13.000.000 Treffer. So viele Ergebnisse lieferte eine Google-Suche bei der Eingabe des Wortes „Digitalisierung“ Anfang August 2018. Die Quote dürfte täglich steigen und damit zeigt sich, dass das Wort en vogue ist. Kaum ein Unternehmen, eine Organisation und Branche kommt ohne den Begriff aus. Doch was dahinter steht, welche Umwälzungen und Veränderungen damit einhergehen, ist den wenigsten Unternehmenslenkern klar. Eine aktuelle Studie der BWA Akademie nennt es „Digitale Führungsschwäche in Deutschlands Chefetagen“.
Den Ergebnissen folgend stoßen „89 Prozent der Manager in Deutschland beim Thema Digitalisierung an ihre Grenzen. 28 Prozent sind laut Report völlig überfordert, weitere 61 Prozent zumindest teilweise.“ Das verheißt nichts Gutes. Vor allem mit Blick auf die digitale Realität, nach der im gleichen Atemzug meist von der „Chefsache“ die Rede ist. Wollen Unternehmen nicht den Anschluss verlieren, ist ein Umdenken in den Führungsetagen notwendig – gerade mit Blick auf ein zukunftsgewandtes Risikomanagement.
Angriffe – quer durch alle Branchen
Was muss das für ein logistisches und menschlicher Kraftakt gewesen sein? Mitte der 1990er Jahre gruben sich mehrere Täter durch Berlin-Zehlendorfs Untergrund in eine Bankfiliale, überfielen diese, nahmen Geiseln, und entkamen zunächst mit der Beute durch den Tunnel. Raffiniert eingefädelt und durchgeführt, um am Ende doch geschnappt zu werden. Über 20 Jahre später sind solche Anstrengungen nicht mehr notwendig. Heute geht das leiser, effektiver und schneller. Moderne Beutezüge sind im digitalen Zeitalter zwar kein Kinderspiel, dafür aber lukrativ. So konnten Hacker vor einiger Zeit in Chile rund 10 Millionen US-Dollar bei der zweitgrößten Geschäftsbank des Landes erbeuten. Und bereits 2015 sollen digitale Räuber rund eine Milliarde US-Dollar bei rund 100 Banken weltweit erbeutet haben. Die Fälle und Zahlenspiele ließen sich beliebig weiterführen.
Nun ist das Finanzdienstleistungsumfeld kein exklusives Angriffsziel. Quer durch alle Branchen ereignen sich Hackerattacken – vom Energieversorgerbereich über den öffentlichen Sektor bis zum Gesundheitswesen und dem Telekommunikations- sowie Logistikumfeld ist kein Bereich sicher. Die Motive der Hacker reichen von reiner Geldbeschaffung bis bin zu staatlich gelenkten Sabotageangriffen. Das alles ist kein Geheimnis, umso mehr verwundert die Leichtfertigkeit mancher Unternehmen und ihrer Manager im Umgang mit potenziellen Risiken.
Das kann doch einen Seemann nicht erschüttern
Im Sommer 2017 ereilte ein Hackerangriff die Container-Reederei Møller-Mærsk. Der geschätzte Schaden wird mit rund 300 Millionen US-Dollar beziffert. Die Logistik, will heißen der Transport von Containern von A nach B, ist das Kerngeschäft einer solchen Reederei. Dementsprechend wären bessere Sicherheitsvorkehrungen im IT-Bereich notwendig und müssten regelmäßig überprüft und gegebenenfalls neu justiert werden – gerade weil der eng vernetzte und weltumspannende sowie digitale Informationsaustausch der Reedereien eine Schlüsselfunktion ist. Eine Aufgabe der Geschäftsführung, die für das interne Kontrollsystem (IKS) in der Gesamtorganisation verantwortlich ist – von der Initiierung von Kontrollprozessen über die Gesamtsteuerung bis zur Überwachung. Das Hauptziel liegt in der Einhaltung von Richtlinien und dem Vermeiden von Schäden durch eigene Mitarbeiter oder Dritte.
Risiken lassen sich im Geschäftsumfeld nicht komplett vermeiden. Doch dem alten Lied folgend: „Das kann doch einen Seemann nicht erschüttern“ ist einer modernen und auf digitalisierten Prozessen aufbauenden Reederei nicht geholfen. Hier hätte vielmehr ein umfassendes Risikomanagement mit modernen Methoden zur Risikofrüherkennung wichtige Dienste leisten können. Konkret heißt das: Szenariomodelle und Wargaming-Methoden wären zielführend, um frühzeitig potenzielle Risiken ausfindig zu machen und in ein ganzheitliches Risikomanagement einzubinden. Das schließt auch regelmäßige Tests der eingesetzten IT und deren Informationssicherheitsprozesse ein.
Widerstandsfähigkeit in digitalen Zeiten
Eine 100prozentige Sicherheit ist nicht zu erlangen. Das ist auch nicht das Ziel eines umfassenden Risikomanagements. Es geht vielmehr um den Gesamtblick und darum, mithilfe von Frühwarnindikatoren zu möglichst validen Vorhersagen für das eigene Geschäft zu gelangen. In diesem Prozess sollten auch ein Business Continuity Management (BCM) und Notfallmanagement fest verankert sein.
Leider werden diese Themen in vielen Unternehmen nicht selten vernachlässigt. Das Ergebnis sind Chaos und Stillstand in der eigenen Organisation im Worst Case. Dies betrifft nicht nur den Fall eines möglichen Hackerangriffs, der Systeme und damit den Unternehmensbetrieb lahm legt, sondern auch Naturkatastrophen, Terror, Krieg sowie Handelshemmnisse. Auf diese Eventualitäten müssen sich Unternehmen einstellen und die möglichen Risikofaktoren auf die eigene Organisation übertragen. Flankiert von zuvor festgelegten Notfallstrategien und alternativen Arbeits- und Prozesswegen können Unternehmen die eigene Organisation gegen mögliche Einflüsse von Innen und Außen besser schützen und deren Resilienz stärken. Konkret heißt das, vor allem in unserer digitalen und eng vernetzten Zeiten den eigenen Werkzeugkoffer des Risikomanagements regelmäßig zu überprüfen und neu zu bestücken.
Digitales erklären, Mitarbeiter mitnehmen
Bei allen digitalen Nebelkerzen, die von einigen großen Konzernen gezündet werden, sollten Unternehmen und ihre Entscheider das Pro und Kontra abwägen. Die digitale Sprache in Werbebroschüren oder dem Geschäftsbericht aufzunehmen, erzeugt noch keinen Mehrwert, geschweige denn Inhalt. Wichtiger ist es, die Fragen zu beantworten, was es braucht für die eigene Organisation und wie das digitale Tun innerhalb des Unternehmens transparent für alle erklärt werden kann. Schlagworte wie agiles Arbeiten, Künstliche Intelligenz und Predictive Analytics müssen intern definiert werden – so sie zur Anwendung kommen. Mehr noch gilt es, die Begriffe für das eigene Geschäft klar zu umreißen. Wie werden Arbeitsweisen und Methoden ein- und umgesetzt? Am Ende geht es um die Klärung der zentralen Fragen, welchen Vorteil das Unternehmen mit seiner Produktion und den Dienstleistungen von neuen digitalen Arbeitsweisen und Prozessen hat.
Die eigenen Mitarbeiter müssen so früh wie möglich mit ins Boot der digitalen Transformation geholt werden. Das ist ein klarer Auftrag an das Topmanagement. Es muss den Gesamtprozess initiieren und mit Impulsen versehen. Ein wichtiges Mittel hierfür sind interne Informationsveranstaltungen und Schulungsmaßnahmen. Damit lassen sich Führungskräfte und Mitarbeiter in den digitalen Prozess besser einbinden und das notwenige Rüstzeug für das Arbeitsumfeld von Heute und Morgen vermitteln. Hinzu kommen Awareness-Kampagnen, um die Sensibilisierung im Umgang mit Informationen zu steigern. Ohne die eigenen Mitarbeiter wird eine verbesserte Informationssicherheit und gelebte Risikomanagementkultur nicht umsetzbar sein. Das wissen eigentlich auch die Führungsmitarbeiter in den Unternehmen. Leider wird dies in vielen Fällen weder beherzigt noch die Weichen in die richtige Richtung gestellt. Ein Umstand, den die eigenen Mitarbeiter mit Misstrauen und Unverständnis begegnen. Im Ergebnis gibt es keine „Nähe“ zum Unternehmen und damit keine Verbundenheit mit dem Arbeitgeber.
Personalberater sprechen in diesem Kontext gerne von der guten Arbeitgebermarke. Dieses „Employer Branding“ ist ein wesentlicher Faktor und Wettbewerbsvorteil, um sich als Unternehmen positiv nach außen zu vermarkten – gerade vor dem Hintergrund eines zunehmenden Ringens um Fach- und Führungskräfte. Dafür braucht es Mitarbeiter, die gut über das eigene Unternehmen nach innen und außen sprechen. Beherzigen Unternehmen diese Punkte und lassen sich Führungskräfte und Mitarbeiter in den digitalen Gesamtprozess zielführend einbinden, kann der Wandlungsprozess gelingen – ohne digitale Platzhalter und Schlagworte. Konkrete Anknüpfungspunkte für ein modernes Risikomanagement in einer digitalen Welt von heute und morgen vermittelt der kommende Risk Management Congress, am 15. und 16. Oktober, in Köln.
Jan Offerhaus, Mitglied des Vorstands der Risk Management Association e. V. (RMA), ist seit Ende 2003 Inhaber der „Offerhaus Management Consulting“ in München. Seine Beratungsschwerpunkte liegen in den Bereichen Risikomanagement, Rating und Controlling. Außerdem ist er Certified Financial Risk Manager und Mitglied in den Normungsausschüssen zum Risikomanagement beim DIN und bei der ISO.