Der verantwortungsvolle Umgang mit Passwörtern ist im Idealfall fester Bestandteil der Cybersicherheit in Unternehmen. Leider sieht die Realität oft anders aus. Mal sind die sensiblen Daten für jedermann offen zugänglich, in anderen Fällen umgehen Kriminelle die Sicherheitsmechanismen. Richtig verzwickt wird es aber, wenn alle Passwörter bei einer einzigen Person lagern und die dann plötzlich nicht mehr verfügbar ist…
Gerald Cotten, CEO von QuadrigaCX der größten Kryptobörse Kanadas, hatte offenbar wenig Vertrauen in seine Mitarbeiter:innen. Cotten verstarb am 9. Dezember 2018 sehr plötzlich an den Komplikationen einer Vorerkrankung. Neben dem großen Schmerz, den sein Tod bei Freunden, Freundinnen und Familie verursachte, erwies sich sein Ableben auch als fatal für das Unternehmen. Denn Cotten besaß als Einziger die Zugänge zu den Reserven seiner Kundschaft.
Sichere Cold-Wallets werden zum Massengrab für Kryptogeld
QuadrigaCX lagerte das virtuelle Geld von mehr als 100.000 Kunden und Kundinnen in sogenannten „Cold Wallets“. Diese eigentlich sicheren Speicherorte sind im Gegensatz zu den Hot Wallets vom Internet getrennt, um Hacker:innen eine möglichst geringe Angriffsfläche zu bieten. Das Problem: Cotten hatte diese Wallets samt zugehöriger Schlüssel offenbar manuell über einen Laptop verwaltet – und es vor seinem Ableben versäumt, einer anderen Person einen Zugang zum Gerät zu verschaffen. Nun existieren rund 180 Millionen kanadische Dollar (umgerechnet etwa 120 Millionen Euro) in Kryptowährungen wie Ether – und niemand hat darauf Zugriff.
Das Geld kann nun nicht mehr transferiert werden und ist de facto wertlos. Außer natürlich, es gelingt doch noch, Cottens PC zu entsperren und an die Schlüssel zu gelangen.In Sachen Risikomanagement drängt sich mir da die Frage auf: War der Eintritt dieses Szenarios dermaßen unwahrscheinlich, dass man es nicht schon im Vorfeld hätte in Erwägung ziehen können? Wie nicht nur große Firmen, sondern auch Freiberufler und Selbständige ein Risikomanagementsystem einführen können, zeigt zum Beispiel der Praxisleitfaden von Unternehmensberater Jörg Erichsen – ich habe sein Skript bereits im Artikel „Risikomanagementsystem in 7 Schritten einführen und nutzen: Ein Fallbeispiel“ unter die Lupe genommen.
Das Risikomanagement verschlafen?
Wie der Volksmund sagt, ist man im Nachhinein zwar immer klüger, aber wenn ich die Lage ganz nüchtern betrachte, muss ich feststellen:
- Das Thema Risikomanagement wurde bei QuadrigaCX völlig vernachlässigt. Dass ein:e Angestellte:r in einer Schlüsselposition aus irgendeinem Grund nicht mehr verfügbar ist, gehört zu den grundlegenden Szenarien des Risikomanagements – auch oder ganz besonders bei einem Krypto-Startup.
- Hinzu kommt: Der Umgang mit Kryptowährungen ist natürlich nichts für Ängstliche. Bitcoin und Co. unterliegen keiner Kontrolle durch Regierungen oder Banken. Zusätzlich bieten sie eine große Angriffsfläche für Kriminelle, die fremde Computer mit schadhafter Software infizieren und darauf Bitcoins berechnen.
- Sogar der Ankauf ist bereits risikobehaftet. Hohe Beträge können durch den Verlust oder Diebstahl von Daten sowie aufgrund von Kursschwankungen verloren gehen.
Die Aussicht auf das schnelle Geld, kann also sehr schnell sehr teuer werden. Auch abseits davon existieren in jeder Branche Punkte, die sträflich vernachlässigt werden – ob es sich dabei um den zu laxen Umgang mit Passwörtern handelt oder einem anderen fatalen Trugschluss aufgesessen wird. Der schwerwiegendste ist meiner Meinung nach, sich überhaupt nicht mit potenziellen Risiken im Unternehmen zu beschäftigen – denn im Zweifelsfall wird es eine Versicherung ja schon richten, oder? Mitnichten! Die Abwälzung eines Risikos auf eine Versicherung kann nur das letzte Mittel sein, wenn das eigene Repertoire an Möglichkeiten ausgeschöpft ist.
Kurz gesagt: Eine Versicherung als ultima ratio, um einer unternehmerischen Gefahr zu begegnen, halte ich für legitim. Ein Abschluss aus der Bequemlichkeit heraus, sich selbst nicht mit dem Thema Risikomanagement beschäftigen zu müssen, ist dagegen fahrlässig.
Risiken minimieren? – Gern. Aber wie?
Der Fokus eines gelungenen Risikomanagements sollte nicht nur darauf liegen, mit welcher Wahrscheinlichkeit ein Fall eintritt, sondern auch darauf, was überhaupt alles schief gehen kann. Dafür gilt es, Szenarien mit Kreativität und Systematik durchzuspielen, um möglichst viele Eventualitäten abzudecken. Sieh dabei ganz bewusst hin und ziehe auch Dinge in Betracht, die du für so unwahrscheinlich hältst, dass sie dein Handeln und das deines Unternehmens erst einmal gar nicht beeinflussen. Denn erst wenn du dich auch mit diesen, scheinbar übertriebenen Möglichkeiten auseinandersetzt, bist auf dem besten Weg, dein Business gegen Fallstricke zu wappnen.
Gegen den risikotechnischen Blindflug hilft außerdem auch Unterstützung durch Dritte. Externe Berater:innen betrachten die Materie mit einen neutralen Blick und decken so mit großer Treffsicherheit Schwachstellen auf, die einem selbst gar nicht in den Sinn gekommen wären. Allerdings kann ein:e Berater:in die eigene Arbeit in Sachen Risikomanagement niemals ersetzen, denn Dienstleister:innen sind immer nur so gut, wie die Informationen, die ihnen vom Unternehmen bereitgestellt werden. Generell möchte ich auch jedem ans Herz legen, als Kunde oder Kundin Rechenschaft von einer:m Dienstleister:in zu fordern, bevor man ihm oder ihr seine Ressourcen anvertraut.
Selbstverständlich tragen diese Bemühungen aber keine Früchte, wenn du aus den Antworten auf die Fragen „Was?“ und „Wie wahrscheinlich?“ keine Konsequenzen ableitest. Gehen stattdessen einen Schritt weiter: Was wäre die schlimmste Auswirkung eines Szenarios? Welche Maßnahmen musst du ergreifen, um diese Auswirkung abzumildern? Wen musst du dazu ins Boot holen? Der Fall der Kryptobörse Quadriga zeigt ganz deutlich, dass diese Dinge gar nicht übermäßig kompliziert sein müssen. Hier hätte der CEO schlicht einer vertrauenswürdigen zweiten Person den Zugang zu den Passwörtern ermöglichen müssen.
Risikomanagement endet nie
Die einmalige Auseinandersetzung mit deinen unternehmerischen Risiken ist ein guter Anfang, aber längst nicht das Ende der Fahnenstange. Wenn du dich und dein Business gegen Gefahren wappnen willst, ist es unerlässlich, potenzielle Risiken immer wieder neu zu betrachten und zu bewerten. Nur so kannst du in einer immer agileren Berufswelt auf lange Sicht bestehen.
Weitere interessante Artikel:
