Mit über 300 Teilnehmern unterstrich der diesjährige Swiss GRC Day 2024 eindrucksvoll, wie essentiell eine adaptive, technologiegestützte Strategie für das Risikomanagement in einer komplexen, dynamischen und digitalisierten Welt ist.
Die Veranstaltung, die am 8. Mai in Zürich stattfand, setzte den Fokus auf eine vorausschauende und zeitgerechte Unternehmensführung im Hintergrund einer höchst komplexen und dynamischen Risikolandschaft unterstützt durch neue Methoden und Technologien. Teilnehmer erhielten nicht nur umfassende Einblicke in die aktuellen Herausforderungen und Chancen einer zunehmend vernetzten und von disruptiven Technologien geprägten Welt, sondern hatten auch die Gelegenheit, innovative Lösungen in diesen Bereichen intensiv zu diskutieren.
Risikolandschaft 2024: Trends und Implikationen für effektives Risikomanagement
Frank Romeike, einer der führenden Experten im Risikomanagement, eröffnete die Vortragsreihe mit einem Einblick in die "Risikolandschaft 2024". Er sprach von der grossen Herausforderung des "Zuviel an Wissen über das Nichtwissen", was darauf hinweist, dass Risikomanagement oft durch unvollständige Informationen erschwert wird. Außerdem wies auf die Notwendigkeit hin, von unzuverlässigen "Voodoo-Methoden" abzurücken, die oft mehr Verwirrung als Klarheit schaffen. Stattdessen forderte er die Anwendung von klaren, überprüfbaren und effektiven Risikomanagement-Methoden. Anhand von Beispielen wie dem Niedergang von Kodak, Wirecard und Signa sowie den unsicheren geopolitischen Szenarien skizzierte Romeike, wie wichtig es ist, strategische Risiken frühzeitig zu erkennen und zu managen. Außerdem betonte er die Dualität von Artificial Intelligence (AI), nämlich hre Fähigkeit, Risikoszenarien zu simulieren und zu analysieren, aber auch die Gefahren, die durch Fehlinterpretationen und Abhängigkeiten entstehen können.
Frank Romeike, Gründer und geschäftsführender Gesellschafter RiskNET
Als weiteres wichtiges Thema wurden die Risiken der Digitalisierung und speziell Cyberrisiken beleuchtet. Die Notwendigkeit, über Digitalisierung hinaus zu denken und Cybersicherheit als grundlegenden Bestandteil des Risikomanagements zu verstehen, wurde betont.
Frank Romeike betonte, dass ein entscheidungsorientiertes Risikomanagement in die Sprache und die Prozesse des Managements übersetzt werden muss, um effektiv zu sein und zur Erhöhung der Resilienz beizutragen.
Abschliessend forderte er zu mehr interdisziplinärer Zusammenarbeit auf, um Silos abzubauen und eine umfassendere Sicht auf Risiken zu gewährleisten.
Risk Management und KI: Was bleibt für Menschen übrig?
Stefan Hunziker, Professor für Risk Management an der Hochschule Luzern, beleuchtete in seinem Vortrag die Rolle von "Künstlicher Intelligenz" (KI) im Risikomanagement und stellte die Frage, welche Aufgaben für Menschen übrig bleiben. Seine Schlussfolgerung: Trotz der Fähigkeiten moderner Algorithmen bleibt der Mensch unersetzbar, insbesondere bei kreativen, intuitiven und kontextspezifischen Aufgaben. In einer zunehmend von KI dominierten Welt bleibt die menschliche Fähigkeit, zwischen den Zeilen zu lesen, ethische Überlegungen anzustellen und kreative Lösungen zu finden, entscheidend. Diese Elemente sind es, die wahre Resilienz und Nachhaltigkeit im Risikomanagement ausmachen.
Stefan Hunziker, Professor für Risk Management an der Hochschule Luzern
Hunziker erläuterte, dass der wahre Zweck des Risikomanagements darin besteht, die Qualität von Entscheidungen zu erhöhen. KI kann dieses Ziel unterstützen, indem sie Datenanalysen beschleunigt und vertieft, was allerdings nicht bedeutet, dass sie fehlerfrei ist. Trotz der technologischen Fortschritte bleibt die menschliche Fähigkeit zur kreativen Problemlösung, Intuition und zum Verständnis komplexer Kontexte unerlässlich. KI-Systeme, wie ChatGPT, bieten zwar fortgeschrittene Analytik, erfordern aber präzise Anweisungen und klar definierte Prompts, um effektiv zu funktionieren.
Hunziker wies darauf hin, dass KI und LLMs (Large Language Models) zwar mächtige Werkzeuge sind, aber ihre Kapazität, Geschäftsmodelle und strategische Ziele vollständig zu verstehen, begrenzt ist. Fehleingaben können zu falschen Ausgaben führen, weshalb eine kontinuierliche menschliche Überwachung und Steuerung erforderlich ist.
Etwa 3 bis 6% der von KI und LLMs generierten Informationen können erfunden oder irreführend sein. Dies unterstreicht die Notwendigkeit einer kritischen Bewertung aller maschinell generierten Daten.
KI kann helfen, 90% der Risikoanalyse abzudecken, doch die verbleibenden 10% - oft die komplexesten und kritischsten Risiken – erfordern menschliches Urteilsvermögen und tiefere Einblicke, so Hunziker weiter. Hunziker betonte die Bedeutung der ethischen Überlegungen und der Notwendigkeit, dass Menschen im Regelkreis bleiben, um Missbrauch, Verzerrungen oder Fehlinterpretationen zu verhindern und die Kontrolle zu bewahren.
Adäquanz, Relevanz und Aktionsmöglichkeit bilden das Grundgerüst jedes GRC-Systems
Nikolai Tsenov, Head Product & Business Development bei Swiss GRC, legte in seinem Vortrag den Fokus auf die Entwicklung und die Differenzierungsmerkmale moderner Governance, Risk and Compliance (GRC) Systeme. Er betonte, wie entscheidend es ist, dass GRC-Systeme nicht nur auf bewährten Prinzipien basieren, sondern auch dynamisch auf die Anforderungen einer komplexen und sich ständig verändernden Welt reagieren, vorausschauende und rechtzeitige Erkenntnisse liefern, und eine proaktive und zeitgemässe Unternehmensführung ermöglichen.
Nikolai Tsenov, Head Product & Business Development, Swiss GRC
Adäquanz, Relevanz und Aktionsmöglichkeit bilden das Grundgerüst jedes GRC-Systems. Diese Standards sollten bei allen Anbietern ähnlich sein, um ein Mindestmass an Qualität und Effektivität zu gewährleisten.
Tsenov wies darauf hin, dass die Innovationskraft im Bereich GRC in den letzten Jahren stagniert hat, und betonte die Notwendigkeit, diese mit neuen Methoden wiederzubeleben. Der Schwerpunkt liegt dabei auf der Generierung von rechtzeitigen und vorausschauenden Erkenntnissen als Unterstützung von hochqualitativen Entscheidungen im Hintergrund einer höchst komplexen und dynamischen Welt und Risikolandschaft.
GRC sollte als ein organisationsweites Informationsmanagementsystem fungieren, das sicherstellt, dass alle relevanten Personen die richtigen Informationen zur richtigen Zeit erhalten, so das abschließende Fazit von Nikolai Tsenov.
Cybersicherheit: Die Bedrohungslage im Überblick
Roger Halbheer, Chief Security Advisor bei Microsoft, bot einen umfassenden Überblick über die globale Cybersicherheitslage, die sich durch die zunehmende Aggressivität staatlicher Akteure wie Nordkorea und Russland verschärft. Diese Staaten, die unter ökonomischen Druck stehen, richten ihre Cyberangriffe oft gezielt dorthin, wo sie am kosteneffektivsten sind, um ihre Wirtschaft zu stabilisieren. Er unterstrich die kritische Notwendigkeit für Unternehmen, ihre Cybersicherheitsstrategien zu überdenken und zu stärken, um sich gegen die zunehmend staatlich geförderter Cyberbedrohungen zu wappnen.
Roger Halbheer, Chief Security Advisor, Microsoft
Viele Daten werden derzeit nicht intelligent genutzt, was die Effektivität von Sicherheitsmassnahmen verringert und Identitätsattacken erleichtert. Diese Attacken nehmen zu und sind zunehmend erfolgreich, so Roger Halbheer. Um der steigenden Gefahr durch Identitätsdiebstahl entgegenzuwirken, empfiehlt Halbheer den Verzicht auf traditionelle Benutzernamen und Passwörter zugunsten einer sichereren, zweistufigen Authentifizierung.
Er warnte, dass die Bedrohungen in demokratischen Ländern in den nächsten anderthalb Jahren um über 75% steigen könnten, da Angreifer zunehmend ausgeklügeltere Techniken entwickeln, um keine Spuren zu hinterlassen.
Halbheer betonte die Bedeutung grundlegender Cyberhygiene-Praktiken. Trotz fortgeschrittener Technologie sind viele Systeme, besonders im Bereich des Internet der Dinge (IoT) und der Operational Technology (OT), anfällig für Angriffe. Er forderte die Akzeptanz, dass diese Systeme inhärent unsicher sind, und empfahl, Schutzmassnahmen zu stärken. Halbheer riet zu einem proaktiven Ansatz in der Cybersicherheit, der nicht nur auf das Erkennen und Reagieren beschränkt ist, sondern auch das Vorhersehen von Bedrohungen und entsprechende Vorbereitungen umfasst.
Digitale Resilienz – Praxisbeispiele anhand von DORA und Ransomware
Roman Regenbogen und Andreas Rostin von Eraneos gaben auf dem Swiss GRC Day 2024 einen umfassenden Einblick in die wachsenden Cyberbedrohungen, insbesondere die durch Ransomware, Extortionware und Double Extortion Ransomware. Sie erklärten, wie die zunehmende Komplexität und Raffinesse dieser Angriffe Unternehmen weltweit herausfordern und die Notwendigkeit einer robusten Cyberhygiene betonen.
Roman Regenbogen, Regulatory & Compliance FS, Eraneos
Ransomware-Attacken stellen eine der grössten Bedrohungen in der Cybersecurity dar, so Roman Regenbogen und Andreas Rostin. Besonders gefährlich sind Double Extortion Ransomware-Angriffe, bei denen Daten nicht nur verschlüsselt, sondern zusätzlich gestohlen und veröffentlicht werden, sollte das Lösegeld nicht bezahlt werden.
Zur Minimierung dieser Risiken schlugen sie ein umfassendes Rahmenwerk vor, das die Aspekte Govern, Identify, Protect, Detect, Respond und Recover umfasst. Jeder dieser Schritte ist entscheidend für die Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle.
Der Digital Operational Resilience Act (DORA) ist eine neue regulatorische Massnahme der EU, die darauf abzielt, die Widerstandsfähigkeit von Finanzsystemen gegenüber Cyberangriffen zu stärken. Roman Regenbogen und Andreas Rostin erläuterten, dass DORA spezifische Anforderungen an die IKT-Risikomanagementpraktiken von Banken, Versicherungsunternehmen und Kryptoanbietern stellt.
Andreas Rostin, Head of Cybersecurity FS, Telco & Utilities, Eraneos
Zur effektiven Umsetzung von DORA empfahlen sie eine gründliche Anwendbarkeitsanalyse, um zu bestimmen, welche Aspekte des Acts auf das Unternehmen anwendbar sind, und eine darauf folgende Defizitanalyse, um Schwachstellen und erforderliche Verbesserungen zu identifizieren. Sie betonten die Wichtigkeit von regelmässigen Schulungen und Notfallübungen für Mitarbeiter, um diese auf Phishing und andere gängige Cyberattacken vorzubereiten. Das Verständnis und die korrekte Implementierung von DORA seien essentiell, um die organisatorische und operationelle Resilienz zu verbessern.
Führt ein konsequentes ESG Risikomanagement zu einer besseren Unternehmensführung?
Richard Gaechter, CRIF Schweiz, thematisierte in seinem Vortrag, wie ein konsequentes ESG-Risikomanagement die Unternehmensführung verbessern kann. Er legte dar, dass effektives ESG-Management nicht nur eine Frage der Compliance ist, sondern auch entscheidend zur Stärkung der Unternehmensresilienz beiträgt. Er wies darauf hin, dass die Lieferkette oft der Ort ist, wo die grössten ESG-Risiken verborgen liegen, von Umweltbelastungen bis hin zu sozialen Unwägbarkeiten. Er betonte, dass es unerlässlich ist, diese Risiken zu erkennen und proaktiv zu managen, um nicht nur regulatorischen Anforderungen gerecht zu werden, sondern auch um potenzielle Reputationsrisiken zu minimieren und die Investitionsattraktivität zu sichern.
Richard Gaechter wies darauf hin, dass ein nachhaltiges ESG-Management zu einer robusteren, transparenteren und verantwortungsvolleren Unternehmensführung führt. Insbesondere seien die Überwachung und das Management der Lieferkette zentral, um ESG-Risiken zu minimieren und die Nachhaltigkeit zu fördern.
Richard Gaechter, Head of CRIF Consulting Switzerland,CRIF Schweiz
Auch eine systematische Identifikation von ESG-Risiken und die Implementierung effektiver Managementstrategien seien essentiell. Richard Gaechter präsentierte mit Synesgy eine globale und digitale Plattform, die es Unternehmen ermöglicht, ESG-Scores effektiv zu überwachen und zu verbessern sowie durch Selbstdeklaration der Lieferanten detaillierte Informationen zu erhalten.
Der Swiss GRC Day 2024 unterstrich eindrucksvoll, wie essentiell eine adaptive, methodisch fundierte und technologiegestützte Strategie für das Risikomanagement in einer komplexen, dynamischen und digitalisierten Welt ist.
