RGBlog
Ralph Günther
exali-Gründer | Versicherungsexperte
Umgang mit Gefahren

Wenn das Risikomanagement versagt: CEO einer Kryptobörse nimmt Passwörter mit ins Grab

Der verantwortungsvolle Umgang mit Passwörtern ist im Idealfall fester Bestandteil der Cybersicherheit in Unternehmen. Leider sieht die Realität oft anders aus. Mal sind die sensiblen Daten für jedermann offen zugänglich, in anderen Fällen umgehen Kriminelle die Sicherheitsmechanismen. Richtig verzwickt wird es aber, wenn alle Passwörter bei einer einzigen Person lagern und die dann plötzlich nicht mehr verfügbar ist…

Gutes Risikomanagement umfasst auch Szenarien, die erstmal unwahrscheinlich wirken.
Gutes Risikomanagement umfasst auch Szenarien, die erstmal unwahrscheinlich wirken.

Gerald Cotten, CEO von QuadrigaCX der größten Kryptobörse Kanadas, hatte offenbar wenig Vertrauen in seine Mitarbeiter:innen. Cotten verstarb am 9. Dezember 2018 sehr plötzlich an den Komplikationen einer Vorerkrankung. Neben dem großen Schmerz, den sein Tod bei Freunden, Freundinnen und Familie verursachte, erwies sich sein Ableben auch als fatal für das Unternehmen. Denn Cotten besaß als Einziger die Zugänge zu den Reserven seiner Kundschaft.

Sichere Cold-Wallets werden zum Massengrab für Kryptogeld

QuadrigaCX lagerte das virtuelle Geld von mehr als 100.000 Kunden und Kundinnen in sogenannten „Cold Wallets“. Diese eigentlich sicheren Speicherorte sind im Gegensatz zu den Hot Wallets vom Internet getrennt, um Hacker:innen eine möglichst geringe Angriffsfläche zu bieten. Das Problem: Cotten hatte diese Wallets samt zugehöriger Schlüssel offenbar manuell über einen Laptop verwaltet – und es vor seinem Ableben versäumt, einer anderen Person einen Zugang zum Gerät zu verschaffen. Nun existieren rund 180 Millionen kanadische Dollar (umgerechnet etwa 120 Millionen Euro) in Kryptowährungen wie Ether – und niemand hat darauf Zugriff.

Das Geld kann nun nicht mehr transferiert werden und ist de facto wertlos. Außer natürlich, es gelingt doch noch, Cottens PC zu entsperren und an die Schlüssel zu gelangen.In Sachen Risikomanagement drängt sich mir da die Frage auf: War der Eintritt dieses Szenarios dermaßen unwahrscheinlich, dass man es nicht schon im Vorfeld hätte in Erwägung ziehen können? Wie nicht nur große Firmen, sondern auch Freiberufler und Selbständige ein Risikomanagementsystem einführen können, zeigt zum Beispiel der Praxisleitfaden von Unternehmensberater Jörg Erichsen – ich habe sein Skript bereits im Artikel „Risikomanagementsystem in 7 Schritten einführen und nutzen: Ein Fallbeispiel“ unter die Lupe genommen.

Das Risikomanagement verschlafen?

Wie der Volksmund sagt, ist man im Nachhinein zwar immer klüger, aber wenn ich die Lage ganz nüchtern betrachte, muss ich feststellen:

  • Das Thema Risikomanagement wurde bei QuadrigaCX völlig vernachlässigt. Dass ein:e Angestellte:r in einer Schlüsselposition aus irgendeinem Grund nicht mehr verfügbar ist, gehört zu den grundlegenden Szenarien des Risikomanagements – auch oder ganz besonders bei einem Krypto-Startup.
  • Hinzu kommt: Der Umgang mit Kryptowährungen ist natürlich nichts für Ängstliche. Bitcoin und Co. unterliegen keiner Kontrolle durch Regierungen oder Banken. Zusätzlich bieten sie eine große Angriffsfläche für Kriminelle, die fremde Computer mit schadhafter Software infizieren und darauf Bitcoins berechnen.
  • Sogar der Ankauf ist bereits risikobehaftet. Hohe Beträge können durch den Verlust oder Diebstahl von Daten sowie aufgrund von Kursschwankungen verloren gehen.

Die Aussicht auf das schnelle Geld, kann also sehr schnell sehr teuer werden. Auch abseits davon existieren in jeder Branche Punkte, die sträflich vernachlässigt werden – ob es sich dabei um den zu laxen Umgang mit Passwörtern handelt oder einem anderen fatalen Trugschluss aufgesessen wird. Der schwerwiegendste ist meiner Meinung nach, sich überhaupt nicht mit potenziellen Risiken im Unternehmen zu beschäftigen – denn im Zweifelsfall wird es eine Versicherung ja schon richten, oder? Mitnichten! Die Abwälzung eines Risikos auf eine Versicherung kann nur das letzte Mittel sein, wenn das eigene Repertoire an Möglichkeiten ausgeschöpft ist.

Kurz gesagt: Eine Versicherung als ultima ratio, um einer unternehmerischen Gefahr zu begegnen, halte ich für legitim. Ein Abschluss aus der Bequemlichkeit heraus, sich selbst nicht mit dem Thema Risikomanagement beschäftigen zu müssen, ist dagegen fahrlässig.

Risiken minimieren? – Gern. Aber wie?

Der Fokus eines gelungenen Risikomanagements sollte nicht nur darauf liegen, mit welcher Wahrscheinlichkeit ein Fall eintritt, sondern auch darauf, was überhaupt alles schief gehen kann. Dafür gilt es, Szenarien mit Kreativität und Systematik durchzuspielen, um möglichst viele Eventualitäten abzudecken. Sieh dabei ganz bewusst hin und ziehe auch Dinge in Betracht, die du für so unwahrscheinlich hältst, dass sie dein Handeln und das deines Unternehmens erst einmal gar nicht beeinflussen. Denn erst wenn du dich auch mit diesen, scheinbar übertriebenen Möglichkeiten auseinandersetzt, bist auf dem besten Weg, dein Business gegen Fallstricke zu wappnen.

Gegen den risikotechnischen Blindflug hilft außerdem auch Unterstützung durch Dritte. Externe Berater:innen betrachten die Materie mit einen neutralen Blick und decken so mit großer Treffsicherheit Schwachstellen auf, die einem selbst gar nicht in den Sinn gekommen wären. Allerdings kann ein:e Berater:in die eigene Arbeit in Sachen Risikomanagement niemals ersetzen, denn Dienstleister:innen sind immer nur so gut, wie die Informationen, die ihnen vom Unternehmen bereitgestellt werden. Generell möchte ich auch jedem ans Herz legen, als Kunde oder Kundin Rechenschaft von einer:m Dienstleister:in zu fordern, bevor man ihm oder ihr seine Ressourcen anvertraut.

Selbstverständlich tragen diese Bemühungen aber keine Früchte, wenn du aus den Antworten auf die Fragen „Was?“ und „Wie wahrscheinlich?“ keine Konsequenzen ableitest. Gehen stattdessen einen Schritt weiter: Was wäre die schlimmste Auswirkung eines Szenarios? Welche Maßnahmen musst du ergreifen, um diese Auswirkung abzumildern? Wen musst du dazu ins Boot holen? Der Fall der Kryptobörse Quadriga zeigt ganz deutlich, dass diese Dinge gar nicht übermäßig kompliziert sein müssen. Hier hätte der CEO schlicht einer vertrauenswürdigen zweiten Person den Zugang zu den Passwörtern ermöglichen müssen.

Risikomanagement endet nie

Die einmalige Auseinandersetzung mit deinen unternehmerischen Risiken ist ein guter Anfang, aber längst nicht das Ende der Fahnenstange. Wenn du dich und dein Business gegen Gefahren wappnen willst, ist es unerlässlich, potenzielle Risiken immer wieder neu zu betrachten und zu bewerten. Nur so kannst du in einer immer agileren Berufswelt auf lange Sicht bestehen.

Weitere interessante Artikel:

Kategorien

Über Ralph Günther

Ralph Blog Bild

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

Über die exali AG

exali logo

Die exali AG mit Sitz in Augsburg ist der Spezialist für Berufshaftpflicht-versicherungen für Freelancer und Selbständige. Ein intuitiver Online-Rechner ermöglicht den Abschluss einer Berufshaftpflicht in unter 10 Minuten. Bei exali treiben wir die Digitalisierung der Versicherungsbranche jeden Tag ein weiteres Stück voran.

Alles rund um Chancen und Risiken im Business auf exali.de:

glenn carstens peters RLw UCGwc unsplash
Gewerbe anmelden: So geht’s richtig!
Ein Gewerbe anmelden klingt erstmal nach einer Menge Aufwand. Der Prozess ist allerdings gut zu bewältigen, wenn Sie ihn strukturiert angehen. Unser Artikel unterstützt Sie dabei. weiterlesen
zhenyu luo kEJmtbvXxM unsplash
KI im eCommerce: Zukunftsperspektiven für den Online-Handel
KI transformiert den eCommerce! Deshalb verraten wir im Artikel, wie KI Ihnen das tägliche Geschäft erleichtert und Ihrer Kundschaft ein besseres Einkauferlebnis beschert. weiterlesen
colton sturgeon EFQlSSLuw unsplash
Creep it real: Unser absolut echter Halloween-Schadenfall
Eine Halloween-Party bietet Potenzial für jede Menge Spaß – aber auch Raum für reichlich Pannen. Unser Schadenfall zeigt, was schiefgehen kann. weiterlesen
calculator
Was kostet eine Berufshaftpflichtversicherung?
Jetzt wird gerechnet! Egal ob Start-up, Existenzgründung oder Freelancer mit mehrjähriger Erfahrung: In diesem Artikel erfahren Sie anhand von Rechenbeispielen, was eine Berufshaftpflicht für… weiterlesen

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

Ralph Blog Bild
Ralph Blog Bild

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

LogoBlog

Absicherung für Ihr Business ohne kompliziertes Versicherungs-Blabla und tonnenweise Papierkram? Das gibt’s bei exali. Wir sind seit 2008 der Makler für Ihre Berufshaftpflicht – und zwar europaweit! Bei uns schließen Sie Ihren Versicherungsschutz komplett online in Echtzeit ab. Wählen Sie aus maßgeschneiderten Lösungen zur Absicherung von Risiken in Ihrem Berufsfeld: von IT- und Engineering-Experten über Kreative und Medienschaffende bis hin zu Beratern und eCommerce-Anbietern. Mit frei wählbaren Zusatzbausteinen wächst Ihre Berufshaftpflicht mit Ihrem Business mit. Bei Fragen und im Schadenfall sind unsere Profis aus dem exali-Kundenservice persönlich für Sie da. Denn wir finden: Ein digitales Angebot und persönliche Betreuung gehören unbedingt zusammen. So können Sie sich ganz auf Ihr Business konzentrieren – die Risiko-Absicherung übernehmen wir.