Hacker fangen Sicherheits-TANs von Bankkunden ab und räumen Konten leer. Ein Erpressungstrojaner legt Behörden und den Zugverkehr in ganz Deutschland lahm. Eine Entwicklungsabteilung hält nicht mehr mit den technologischen Kundenanforderungen Schritt. „Die Digitalisierung bietet großartige Chancen, aber gleichzeitig läuft in vielen Unternehmen bei dem Thema tierisch viel schief. Dabei gibt es Abteilungen in Unternehmen, die für Risikomanagement zuständig sind und große Skandale, Sabotage oder Datenklau eigentlich verhindern sollten“, sagen die Professoren Arnd Wiedemann und Volker Stein von der Uni Siegen. Die Wirtschaftswissenschaftler haben sich gefragt, wie das passieren kann. „Risikomanagement ist oft ein standardisierter Prozess. Wenn neue Gefahren entstehen, die es früher nicht gab, dann fühlt sich häufig einfach keiner zuständig“, sagt Wiedemann. Und das könne fatale Auswirkungen haben. Wiedemann und Stein sehen ihre Forschung als Risiko-Radar. Sie machen auf neuartige Gefahren aufmerksam, die bisher niemand im Unternehmen auf dem Schirm hat, die aber – so klein sie zunächst sein mögen – auf den nachhaltigen Geschäftserfolg durchschlagen können.

Dazu zählt bei Banken zum Beispiel der Umgang mit Kundendaten. Über Kontodaten könne man einfach und sehr genau das Leben eines Menschen analysieren. Man könne außerdem Algorithmen entwickeln ähnlich wie bei Amazon: Wenn Sie einen Bausparvertrag unterschrieben haben, könnte Ihnen auch eine Versicherung gefallen. „Bei aller Euphorie rund um die Digitalisierung gilt: Wenn Banken sich nicht sicher sind, ob ein Geschäftsmodell noch legal ist oder in eine Grauzone fällt, dann sollten sie lieber die Finger davonlassen“, sagt der Bankexperte Wiedemann. Gerade im Bankensektor seien Kunden verständlicherweise sehr sensibel, wenn es um ihre Daten gehe. Selbst wenn von jedem Kunden aktiv die Zustimmung für eine Datenverarbeitung eingeholt wird und das bedeutet, dass der Kunde immer auch nein sagen kann und die Bank damit leben muss: Solange ein Geschäftsmodell auf Vertrauen basiert, sei das technisch Mögliche mit dem kundenseitig Akzeptablen abzuwägen, meinen die beiden Wissenschaftler.

Wiedemanns und Steins Methode heißt „Risk Governance“. Sie verbindet das traditionelle Risikomanagement der Unternehmen mit guter Unternehmensführung und füllt einen weißen Fleck auf der Landkarte. „Unser System kommt immer so lange zur Anwendung, bis Unternehmen eine neuartige Gefahr in ihren standardisierten Prozess des Risikomanagements aufnehmen. Dann fällt diese aus unserem System raus“, erklärt Stein. Was bleibe, sei der permanente 360°-Rundumblick auf die Risikolandkarte, und zwar durch die MitarbeiterInnen des Unternehmens selbst.

Vor einigen Jahren zum Beispiel seien die Gefahren durch Social Media neu gewesen. „Ein falsches Gerücht auf Facebook kann schnell zu Rufschädigung, Umsatz- und Gewinneinbrüchen für ein Unternehmen führen“, erzählt Wiedemann. Die Eigendynamik und Schnelligkeit auf Facebook könne niemand verhindern. Aber jedes Unternehmen könne sich vorbereiten, um im Fall der Fälle schnell und sinnvoll zu reagieren, um den Verlust aufzufangen und das Problem schnell zu lösen. Mittlerweile sei vielen Unternehmen bewusst, welche Gefahren Social Media mit sich bringen. Heute sehen sie sich mit einem anderen Phänomen konfrontiert: Big Data, also die Masse an gesammelten Daten, seien es Kunden- oder Maschinendaten. Datensicherheit und Datenschutz sei in vielen Unternehmen noch nicht im standardisierten Risikomanagement angekommen, sagt Stein. Und auch personalwirtschaftliche Weichenstellungen – etwa die Frage, welches Ausmaß und welche konkreten Inhalte einer Digitalisierungsweiterbildung für welche MitarbeiterInnengruppen notwendig und sinnvoll sind – enthalten erhebliche Risikopotenziale für Unternehmen, die sich mit Fehlentscheidungen selbst vom Wettbewerb abkoppeln.

Stein und Wiedemann erforschen, wie Unternehmen aufgestellt sein müssen und wie Teams rund um die Geschäftsleitung Fähigkeiten bündeln können, um ganzheitlich auf solche neuen Risiken vorbereitet zu sein. In ihrer 5. Siegener Tagung zum Thema Risk Governance am 5. und 6. Oktober diskutieren sie diese Frage mit WissenschaftlerInnen und PraktikerInnen aus ganz Deutschland, aus Indien, den USA und Schottland.