Um Risiken zu identifizieren, setzt man in Unternehmen bislang auf Risikomanagement-Tools. Jetzt kommt KI ins Spiel.

Es sind herausfordernde Zeiten. Unterschiedliche Krisen wirken derzeit gleichzeitig und intensiv auf unsere Gesellschaft und auf die Wirtschaft. Geopolitische Konflikte, Rezession und Inflation, Klimawandel, Fachkräftemangel und Pandemien – in der Wirtschaftswissenschaft spricht man von Polykrisen, deren Ausläufer sich wechselseitig verstärken. Sie treten nicht mehr isoliert auf, ebenso haben Unternehmen mit mehreren Risiken gleichzeitig zu kämpfen. Bei dem Technologiedienstleister und Berater Accenture misst man seit Jahren die globale Unsicherheit mit einem Index. Lag dieser »Disruptability Index« im Jahr 2017 noch bei 30 Punkten, ist er auf 89 Punkte im Jahr 2022 gestiegen. Für den Zuwachs sorgen in erster Linie Umweltrisiken – Extremwetter, Folgen aus dem Klimawandel oder Ressourcenknappheit – gefolgt von geopolitischen Unsicherheiten durch bewaffnete Konflikte.

Einen massiven Negativtrend sieht Philipp Krabb, Research Lead bei Accenture Österreich, weiters bei der Cyberkriminalität. Bereits mehr als 65.000 Fälle wurden dem Bundeskriminalamt offiziellen Zahlen zufolge im Vorjahr angezeigt. Im Jahr 2023 lag die Aufklärungsrate in Österreich bei 31,6 %. Seit 2011 sinkt diese kontinuierlich. Denn die zunehmende Komplexität von Cyberkriminalität verursacht nicht nur höhere Kosten für Sicherheitsmaßnahmen, sie erschwert mit Methoden wie Deepfake und Desinformation auch die effektive Aufklärung. Cybercrime wird von Unternehmer*innen derzeit als größte Gefahr fürs Tagesgeschäft gesehen.

Generell fühlt sich jede zweite Führungskraft (52 %) unzureichend auf die Bandbreite der Herausforderungen vorbereitet. Deshalb den Kopf in den Sand zu stecken, sei jedenfalls keine Lösung, ist David Blum überzeugt: »Es gibt Lösungen, um Krisen erkennen und diesen gegensteuern zu können«, gewinnt für den Leiter Defense & Security bei Accenture Österreich das Thema Risikomanagement an Bedeutung. Es sei nun eine ganzheitliche Sicht notwendig, denn in vielen Unternehmen ist das Risikomanagement noch in den Fachbereichen aufgeteilt. »Wir haben eine Menge an Daten, die für das Resilienz-Management wichtig sind, die aber auch harmonisiert werden müssen. Nur wenn Daten bewertet werden können, erhalten Unternehmen Steuerungsmöglichkeiten«, weiß der Experte.

Bild: David Blum ist Leiter Defense & Security, Philipp Krabb leitet den Bereich Research bei Accenture Österreich.

Regularien wie NIS2 verlangen bereits ein holistisches Management der Risiken mit einem »All-Hazards Approach«, der verschiedenste Gefahrenfelder in Betracht zieht. Eine andere Vorschrift ist die Richtlinie zur Resilienz kritischer Einrichtungen (RKE), die auf den physischen Schutz von Unternehmen fokussiert. Und auch dem EU AI Act, dem Cyber Resilience Act und Regulatorien wie CSRD (Nachhaltigkeitsberichterstattung) oder CSDDD (EU-Lieferkettengesetz) liegt jeweils ein Risikomanagement zugrunde. Warum also nicht mit einer Lösung alle Reportings bedienen? Accenture hat dazu ein »360° Risikomanagement« im Programm.

»Mit Technologien wie künstliche Intelligenz können die immer größeren und komplexeren Datenmengen zielgerichtet verarbeitet werden. Dabei müssen nicht zwingend neue Daten erhoben werden. Ich habe sie vielleicht bereits: im Controlling, in der Lieferkette, in Fachbereichen und etwa Audits, Trend-Reports und Medienberichten«, erklärt Blum. Die Inhalte aus internen und externen Quellen können mit der KI-getriebenen Lösung, einem Large Language Modell, passgenau in Datentöpfe gefüllt werden. Über Prompting werden dann die Schlüsse in der Risikoanalyse gezogen: Ergebnisse werden geclustert und deren Eintrittswahrscheinlichkeiten bestimmt. Die Generative AI schlägt eine verbale Zusammenfassung und Beurteilung der Risiken vor. Schließlich dient ein Management-Dashboard als Grundlage für die Risikominimierung.

Accenture unterstützt beim Finden der passenden Töpfe und Verschneiden der Daten. »Unternehmen haben möglicherweise bereits Risikodaten aus dem eigenen Umfeld und auch Informationen zu geopolitischen Entwicklungen. Aber vielleicht sind die Lieferkettendaten nicht aktuell und für die Anreicherung mit externen Daten war bislang zu wenig Zeit. Wir füllen dieses Dokumentenarchiv und trainieren die KI. Das kann ich dann individualisiert mit jedem Thema machen«, verspricht Blum.

Cybersicherheit, Inflation, Energiekosten sind die Risiken fürs Geschäft heute. Einem Report des World Economic Forum zufolge werden die Auswirkungen aus den Veränderungen in der Natur und dem Rückgang der Artenvielfalt innerhalb des kommenden Jahrzehnts wesentlich stärker die Resilienz in der Wirtschaft belasten. Besonders dort ist eine Risikobewertung notwendig, die weit über Grenzen eines Unternehmens hinaus funktionieren muss.

Siemens: Investment in die Sicherheit
Cybersicherheit ist weit mehr als nur eine Notwendigkeit: Sie ist die Grundvoraussetzung für die digitale Transformation, sagt Johann Schlaghuber, Cybersecurity Officer bei Siemens. Das Industrie­unternehmen hat mehr als 1.300 Cybersicherheits-Expert*innen. Rund 400 davon sind in der zentralen Cybersicherheits-Einheit gebündelt, weitere 180 Expert*innen arbeiten in der zentralen Forschung an neuen Cybersecurity & Trust-Lösungen. Ein besonderer Fokus liegt auf Automatisierung und datengesteuerter Cybersecurity.

»Wir investieren gezielt in diese Bereiche, um innovative Sicherheitslösungen zu entwickeln, die den wachsenden Anforderungen in der digitalen und industriellen Welt gerecht werden. Dies umfasst sowohl den Schutz von kritischen Infrastrukturen als auch die Sicherstellung einer hohen Vertrauenswürdigkeit von Daten und Systemen in allen Bereichen unserer Geschäftstätigkeit«, erklärt Schlaghuber. Abseits der Auf- und Nachrüstung im Bereich Cybersecurity-Hard- wie Software, stellt das Unternehmen Schulungen für Mitarbeitende zur Verfügung.

Bild: Johann Schlaghuber, Siemens: »Wir wollen unsere Produkte und Services bestmöglich schützen und das Geschäft mit Cybersicherheit deutlich ausbauen.«

Und auch KI-gestützte Systeme helfen bei der Automatisierung von Sicherheitsprozessen. Zum Beispiel findet bei Siemens eine Echtzeit-Überwachung und Analyse von Anomalien im Netzwerkverkehr statt, wodurch potenzielle Bedrohungen schneller erkannt und abgewehrt werden können. Beim Schutz von kritischen Infrastrukturen etwa im Energiesektor unterstützt die KI-basierte Überwachung die Sicherheit von Energieanlagen und hilft, sowohl IT- als auch OT-Daten in Echtzeit zu analysieren und Bedrohungen frühzeitig zu erkennen. »Die digitale Transformation wird nur dann erfolgreich sein, wenn es uns gelingt, die Sicherheit von Daten und vernetzten Systemen zu gewährleisten. Siemens geht das Thema als eines der ersten Unternehmen weltweit ganzheitlich an – vom Schutz der eigenen IT- und OT-Infrastruktur, über den Schutz der Produkte, Lösungen und Dienstleistungen bis hin zur Entwicklung und Vermarktung zukunftsweisender Cybersicherheitslösungen«, so der Fachmann.