Der verantwortungsvolle Umgang mit Passwörtern ist im Idealfall fester Bestandteil der Cybersicherheit in Unternehmen. Leider sieht die Realität oft anders aus. Mal sind die sensiblen Daten für jedermann offen zugänglich, in anderen Fällen umgehen Kriminelle die Sicherheitsmechanismen. Richtig verzwickt wird es aber, wenn alle Passwörter bei einer einzigen Person lagern und die dann plötzlich nicht mehr verfügbar ist…
Gerald Cotten, CEO von QuadrigaCX der größten Kryptobörse Kanadas, hatte offenbar wenig Vertrauen in seine Mitarbeiter:innen. Cotten verstarb am 9. Dezember 2018 sehr plötzlich an den Komplikationen einer Vorerkrankung. Neben dem großen Schmerz, den sein Tod bei Freunden, Freundinnen und Familie verursachte, erwies sich sein Ableben auch als fatal für das Unternehmen. Denn Cotten besaß als Einziger die Zugänge zu den Reserven seiner Kundschaft.
QuadrigaCX lagerte das virtuelle Geld von mehr als 100.000 Kunden und Kundinnen in sogenannten „Cold Wallets“. Diese eigentlich sicheren Speicherorte sind im Gegensatz zu den Hot Wallets vom Internet getrennt, um Hacker:innen eine möglichst geringe Angriffsfläche zu bieten. Das Problem: Cotten hatte diese Wallets samt zugehöriger Schlüssel offenbar manuell über einen Laptop verwaltet – und es vor seinem Ableben versäumt, einer anderen Person einen Zugang zum Gerät zu verschaffen. Nun existieren rund 180 Millionen kanadische Dollar (umgerechnet etwa 120 Millionen Euro) in Kryptowährungen wie Ether – und niemand hat darauf Zugriff.
Das Geld kann nun nicht mehr transferiert werden und ist de facto wertlos. Außer natürlich, es gelingt doch noch, Cottens PC zu entsperren und an die Schlüssel zu gelangen.In Sachen Risikomanagement drängt sich mir da die Frage auf: War der Eintritt dieses Szenarios dermaßen unwahrscheinlich, dass man es nicht schon im Vorfeld hätte in Erwägung ziehen können? Wie nicht nur große Firmen, sondern auch Freiberufler und Selbständige ein Risikomanagementsystem einführen können, zeigt zum Beispiel der Praxisleitfaden von Unternehmensberater Jörg Erichsen – ich habe sein Skript bereits im Artikel „Risikomanagementsystem in 7 Schritten einführen und nutzen: Ein Fallbeispiel“ unter die Lupe genommen.
Wie der Volksmund sagt, ist man im Nachhinein zwar immer klüger, aber wenn ich die Lage ganz nüchtern betrachte, muss ich feststellen:
Die Aussicht auf das schnelle Geld, kann also sehr schnell sehr teuer werden. Auch abseits davon existieren in jeder Branche Punkte, die sträflich vernachlässigt werden – ob es sich dabei um den zu laxen Umgang mit Passwörtern handelt oder einem anderen fatalen Trugschluss aufgesessen wird. Der schwerwiegendste ist meiner Meinung nach, sich überhaupt nicht mit potenziellen Risiken im Unternehmen zu beschäftigen – denn im Zweifelsfall wird es eine Versicherung ja schon richten, oder? Mitnichten! Die Abwälzung eines Risikos auf eine Versicherung kann nur das letzte Mittel sein, wenn das eigene Repertoire an Möglichkeiten ausgeschöpft ist.
Kurz gesagt: Eine Versicherung als ultima ratio, um einer unternehmerischen Gefahr zu begegnen, halte ich für legitim. Ein Abschluss aus der Bequemlichkeit heraus, sich selbst nicht mit dem Thema Risikomanagement beschäftigen zu müssen, ist dagegen fahrlässig.
Der Fokus eines gelungenen Risikomanagements sollte nicht nur darauf liegen, mit welcher Wahrscheinlichkeit ein Fall eintritt, sondern auch darauf, was überhaupt alles schief gehen kann. Dafür gilt es, Szenarien mit Kreativität und Systematik durchzuspielen, um möglichst viele Eventualitäten abzudecken. Sieh dabei ganz bewusst hin und ziehe auch Dinge in Betracht, die du für so unwahrscheinlich hältst, dass sie dein Handeln und das deines Unternehmens erst einmal gar nicht beeinflussen. Denn erst wenn du dich auch mit diesen, scheinbar übertriebenen Möglichkeiten auseinandersetzt, bist auf dem besten Weg, dein Business gegen Fallstricke zu wappnen.
Gegen den risikotechnischen Blindflug hilft außerdem auch Unterstützung durch Dritte. Externe Berater:innen betrachten die Materie mit einen neutralen Blick und decken so mit großer Treffsicherheit Schwachstellen auf, die einem selbst gar nicht in den Sinn gekommen wären. Allerdings kann ein:e Berater:in die eigene Arbeit in Sachen Risikomanagement niemals ersetzen, denn Dienstleister:innen sind immer nur so gut, wie die Informationen, die ihnen vom Unternehmen bereitgestellt werden. Generell möchte ich auch jedem ans Herz legen, als Kunde oder Kundin Rechenschaft von einer:m Dienstleister:in zu fordern, bevor man ihm oder ihr seine Ressourcen anvertraut.
Selbstverständlich tragen diese Bemühungen aber keine Früchte, wenn du aus den Antworten auf die Fragen „Was?“ und „Wie wahrscheinlich?“ keine Konsequenzen ableitest. Gehen stattdessen einen Schritt weiter: Was wäre die schlimmste Auswirkung eines Szenarios? Welche Maßnahmen musst du ergreifen, um diese Auswirkung abzumildern? Wen musst du dazu ins Boot holen? Der Fall der Kryptobörse Quadriga zeigt ganz deutlich, dass diese Dinge gar nicht übermäßig kompliziert sein müssen. Hier hätte der CEO schlicht einer vertrauenswürdigen zweiten Person den Zugang zu den Passwörtern ermöglichen müssen.
Die einmalige Auseinandersetzung mit deinen unternehmerischen Risiken ist ein guter Anfang, aber längst nicht das Ende der Fahnenstange. Wenn du dich und dein Business gegen Gefahren wappnen willst, ist es unerlässlich, potenzielle Risiken immer wieder neu zu betrachten und zu bewerten. Nur so kannst du in einer immer agileren Berufswelt auf lange Sicht bestehen.
Weitere interessante Artikel:
Du denkst an ein Sabbatical, aber weißt nicht, wie du das Ganze angehen sollst? exali-Gründer…
Entscheidungen zu treffen ist nicht leicht, besonders wenn es ums Business geht. Im Blog teilt…
Wenn deine Kundschaft deine Preise infrage stellt, kommt es auf die richtige Reaktion an. Wie…
Welche Ziele soll ich mir für 2024 setzen? Was bringt mein Business voran? Antworten auf…
Was bedeutet finanzielle Bildung und wieso ist sie für Freelancer:innen und Selbständige wichtig? exali-Gründer Ralph…
Die Nutzung von kognitiven Verzerrungen fürs eigene Business kommt aus dem Neuromarketing. Im Blog zeigt…