Gastredner Mario Linkies, Geschäftsführer der LINKIES. Unternehmensberatung GmbH am Institut für Unternehmensforschung und Unternehmensführung (ifu) an der Martin-Luther-Universität Halle-Wittenberg, Sachsen-Anhalt, Deutschland. 07.07.2009
2. 2
Begrüßung
Sehr geehrter Herr Professor Lassmann,
sehr geehrter Herr Dr. Stolze,
verehrte Studentinnen und Studenten, verehrte Zuhörerinnen und Zuhörer,
Guten Abend. Als erstes möchte ich mich für die freundliche Einladung zur heutigen Veranstaltung
und für den herzlichen Empfang und die Einleitung bei Herrn Prof. Lassmann bedanken.
Ich finde es außerordentlich wichtig, dass wir in Deutschland und weltweit zu einem starken
Austausch und Konsens über unsere Vergangenheit, Gegenwart und Zukunft kommen und freue mich
ganz besonders, dass ich hier an der Martin-Luther-Universität in Halle an der Saale einige Gedanken
zum Thema der Welt- und wirtschaftlichen Krisen und einigen möglichen Wegen aus der momentanen
Misere referieren darf.
Einleitung
Im Internationalen Jahr der Astronomie versuchen wir einen Blick auf unsere schöne, aber nicht ganz
heile Welt aus 36,000 km Erdhöhe. Hier sind die Fakten: Unsere Erde ist ein einzigartiger Planet im
Universum. Schätzungen zufolge existieren 70.000.000.000.000.000.000.000 Sterne im für uns
sichtbaren Bereich des Weltraums. Anzeichen, dass es noch weiteres intelligentes Leben geben
könnte, sind äußerst spekulativ. Diese zu finden und praktisch für die Menschheit nutzbar zu machen
wird durch die Expansion des Alls jedoch immer unwahrscheinlicher. Das macht die Bedeutung der
Erde für den Homo sapiens und allem darauf befindlichen Leben um so deutlicher. Der heutige
Mensch trat seinen Siegeszug, je nach archäologischen Erkenntnissen, vor ca. drei Millionen Jahren
an. Seit dieser Zeit haben wir uns durch exponentielle Lernfähigkeit, starken Willen, unbändigen
Erfindergeist und eine stetige Steigerung der Produktivität unseres Arbeitseinsatzes den Weg vom
Steinzeitmenschen zum Weltraumpionier geebnet. Unser Leben war zumeist begleitet von drastischen
Veränderungen, auch wenn wir kosmisch gesehen, in einer Zeit der relativen Ruhe leben. Gegenwärtig
umfasst die Weltbevölkerung über sechs Milliarden Menschen. Im Jahre 1050 lebten etwa 2.5
Milliarden Menschen auf der Erde, im Jahre 2007 waren es bereits um die 6 Milliarden Menschen,
und bis 2050 wird sich die Weltbevölkerung um weitere 50%, also auf über 9 Milliarden Menschen
vergrößern. Wissen Sie, dass China in wenigen Jahren das Land mit den meisten Englisch
sprechenden Menschen sein wird? Wussten Sie, dass 25% der indischen Bevölkerung mit dem
höchsten IQ mehr Menschen sind, als die USA Einwohner hat? Der Einsatz von Technologie und
Informationsverarbeitung führt dazu, dass zehn der meist gefragten Berufe in der Welt des Jahres 2010
im Jahr 2004 noch nicht existierten. An der Martin-Luther-Universität Halle-Wittenberg werden Sie
auf neue Arbeitsgebiete vorbereitet, die es jetzt noch gar nicht gibt. Sie werden Technologie nutzen,
die noch nicht entwickelt worden ist.
3. 3
Auch unser Sozialverhalten verändert sich drastisch. Jedes achte Paar mit Trauschein hat sich im
letzten Jahr in den USA online kennengelernt, Tendenz rapide steigend. Mehr als 500 Millionen
Menschen sind bereits in sogenannten sozialen Netzen als aktive Benutzer registriert. Dabei werden
eine Vielzahl sehr persönlicher Daten einer breiten internationalen Öffentlichkeit zugänglich gemacht.
Die Sucheingaben bei Google haben eine Marke von 30 Milliarden pro Monat erreicht, vor drei Jahren
waren es gerade einmal 2,7 Milliarden Sucheinträge. Wir generieren in einem Jahr mehr
Informationen als in den vergangenen 5.000 Jahren zusammen. Neue wissenschaftlich-technische
Informationen verdoppeln sich alle zwei Jahre. Für technische/IT-Studenten bedeutet das, dass die
Hälfte der Informationen, die sie im ersten Studienjahr lernen, bereits im dritten Studienjahr veraltet
ist. Unsere Entwicklung geht also mit rasantem Tempo in die nächsten Runden. Um es
vorwegzunehmen, ich bin ein Optimist, was die Zukunft angeht, muss allerdings hier einige kritische
Anmerkungen zur gegenwärtigen Zeitkrise machen.
Zeitkrisen
Wir kennen alle eBay, auch wenn wir nicht unbedingt als Käufer oder Verkäufer auftreten. Das nur
zehn Jahre alte Unternehmen hat ganz auf das Internet gesetzt und einen Umsatz von 6 Mrd. USD im
Jahr 2006 erwirtschaftet und gehört damit sicher zu den Gewinnern des marktwirtschaftlichen
Zusammenlebens. Aber es gibt auch Verlierer. Die erste globale Krise, für die der Homo sapiens
vermutlich verantwortlich ist, war die Ausrottung der Neandertaler vor etwa 30,000 Jahren. Seither
haben wir neben beachtlichen kulturellen, wissenschaftlichen, technischen und wirtschaftlichen
Errungenschaften auch eine ebenso beachtenswerte Reihe von Problemen geschaffen, die sich durch
fast alle Bereiche des Lebens ziehen. 45% der globalen Luftverschmutzung wird von einem Land
produziert, den USA. Die klimatischen Zustände auf der Erde verschlechtern sich zunehmend und
können nicht mehr nur auf naturgegebene Veränderungen geschoben werden. Gegenwärtig sind sage
und schreibe 17.000 Tierarten akut bedroht. Unser Drang nach immerwährendem Wachstum hat
beträchtliche Spuren hinterlassen. Wie Marcus Tullius Cicero bereits sagte: Aus kleinem Anfang
entspringen alle Dinge. Und dieser Anfang lässt sich auch leicht auf einen Nenner bringen –
Maßlosigkeit. Wie die Menschheit bis jetzt mit sich selbst, aber eben auch mit ihrer Umwelt, den
Tieren, den Pflanzen, dem Boden, der Luft, der Verteilung von Gütern und Werten untereinander
umgegangen ist, kann nur mit dem Wort Gier umschrieben werden, um die Dramatik der Situation vor
Augen zu führen. Wir haben es mit einer multilateralen Zeitkrise zu tun. Der Verlust der biologischen
Vielfalt, die Folgen des Klimawandels, die Zerstörung der Ozonschicht und der tropischen
Regenwälder, die Hungersnöte in vielen Teilen der Welt, die energiebedingten
Treibhausgasemissionen, Urbanisierung- und Verkehrsprobleme, die Verselbständigung der
Finanzmärkte von Wirtschaft und Handel, all diese Schwierigkeiten, die wir jetzt haben, werden zu
weit größeren Problemen führen, welche wir jetzt noch gar nicht erkennen können.
Wir haben also nicht nur eine Finanz- und Wirtschaftskrise, sondern auch eine soziale Krise, eine
Umweltkrise, eine Glaubenskrise, und nicht zuletzt eine Sicherheitskrise. Über 50 % der Menschen in
Deutschland sind der Meinung, dass die Bildung im momentanen Zustand eine ernsthafte Misere
darstellt. Man muss sich nicht Mark Twain anschließen, der meinte Erziehung ist die organisierte
Verteidigung der Erwachsenen gegen die Jugend. Sie werden das sicher besser beurteilen können, wie
viel Wahres in dieser Aussage steckt. Aber es gibt eben mitunter Unterschiede zwischen Wahrheit und
4. 4
Wahrnehmung. Die Wahrnehmung bestimmt wichtige Verhaltenregeln und legt Trends fest. Sie hat
einen wesentlichen Einfluss auf das Verhalten von Menschen.
Ein Investor wird eher nicht geneigt sein, in bestimmten Regionen der Erde zu investieren, wenn er
meint, das Bildungsniveau ist nicht ausreichend, die Sicherheit ist nicht gewährleistet, oder es gäbe
keine stabilen politischen Verhältnisse.
Und wie so oft liegt im Krieg mehr Unheil als vermeintlich nur Tod und Verderben. Im Vietnamkrieg
hatte sich die USA finanziell derart übernommen, dass die bis dahin bestehende Goldbindung der
Währung aufgehoben wurde; damit verselbständigte sich das Geld und verlor seinen Charakter als
Tauschmittel. Nun wurde das Geld selbst zur losgelösten Ware, die in eigenen Finanzmärkten
gehandelt wird. Die Entkoppelung der globalen Finanzmärkte von der realwirtschaftlichen Produktion
hat bereits Karl Marx hinreichend beschrieben. Weiterhin beruhen marktwirtschaftliche
Entscheidungen in der Regel auf dem Hauptziel, einen möglichst hohen Gewinn bei Aktivitäten zu
erreichen und den Wert des Unternehmens ständig zu steigern. Es gibt aber den berühmten
Widerspruch in unserem marktwirtschaftlichen System, dass die Summe der Konsumenten nicht alle
produzierten Waren und Leistungen in Anspruch nehmen kann, denn die globale oder Kaufkraft einer
Volkswirtschaft entspricht nicht der globalen (oder auch nationalen) Warenproduktion. Außerdem
steigt die Produktivität wesentlich schneller als die Kaufkraft der Konsumenten, die letztlich
wiederum als Arbeitnehmer relativ beständige Einkommen sehen. Dieser Widerspruch ist nun
verstärkt durch die Verselbständigung der Finanztransaktionen in einem bis dato nicht dagewesenen
Ausmaß aufgetreten, und das mit den typischen Erscheinungen: Wegfall oder Abzug von Anlage- und
damit Investitionskapital, Zusammenbruch von Unternehmen aller Größen (!), sowie die Verarmung
von Teilen der Bevölkerung durch Arbeitslosigkeit und Mangel an Perspektiven. Soziale Spannungen,
die sich zu ernsthaften Unruhen ausweiten können, sind die Folge. Dies kann zum Zusammenbruch
ganzer Länder und Regionen führen, die auch eine weitere Verschärfung religiöser
Auseinandersetzungen und Terrorbedrohungen mit sich bringt. Unsere Wertvorstellungen haben sich
verändert, und die Werte, die in immer schneller verlaufenden Wertschöpfungszyklen erschaffen
werden, scheinen bedrohter denn je. Investitionen, Unternehmen, Menschen, Märkte, Arbeit,
Gesundheit, Bildung, Umwelt – alle Komponenten unseres Zusammenlebens wanken und zeigen einer
rapide wachsenden Weltbevölkerung, wie verletzlich und schützenswert menschliche
Errungenschaften sind. Einige der Bedrohungen sind sehr real und haben ihren Einfluss auf unser
Leben in vielen Entwicklungen sichtbar gemacht. Systemtypische Erscheinungen ändern aber nichts
an der Tatsache, dass wir als intelligente Bewohner der Erde Verantwortung übernehmen und kluge
Wege aufzeigen müssen, die uns aus der Misere führen. Wie gehen wir nun mit diesen realen Risiken
und Krisen um?
Wege aus der Krise und Vermeidung künftiger Krisen
Ganzheitlicher Ansatz
Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind. Das
jedenfalls meinte unser hochverehrter Herr Professor Albert Einstein. Der Weg aus unserer
krisengeschüttelten Zeit ist ein Weg aus der Maßlosigkeit hin zu maßvollem Handeln. Maßvoller
Umgang mit unserer Umwelt, maßvoller Umgang mit Ressourcen. Industrielles Wachstum muss
einhergehen mit sauberer Energieerzeugung und innovativen Technologien zur echten Verbesserung
der industriellen Fabrikation unter Einbeziehung aller notwendigen sozialen Komponenten, die zur
5. 5
Aufrechterhaltung einer stabilen und würdigen menschlichen Kultur unabdingbar ist. Ideen reichen
mit Sicherheit nicht mehr aus, um den Shape of the World zu verbessern. Es geht nicht mehr um das
Kitten, das Flickschustern, oder Reparieren.
Es geht um den Fortbestand von Wohlstand, eine bessere Verteilung dieses Wohlstandes, und die
Sicherung des kontinuierlichen Wohlstands für eine immer größer werdende Anzahl von Menschen. In
Zeiten des globalen wirtschaftlichen Engagements, des weltweiten Handels, der internationalen
Finanzstrukturen und der radikalen Vernetzung der Informationsträger und des informativen
Austauschs darf es keine einfachen und laienhaften Einzelbetrachtungen der krisenhaften Strukturen
mehr geben. Wir brauchen die Kenntnis von Zusammenhängen, die analysiert und für wirklich
langfristige, umfassende Lösungen angewandt werden müssen. Sicherheit ist dabei nicht nur ein
Grundbedürfnis der Menschen, Unternehmen und Staaten, sondern eine wichtige Bedingung für den
Aufbau und die Kontinuität von Wirtschaft und Leben.
Sicherheit ist also ein Ziel, um einzelne Maßnahmen in ein umfangreiches Programm für den Umgang
mit Krisen, zur Abarbeitung von Problemen, und zum Umgang mit Risiken zu etablieren. Risiken für
Krisen aller Art sind allgegenwärtig, müssen jedoch kalkulierbar sein und vor allem in ihren
Auswirkungen minimiert werden. Ethik und Transparenz sind daher gefordert. Die
gesamtgesellschaftlichen, sprich staatlichen und die innerbetrieblichen Kontrollsysteme haben in zu
vielen Fällen versagt. Die Rückkehr zur sozialen Marktwirtschaft, der Ausbau von umweltschonenden
ökonomischen Prozessen, die Stärkung von Bildung und Innovationskraft in allen Bereichen, und die
Einführung von wirtschaftsmoralischen Standards und transparenten Abläufen in Wirtschaft, Politik
und Bildung sind dringend notwendige Wege aus der Krise. Mit Einzelaktionen lassen sich die
Probleme nicht mehr bewältigen. Umfassende, logische, in sich abgestimmte und international
angelegte Schritte zur Bekämpfung von Korruption, Misswirtschaft, Gier und schamloser
Bereicherung werden in der Konsequenz nicht nur die Armut bekämpfen, sondern auch den
notwendigen Beitrag zum Aufbau einer innovativen, umweltbewussten, qualitäts- und
leistungsorientierten Weltwirtschaft leisten. Interdisziplinäre Wissenschaft und berufsübergreifende
und vor allem offene, ehrliche Kommunikations-, Arbeits- und Entscheidungswege sind hierbei
ebenso wichtige Bestandteile wie praktikable Szenarien zur Umsetzung. So sehr wir auch mit
zyklischen Krisen rechnen müssen, so groß auch die momentanen Herausforderungen sein mögen, ich
bin der festen Überzeugung, dass wir mit intelligenten Lösungen die Welt spürbar und nachhaltig
verbessern können. Welchen Beitrag können nun Unternehmen, Banken, Staaten und Individuen
leisten?
Risikomanagement als ein Beitrag zur Krisenbekämpfung und Bedrohungsreduzierung
Risiken erkennen und Sicherheitslösungen etablieren
Fehlendes oder unzureichendes Risikomanagement ist eine der Hauptursachen der momentanen
Situation. Ich habe in den letzten 20 Jahren ca. 300 Unternehmen weltweit kennengelernt. 90% dieser
Unternehmen hatten keine oder nur eine unzureichende Sicherheitsstrategie. Es gab kaum eine
wertvolle Risikobetrachtung von Daten, Prozessen, Anwendern, IT-Systemen und den ganzheitlichen
Verbund. (Als eine löbliche Ausnahme ist hier u.a. Shell zu nennen, die in der Tat ein sehr
umfangreiches Risikomanagementsystem weltweit unter Einbeziehung wirtschaftlicher, sozialer und
umweltthematischer Betrachtungen etabliert haben und leben.) In den meisten Fällen waren rein
punktuelle Einzellösungen im Sicherheitsumfeld etabliert worden, die in der Summe die jeweilige
Organisation nicht besser schützen konnte. Man könnte hier von Augenwischerei sprechen. Die
6. 6
meisten Firmen werden in diesem Bereich fast nur aktiv, wenn sich negative Prüfberichte von
Wirtschaftsprüfern einstellen. Das reicht natürlich nicht aus und zeigt, welchen Nachholbedarf es in
dieser Richtung gibt.
Die Lösung sind holistische Systeme, die einerseits die Risikoerkennung fördern und tatsächlich
effektive Kontrollen und integrierte Sicherheitsmaßnahmen einbinden. Der Aufbau umfassender
Sicherheits- und Kontrollsysteme mit vertretbarem Aufwand wird daher in den Mittelpunkt nicht nur
unternehmerischen Handelns rücken und ein erhebliches Ziel zur Sicherung von Investitionen und
Werten sein. Internationale Abkommen, Gesetze, branchenspezifische Richtlinien und
unternehmenseigene Vorgaben müssen dazu die Rahmenbedingungen setzen, um Risiken im
strategischen Denken und täglichen Arbeiten sensibel zu beachten und Gegenmaßnahmen
wirkungsvoll einzusetzen. Dabei bedarf es neuer Erkenntnisprozesse, die zur Einsicht in
allgemeinnotwendige Verantwortlichkeiten ins Bewusstsein nicht nur einzelner Akteure, sondern
ganzer Industrie- und Organisationseinheiten treten. Der Markt allein regelt nichts ohne staatliche
Rahmenvorgaben. Viele Unternehmen und Banken stöhnen angesichts der Kosten über staatliche
Kontrollvorgaben und sprechen von Überregulierung. Aber das Versagen der internen
Kontrollsysteme im Finanz- und Industriesektor hat gezeigt, dass dort Hausaufgaben nicht erledigt
worden waren, und das bestimmte negative Entwicklungen, finanzwirtschaftliche Trends und teilweise
auch kriminelle Strukturen weitaus eher erkannt hätten werden können. Durch bessere
Frühwarnsysteme hätte sich die Krise anders entwickelt. Wie kann es sein, dass auf einmal Milliarden
verschwinden, ohne das jemand diese Entwicklungen gesehen hätte. Mit welchem Recht nehmen sich
Unternehmen heraus, ganze Belegschaften über Jahre hinweg zu überwachen und sämtliche
Datenschutzgesetze ad absurdum zu führen? Warum steuern ganze Industrien oder Finanzsektoren in
eine Richtung, die längst bekannt war, nicht gesehen werden wollte, oder nicht erwünscht war,
gesehen zu werden? Wir benötigen also klare interne Kontrollsysteme für Unternehmen und Banken
(Corporate Governance), damit Unternehmenswerte nachhaltig geschützt werden. Zu den
Unternehmenswerten müssen aber eben nicht nur die eigenen Werte, also Maschinen, Anlagen,
Mitarbeiter, Informationen und geistiges Eigentum, sondern auch externe und nicht direkt zum
Unternehmen zuordenbare Werte wie das soziale und regionale Umfeld, Umwelt, Kultur, und viele
weitere Komponenten einbezogen werden. Erst, wenn Unternehmen und die breite Öffentlichkeit
neben ihren individuellen und eng begrenzten Zielen beginnen, auch gesamtgesellschaftlich zu
denken, werden wir eine Möglichkeit zur Umkehr zu sozialmarktwirtschaftlichen und neuen
weltökonomischen Formen des Zusammenlebens kommen. Internationale, staatliche und
branchenspezifische Regulierungsvorgaben müssen einen gesamtgesellschaftlichen Konsens über
Bedingungen und betriebliche Aktivitäten erbringen, um einerseits unternehmerische Tätigkeit,
Kreativität und Leistung zu fördern und zu belohnen, andererseits aber auch verantwortungsvolles
Handeln für Gesellschaft und Umwelt in gleicher Weise zu fördern.
Damit ist die Kontrolle von Risiken und die Reduzierung von Bedrohungspotentialen innerbetrieblich
und gesellschaftlich eines der wesentlichen Elemente, welches unser Handeln in den kommenden
Jahren prägen wird. Stabilität zu sichern, bedeutet gleichermaßen, sich an komplexe geoplitische und
sozioökonomische Prozesse flexibel und deshalb vorausschauend anzupassen. Die unterschiedlichen
Arbeitsgebiete und Tätigkeitsfelder werden einen Anspruch an ständig wechselnde Gegebenheiten mit
sich bringen. Radikal verändernde Umstände haben einen radikalen Einfluss auf die
Arbeitsbedingungen der nahen Zukunft. Das U.S. Department of Labour schätzt, dass die heutigen
Schüler mindestens flexibel auf zehn Jobs ausweichen werden, wenn sie 38 Jahre alt sind. Einer von
vier Arbeitnehmern ist bei seinem jetzigen Arbeitgeber seit weniger als einem Jahr in Anstellung. Wir
müssen uns auf diese neuen Bedingungen einstellen. Das erfordert natürlich auch eine anspruchsvolle
Anpassung an die Flexibilität des Einzelnen. Aus den wachsenden Anforderungen, der veränderten
7. 7
Technologie, der weiteren Öffnung betriebsinterner Abläufe und notwendiger strengerer
Regulierungen (Compliance) ergeben sich neue Anforderungen an sichere Prozesse, innovative
Energiesysteme, automatisierte Risikokontrollsysteme und die Einbindung der Fachverantwortlichen
in strategische und operative Entscheidungsprozesse.
Die globalisierende Verflechtung von Unternehmen, Partnern und Kunden verbindet nationale und
internationale Geschäftsbeziehungen und erhöht die Anforderungen an die Flexibilität gerade der IT-
gestützten Kommunikationskomponenten. Mitarbeiter, Konsumenten, Produzenten, Lieferanten und
Dienstleister nutzen mobile und multifunktionale Teleendgeräte, um Finanzdaten und (Geschäfts-)
Informationen aller Art auszutauschen. Verteilte Systeme, dienstorientierte Architekturen, Zunahme
der Konzentration von Anwendungen, wechselnde Bedingungen für wirtschaftliche und soziale
Zufriedenheit sind alles Bausteine des Wandels der ökonomischen Prozesse und Technologien. Die
vorgenannten ökonomischen und technologischen Veränderungen spiegeln sich in den Geschäfts- und
Marktabläufen wider. Diese Veränderungen sind nicht nur an sich Risiken für Stabilität, Kontinuität
und Sicherheit, sondern werden von neuen Bedrohungen begleitet. Die Entwicklungen und die
Interaktion von Geschäftspartnern, Mitarbeitern und Konsumenten können nur über neue Wege und
einen tatsächlichen Quantensprung auch und gerade bei Sicherheitsstrategien und deren zielgerichtete
ganzheitliche Umsetzung geschützt werden. Lassen Sie mich darum nun auf wesentliche Elemente der
Sicherheits- und Kontrollmaßnahmen für ein solides Risikomanagement eingehen.
Erfolgreiches Risikomanagement
Komponenten
In den vergangenen Jahren war Risikomanagement auf Unternehmensleitungsebene und im IT-
gestützten Bereich ein Fachbegriff, der eher mit Finanzrisiken in Verbindung gebracht wurde, als mit
anderen Risikobereichen, die ebenso in Erwägung gezogen werden müssen. Bis jetzt gibt es recht
wenig Unternehmen, die Risikomanagement tatsächlich umfassend verstanden und etabliert haben.
Mit der Erfindung des Internets ergaben sich neue Möglichkeiten der Verschmelzung von
Informationstechnologien und ökonomischen Prozessen. Mit der damit verbundenen Steigerung der
Produktivität entstanden jedoch auch neue Anforderungen an die Sicherheit der Systeme und
Kommunikationsmethoden. Das Bedrohungspotential nimmt weiter exponentiell zu. Unternehmen
hatten auf einmal nicht mehr die Möglichkeit, ihre geschäftlichen Aktivitäten auf Basis traditioneller
Handels- und Kommunikationswege durchzuführen. Das Internet und die zunehmend vernetzten
Geschäftswelten wurden in immer schnellerem Tempo zu den wichtigsten Informations-, Vertriebs-,
Beschaffungs-, Distributions-, Management- und Marketingkanälen. Die nächsten net-centric
multitier- und service-orientierten IT-Architekturen befinden sich bereits in der Wachstumsphase. Die
Öffnung von Unternehmensaktivitäten und -informationen für Transaktionen und Kommunikation
über das Internet, der Wandel von eindimensionalen Verbindungen zu hochgradig vernetzten
Systemen, und die zunehmende Kollaboration von Organisationen, Unternehmen und Menschen
führen zu immer schnelleren Datenaustausch und Arbeitszyklen, erhöhter Effizienz, Just-in-Time-
Produktion, erweiterten Vertriebsmöglichkeiten und Kapitalausweitung durch IT-gestützte Systeme.
Umso wichtiger werden die Risikoszenarien, da Geschäftsentscheidungen oftmals nicht mehr nur
lokale, sondern eben auch strategische und globale Auswirkungen haben.
Risiko- und Kontrollmanagement ist die zentrale Methode zum Aufbau und kontinuierlichen
Steuerung von Schutzmechanismen für Unternehmens- und aller anderen Werte. Staat, Unternehmen
und Banken sitzen also an zentraler Stelle. Zentrale staatliche bzw. regulative Vorgaben sind
unabdingbar und ein wichtiger Bestandteil zur Erziehung von Unternehmen, Finanzinstituten und
8. 8
wichtigen Einrichtungen, eine Risiko- und Sicherheitskultur in der eigenen Organisation zu etablieren,
die auch die notwendige Außenwirkung für gesamtgesellschaftliche und geoökologische Belange hat.
Rechtsverbindlichkeit (Compliance)
Der finanzielle Zerfall von Großunternehmen im letzten Jahrzehnt, der massive Einbruch der
Finanzmärkte, oder der folgenschwere Verlust von wirtschaftlicher Moral haben seit Anfang des
neuen Jahrtausends das Vertrauen von Anteilseignern, Mitarbeitern und Konsumenten nicht nur im
börsennotierten Bereich erschüttert. Dies verstärkt die Einführung neuer Gesetze und die Erweiterung
von staatlichen Kontroll- und Sicherheitsnormen. Der Sarbanes-Oxley Act (SOX) in den USA gilt für
börsennotierte Unternehmen und hat durch verschärfte Konsequenzen für leitende Manager indirekt
den Einfluss weltweit auch auf nichtbörsennotierte Unternehmen erweitert. Ähnliches gilt bei den
Basel-Gesetzen für die Finanzindustrie oder REACH für den Chemiesektor, und in Japan hat man gar
eine eigene Version des SOX entwickelt, das sogenannte J-SOX. Ziel all dieser lokalen, regionalen
und weltumspannenden Gesetzgebungen ist die Etablierung stärkerer Kontrollen und verbesserter
Sicherheitsmaßnahmen innerhalb der Unternehmen, Organisationen und Abläufe, damit Anleger,
Firmen, Händler, Arbeitnehmer und Konsumenten besser geschützt sind und krisenhafte Situationen
vermieden oder in ihren Auswirkungen bereits im Vorfeld gemildert werden. Ein Mittel zur
Durchsetzung dieser staatlich kontrollierten und zum Teil mit persönlichen Strafen für die betroffenen
Manager verbundenen Gesetze ist die konsequente Sicherheit von IT-unterstützten Prozessen sowie
von geschäftlichen Abläufen und Finanztransaktionen durch durchgängige Sicherheitsmaßnahmen.
Risikomanagementstrategie
Die Risikomanagementstrategie ist die initiale Aufgabe und legt den Rahmen für den erfolgreichen
Aufbau eines Risiko-Kontroll-Systems (RKS) in einer Organisation fest. Hierbei werden die
allgemeinen Sicherheitsziele, das Risikoakzeptanzniveau, Anforderungen und mögliche Lösungen
grob skizziert. Wesentliche Sicherheitsziele umfassen zum Beispiel:
Etablierung eines Bewusstsein über Bedrohungen und Risiken und deren Klassifizierung
Beschreibung, Aufnahme und Schutz aller Unternehmenswerte, inklusive Unternehmensumfeld
Sicherstellung der Verfügbarkeit von Geschäftsinformationen, Daten, Abläufe
Vertraulichkeit von wirtschaftlichen Aktivitäten, Transaktionen und personenbezogenen Daten
Integrität von Geschäftsprozessen, internen Abläufen, Informationen und beteiligten Personen
Verlässlichkeit von Systemen, Netzen und verantwortlichen Informationseignern
Nachvollziehbarkeit, Kontroll- und Prüffähigkeit von Geschäftsaktivitäten
Datenvorhaltung und Datenschutz von Stamm-, Bewegungs- und personengebundenen Daten
Einhaltung von gesetzlichen und innerbetrieblichen Anforderungen, Einflussfaktoren
(Rechtsverbindlichkeit)
Einhaltung von gesamtgesellschaftlichen, sozialen und lokalen Anforderungen, wie Umwelt,
Energie, Bildung und andere Schutzobjekte (Verantwortung)
Zurechenbarkeit von Geschäftsvorgängen
Beherrsch- und Administrierbarkeit von Systemen, Applikationen und Mitarbeitern und Wert
beeinflussende Aktionen
Gewährleistung der Authentizität von Applikationsdaten und Anwenderaktivitäten
Flexibilität von Applikationen, Kommunikationswegen und Anwendern
9. 9
Diese Kernziele der Sicherheit können durch zusätzliche Schutzbedürfnisse erweitert werden. Je nach
Art der Unternehmung, Branche, geographischer Lage und lokalem Umfeld lassen sich
Sicherheitsziele unterschiedlich definieren und bewerten, um eine Konzentration auf bestimmte
Risiken vorzunehmen und in geeignete Maßnahmen kalkulierbar zu investieren. Der Schutzbedarf
wird in einer Schutzbedarfsanalyse festgestellt.
Risiko- und Kontrollmanagement
Das Risiko- und Kontrollmanagement ist die zentrale Komponente für den Aufbau eines erfolgreichen
RKS. Nachdem die Werte in den unterschiedlichen Unternehmensbereichen und insgesamt festliegen,
kann mit der Analyse der Bedrohungen und Risiken begonnen werden. Die Bestimmung von Risiken
erfordert die Konzentration auf notwendige Unternehmenswerte, die in der Schutzbedarfsanalyse
identifiziert worden sind, um Investitionen im Sicherheitsbereich zu optimieren. Das Risiko hängt
dabei vom Gefahrenpotenzial der beteiligten Anwendungen, Systeme, Daten, Kommunikationswege,
Geschäftsabläufe, Menschen, Marktsituation, des geopolitischen und lokalen Umfeldes, sowie von
Kenngrößen wie Eintrittswahrscheinlichkeit und Auswirkungen im Schadensfall ab. Da sich Risiken
durch geeignete Maßnahmen mindern und überwachen lassen, sind die Sicherheitslösungen zur
Reduzierung von Risiken selbst eine relevante Einflussgröße. Dabei beeinflussen sich die
Sicherheitslösungen und die Gefahrenpotenziale und deren Größe gegenseitig. Bedrohungen ergeben
sich nicht nur durch individuelle und finanziell motivierte Angreifer, sondern auch durch
Gruppierungen, die sich über einen längeren Zeitraum bilden können, durch Wirtschaftsspionage und -
kriminalität, und Terrorismus. Daher ist es von erheblicher Bedeutung, Risiken allumfassend, zeitnah
und gründlich zu analysieren, Trends zu erkennen, negative Pilzstrukturen zu entdecken und
Schwachstellen aufzudecken.
Auf der anderen Seite stehen die zu definierenden vor und nach gelagerten Kontrollmaßnahmen. Wie
kontrolliere und minimiere ich als Unternehmen meine Risiken? Die Lösungen werden dabei
individuell für jedes Risiko festgelegt, um anschließend eine geeignete Sicherheitslösung im
Gesamtunternehmen zu etablieren. Dabei werden sowohl menschliche manuelle Kontrollelemente, als
auch weitgehend automatisierte Sicherheitslösungen wie Freigabeprozesse bei Berechtigungsvergaben
definiert und später implementiert. Eine wichtige Maßnahme ist die Kontrolle von Identitäten und die
Steuerung von Zugriffsrechten auf IT-Systeme, Anwendungen, Funktionen, Daten und Aktionen. Zum
Beispiel existieren in der Unternehmenssoftware SAP weit über 60,000 Transaktionen und
Funktionalitäten. Die Nutzung und der Zugriff zu diesen Funktionen muss für alle Anwender dieser
Systeme dediziert festgelegt und unter Berücksichtigung von (automatisiert geprüften) Risiken
verwaltet werden. Die Berechtigungskonzepte zu ERP-Applikationen sind also für Unternehmen eine
zentrale Aufgabe, aber dennoch nur ein Bestandteil der ganzheitlichen Sicherheitsstrategie und damit
des unternehmensweiten Risikomanagements. Wichtige Prinzipien sind dabei das
Informationseignerprinzip, das Vier-Augen-Prinzip, oder das Prinzip der Informationsverantwortung.
Risikomanagement und Sicherheit sind in den vergangenen Jahren aus dem Schatten der einstigen
Nische getreten. Wurde das Thema zu oft als notwendiges Übel betrachtet, so hat sich die Situation
seit Ende der 1990er-Jahre schrittweise verbessert. Unternehmen und Organisationen sind mehr und
mehr darauf bedacht, ihre Investitionen durch geeignete Sicherheitsmaßnahmen zu schützen. Dazu
wurden wichtige Elemente der IT-Sicherheit etabliert, auch wenn in den meisten Fällen auf ein
ganzheitliches Konzept verzichtet wurde. Das Unternehmen SAP und andere Anbieter haben im Laufe
dieser Entwicklung die Komponenten ihrer Systeme und Anwendungen mit vielfältigen
Kontrollmöglichkeiten und der notwendigen IT-Sicherheitsstruktur ausgestattet, und es gibt exzellente
technische Lösung zur Umsetzung der richtigen Risikomanagementstrategie.
10. 10
Eine durch ethische Werte geprägte Unternehmenskultur steigert außerdem die Leistung aller
Mitarbeiter im Unternehmen und legt das Fundament für nachhaltigen Erfolg, da sie die Loyalität der
besten Arbeitskräfte, sicherer namhafter Investoren und langjähriger Kunden gegenüber dem
Unternehmen festigt und diese somit an das Unternehmen bindet. Ganzheitliches Risikomanagement
wird zu einer zentralen Komponente des Kampfes gegen Risiken, die einen direkten oder indirekten
Einfluss auf den Werteerhalt oder –verfall eines Unternehmens haben. Damit wird Risikomanagement
zu einem wesentlichen vorbeugenden Bestandteil zur Vermeidung und dem richtigen Umgang mit
Krisen. Dazu gehören neben den originären Elementen des ERM (Enterprise Risk Management) wie
Marktrisiko, Investitionsrisiko oder Kapitalisierungsrisiko auch zunehmend Komponenten wie
Umweltrisiko, Identitäts- und Rechtemanagement, Datenschutz und –sicherheit, Informationspolitik
und –distribution, technische Sicherheit, Prozesssicherheit, Organisationskontrolle und
Rechtsverbindlichkeit. Eine der größten Herausforderungen für die Menschheit wird die Bewältigung
der Zunahme der Weltbevölkerung in den nächsten 50 bis 100 Jahren sein. Mit Zunahme der
Weltbevölkerung steigt auch der Ressourcenverbrauch, z.B. für Nahrung, Kleidung, Energie und
Lebensraum, und mehr Menschen bedeuten auch mehr Abgase und mehr Abfälle. Auf Grundlage
dieser Erkenntnisse wird Risikomanagement zu einer strategischen Kernmaßnahme für den
langfristigen Schutz von Unternehmenswerten, die sich einbinden müssen in ein geoglobales
Gesamtkontrollsystem.
Kein Vormarsch ist so schwer wie der zurück zur Vernunft. Bertolt Brecht. Es wird also nicht einfach.
Martin Luther musste ebenso für seine Ideen kämpfen und hatte damit einige Krisen
heraufbeschworen. Für ihn war klar: Kein Problem wird gelöst, wenn wir träge darauf warten, dass
Gott allein sich darum kümmert. Wir brauchen neue, frische, kluge Köpfe, die sich für Umwelt,
Soziales Miteinander, technologischen Fortschritt für kontinuierlichen Wohlstand und Sicherheit
einsetzen.
Vielen herzlichen Dank.
Mario Linkies
Halle an der Saale, 07. Juli 2009