Risikomanagement in der Industrie 4.0

Interview: Dr. Georg Bräuchle
Geschäftsführer und Chief Market Officer Marsh Deutschland

 
» Wie wir jetzt spricht alle Welt aktuell über das Thema Industrie 4.0: Was bedeutet das für Sie? Wird zum Beispiel eine App künftig den Versicherungsmakler ersetzen?

 
Die Überlegung ist naheliegend, denn auch die Versicherungsbranche ist von der Digitalisierung erfasst und steht vor großen Veränderungen. Bei Marsh unterstützen uns die modernen Technologien bereits seit vielen Jahren bei den unterschiedlichsten Prozessen. Aber was gerade das Thema App angeht, so sehen wir die Anwendung überwiegend im Privatkunden- oder im kleineren Gewerbegeschäft. Überall dort, wo Vorgänge einigermaßen standardisiert werden können und es eine große Anzahl von gleichartigen Vorgängen gibt.
 
Im Industrieversicherungsgeschäft, in dem es nach wie vor meist um maßgeschneiderte, individuelle Lösungen geht, kann eine App nicht den Menschen mit seinem Sachverstand, seinen persönlichen Erfahrungen und seiner Innovationsfähigkeit ersetzen. Sie kann allenfalls ein Hilfsmittel zum Informationsaustausch sein. Man spricht dann eher von Plattformen, auf denen Informationen hinterlegt sind, auf die etwa im Schadensfall alle Beteiligten zurückgreifen können. Aber den Versicherungsabschluss und die Schadenregulierung vollständig oder nahezu vollständig zu automatisieren über eine App, das wäre für unser Geschäft nicht sachdienlich, weil es zu individuell ist.

 

» Wie hat sich für Sie als renommierte Versicherungsmakler und Risikoberater der Arbeitsalltag durch die Digitalisierung verändert? Vor welche neuen Herausforderungen werden Sie durch Ihre Kunden gestellt?

 
Der Bedarf nach analytischen Dienstleistungen steigt und wir müssen dabei den Dialog mit unseren Kunden auf eine neue Ebene heben. Wir sehen uns hier einer jungen Manager-Generation gegenüber, die neu an das Thema herangeht. Entscheidungen müssen viel stärker als in der Vergangenheit auf objektiven Daten und Fakten beruhen. Das können nicht alle Unternehmen, sie brauchen dazu neben der Erfahrung die entsprechenden Daten und Analysewerkzeuge. Für uns ist das eine Chance.

 
Am interessantesten ist der Bereich, den wir unter dem Begriff Analytics verstehen, nämlich die Analyse und Auswertung großer Datenmengen - auch bekannt als Big Data. Dabei handelt es sich um Risikoinformationen über ganze Branchen und Industrien hinweg, die man mit analytischen Methoden auswertet. So können wir ganz gezielte Modellrechnungen für Kunden erstellen - über ihre Risikosituation, Eintrittswahrscheinlichkeiten von Risiken und über deren Dimension.

 
Bei uns heißt das Marsh Analytical Platform oder iMap. Im Ergebnis kommt man zu neuen Modellen, wie man die Absicherung optimieren und Auswirkungen verschiedener Alternativen berechnen kann - und wie sich dies wiederum auf die eigene Kostensituation auswirkt.

 
» Cyber-Attacken nehmen zu, werden raffinierter. Stimmt der Eindruck, dass herkömmliche Sicherheitskonzepte zunehmend wirkungslos erscheinen?

 
Nein, aber der Wettlauf zwischen Code- Machern und Code-Knackern war schon immer ein Katz-und-Maus-Spiel. Es gibt immer mehr Angreifer, und die werden immer raffinierter und professioneller. Die Arbeit wird also nicht ausgehen. Der Verteidiger wird immer versuchen, tausend Löcher zu schließen oder geschlossen zu halten und dem Angreifer wird es genügen, wenn er eines findet. Von daher ist es immer schwierig, in der Verteidigungs- oder Schutzposition zu sein und zu versuchen, alles dichtzuhalten. Dadurch verändert sich natürlich auch die Technologie und die Strategie der Abwehrmaßnahmen.

 
Für uns ist in dem Zusammenhang wichtig, dass wir unsere Kunden beraten, wie sie zum Beispiel nicht nur ihre IT schützen, sondern auch ihre Mitarbeiter sensibilisieren. Darüber hinaus bieten wir auch zusammen mit anderen Dienstleistern eine IT-Forensik an - sprich Darknet Research, Penetration Testing und so weiter. Also jene Dienstleistungen, die nötig und möglich sind, um sich optimal zu schützen und aus der Sicht eines Geschäftsführers sagen zu können: „Ich habe meinen Job richtig gemacht, technisch-organisatorisch und auch von der Absicherung her getan, was man tun konnte. Wenn es trotzdem zu einem Ereignis kommt, wird es hoffentlich nicht so heftig werden und ich habe mir am Ende nichts vorzuwerfen.“

 
Letztlich gilt: Einen absoluten Schutz gibt es nicht. Aber es ist möglich, die finanziellen Folgen eines Vorfalls abzusichern und entschädigt zu bekommen.

 
» Welche Strategien verfolgen denn Ihre Kunden, um sich abzusichern? Können Sie Beispiele nennen?

 
Da wir keine IT-Berater sind, geben wir unseren Kunden keine Empfehlungen für den Aufbau ihrer IT-Sicherheitssysteme. Wir können aber testen, ob sie gut sind und funktionieren. Wir beobachten bei unseren Kunden, dass Verschlüsselungstechnologien, bei denen kleine Informationseinheiten gebildet werden, die jeweils für sich verschlüsselt sind, eine immer größere Rolle in ihrem Absicherungskonzeptspielen. Wenn eine Verschlüsselung geknackt wird, kann sich der Angreifer nur in diesem einen Bereich tummeln und nicht wie bei einer überwundenen Firewall überall sein Unwesen treiben. Diese Technologie ist eine Entwicklung, die in der Industrie - vor allem in Deutschland - mittlerweile sehr verbreitet ist.

 
» Im Ernst: Ist das Glas halb voll oder halb leer, wenn es um die Absicherung von Liefernetzwerken geht? Also sind für die Branche alle zukünftigen Aufgaben, die sich mit der Verletzbarkeit von digitalen Lieferketten befassen, eher eine Chance – oder absolut unnötiger und unkalkulierbarer Zusatzaufwand?

 
Das ist ja eher eine psychologische Aussage, ob man mehr Pessimist oder Optimist ist. Ich glaube, dass es vor allem eine Chance ist für jedes innovative Unternehmen, die Sicherheitstechnologie voranzutreiben für seinen Bereich - meistens zusammen mit anderen Partnern.

 
Man kann das ein bisschen vergleichen mit dem Thema Umweltschutz. Er ist im ersten Moment auch von einzelnen Unternehmen als zusätzliche Bürde und Last verstanden worden. Aber sehr schnell wurde deutlich, dass man sich damit auch zusätzliche Marktchancen eröffnen kann, indem man etwa der Erste ist, der eine Rauchgas-Entschwefelungsanlage entwickelt oder einsetzt.

 
Ähnlich ist es sicherlich bei den Cyber-Sicherheitsthemen. Wer da Vorreiter ist und intelligente Strategien oder Tools entwickelt und einsetzt, der wird sich im Wettbewerb eine gute Position erarbeiten. Das kann letztlich ein Differenzierungsmerkmal im Wettbewerb sein. Denn es ist glasklar, dass die Bedrohungssituationen im Cyberbereich nicht irgenwann wieder verschwinden, sondern uns auch in der Zukunft begleiten werden.

 
» Zum Thema Aufbau von Sicherheitsstrukturen meinen Experten „Antivirus is dead“. Dieser Leitsatz unterstreicht die Wichtigkeit eines Paradigmenwechsels in der Cyber-Sicherheit. Dazu gehört auch die Einsicht, dass Unternehmen sich mit diesen teilweise doch branchenfremden Themen auseinandersetzen müssen. Hat die Industrie dieses Verständnis schon, über den Tellerrand hinauszublicken? Warum tun sie sich möglicherweise so schwer damit?

 
Es gibt immer noch Unternehmen, die glauben, sie wären zu klein und unbedeutend, als dass sie Ziel einer Cyber-Attacke werden könnten. Da muss das Bewusstsein noch weiter reifen. Ganz wichtig ist, dass alle möglichst bald verstehen, wo sie verwundbar sind, mit welchen Maßnahmen sie reagieren können und dass sie das Thema Cyber-Sicherheit auch an der richtigen Stelle im Unternehmen positionieren müssen - nämlich in der Geschäftsleitung.

 
Das ist ein ganz wichtiges strategisches Thema. Bei vielen ist das schon der Fall, bei vielen aber auch noch nicht. So trennt sich wie immer im Wirtschaftsleben im Laufe der Zeit mit jeder neuen technischen Entwicklung die Spreu vom Weizen. Die schnellen, pfiffigen merken dies früher und werden sich besser behaupten können als jene, die zu lange zögern.

 

» Das heißt, dass die Unternehmen vom Markt verschwinden werden, die jetzt nicht vorne mit dabei sind?

 
Oder sie holen es später wieder nach. Das muss nicht gleich das Aus bedeuten. Aber ich kann mir gut vorstellen, dass das Thema Cyber-Security zum Beispiel im Bereich Maschinenbau ein sehr wichtiges sein wird, weil es dort sehr komplexe elektronische Steuerungssysteme gibt. Wer da einen State-of-the-Art-Schutz vorweisen kann, wird sicher bessere Absatzchancen für seine Produkte haben als jemand, der das Thema vernachlässigt. Und dann ist die Frage, ob der Rückstand noch aufgeholt werden kann oder er bereits abgehängt ist.

 
» Spielen auch finanzielle Überlegungen eine Rolle, ob ein Unternehmen in die Cyber-Sicherheit investiert?

 
Natürlich. Die spannende Entwicklung ist jedoch, dass sich bei vielen Unternehmen der Tätigkeitsschwerpunkt vom reinen Produktionsunternehmen hin zu einem Software- und Dienstleistungsunternehmen entwickelt. Wenn ich immer weniger der klassische Produzent bin und immer mehr der Planer, Systementwickler oder Provider, dann verändert sich auch mein Geschäftsmodell.

 
Wenn etwa ein Hersteller von Lackieranlagen diese nicht mehr nur vertreibt, sondern sie im Werk eines Automobilherstellers selbst betreibt, dann verändern sich mit dem Geschäftsmodell auch die Risiken und Haftungsszenarien, etwa bei Betriebsunterbrechungen oder ähnlichem. Entsprechend müssen die Unternehmen ihre bisherigen Absicherungsstrategien überprüfen und gegebenenfalls anpassen.

 
» Industrie 4.0 stellt auch neue Anforderungen an die Arbeitssicherheit, wenn Mensch und Maschine künftig noch näher zusammenarbeiten. Damit ergibt sich eine neue Art von Risiko, die Unternehmen möglicherweise bisher nicht bedenken. Welche Lösungen sind denkbar?

 
Ich glaube, dass das Risiko überschätzt wird. In aller Regel werden Prozesse wesentlich sicherer, wenn sie maschinengeführt sind. Wenn Maschine und Mensch zusammenarbeiten, ist vermutlich der Mensch der größte Unsicherheitsfaktor. Auch beim Thema Autonomes Fahren gehen wir davon aus, dass die Unfallwahrscheinlichkeit um 60 Prozent abnehmen würde, weil die technischen Systeme um eine Vielzahl besser sind als der Mensch.

 
In der Realität ist unsere Wahrnehmung allerdings häufig umgekehrt: Macht die Maschine einen Fehler, erscheint uns das weitaus bedrohlicher, als wenn der Mensch einen Fehler gemacht hat.

 

Von der Absicherung her, vom Risikomanagement und den Versicherungskonzepten sehe ich kein großes Problem. Die Haftungsregeln müssen an der einen oder anderen Stelle noch etwas geschärft werden. Wenn die Steuerung einer Maschine unzureichend oder falsch ist, dann ist das ein Fall der Produkthaftung, wie wir es aus der reinen Mechanik auch kennen.

 
» Beratungshaftung kann wie ein Damoklesschwert über einer Kundenbeziehung schweben – gerade bei neuen Themen wie Industrie 4.0 und Digitalisierung. Wie konnten Sie intern Lösungen entwickeln, die diese Gefahr minimieren?

 
Soweit wir unseren Kunden IT-Programme zur Verfügung stellen, ist dies wie bei Softwaredienstleistern auch üblich geregelt. Das heißt, die Haftung wird entweder ausgeschlossen oder stark begrenzt. Ansonsten ist unsere Haftungssituation unverändert. Da sehe ich keinen großen Unterschied.

 
» Angenommen, der Ernstfall tritt ein und ein Unternehmen wird gehackt. Ein Supergau für alle Beteiligten. Welche Kommunkation ist vonseiten eines Unternehmens notwendig, um das Vertrauen des Kunden zurückzugewinnen und auch in der Zukunft langfristig zu halten?

 
Eine vorausschauende Risikostrategie kann helfen, das eigene Unternehmen vor Schäden zu schützen und das Vertrauen der Kunden zu bewahren. Drei Bereiche sollten aus Kommunikationssicht im Blick behalten werden, um im Fall von Cybercrime die Unternehmensreputation zu schützen: Vorbereitung, Bewältigung und Reparatur.

 
Vor allen Dingen sollte sich ein Unternehmen vorher darüber Gedanken machen - nicht erst im Ernstfall, denn da ist meistens Hektik angesagt und die Ereignisse überstürzen sich. Ein Krisenkommunikationsplan ist daher enorm wichtig. Und man sollte sich darüber im Klaren sein, dass es sich nicht um ein reines IT-, sondern ein Matrix-Thema handelt, also das Zusammenwirken verschiedener Unternehmensbereiche - vom Einkauf, Vertrieb und der Kundenbetreuung bis hin zur Pressestelle.

 
Je nach Exponierung ist es oftmals sinnvoll, einen Krisenkommunikationsberater hinzuzuziehen, den man sich im besten Falle vorher ausgewählt hat. Zwischen den Verantwortlichen der Krisenkommunikation und der IT-Forensik sollten stets alle Informationen abgeglichen werden, so dass eine einheitliche Kommunikation gewährleistet ist. Dass nicht eine Person etwas kommuniziert, was hinterher nicht haltbar ist oder sich als Fehler herausstellt. Eine gute Abstimmung der Kommunikation mit IT-Forensikern, den zuständigen Datenschutzbehörden, den ermittelnden Behörden sowie den eigenen Juristen und der Versicherung ist essentiell.

 
Keine gute Idee ist es, möglichst viel möglichst lange zu verheimlichen oder zu vertuschen, weil dadurch natürlich Vertrauen zerstört wird. Andererseits sollten aber auch keine vorschnellen Aussagen getroffen werden, die sich später als übertrieben oder unnötig herausstellen. Das ist eine Gratwanderung. Daher ist es wichtig, sich vorher eine Kommunikationsstrategie zu überlegen.

 
Grundsätzlich ist es bei allen Cyber-Vorfällen ratsam, möglichst schnell zu reagieren, weil die Dinge komplexer, schwieriger und weitreichender werden, je länger sie vor sich hin gären.