergeben werden? Hier finden Sie vor allem auf Unternehmensseite, aber auch im privaten Bereich die größten Sicherheitslücken. Sie sagen, auch Regierungen müssten die digitale Identität stärker schützen? Absolut. Digitale Identität ist ein schützenswertes Menschenrecht. Wenn Sie sich in der physischen Welt mit einem fremden Pass ausweisen, ist das eine Straftat. Zudem werden viele Anstrengungen unternommen, um etwa Pässe möglichst fälschungssicher zu gestalten. Kurz: Die Werte, mit denen wir unsere Gesellschaft seit vielen Jahren organisieren, müssen auch Einzug in die digitale Welt finden. Die Geschwindigkeit, mit der diese sich jedoch entwickelt, wird von offizieller Seite unterschätzt. Entsprechend lassen rechtliche Schritte zum Schutz der digitalen Identität noch auf sich warten. Michael Olsson ist Chairman des schwedischdeutschen Unternehmens nexus, das auf Identity Management spezialisiert ist

10 Seite 18 Beitrag Atradius N.V. Seite 19 Exportchancen erkennen Risiken vermeiden. Mit Atradius. Mittelstand im Wandel In einer zunehmend globalisierten Wirtschaft wird Risikomanagement für den Mittelstand immer wichtiger. Eine wichtige Rolle spielen Finanzierung, Exportabsicherung und Compliance. Herr Karrenberg, haben sich die Risiken für Unternehmen verändert? Absolut. Denken Sie beispielsweise an Exporteure gestern noch war Osteuropa eine attraktive Exportdestination für deutsche Unternehmen. Heute belastet die unsichere Situation in Russland das gesamte Osteuropageschäft. Wie können Unternehmen solche Risiken ausgleichen? Indem sie neue Zukunftsmärkte erschließen. Unsere immer stärker vernetzte Welt erleichtert den Zugang zu neuen Absatzmärkten. Wir sehen beispielsweise in Ländern wie Nigeria und Kenia, aber auch in Indonesien großes Wachstumspotenzial. Das bestätigt die Nachfrage unserer Kunden. Ist ein schnelles Umschwenken auf andere Märkte denn ohne Weiteres möglich? Lassen Sie mich das am Beispiel von Indonesien erklären: Einerseits sind die Chancen im Inselstaat groß vor allem bei Lebensmitteln und Pharmaprodukten. Indonesien bietet mit mehr als 240 Millionen Einwohnern und einer ständig wachsenden Mittelschicht viel Raum für deutsche Produkte. Andererseits gibt es nach wie vor tiefgreifende Strukturprobleme. Es fehlt an bürokratischen Strukturen, die Korruption ist hoch und auch das Rechtssystem und die Infrastruktur sind weit weg von westlichen Standards. Wie können Exporteure diesen Länderrisiken begegnen? In dem Sie sich einen erfahrenen Partner wie Atradius vor Ort suchen. Es ist existenziell, Transaktionen im Vorfeld abzusichern, so dass am Ende nur profitable Geschäfte bleiben. Wir sind bereits seit Jahren über Partner in Jakarta vertreten und sichern gelieferte Waren aber auch erbrachte Dienstleistungen vor Forderungsausfällen ab. Sind Sie auch in Zentralafrika aktiv? Ja, über Partner in Nairobi und Johannesburg. Hier planen wir ebenso wie in Indonesien, unsere Präsenz auszubauen immer analog zu den Bedürfnissen unserer Versicherungsnehmer. Michael Karrenberg Regional Director Risk Services Gemany, Central, North, East Europe & Russia/CIS Andreas Eicher / Redaktion deutsche Wirtschaft tickt mittelständisch. Mit diesem Bild beginnt das Grußwort des aktuellen Jahresberichtes 2014 des Bundesverbands Die mittelständischer Wirtschaft BVMW, unterzeichnet von Bundeswirtschaftsminister Sigmar Gabriel. Und tatsächlich: Die Zahlen sind beeindruckend. Rund 99 Prozent der deutschen Unternehmen sind kleine und mittlere Betriebe. Und diese erwirtschaften mit rund 70 Prozent der Gesamtbeschäftigten über zwei Billionen Euro Umsatz pro Jahr. Aber natürlich soll die Metapher des tickenden Uhrwerks noch etwas anderes suggerieren: Das wird jetzt so weiterlaufen. Wie die Präzisionsmechanik einer Uhr wird der Mittelstand auch in Zukunft unseren Wohlstand sichern. Der Mittelstand, krisenfest und planungssicher, wird dafür sorgen, dass wir all die Unwägbarkeiten und Risiken, die in einer zunehmend unberechenbaren Zukunft drohen, meistern können. Allerdings: Die so oft gelobte Krisenfestigkeit des Mittelstandes ist alles andere als ein Selbstläufer. Eine Schwachstelle, darauf weisen Rating-Experten schon lange hin, liegt in der Art und Weise, wie sich mittelständische Unternehmen Kapital beschaffen. Nicht alle Mittelständler können ihren Finanzierungsbedarf über klassische Bankkredite decken. Folglich gilt es Mittel und Wege zu finden, um mögliche Finanzierungs- und Liquiditätsengpässe im Vorfeld zu erkennen. Um die Chancen für das eigene Unternehmen zu wahren, braucht es den ungetrübten sowie transparenten Blick nach vorne, erklärt Dr. Roland Franz Erben, Professor für BWL im Studiengang Wirtschaftspsychologie an der Hochschule für Technik (HFT) in Stuttgart. Und er ergänzt: In diesem Zuge ist ein durchgängiger Risikomanagementprozess unerlässlich, der mehr als eine reine Erfüllung gesetzlicher Anforderungen beinhalten muss. Im Kern geht es um den wirklichen Nutzen von Risikomanagement. Für Erben liege dieser in einer besseren Voraussage von Ergebnisschwankungen, was sich wiederum positiv auf die Kapitalkosten auswirken könne. In diesem Zuge müssen sich Entscheider stärker auf die sich rasant wandelnden Geschäftsmodelle einstellen. Daher spielt das Geschäftsmodell eine entscheidende Rolle im Bewertungs- und Finanzierungsprozess. Frank Romeike, Risikomanagementexperte und Geschäftsführer des Kompetenzportals RiskNET, fügt an: Eine stabile Gewinnentwicklung ist im Interesse der Fremdkapitalgeber, was sich in einem guten Rating, einem vergleichsweise hohen Finanzierungsrahmen und günstigen Finanzierungskonditionen widerspiegelt. Das Fundament bildet hierbei ein solides und nachhaltiges Geschäftsmodell. Hierzu gehört auch die Auseinandersetzung mit zukünftigen Risiken, die dieses Geschäftsfundament auf den Prüfstand stellen, etwa durch die digitale Revolution. Wichtig ist in diesem Kontext eine integrierte Finanzkommunikation des Unternehmens. Der Bundesverband der Deutschen Industrie (BDI) sieht in einer erfolgreichen Finanzkommunikation den möglichen positiven Einfluss auf das Rating des Unternehmens. Der BDI schlussfolgert: Obwohl eine proaktive Informationspolitik handfeste Vorteile mit sich bringt, nutzen viele Mittelständler diese Chancen bisher nicht ausreichend. Ein durchgängiger Risikomanagementprozess im Unternehmen schafft Klarheit über die eigene Risikolandkarte, erleichtert Unternehmensentscheidungen und versorgt Fremdkapitalgeber sowie Rating-Agenturen mit validen Informationen. Im Grunde eine vertrauensbildende Maßnahme für alle Beteiligten, resümiert Romeike. Um die Risikotragfähigkeit von Unternehmen auf solide Beine zu stellen, steht die Beantwortung einer einfachen Frage im Zentrum: Wie viel Risiko kann ich eingehen? Ziel ist, die individuell vorhandene Risikodeckung in Form von Eigenkapital und liquiden Mitteln festzulegen. Mit Blick auf den exportstarken Mittelstand laut Zahlen des BMVW sind 98 Prozent der deutschen Exporteure Mittelständler spielen versicherungsrelevante Risiken sowie Kredit- und Länderrisiken eine entscheidende Rolle. Hintergrund ist die weltweite Vernetzung von Produktionen, Lieferketten und Warenströmen. Die Kreditversicherung ist ein wichtiges Instrumentarium, um Zahlungs- und Forderungsausfälle zu minimieren und die Chancen einer Geschäftsfortführung zu sichern.

11 Seite 20 Beitrag NÜRNBERGER Versicherungsgruppe Seite 21 Zum Schutz vor Ausfallrisiken in Schwellen- und Entwicklungsländern greifen Mittelständler auf staatliche Exportkreditversicherungen, sogenannte Hermesdeckungen, zurück. Diese decken unter anderem die Risiken von Auslandsgeschäften ab, gerade wenn Firmen die wirtschaftlichen und politischen Risiken nicht tragen können. Im Jahresbericht 2014 Exportkreditgarantien der Bundesrepublik Deutschland der Euler Hermes Aktiengesellschaft heißt es hierzu: Der Schwerpunkt der Absicherungen lag bei Lieferungen und Leistungen in Schwellen- und Entwicklungsländer. Ohne Hermesdeckungen wären zahlreiche Geschäfte in diesen Ländern und Regionen nicht möglich gewesen. Dem Jahresbericht folgend haben sich die Entschädigungszahlungen 2014 im Vergleich zum Vorjahr mehr als verdoppelt und stiegen auf 504 Millionen Euro. Dies ist überwiegend auf den Anstieg der Schadensauszahlungen für Exporte in den Iran auf 287,1 Millionen Euro zurückzuführen, so die Aussage des Jahresberichts. Hintergrund dürfte unter anderem die Sanktionspolitik gegen den Iran sein. Die Industrie- und Handelskammer Region Stuttgart warnt auf den eigenen Internetseiten davor, dass es auch ab 1. Juli 2015 voraussichtlich Beschränkungen im Iranhandel geben wird. Somit müssen die Risiken im Iran-Geschäft genau geprüft und abgesichert werden. Ein weiteres, wichtiges Bindeglied im Umgang mit Marktund Länderrisiken bietet ein in das Risikomanagement integriertes Compliance-Management-System. Nicht nur, um gesetzliche Anforderungen und interne Verhaltensrichtlinien sicherzustellen. Am Ende geht es bei Exportgeschäften darum, finanzielle Schadensersatzansprüche durch Staaten und deren Strafverfolgungsbehörden sowie zivile Haftungsrisiken zu minimieren. Qualitätsmanagement Wir sind zertifiziert Regelmäßige freiwillige Überwachung nach ISO 9001:2008 Individueller Schutz für jede Branche So sichern sich Unternehmen umfassend gegen eine Vielzahl von Risiken ab. Flexibilität ist das A und O, wenn sich Betriebe im Markt behaupten wollen. Auch das Risikomanagement muss sich laufend anpassen. Doch nicht alle Risiken lassen sich so kontrollieren, dass keine Gefahr mehr davon ausgeht. Dann ist der passende Versicherungsschutz gefragt. Die NÜRNBERGER hat mit zwei Versicherungskonzepten die passende Lösung. So individuell Unternehmen sind, so verschieden sind die Risiken, die sie treffen können. Die Absicherung der klassischen Gefahren wie Feuer, Einbruch, Leitungswasser oder Sturm ist durchaus üblich, wenn auch noch lange nicht selbstverständlich. Viele Firmeninhaber sind immer noch der Meinung, eine Feuerversicherung alleine reiche völlig aus. Doch auch andere Risiken können die Existenz von Unternehmen gefährden. Hinzu kommen branchenspezifische Gegebenheiten, die einen passgenauen Versicherungsschutz notwendig machen. Produktionsbetriebe etwa sorgen sich um einen möglichen Maschinenausfall, Großhändler machen sich Gedanken über ihre Zulieferer, falls dort wegen eines Schadens die Auslieferung stoppt, und Kfz-Betriebe über eingelagerte Kundenradsätze. Angesichts der vielen unterschiedlichen Absicherungsbedürfnisse können sowohl Betriebsinhaber als auch deren Versicherungsvermittler schnell die Übersicht verlieren. Der NÜRNBERGER ProfiLine UnternehmensSchutz macht es jedoch einfach, denn die Deckungskonzepte für 13 Zielgruppen haben bereits viele Leistungsextras inklusive. Verschiedene Bausteine, die optimal aufeinander abgestimmt sind, ermöglichen eine flexible Vorsorge gegen existenzielle Gefahren. Sachwerte wie Einrichtungen, Maschinen und Waren können geschützt werden. Ebenso alle Dinge, die transportiert werden. Hinzu kommt die Absicherung bei Schadenersatzansprüchen, die gegen ein Unternehmen erhoben werden können. Personen-, Sach-, Vermögensoder Umweltschäden können ansonsten zu einer nicht finanzierbaren Situation führen. Gewerbeimmobilien schützen Egal ob Bürokomplex, Produktionshalle, Ladenpassage, Werkstatt oder Lösungen für 13 Branchen + Apotheken + Baunebengewerbe + Bauhauptgewerbe + Bestattungsunternehmen + Großhandel und produzierende Betriebe + Heilwesen + Hotels und Gaststätten + Kraftfahrzeuggewerbe + Lebensmittelhandel und -handwerk + Mittelständische Betriebe + Pferdehaltende Einrichtungen + Schönheitspflege + Spediteure und Frachtführer Lager auch die Gebäude benötigen einen passenden Schutz. Hier profitieren Betriebe ebenso von höchster Flexibilität beim Gestalten des Vertrags und Produkts, denn dank des modularen Aufbaus können verschiedene Versicherungsbausteine miteinander kombiniert und so die relevanten Risiken perfekt abgedeckt werden. Erneuerbare Energien voranbringen Auch Unternehmen, die aktiv die Energiewende vorantreiben, können sich im Rahmen von NÜRNBERGER ProfiLine umfassend absichern. In den Bereichen Solarenergie, Bioenergie, oberflächennahe Geothermie, Windkraft und Wasserkraft hilft der Versicherungsschutz von der Bauphase der Anlage bis hin zum laufenden Betrieb, sich vor unvorhersehbaren Risiken zu schützen. Attraktive Serviceleistungen Jürgen Schulze Abteilungsdirektor SHU-Gewerbe, NÜRNBERGER Versicherungsgruppe Betriebseigentümer und selbstständige Handwerker profitieren darüber hinaus mit dem NÜRNBERGER UnternehmensService von wertvollen Gratisleistungen, die den Versicherungsschutz optimieren und Kosten senken. So erhalten Unternehmen beispielsweise eine Wertanalyse für den exakten Versicherungswert ihrer Betriebseinrichtung auf Wunsch jährlich, denn Werte ändern sich. Für Immobilien erstellt die NÜRNBERGER bei Bedarf ein Gebäudegutachten. Ab einer zu erwartenden Versicherungssumme von 5 Mio. Euro führt ein professioneller Gebäudegutachter eine Besichtigung durch und ermittelt den aktuellen Wert der Immobilie. Als Kunde spart man sich so die üblichen hohen Gebühren. bitly.com/profiline

12 Seite 22 Beitrag VdS Schadenverhütung GmbH Seite 23 Seite 22 strategieforum Impulse: Was macht ein erfolgreiches Risikomanagement aus? Cyber-Security: Brandschutz des 21. Jahrhunderts Michael Karrenberg, Regional Director Risk Services Gemany, Central, North, East Europe & Russia/CIS bei Atradius Durch Bonitätsinformationen von 200 Millionen Firmen weltweit und dem regelmäßigen Austausch mit unseren Geschäftspartnern rund um den Globus erkennen wir nicht nur wirtschaftliche Risiken frühzeitig, sondern auch Exporttrends und Chancen. So ebnen wir den Weg für profitable Geschäfte unserer Kunden egal wie exotisch ihr Exportziel ist. Mit dem Wissensvorsprung unserer Risikoexperten vor Ort versichert Atradius seit 90 Jahren Unternehmen aus Deutschland und der Welt erfolgreich gegen Zahlungsausfall. Tobias Wenhart, Manager Products & Underwriting beim Spezialversicherer Hiscox Im Zeitalter der Digitalisierung werden viele Unternehmen früher oder später einer Form der Cyberkriminalität oder des Datenverlustes ausgesetzt sein. Es gehört daher zu einem verantwortungsbewussten Risikomanagement, eine Absicherung gegen digitale Gefahren und Cyberrisiken im Portfolio zu wissen. Im Schadenfall sollten die Kosten für die gesetzlichen Informationspflichten, forensische Dienstleistungen, Rechtsberatung und -beistand und PR-Unterstützung für die angeschlagene Reputation abgedeckt sein. Dr. Mark Noetzold, Vorstand der OPTURE AG Risikomanagement Systeme Es sind die verwendeten RM-Methoden und -Modelle sowie die eingesetzte RM-Software, die ein Risikomanagement erfolgreich machen. Mehrwert wird generiert durch eine Unternehmensführung, basierend auf Risikokennzahlen (KRI) und die Verknüpfung des Risikomanagement mit dem Controlling (OPTURE Risk Controlling). Mit Hilfe von Sensitivitäten kann z.b. aufgezeigt werden, wie stabil das Unternehmen gegenüber Umfeldschwankungen ist und KRI`s ermöglichen eine optimale Steuerung unter Risiko- UND Rendite-Gesichtspunkten. Dr. Christian Polster, Chief Strategy Officer und CFO von RadarServices IT-Risikomanagement muss tagesaktuell sein. Das heißt: Sicherheitsprobleme und -vorfälle werden bei ihrer Entstehung entdeckt, nicht Tage oder Wochen später. Die Reaktionszeit auf einen Angriff, eine Schwachstelle oder ein verdächtiges Verhalten im Netzwerk ist maßgebend für die Eingrenzung des entstehenden Schadens im Ernstfall. Systematik in der Bearbeitung millionenfacher sicherheitsrelevanter Daten, Exzellenz in der Risikoerkennung und ein klares Risikobild auf Knopfdruck sind zentrale Erfolgsfaktoren. Verbindliche Standards schaffen Sicherheit dafür sorgt nun der Zertifizierungsspezialist VdS beim Thema Cyber-Security. Der deutsche Mittelstand innovativ, vielfach Marktführer im jeweiligen Segment, Exportschlager made in Germany. Das wissen auch Cyberkriminelle, weshalb mittelständische Unternehmen ein häufiges, weil lohnendes Ziel für Cyberangriffe sind. Gleichzeitig verfügt nur ein Drittel der deutschen Mittelständler auch über ganzheitliche IT-Sicherheitskonzepte, wie nun eine aktuelle Studie der vom Bundesinnenministerium geförderten Initiative DsiN offenlegt. Wie lässt sich diese Sicherheitslücke schnell und einfach schließen? Die Antwort könnte nun vom renommierten Zertifizierungsspezialisten VdS kommen, der eigens Richtlinien für Cyber-Security entwickelt hat. Die Richtlinien VdS-zertifizierte Cyber-Security (VdS 3473) sollen vor allem kleine und mittlere Unternehmen künftig angemessen vor den Gefahren aus dem World Wide Web schützen bestätigt und belegt durch ein Zertifikat einer unabhängigen Institution. Mit der Veröffentlichung des Cyber-Standards VdS 3473 schließen wir eine bedeutende Sicherheitslücke, ist auch VdS-Geschäftsführer Robert Reinermann überzeugt. Cyber-Security ist der Brandschutz des 21. Jahrhunderts, weshalb vor allem mittelständische Unternehmen Zugang zu einem Sicherheitsniveau benötigen, das sich kostengünstig und praxisnah realisieren lässt. Hinter den Richtlinien verbirgt sich ein speziell auf KMUs zugeschnittenes Verfahren, mit dem der Informationssicherheitsstatus eines Unternehmens auditiert und Umgang mit Cyber-Gefahren erfordert Know-how Sinnvoller Schutz entsteht immer dann, wenn Wissen gebündelt und weitergegeben wird. Nur so können nachhaltig Standards gesetzt werden. Deshalb erweitert VdS auch das Bildungsangebot um Cyberthemen: + Lehrgang Informationssicherheitsbeauftragter + Lehrgang VdS 3473 Richtlinien für die Informationssicherheit zertifiziert werden kann. Entwickelt wurde es von einem Konsortium aus IT- und Cyberexperten unter Federführung von VdS. Die Anwendung des VdS-Standards 3473 garantiert ein angemessenes Risikomanagement für die Informationssicherheit im Unternehmen. Der Standard macht quasi den individuellen Schutzgrad messund steuerbar. Die Messbarkeit durch das Verfahren erzeugt ein hohes Vertrauen bei Kunden und Lieferanten. Robert Reinermann Geschäftsführer, VdS Schadenverhütung GmbH Damit bieten wir KMUs also nicht nur einen wirkungsvollen Schutz vor Cyberangriffen, wir ermöglichen zertifizierten Unternehmen zusätzliche Wettbewerbsvorteile, erklärt Reinermann. Unternehmen, die sich für eine Zertifizierung nach VdS 3473 interessieren, werden VdS-anerkannte Sicherheitsberater zur Vorbereitung zur Seite gestellt. Darüber hinaus gibt es auf der VdS-Webseite mit dem VdS Quick-Check und dem Quick-Audit zwei kostenlose Webtools, die den Einstieg in eine zertifizierte Informationssicherheit besonders einfach machen. Unser Zertifizierungsverfahren basiert bewusst auf einem mehrstufigen Prozess. Die Module sind so konzipiert, dass sie das Risikomanagement im Unternehmen um den Aspekt der Informationssicherheit sinnvoll ergänzen, glaubt Reinermann. Ebenso sei das Interesse von Versicherern an den neuen VdS-Richtlinien groß, bestätigt der VdS- Geschäftsführer. Verbindliche Richtlinien seien nicht nur eine zentrale Voraussetzung für die Kalkulation von Risiken insgesamt, sondern auch, um Restrisiken versichern zu können. Mit den Richtlinien VdS 3473 geben wir also auch Impulse für die Versicherungsbranche, um Cyber-Policen zu entwickeln, die einen individuellen Versicherungsschutz ermöglichen, fasst Reinermann zusammen.

13