Blog

Erkennung und Verwaltung von Risiken dank Risk Intelligence

Geschrieben von Malena Dolff Gonzalez | Jan 12, 2023 3:29:58 PM

Risk Intelligence, befasst sich mit der Frage, wie führende Unternehmen in verschiedenen Branchen Competitive Intelligence einsetzen, um Risiken zu erkennen und zu mindern. 

 

Die Definition von Risk Intelligence oder Riskmonitoring variiert je nach Branche. Es handelt sich um einen Prozess, bei dem alle möglichen Risiken, die Ihr Unternehmen betreffen können, in Betracht gezogen werden und präventiv Notfallpläne, Reaktionsprotokolle und Kommunikationsstrategien erstellt werden.

 

Warum es so wichtig ist, eine Risk Intelligence-Strategie zu implementieren:

  • Genaue Kenntnis Ihrer Umgebung und Verständnis für Ihre Schwachstellen.
  • Klare Darstellung oder Definition Ihrer Risiken (dieser Prozess kann auch als "Risikokartierung" oder "Risk mapping" bezeichnet werden und beinhaltet im Allgemeinen die Visualisierung Ihrer Risiken in einem Diagramm, einer Karte oder einer anderen visuellen Darstellung. Genaue Beobachtung der Risiken und der Faktoren, die Risiken verursachen könnten.
  • Strategische Maßnahmen zur Vermeidung von Risiken, indem Sie Wege finden, diese zu verhindern, oder indem Sie Ihre Reaktionszeit und Effizienz erhöhen, wenn ein Risiko zur Realität wird.

Einige Arten von Risiken, die Sie berücksichtigen sollten, sind:

  • Wirtschaftliche
  • Soziale
  • Geopolitische
  • Rechtliche
  • Ökologische
  • Technologische
  • Sicherheitsbezogene
  • Datenlecks durch Mitarbeiter

1. Planen, planen, planen

Risk Intelligence kann in verschiedenen Branchen und zu unterschiedlichen Zwecken eingesetzt werden, aber insgesamt muss ein Unternehmen bei der Einrichtung eines Competitive-Intelligence-Projekts, das darauf abzielt, Risiken zu finden und zu mindern, dasselbe Grundformat verwenden.

 

  1. Führen Sie ein Brainstorming über alle möglichen Risiken durch, die Sie, Ihre Organisation, Ihre Partnerschaften, Ihre Branche, Ihr Land usw. betreffen könnten. Beziehen Sie möglichst viele Mitarbeiter anderer Geschäftseinheiten mit ein, da diese über ausgezeichnete Kenntnisse Ihres Umfelds verfügen. Wenn Sie zum ersten Mal potenzielle Risiken identifizieren, schließen Sie keines aus.
  2. Wenn Sie alle möglichen Risiken identifiziert haben, bestimmen Sie, wie sich diese Risiken auf Sie auswirken könnten. Sie sollten jedes Risiko entsprechend klassifizieren.
  3. Bewerten Sie alle Risikotypen nach Eintrittswahrscheinlichkeit und Schadensausmaß.
  4. Schreiben Sie die verschiedenen Arten von Szenarien auf, die sich auf die identifizierten Risiken beziehen, und stufen Sie sie nach der Leichtigkeit der Umsetzung, den Annahmen über günstige und ungünstige Entwicklungen/Reaktionen ab.
  5. Erstellen Sie Pläne zur Minderung und Reaktion dieser Risiken, falls Sie nicht in der Lage sind, sie wirksam zu verhindern.
  6. Legen Sie nun Ihre Monitoring-Parameter fest, um diese Risiken zu überwachen.

 

Bewertung und Priorisierung der Risiken

 

2. Wählen Sie umfassende, aber spezifische Themen, um Risiken besser zu erkennen

Bei der Überwachung zum Zwecke der Risikoaufklärung sind Ihre Überwachungs-/Suchparameter sowohl wesentlich breiter gefasst als bei einem gezielten Monitoringprojekt aber auch unglaublich spezifisch. Die Wettbewerbsbeobachtung zum Zwecke der Risikoanalyse unterscheidet sich von anderen Anwendungen der Wettbewerbsbeobachtung.

 

Aber wo soll man anfangen? Die wichtigsten Quellen, die Sie in Ihren Überwachungsplan aufnehmen sollten, haben wir unten aufgezählt:

  • Nachrichten aus der Industrie
  • Neue Vorschriften/ Gesetzesänderungen
  • Nachrichten über Lieferanten
  • Risiken in den Ländern, in denen Sie tätig sind
  • Sicherheitsbedrohungen
  • Innovationen
  • Politische Veränderungen
  • Skandale/ ethische Fragen
  • Naturrisiken/ Katastrophen
  • Wirtschaftliche Risiken
  • Wettbewerber
  • Veränderungen in der Branche
  • Cyber-Bedrohungen*

 

* Während Sie die Erwähnungen all dieser Dinge überwachen können, ist es etwas schwieriger, Cyberangriffe zu verhindern, es sei denn, jemand veröffentlicht seine Pläne für einen Cyberangriff in einem öffentlichen Profil oder einem offenen Forum. Wenn Sie nicht in der Lage sind, private Unterhaltungen zu lesen, besteht Ihre beste Möglichkeit, Cyberangriffe zu verhindern, darin, Websiten zu finden, auf denen die neuesten Arten von Viren oder Cyberangriffen aufgelistet sind, oder Nachrichten über andere Cyberangriffe genau zu verfolgen. Ziehen Sie alle Informationen heran, die Sie aus früheren Angriffen gewinnen können, um zu erfahren, wie Sie sich schützen können (dies gilt natürlich für mehrere Arten von Bedrohungen, nicht nur für Cyber-Bedrohungen).

 

Diese Liste mag auf den ersten Blick erschreckend erscheinen: Wie können Sie all diese Informationen im Blick behalten? Was tun Sie, wenn Sie ein internationales Fertigungsunternehmen mit Fabriken und Zulieferern auf der ganzen Welt sind? Wie überwachen Sie all diese Themen in allen Ländern, in denen Sie tätig sind?

 

3. Organisieren Sie sich und nutzen Sie die Technologie, denn Sie können es nicht alleine schaffen

Wie bereits erwähnt, ist die Risikokartierung eine Methode zur visuellen Darstellung der Risiken auf der Grundlage ihrer Eintrittswahrscheinlichkeit.

 

Bei der Durchführung eines Risiko-Intelligence-Projekts ist es sehr empfehlenswert, Datenvisualisierungstools zu verwenden, um den Überblick über all Ihre Informationen zu behalten. Wenn Sie Ihr Überwachungstool mit Datenvisualisierungstools verknüpfen können, können Sie eine virtuelle Risikomanagementkarte oder eine Art "War Room" für das Risikomanagement einrichten. 

 

Stellen Sie sich vor, dass alle Ihre Informationen automatisch in eine Datenvisualisierungskarte importiert werden. Wenn Sie plötzlich sehen, dass in der Stadt, in der sich Ihre Fabrik befindet, die Lichter angehen, können Sie schnell die Einträge überprüfen, das Risiko erkennen und in einem zweiten Schritt die vorgegebenen Pläne für die jeweilige Risikoart umsetzen.

 

 

4. Informationen schnell bereitstellen

Es ist sehr empfehlenswert, dass Sie sich vor dem Start Ihres Projekts viel Zeit nehmen, um alle möglichen Risiken aufzulisten und Reaktionen auf all diese Ereignisse festzulegen.

 

Die Geschäftsleitung und die wichtigsten Interessengruppen müssen in diesen Prozess stark eingebunden werden. So muss beispielsweise Ihre Kommunikationsabteilung bereits im Vorfeld Reaktionen auf einen Unfall eines Mitarbeiters, einen Verstoß gegen eine neue Vorschrift oder ein Reputationsproblem festlegen, damit Sie schnell reagieren können, wenn es zu solchen Vorfällen kommt.

 

Für die Zustellung von Nachrichten sind sofortige Warnmeldungen wahrscheinlich am effektivsten. Wenn Sie sehen, dass ein theoretisches Risiko zu einem realen Risiko wird, haben Sie keine Zeit, eine Woche zu warten und einen Newsletter zu erstellen.  Mitarbeiter, Management und wichtige Stakeholder müssen sofort davon erfahren. Richten Sie Warnmeldungen für jede Stunde oder für bestimmte Schlüsselwörter ein, und stellen Sie sicher, dass die wichtigsten Akteure diese Warnmeldungen erhalten, damit sie schnell handeln können.

 

 

5. Risikointelligenz in Aktion

Nehmen wir das Beispiel eines Unterhaltungsunternehmens am Rande einer Stadt mit Millionen von Besuchern pro Jahr.

 

Betrachten wir nun die Risiken, die das Unternehmen überwachen würde:

  • Streiks im öffentlichen Verkehr: Diese stellen ein sehr großes Risiko dar, da sie den Verkehr lahmlegen und potenzielle Kunden vom Besuch des Parks abhalten können.
  • Entwicklung des Kartoffelpreises: Es mag überraschen, aber ein Teil des Umsatzes des Parks hängt von seinen gastronomischen Einrichtungen ab. Wenn der Kartoffelpreis steigt, kann der Verkauf von Lebensmitteln einbrechen, was sich finanziell auf den Park auswirken würde.
  • Veränderungen im Geschäftsumfeld:  Stellen Sie sich vor, ein indirekter Konkurrent (z. B. ein Wellness- und Wassersportzentrum) eröffnet in der Nähe des Parks. Der Park muss dann die Auswirkungen dieser Veränderung bewerten, um die Art des Risikos und die potenziellen Auswirkungen einzuschätzen und eine geeignete Strategie zu finden. Sollte der Park seine Eintrittspreise senken, neue Dienstleistungen anbieten, um diesem indirekten Konkurrenten zu begegnen, oder eine Partnerschaft anbieten, um die Auswirkungen seiner Tätigkeit auf das Geschäft zu begrenzen? Das sind die Herausforderungen, für die Risk Intelligence zuständig ist.
  • Risiko für den Arbeitgeber: Aufgrund der Art der Tätigkeit ist dieses Unternehmen empfindlicher als andere auf Arbeitsunfälle eingestellt. Es muss daher die Arbeitsgesetze gründlich und regelmäßig überwachen, um sicherzustellen, dass es alles unternimmt, um diese Unfälle zu verhindern.

 

6. Weiterreichend: Das unsichtbare Netz

Sollten Sie das "unsichtbare Netz" als Teil Ihrer Risikoaufklärungsstrategie überwachen? Ist es das wert?

 

Bevor wir diese Frage beantworten, sollten wir zunächst einen Blick auf die Definition des unsichtbaren Webs werfen, das sich aus dem Dark Web und dem Deep Web zusammensetzt. Wussten Sie, dass das unsichtbare Web 96% des gesamten World Wide Web ausmacht, während das für alle zugängliche Web nur 4 % der Inhalte ausmacht? Stellen Sie sich die Menge der verfügbaren Informationen vor!


"Deep Web" bezieht sich einfach auf Bereiche des Internets, die von Suchmaschinen wie Google und Bing nicht indiziert werden. Es ist sehr schwierig, auf sie zuzugreifen, ohne die genaue URL zu kennen. Das Deep Web beherbergt eine bestimmte Menge an Informationen, darunter: 

  • Benutzerdatenbanken
  • Firmen-Intranets
  • Websites, die durch ein Authentifizierungsverfahren geschützt sind
  • Akademische Informationen
  • Medizinische Daten
  • Bankdaten
  • Websites, die ausschließlich missverstandene Technologien von Indizierungsrobotern verwenden

Nicht alle Fachleute für Risikoaufklärung finden es sinnvoll, das unsichtbare Web zu überwachen. Dieser Bereich bietet interessante Perspektiven für Organisationen, die die folgenden Themen überwachen möchten:

  • Illegaler Handel
  • Datenverkehr mit persönlichen, Bank- und Gesundheitsdaten
  • Cyber-Sicherheit
  • Politische Forderungen, Aktivisten
  • Whistleblowers
  • Terroristische Netzwerke

Ein aktuelles Beispiel ereignete sich vor der Einführung von Europay MasterCard Visa (EMV) in den USA, als ein Team von Analysten dank Informationen aus dem Deep & Dark Web eine Verschwörung zur Ausnutzung der EMV-Einführung aufdecken konnte. Bei der Überwachung bestimmter Untergrund-Communities entdeckten die Analysten, dass eine Gruppe von Bedrohungsakteuren eine Software zur Aufzeichnung von EMV-Chips entwickelt hatte und über die notwendigen Fertigungstechniken verfügte, um chipfähige Kreditkarten herzustellen, mit denen angeblich selbst die robustesten Kontrollen zur Betrugsbekämpfung umgangen werden können. Als die Finanzdienstleister von diesen Erkenntnissen erfuhren, konnten sie ihre EMV-Implementierungsstrategie und ihre Sicherheitsmaßnahmen anpassen, um zu verhindern, dass die Bedrohung Wirklichkeit wird.
Quelle: IT Security Guru

 

7. Zusammenfassung

Je mehr eine Organisation eine antizipatorische Haltung einnimmt, indem sie eine präzise und absolut aktuelle Wissensbasis über ihr Umfeld und ihre Schwachstellen kombiniert, desto besser wird sie in der Lage sein, sich gegen Risiken zu schützen und Protokolle mit angepassten Antworten zu erstellen.