Vertrags-Compliance, IT-Sicherheit und andere Risiken
Stochastische Phänomene und die Lösung im betrieblichen Alltag
Wir wähnen uns sicher:
Ein Vendor Management-Prozess, eine Vertragsdatenbank, ein SAM - was kann da noch passieren.
Ein Cyber Security Vulnerability Management System, gute Asset Transparenz, ein SOC - die Rente ist sicher.
Oder?
Wohlan: zum Thema 1; mit ein paar Beispielen:
Wir schreiben das Jahr 2017: Indirekte Nutzung / Digital Access, eine Innovation, aufgrund eines einzigen Urteils des High Court of London geriert sich Hersteller-intern als tolle Erfolgsgeschichte. 54 Millionen Pfund Nachlizenzierung (plus 4 Millionen Zinsen seit 2011)! Der Prozessverlierer Diageo wähnte sich sicher; sechs Jahre lang. Aber war er compliant?
Weiter mit den Beispielen: Nehmen wir mal an, im selbst entwickelten Kernsystem unseres Unternehmens findet ein Code Scanner, nach geraumer Zeit, doch noch eine Open Source Bibliothek, die nicht entsprechend lizenziert (und offengelegt) wurde. Die Entwickler sind teils bereits in Altersteilzeit. Wie gehen wir vor, wir sind nicht mehr compliant?
Wir schreiben 2018. Das Jahr der DSGVO. Non-Compliance all over. Und unser Vertragsmanagement hat hier nicht geholfen. Wir schreiben Policies, verkrypten, ergänzen AVV, verlangen Auskunft vom Cloud-Provider, und bekommen keine. Die Datenschutzbehörden drohen uns. Ein jahrelanges Beschäftigungsprogramm. Und derweil unsere Compliance?
Jetzt zur IT-Sicherheit: Wir wähnen uns sicher; alle Komponenten sind getestet. Nun gut, aber was ist mit dem Gesamtsystem unserer Architektur, sowie dem unserer Wertschöpfungspartner? Und dann die Nutzer erst, mit ihren ganzen Eingaben. Der nächste Angriff kommt bestimmt. Waren wir dann compliant?
Anno 2024: NIS2. Die neue Richtlinie wird verbindlich; und zwingt viele etwa zu einem ‚System zur Angriffserkennung‘. Doch was ist es? Nun, der Streit mit der Versicherung im Schadenfall wird es zeigen. Hinterher. Sind wir also compliant?
Die Lösung: Handeln und Entscheiden mit Stochastik. Weg von deterministischem Denken; es trifft nicht mehr die Wirklichkeit. Heißt? Wir haben Restrisiken, all over. Solche materialisieren sich, das ist sicher. Nur der Zeitpunkt nicht. Mors certa, hora incerta.
Audits können kommen, und Nachzahlungen. Angriffe werden kommen, und Abwehraufwand (oder Schäden). Was können wir tun: Lernen, von der Finanzbranche. Die hatten ihre Innovation: die MaRisk (Mindestanforderungen an das Risikomanagement. Seit 2005. Mit angeschlossenem Beschäftigungsprogramm).
Auch wir werden weiterdenken müssen, in Richtung des State of Art-Risikomanagements, siehe oben. Begriffe wie Risiko-Profil, -Quantifizierung, -Angemessenheit und -Tragfähigkeit werden uns erreichen. Warten wir’s nicht ab.
Verfasser: Dirk Michael Ockel