Aufrufe
vor 5 Jahren

die bank 08 // 2018

  • Text
  • Banken
  • Verbriefungen
  • Unternehmen
  • Markt
  • Insbesondere
  • Mitarbeiter
  • Investoren
  • Kreditfonds
  • Fugger
  • Deutschland
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG WAS IST

DIGITALISIERUNG WAS IST RISKANT? Eine neue Art der Risikobetrachtung Ein Risiko abzuschätzen bedeutet, den Eintritt eines negativen Ereignisses vorherzusagen. Gilt das auch für die IT? Kann man wirklich mit einer gewissen Wahrscheinlichkeit abschätzen, ob ein Hacker eine bestimmte Firma angreifen und wie groß der daraus resultierende Schaden sein wird? Unser Autor nähert sich dem Thema aus einer gänzlich neuen Blickrichtung. Das Thema Risikobetrachtung ist so alt wie die Menschheit. In der antiken Sage von Dädalus und Ikarus versucht der Erfinder Dädalus mit seinem Sohn vor einem Tyrannen zu fliehen, indem er aus Federn und Wachs Flügel baut. Er warnt seinen Sohn, nicht zu riskant und nicht zu nah an der Sonne zu fliegen. Natürlich wird das Risiko von seinem Sohn falsch eingeschätzt, was zu seinem Tod führt. Schaut man bei Google nach dem Schlagwort Risiko, so findet man fast 67 Millionen Einträge. Und auch in der Musik kommt dieses Thema vor. Laut Musikdatenbanken gibt es mehr als 2.500 Songs, die das Wort „Risk“ enthalten. Darunter auch der letzte Bond- Song. Dort heißt es: „If I risk it all, do you break my fall?“. Dieser Liedtext beschreibt sehr gut, dass man oft versucht, die Auswirkungen eines Risikos zu verringern. Doch was ist ein Risiko? Wie kann man es einschätzen? Ein Risiko ist verbunden mit dem Eintreten eines negativen Ereignisses, mit einer gewissen Wahrscheinlichkeit und einer klar definierten Auswirkung. Also zum Beispiel eine 33-prozentige Wahrscheinlichkeit, dass innerhalb eines Jahres der Schaden eines bestimmten Ereignisses 10.000 € Schaden erzeugt. Diese Betrachtung ist wichtig für die Versicherungswirtschaft. Doch wie groß ist die Wahrscheinlichkeit, dass ein Hacker eine bestimmte Firma angreift? Kann man wirklich abschätzen, wie hoch der Schaden sein wird? So ist zum Beispiel der Reputationsschaden, wenn Kundendaten geklaut wurden, im Voraus sehr schwer einzuschätzen. Doch bevor wir eine neue Methode betrachten, sollten wir uns ansehen, wie schwer es ist, Risiken aus vorsätzlichen Handlungen wie zum Beispiel Hacking einzuschätzen. Wahrscheinlichkeit maliziöser Handlungen Wie groß ist die Wahrscheinlichkeit, dass ein Hacker angreift? Dass ein Virus den Virenscanner überlistet? Statistiken helfen hier wenig. Die Zahl der kleinen mittelständischen Unternehmen in Deutschland beträgt ca. 3,5 Millionen. Die Zahl der im Jahr 2017 gemeldeten Fälle von Datenmanipulation beträgt etwa 3.500. Dies würde statistisch bedeuten, dass nur jedes 1000. dieser Unternehmen Opfer einer solchen Computerattacke wird. Aus Angst vor Reputationsverlust bei einer Offenlegung des Vorfalls – oder weil man es im Unternehmen gar nicht bemerkt, dass Daten verändert wurden – ist die Dunkelziffer der betroffenen Unternehmen viel höher. Jeder kennt sicherlich im privaten Umfeld ein KMU (oder eine Gemeindeverwaltung), die von den Viren Wannacry oder Notpetaya ge- 70 08 // 2018

DIGITALISIERUNG troffen wurde, die zu einer umfassenden Verschlüsselung von Daten führten. Twin Towers – eine Wahrscheinlichkeitsbetrachtung Im Jahr 2001 kam es zu einem der schlimmsten Terrorakte der Neuzeit. Zwei Passagierflugzeuge wurden mit wenigen Minuten Abstand von fanatischen Entführern in jeweils einen der Twin Towers des New Yorker World Trade Centers gelenkt. Das führte zum Einsturz der Hochhäuser und Tausenden Opfern. Betrachtet man – unabhängig von dem entsetzlichen Blutbad – die Wahrscheinlichkeiten aus Sicht der klassischen Risikoanalyse, so ist die Wahrscheinlichkeit, dass ein Flugzeug einen solchen Turm rammt, kurz vor dem Unglück viel kleiner als einmal in 100 Jahren (wenn man etwa 100 Jahre für die Zeit der Flugzeuge ansetzt, denn Hochhäuser sind noch älter). Im Moment des ersten Flugzeugeinschlags hat man dann die Wahrscheinlichkeit von etwa einmal in 100 Jahren. Und schon wenige Minuten später geschieht das Unfassbare, ein zweites Flugzeug trifft den anderen Turm des WTC und veränderte die Wahrscheinlichkeit eines solchen Ereignisses von nahezu Null über einmal in hundert Jahren zu zweimal innerhalb einer Stunde. Das zeigt, wie schwer es ist, bei vorsätzlichen Handlungen eine Eintrittswahrscheinlichkeit abzuschätzen. Wahrscheinlichkeit des Unbekannten Bestimmte IT-Gefahren sind schon sehr lange bekannt. Einer der ersten Computer, der Z1, fiel 1946 kurz nach seiner Erstkonstruktion aufgrund einer Motte aus, die in dem Relay-Computer verglühte und einen Kurzschluss auslöste – daher stammt auch das Wort Bug (Käfer) für Fehler. Ein Ausfall, den niemand vorhersah. 1983 kam es zum ersten Computervirus, im gleichen Jahr zum sogenannten BTX-Hack des Chaos Computer Clubs. Ende der 90er- Jahre des letzten Jahrhunderts gab es die ersten Phishing-Mails. Doch selbst in den letzten Jahren – ca. sieben Jahrzehnte nach dem ersten Bug in einem Computer, kommt es noch zu neuartigen „Angriffen“, wie z. B. dem CEO Fraud, bei denen arglose Prokuristen eines Unternehmens dazu gebracht werden, große Geldbeträge an unbefugte Personen im Ausland zu überweisen. Fast täglich kommen in der Cyberwelt neue Gefahren und neue Angriffe hinzu, an die niemand zuvor gedacht hat. Viele sind so ungewöhnlich, dass sie die Hersteller des betroffenen Produkts vollkommen überraschten, wie der Hack von Heizungsthermostaten, Fernsehern oder der von über WLAN steuerbaren Glühlampen. Wer hätte dies abzuschätzen vermocht? (Un-)Wahrscheinliche Auswirkung 1999 zerschellte die Sonde Climate Orbiter auf dem Mars, weil die internationalen Entwicklerteams mal in Zoll und mal in Zentimeter gerechnet hatten – ohne die Maßeinheit anzugeben. Im Jahr 2012 entdeckte man den systematischen Diebstahl von Ahornsirup aus der staatlichen kanadischen Notreserve. Der Diebstahl umfasste 5.000 Tonnen Ahornsirup. 2017 richtete ein Verschlüsselungstrojaner bei Maersk einen Schaden in Höhe von 300 Mio. € an, weil weltweit keine Schiffe der dänischen Reederei mehr entladen werden konnten. 2016 versuchten Hacker einen digitalen Bankraub in Bangladesch, der nur aufgrund eines Tippfehlers der Hacker schon bei einer geraubten Summe von 180 Mio. US-$ entdeckt wurde – eigentlich wollten die Bankräuber eine Milliardensumme erbeuten. Jeder einzelne dieser Fälle wäre so von keinem Risikomanager der Welt eingeschätzt worden. Die sinnvolle Vorhersage eines vorsätzlich herbeigeführten Schadens ist rein spekulativ. Hier gilt der alte Merksatz: Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer als in der Theorie. Was lernen wir daraus? Zunächst: Das Leben ist unberechenbar! Unwahrscheinliche Ereignisse und unerwartete Auswirkungen machen die Vorhersage von Ereignissen wie Hacking-Angriffen, Computerviren oder Systemausfällen durch Sabotage zu einer reinen Spekulation. Was gehackt werden kann, wird gehackt, ganz egal, ob es sich um ein Fernsehgerät, WLAN-Glühbirnen oder sogar – wie es 08 // 2018 71

die bank