Der Fall ist nicht ganz neu, wird aber gerade durch die für Anfang 2022 angekündigte Netflix-Dokumentation Trust No One: The Hunt For The Crypto King ins Gespräch gebracht, zumal es eines der anschaulichsten Worst-Case-Szenarien ist, was bei Cybersicherheit und Risikomanagement gründlich schief laufen kann.

Ein Aufschrei ging durch die Fachpresse als 2018 der erst dreißigjährige CEO der größten Kryptobörse Kanadas, QuadriagaCX, plötzlich verstarb. Was wirklich dran ist an der Geschichte, dass Gerald Cotton plötzlich auf einer Reise durch Indien an den Folgen von Morbus Chron verstorben sei, versucht diese Dokumentation nun zu beleuchten. Ausschlaggebend für diesen kritischen Blick war vor allem die Tatsache, dass mit dem jungen Unternehmer die Passwörter zu den Einlagevermögen vieler Kunden beerdigt wurden.

Schnell wurde der Betrugsvorwurf laut, schließlich ging es hier um umgerechnet 190 Millionen Euro, die infolgedessen im Bitcoin-Nirvana verpufften. Kurz darauf begann auch das FBI zu ermitteln – eine echte Crime-Story, oder doch nur sehr blöd gelaufen? Schließlich sollten die gut geschützten Cold-Wallets den Bitcoin Anlegern ein Höchstmaß an Schutz bieten und wurden stattdessen zum Massengrab für Kryptowährung. 

Rechne mit dem Unberechenbaren

Risikomanagement ist heute deutlich mehr als eine Denksportaufgabe zur Berechnung, mit welcher Wahrscheinlichkeit ein Maschinenausfall eintreten könnte. Im Grunde ist es die Anleitung, das Undenkbare durchzuspielen, Auswirkung zu berechnen und Maßnahmen zu definieren. Das geht weit über die ISO 31000 hinaus. Experten betonen immer wieder, dass der iterative Charakter dabei viel stärker in den Führungsebenen wahrgenommen und gelebt werden sollte.

Das Thema der Cybersicherheit rückt dabei heute häufig in den Vordergrund, denn die Abhängigkeit von digitaler Technik und Elektronik macht uns angreifbar.  Dabei lassen sich die Aufgabenbereiche des Risikomanagements nicht immer hundertprozentig klar auseinanderdividieren. So kann etwa ein Hackerangriff oder deren Erpressungsversuche die gesamte Produktivität des Unternehmens bedrohen. Wie unvorbereitet einen das trifft, kann jeder nachvollziehen, der schon einmal Opfer eines „harmlosen“ Spaß-Virus oder Trojaners war. Da heißt es erst einmal: rien ne va plus.

Aber nicht nur die digitale Dimension ist angreifbar, sogar Umweltkatastrophen und deren Folgen können deutlichen wirtschaftlichen Schaden anrichten, auch wenn man selbst nicht unmittelbar betroffen ist. Die besten Beispiele dafür sind die aktuellen Meldungen in den Medien, ob und wo wir in der Vorweihnachtszeit tatsächlich stellenweise mit leeren Regalen rechnen müssen – als Auswirkung der noch immer anhaltenden Lieferketten-Störungen durch die Folgen der Pandemie. Vor ein paar Jahren hätte einen jeder bei der Schilderung solcher Bilder als „Spinner“ belächelt.

Geeignete Software oder Experten von außen können helfen, Prozesse zu analysieren, kritische Punkte zu finden und den Blick dabei vor allem auf die vorhandenen „blinden Flecken“ zu werfen.

Katastrophe „Kopfmonopole“

Was neben der Analyse von Prozessen, Steuerungsmechanismen, produktionswirksamen Vorgängen und den rechtlichen Anforderungen gerne vergessen wird, ist das unbezahlbare Gut des Wissens. Und so wie es die Geschichte des Ablebens von Gerald Cotten zeigt, kann der Umgang mit Wissen und sensiblen Informationen über die Unternehmensexistenz entscheiden.

In unserem Beispiel hat dieser unverantwortliche Umgang mit kritischen Daten der Kryptobörse den Todesstoß versetzt. Es dauerte nicht lange und 2019 musste QuadrigaCX Insolvenz anmelden.

Darum ist die Geschichte des Gerald Cotten ein sehr anschauliches Beispiel, wie verheerend die Konsequenzen der Etablierung so genannter „Kopf-Monopole“ sein können. Dazu gehören alle Mitarbeiter und Führungskräfte, die ihr ganz spezielles Wissen, Zugang zu Daten, Kontakten oder kritischen Informationen für sich behalten und nicht teilen. Sie sind nicht immer auf den ersten Blick zu erkennen, daher macht es Sinn, sich mit dem Thema insgesamt, auch im Team auseinanderzusetzten. Sobald der Satz „das weiß nur XY“ fällt, oder es um ganz explizites Fachspezialistentum geht, sollte man sich diese Risiken bewusst machen und über Maßnahmen nachdenken. Beim „nicht-teilen-wollen“ menschelt es ganz gewaltig – dieser exklusive Status pinselt nicht nur das Ego, sondern verleiht auch die vermeintliche Sicherheit, man wäre absolut unentbehrlich und damit unkündbar. Aus Unternehmenssicht sollte es genau umgekehrt sein, salopp gesprochen: wer nicht teilt, fliegt. In Zeiten adaptiver und agiler Unternehmen ist so ein menschliches Orakel ein Hemmschuh für dynamische Prozesse.

Ein klassisches Beispiel ist der Renteneintritt eines altgedienten Kollegen in einem sonst sehr jungen Sales-Team: Einer der Großkunden stellt eine kurzfristige Anfrage und reagiert erbost auf das Angebot, kündigt an, alle Aufträge zurückzuziehen. Warum? Weil nur der „Altgediente“ wusste, dass dieser Kunde seit Jahren andere Konditionen hat, die nicht im System hinterlegt sind.

Dieses einfache Beispiel zeigt, dass wirtschaftlicher Schaden durch solche Wissens-Monopole vermieden werden kann, indem man die Pflicht zu Dokumentation und Transparenz zu Naturgesetzen im Unternehmen erklärt. Dazu gehört jedoch auch, dies konsequent in regelmäßigen, am besten in bereits standardisierten Zyklen, immer wieder aufs Neue zu prüfen und zu aktualisieren. Im Idealfall arbeiten dabei Risikomanagement und Qualitätsmanagement ganz selbstverständlich Hand in Hand.