Corporate Risk Management: Mehr als ein Placebo-Effekt? Eine Einordnung aus wissenschaftlicher Sicht.

Prof. Dr. Stefan Hunziker

Prof. Dr. Stefan Hunziker ist Professor für Enterprise Risk Management und Interne Kontrollsysteme an der Hochschule für Wirtschaft Luzern, Institut für Finanzdienstleistungen Zug IFZ. Er ist Mitglied der Geschäftsleitung des Instituts und leitet das Kompetenzzentrum Risk & Compliance Management am IFZ. Seit fast 20 Jahren engagiert er sich für die Weiterentwicklung des Risk Managements in der Praxis, immer unter Berücksichtigung aktueller wissenschaftlicher Erkenntnisse. Prof. Hunziker coacht und berät Organisationen beim Aufbau und Betrieb eines Corporate Risk Managements. Zudem ist er Autor zahlreicher Bücher und Artikel, insbesondere zu ganzheitlichem Risikomanagement und internen Kontrollsystemen. Er hält regelmässig Vorträge an nationalen und internationalen Konferenzen und steht so in engem Kontakt mit der internationalen Risiko-Community.

Riskomanagement in der Informatiksicherheit: Was wir von der Medizin lernen können

Obwohl in Fachkreisen Einigkeit darüber herrscht, dass ein adäquater Umgang mit Risiken – d.h. ein umfassendes Risikomanagement – auch für die Informatiksicherheit unerlässlich ist, herrscht grosse Unklarheit darüber, wie das in der Praxis konkret aussehen kann. Umstritten ist dabei insbesondere die Frage der Messbarkeit von Risiken als eine Art quantifizierbares Aufeinandertreffen von Bedrohungen und Verwundbarkeiten. Während die einen – getreu dem Motto „if you can’t measure it, you can’t manage it“ – behaupten, dass ein Risikomanagement nicht nur die Identifikation sondern auch die Messung von Risiken voraussetzt, behaupten die anderen, dass das nur ein kostspieliger Mythos sei und man Risiken durchaus auch ohne Messung managen können muss. Dabei ist bereits die Definition des Risikobegriffs in der Informatiksicherheit nicht trivial, und man könnte deshalb im Sinne von „if you can’t define it, you can’t measure it“ auch folgern, dass eine Risikomessung in der Realität nicht nur schwierig sondern meist auch illusorisch ist. Vor diesem Hintergrund wird im Vortrag aufgezeigt, wie ein Risikomanagement in der Informatiksicherheit als Grundlage für die Auswahl von geeigneten technischen und organisatorischen Massnahmen (TOMs) aussehen kann. Der Vorschlag orientiert sich an der Medizin bzw. an der Art und Weise, wie sich ein Arzt um die Gesundheit bzw. die Beseitigung der gesundheitlichen Risiken seiner Patientinnen und Patienten bemüht.

Prof. Dr. Rolf Oppliger

Prof. Dr. Rolf Oppliger (www.rolf-oppliger.com) arbeitet für das Nationale Zentrum für Cybersicherheit (NCSC), die Universität Zürich und eSECURITY Technologies. Er ist auch Autor und Herausgeber einer Bücherreihe zum Thema „Information Security and Privacy“ im U.S. amerikanischen Artech House Verlag.

Chancen- und Risikomanagement als umfassender Ansatz für bessere Entscheidungsfindung

Alle Prognosen und Prophezeiungen zusammengefasst, wird sich unsere Zukunft irgendwo zwischen Hölle und Paradies abspielen. Wie sie tatsächlich aussehen wird, hängt davon ab, mit welchem Erfolg wir unsere Chancen nutzen und die mit ihnen verknüpften Risiken bewältigen werden. Chancen- und Risikomanagement als umfassender Ansatz für bessere Entscheidungsfindung – ein Praxisbericht über die Erfolgsfaktoren. Tolga Ece berichtet von der Idee bis zur Einführung des Enterprise Risk Managements in der Stadt Zürich, als eine der ersten öffentlich-rechtlichen Organisationen in der Schweiz.

Tolga Ece – Leiter Kompetenzzentrum Risiko- und Versicherungsmanagement der Stadt Zürich

Mit 795 Ausstellern aus 30 Ländern und 19.449 Fachbesuchern ist die it-sa Expo&Congress in Nürnberg eine der bedeutendsten Messe rund um das Thema IT-Sicherheit. Ergänzt wird die Onsite Fachmesse durch das ganzjährige Online-Angebot auf der digitalen Branchenplattform it-sa365. Seit 2017 ist ISSS Partnerverband der it-sa.

Frank Venjakob, Executive Director der it-sa seit 2013 stellt die Möglichkeiten vor, die it-sa als Anwender und Anbieter optimal zu nutzen. it-sa steht für Knowledge – Networking – Solutions.

Wie kommuniziere ich in einer Krise? 

Wenn die Krise von einem Tweet ausgeht und einem Unternehmen ein Shitstorm um die Ohren fliegt, herrscht in Unternehmen Ausnahmezustand. Wie schütze ich mein Unternehmen vor reputativen Risiken? Wie funktioniert ein Journalist und welches sind die Zutaten für die perfekte Titelgeschichte? Diese Fragen erörtert Léa Wertheimer in ihrem Referat. Sie gibt dabei konkrete Einblicke in den Alltag von Kommunikationsabteilungen und Fallbeispiele.

Léa Wertheimer – Head of Corporate Communications Swiss International Airlines

Léa Wertheimer blickt auf eine langjährige Karriere in der Kommunikationsbranche zurück. Sie hat sich in all den Jahren auf Krisenkommunikation spezialisiert. Vor ihrem Stellenantritt als Head of Corporate Communications bei SWISS, leitete sie die Medienstelle bei der Schweizerischen Post inne und zeichnete für die Medienarbeit des gesamten Konzerns verantwortlich. Zusätzlich leitete sie während der Corona Pandemie die Krisentaskforce zur Kommunikation und hat die Krisenkommunikation des Konzerns neu aufgesetzt. Zuvor war Wertheimer zwischen 2013 und Ende 2016 als Mediensprecherin für das Staatssekretariat für Migration in Bern tätig, nachdem sie von 2006 bis 2013 als Redaktorin bei der Neuen Luzerner Zeitung sowie den Zürcher Oberland Medien arbeitete. Davor war sie als Sekundarlehrerin,  Luftverkehrsangestellte bei Swissport und als Flight Attendant bei Swissair tätig.

Risk Management & Versicherungen

Der Risikotransfer funktioniert nur, wenn das Risiko quantifiziert werden kann und die Eintrittswahrscheinlichkeit und die Höhe des Verlusts beziffert werden können. Der Risikotransfer ist attraktiv, wenn der Versicherte das Risiko mindert und die Cyberhygiene zur Priorität erklärt. Das eigentliche Risiko, dem die Versicherer ausgesetzt sind, sind simultane große Cyber-Schäden oder Cyber Events, sogenannte Kumule oder Cyber-Katastrophen. Dies erfordert einen Risikotransfer auf den Kapitalmarkt und möglicherweise staatliche Pool-Lösungen.

Simon Dejung – Chief Underwriting Officer Cyber bei der Versicherung AXIS

Simon Dejung war 10 Jahre als Senior Engineering Underwriter und zuletz 3 Jahre als Chief Underwriting Officer Cyber bei der Rückversicherung SCOR tätig.

Seit diesem Jahr ist Simon Chief Underwriting Officer Cyber bei der Versicherung AXIS. Davor arbeitete er während acht Jahren als Projektleiter und Programmierer für industrielle Steuerungssysteme in der Energie- und Pharmaindustrie. Simon erwarb 2002 einen M.Sc. an der ETH in Zürich und den EMBA an der Fernfachhochschule in der Schweiz.

Humanizing Information Security

– Human Risk: what it is, why it matters

– What we often get wrong about managing human risk

– Influencing Human OS: a behavioural approach

– Human Risk In The Wild: lessons from other contexts

Christian Hunt, Human Risk ltd.

Christian is the founder of Human Risk, a Behavioural Science led Consulting and Training
Firm, specialising in the fields of Ethics & Compliance. He was formerly MD at UBS where
he was Head of Behavioural Science. Christian joined the Firm in Compliance & Operational
Risk Control, leading the function globally for UBS Asset Management. Prior to joining UBS,
he was COO of the UK Prudential Regulation Authority, a subsidiary of the Bank of England
responsible for regulating financial services.