Arbeitsunfälle" Maschinenschaden" Just-in-Time" Industrie 4.0. Produktion. Erdbeben

Transkript

1 Risiko Das ist doch dieses Spiel, oder?" Risikomanagement -" Anforderungen an die Zukunft" Andreas Altena" Altena-TCS GmbH IT-Sicherheitsfachtagung Wolfsburg, 24. Juni 2014 Mit freundlicher Genehmigung von Hasbro Deutschland GmbH Risikobereiche - Beispiele Hochwasser Politik Zukaufteile" Abhängigkeit" Sprunghafte Änderung Preise, Lieferzeiten" Qualitäts- und Terminabweichungen Arbeitsunfälle" Maschinenschaden" Just-in-Time" Industrie 4.0 Falsche Märkte" Falsche Mitbewerber" Transportschäden" Provisionen Umwelteinwirkungen Vandalismus Flugzeugabsturz Image Qualität Unzufriedenheit Lieferant Einkauf Personal Produktion IT Vertrieb Informationen Kunde Umweltauswirkungen Erdbeben Aktienmärkte Motivation Liquidität Mitarbeiter" Kompetenzen" Unausgewogene Demografie" Know-How-Verlust Funktionsausfall (Verfügbarkeit)" Datenverluste" Hackerangriffe" Fehlbedienungen" Schwachstellen Verlust vertraulicher Unterlagen" Integritätsverlust (Fälschung)" Verwendung ungültiger Informationen" Ungewollter Abfluss Produkthaftung Projekte 2

2 Risiko: Strategie des Spiels Konzentrieren Sie sich auf Ihr Ziel und die Missionen Schützen Sie Ihre Hauptstadt - Ohne Hauptstadt können sie nicht gewinnen Wenige große Angriffe sind besser als viele kleine Angriffe Sie müssen sich auf dem Spielplan gut auskennen Erobern Sie gegnerische Hauptstädte Zögern Sie nicht, gegnerische Spieler vom Spielplan zu vertreiben Um in Risiko zu gewinnen, muss Ihre Armee wachsen 3 Integration in das Managementsystem Konzentrieren Sie sich auf Ihr Ziel und die Missionen" Eine Risikostrategie muss auf Basis der Unternehmensstrategie festgelegt werden Die Strategien werden regelmäßig überprüft, aktualisiert und kommuniziert (Rückkopplung von Erkenntnissen) Das Erkennen von Risiken sollte sich in den Zielen und den Zielvereinbarungen widerspiegeln Ein unternehmensübergreifendes Risikoverständnis existiert, die Rahmen- bedingungen dazu sind definiert Methodik ist angemessen und individuell, bezogen auf die Organisation, definiert 4

3 Umsetzung der Strategie Schützen Sie Ihre Hauptstadt - Ohne Hauptstadt können Sie nicht gewinnen" Integration in das Gesamt-Reporting Risikomanagement als weitere Informationsquelle für das Management - Nutzung von Frühindikatoren Grundlage für Business Continuity Management (BCM) / Notfallmanagement Bewältigungsstrategien und -maßnahmen sind definiert und werden, wo nötig, erprobt Betrachtung in den wichtigsten Leistungs- bzw. Kernprozessen, z. B. Projektmanagement, Entwicklung, Produktion, etc. 5 Phasen des Risikomanagements Wenige große Angriffe sind besser als viele kleine Angriffe Risikoidentifikation Risikobewertung Risikobewältigung... Herausforderungen" Unzureichende Risikokultur Vielfalt der identifizierten Risiken Zielkonflikt zwischen vollständiger und wirtschaftlicher Risikoerhebung Ausgeprägtes Abteilungsdenken Fehlende Methoden- und Fachkompetenz 6

4 Risikoidentifikation - Methoden und Techniken Sie müssen sich auf dem Spielplan gut auskennen" Besichtigung / Begehung Kreativitätstechniken (z.b. Brainstorming, Reizwortanalyse) Risikochecklisten / -kataloge Dokumentenanalyse Experten- und Mitarbeiterbefragung, z.b. Interviews, Workshops, schriftliche Befragung mittels Risikoidentifikationsbogen Unternehmens- und Umweltanalysen Früherkennungssysteme Prozess- und Systemanalyse Webseiten mit Informationen zu Vorfällen Studien 7 Webseiten mit Informationen zu Vorfällen - Beispiele heise.de/security (Nachrichten um IT-Sicherheit) sicherheitstacho.eu (Telekom-Honeypots) hisz.rsoe.hu (Katastrophenticker) hpi-vdb.de/vulndb (Schwachstellendatenbank mit Analyse) sec.hpi.uni-potsdam.de (Geraubte Identitäten checken) projekt-datenschutz.de (Datenschutzvorfälle, Snowden- Veröffentlichungen) 8

5 Risikoidentifikation - Risikogruppen Erobern Sie gegnerische Hauptstädte" Markt-Risiken Finanzielle / wirtschaftliche Risiken Strategische Risiken Dienstleistungs- / Produktions-Risiken Personal-Risiken Rechtliche Risiken Umfeld-Risiken Technische Risiken Informationssicherheits- / Datenschutz-Risiken 9 Phasen des Risikomanagements Zögern Sie nicht, gegnerische Spieler vom Spielplan zu vertreiben Risikoidentifikation Risikobewertung Risikobewältigung... grundsätzliche Unterscheidung" quantifizierbaren Risiken führen zu einem messbaren Vermögensschaden bei qualifizierbaren Risiken handelt es sich um weiche Faktoren, wie z. B. Mitarbeiter- oder Kundenzufriedenheit 10

6 Risikobewertung - Beispiel Einstufung Definition (HS) Schadenshöhe in Tsd. 1 unbedeutsames Risiko bis 5 2 mittleres Risiko schwerwiegendes Risiko Einschätzen des Höchstschadens (HS) / der Auswirkung 4 bestandsgefährdendes Risiko mehr als 100 Einstufung Potentielle Häufigkeit Wahrscheinlichkeit 1 1x in 100 Jahren unwahrscheinlich 2 1x in 10 Jahren möglich 3 1x in 5 Jahren wahrscheinlich Einschätzen der Eintrittswahrscheinlichkeit 4 1x pro Jahr sehr wahrscheinlich 11 Systematik für ein Klassifikationssystem - Beispiel Besonders hohes Risiko, existenzgefährdend Hohes Risiko, erhebliche Auswirkungen auf Jahresergebnis Mittleres Risiko, negative Auswirkungen auf Jahresergebnis Normales Risiko, im Jahresverlauf zu bewältigen Geringes Risiko, in den üblichen Abläufen berücksichtigt 12

7 Eintritt Phasen des Risikomanagements Um zu gewinnen muss Ihre Armee wachsen Risikoidentifikation Risikobewertung Risikobewältigung... Möglichkeiten zur Steuerung" Risikotransfer Risikoreduzierung Risikoakzeptanz Risikovermeidung Definition von Vorbeugungsmaßnahmen Definition von Korrekturmaßnahmen 13 Risikomatrix - Beispiel Auswirkung 14

8 Systematisches Chancenmanagement - Modell Chancen identifizieren Chancen analysieren (modellieren, messen, quantifizieren) Chancen bewerten Maßnahmen für Chancenmanagement festlegen CHANCEN- Controlling Chancen steuern (akzeptieren, vermeiden, transferieren, reduzieren) Aktualisierung Chancenstrategie Vergleich" Chancensituation / Chancenstrategie Chancensituation darstellen 15 Beispielhafte Forderungen Gesetzliche und behördliche Anforderungen, z. B. KonTraG, BDSG, AGG etc. ISO/IEC seit 2005 (Informationssicherheit) ISO/IEC (Service-Management) ISO (Business Continuity Management) ISO / ONR 4900x (Risikomanagement) ISO/IEC (Risikomanagement für ISO/IEC 27001) ISO 9001:2015 (Qualitätsmanagement) RISIKO Risk-based thinking 16

9 Risikomanagement bringt Rechtssicherheit und somit Haftungsreduzierung durch systematisches Compliance-Management Klare Definitionen von Verantwortungen und Befugnisse Verstärkung des Bewußtseins für Führungskräfte und Mitarbeiter, u.a. durch Sensibilität Begrenzung von finanziellen Verlusten, wirtschaftlichen Schwächen, Imageschäden, Auswirkung von Sicherheitsereignissen bzw. Datenschutzvorfällen Sicherung der Geschäftskontinuität (Frühindikatoren und BCM) Steigerung des Ansehens (z. B. Image oder bei Finanzierung) Erfüllung aktueller und zukünftiger Kundenanforderungen (Wettbewerbsvorteile sichern, Produktportfolio ausrichten) Schaffung der Balance zwischen Sicherheits-, Wertschöpfungs- und Ertragsinteresse Nutzung erkannter Chancen 17 Ihr Partner für Ihr Managementsystem Altena-TCS GmbH" Robert-Reichling-Straße Krefeld Telefon +49 (0)