Cyber-Sicherheit: Prozesse, Massnahmen und der Mensch
Vor allem, um die eigene Organisation sicher durch die Unwägbarkeiten eines neuen Zeitalters mit einer ganzen Bandbreite potenzieller Risiken zu führen. Ein Beispiel: Cyber-Risiken. Laut Allianz Risk Barometer 2023 ist Cyber weltweit das Top-Risiko für Unternehmen.
Wer beim Begriff „Drachenkönig“ an die Nibelungensage denkt, liegt - zumindest im konkreten Fall des Risikomanagements - falsch. Denn laut Definition von RiskNET handelt es sich um eine „doppelte Metapher für ein Ereignis, das sowohl extrem gross ist oder grosse Auswirkungen hat (ein „König“) als auch im Vergleich zu anderen Ereignissen desselben Systems einen einzigartigen Ursprung hat (ein „Drache“)“. Und weiter: „Die Drachenkönig-Theorie wurde von dem französischen Wissenschaftler Didier Sornette (Forschungsschwerpunkte: Komplexe Systeme und Risikomanagement) entwickelt, der die Hypothese aufstellt, dass viele Krisen keine Schwarzen Schwäne, sondern „Drachenkönige“ sind, d.h. dass sie bis zu einem gewissen Grad vorhersehbar sein können“.
Von Nachlässigkeiten und den Kosten
Vorhersehbar sind unter anderem Cyber-Risiken. Oder wie es Robert Ebel, Risikomanagement-Experte bei ARISCO Risk Consultants, formuliert: „Es ist nicht die Frage ob, sondern wann ein Cyber-Vorfall die eigene Organisation trifft.“ Und darauf, so Robert Ebel, müssten sich Unternehmen besser vorbereiten. Seine Sorge ist berechtigt. Das zeigt ein Blick auf die Seiten des Nationalen Zentrums für Cyber-Sicherheit (NCSC). Dort wird die Bandbreite möglicher Cyber-Bedrohungen deutlich. Angefangen bei DDoS-Attacken (Distributed Denial of Service) und Fake-Support über Ransomware-Bedrohungen bis hin zum Social-Media-Hacking. Robert Ebel: „Viele dieser Risiken im Cyber-Umfeld sind seit Jahren bekannt, der Umgang mit ihnen lässt oft zu wünschen übrig.“ Im Umkehrschluss heisst das: So vielfältig die Angriffsmöglichkeiten sind, so zurückhaltend sind die Massnahmen, um sich vor den Risiken eines Cyber-Angriffs zu schützen.
Nicht umsonst kommt das Beratungsunternehmen PwC in seiner Studie „Global Digital Trust Insights 2023“ zum Schluss, dass Schweizer Unternehmen ihre Cyber-Sicherheit erhöhen müssen. Hintergrund sei unter anderem, dass weniger als 40 Prozent der Befragten angeben, die Risiken ihrer seit 2020 umgesetzten IT-Initiativen vollständig unter Kontrolle zu haben. Nach Informationen von Schweizer Radio und Fernsehen (SRF) unterschätzen viele kleine und mittlere Unternehmen (KMU) die Gefahr von Hackerangriffen: „Trotz wachsender Bedrohungslage hat Cyber-Sicherheit bei Schweizer KMU nach wie vor eine geringe Priorität“, zitiert SRF aus einer Umfrage des Markt- und Sozialforschungsinstituts gfs-zürich unter 502 Unternehmen. Und weiter: „Im Langzeitvergleich zeigt sich zudem, dass Schutzmassnahmen nur zögerlich umgesetzt werden.“
Prozesse und Massnahmen mit den Menschen zu Ende denken
Ein Grund für die Nachlässigkeiten im Cyber-Umfeld dürfte weniger im technischen Know-how der Unternehmen als vielmehr in der Sensibilisierung für die Gefahren liegen. Prozesse und Massnahmen für mehr Cyber-Sicherheit müssen immer mit den Menschen zu Ende gedacht und umgesetzt werden: Um ein qualitatives Mehr an Cyber-Sicherheit zu erreichen, müssen die Mitarbeiterinnen und Mitarbeiter von Anfang an in die Gesamtstrategie möglicher Initiativen eingebunden werden.
Dazu müssen Awareness-Kampagnen und -Schulungen in ein Gesamtrisiko- und Krisenmanagement integriert und individuell auf die jeweilige Organisation zugeschnitten werden. Dies umfasst auch Szenarioanalysen und Planspiele, um organisationsweite Schwachstellen im Cyber-Bereich zu identifizieren. Schlussendlich sollte der Gesamtprozess in ein dynamisches Identifikations-, Bewertungs- und Kontrollverfahren zum Risikomanagement eingebunden werden.
ARISCO Risk Consultants unterstützt mit umfassender Expertise bei der Entscheidungsfindung rund um wichtige Risikomanagementprozesse, wie z.B. im Bereich Cyber. Unser Ziel ist es, im gemeinsamen Dialog ein integriertes Risikomanagementsystem zu schaffen, das KMU die Widerstandsfähigkeit verleiht, unerwartete Situationen zu überstehen. Mehr noch: Wir unterstützen KMUs dabei, existenzbedrohende Risiken zu minimieren, Wachstumschancen zu entdecken und zu nutzen. Dann lauert auch kein Drachenkönig, den es zu besiegen gilt. Denn gut geplant ist halb gewonnen.
Ihre Ansprechpersonen:
Beat Mosimann
Partner / Marktgebietsleiter
Betriebsökonom FH
Robert Ebel
Partner / Marktgebietsleiter / International Desk Manager
Executive MBA (UZH)
CAS in Insurance Broking
Weitere Beiträge
28.03.2024
Fakten zu Risiko, Sicherheit & Sport
06.02.2024
ARISCO Kompass: Unser Seminar zum Ruhestand am 5. März
22.01.2024
Gesundheitsmanagement als Teil des Peoplemanagements
15.06.2022
Interview mit Eva Fischbacher, Case Managerin
02.06.2023
Reform AHV 21 bringt Flexibilität in die Altersvorsorge
27.09.2022
Es sind auch Tränen geflossen
18.08.2022
Stillstand ist Rückschritt
14.07.2022
Interview Irena Stirnemann, Case Managerin
01.09.2022
HR-Management benötigt Boxenstopp
01.09.2022
Sich vom «Abschluss- und Diplomdenken» verabschieden
16.05.2022
