Cyber-Sicherheit: Prozesse, Massnahmen und der Mensch
Vor allem, um die eigene Organisation sicher durch die Unwägbarkeiten eines neuen Zeitalters mit einer ganzen Bandbreite potenzieller Risiken zu führen. Ein Beispiel: Cyber-Risiken. Laut Allianz Risk Barometer 2023 ist Cyber weltweit das Top-Risiko für Unternehmen.
Wer beim Begriff „Drachenkönig“ an die Nibelungensage denkt, liegt - zumindest im konkreten Fall des Risikomanagements - falsch. Denn laut Definition von RiskNET handelt es sich um eine „doppelte Metapher für ein Ereignis, das sowohl extrem gross ist oder grosse Auswirkungen hat (ein „König“) als auch im Vergleich zu anderen Ereignissen desselben Systems einen einzigartigen Ursprung hat (ein „Drache“)“. Und weiter: „Die Drachenkönig-Theorie wurde von dem französischen Wissenschaftler Didier Sornette (Forschungsschwerpunkte: Komplexe Systeme und Risikomanagement) entwickelt, der die Hypothese aufstellt, dass viele Krisen keine Schwarzen Schwäne, sondern „Drachenkönige“ sind, d.h. dass sie bis zu einem gewissen Grad vorhersehbar sein können“.
Von Nachlässigkeiten und den Kosten
Vorhersehbar sind unter anderem Cyber-Risiken. Oder wie es Robert Ebel, Risikomanagement-Experte bei ARISCO Risk Consultants, formuliert: „Es ist nicht die Frage ob, sondern wann ein Cyber-Vorfall die eigene Organisation trifft.“ Und darauf, so Robert Ebel, müssten sich Unternehmen besser vorbereiten. Seine Sorge ist berechtigt. Das zeigt ein Blick auf die Seiten des Nationalen Zentrums für Cyber-Sicherheit (NCSC). Dort wird die Bandbreite möglicher Cyber-Bedrohungen deutlich. Angefangen bei DDoS-Attacken (Distributed Denial of Service) und Fake-Support über Ransomware-Bedrohungen bis hin zum Social-Media-Hacking. Robert Ebel: „Viele dieser Risiken im Cyber-Umfeld sind seit Jahren bekannt, der Umgang mit ihnen lässt oft zu wünschen übrig.“ Im Umkehrschluss heisst das: So vielfältig die Angriffsmöglichkeiten sind, so zurückhaltend sind die Massnahmen, um sich vor den Risiken eines Cyber-Angriffs zu schützen.
Nicht umsonst kommt das Beratungsunternehmen PwC in seiner Studie „Global Digital Trust Insights 2023“ zum Schluss, dass Schweizer Unternehmen ihre Cyber-Sicherheit erhöhen müssen. Hintergrund sei unter anderem, dass weniger als 40 Prozent der Befragten angeben, die Risiken ihrer seit 2020 umgesetzten IT-Initiativen vollständig unter Kontrolle zu haben. Nach Informationen von Schweizer Radio und Fernsehen (SRF) unterschätzen viele kleine und mittlere Unternehmen (KMU) die Gefahr von Hackerangriffen: „Trotz wachsender Bedrohungslage hat Cyber-Sicherheit bei Schweizer KMU nach wie vor eine geringe Priorität“, zitiert SRF aus einer Umfrage des Markt- und Sozialforschungsinstituts gfs-zürich unter 502 Unternehmen. Und weiter: „Im Langzeitvergleich zeigt sich zudem, dass Schutzmassnahmen nur zögerlich umgesetzt werden.“
Prozesse und Massnahmen mit den Menschen zu Ende denken
Ein Grund für die Nachlässigkeiten im Cyber-Umfeld dürfte weniger im technischen Know-how der Unternehmen als vielmehr in der Sensibilisierung für die Gefahren liegen. Prozesse und Massnahmen für mehr Cyber-Sicherheit müssen immer mit den Menschen zu Ende gedacht und umgesetzt werden: Um ein qualitatives Mehr an Cyber-Sicherheit zu erreichen, müssen die Mitarbeiterinnen und Mitarbeiter von Anfang an in die Gesamtstrategie möglicher Initiativen eingebunden werden.
Dazu müssen Awareness-Kampagnen und -Schulungen in ein Gesamtrisiko- und Krisenmanagement integriert und individuell auf die jeweilige Organisation zugeschnitten werden. Dies umfasst auch Szenarioanalysen und Planspiele, um organisationsweite Schwachstellen im Cyber-Bereich zu identifizieren. Schlussendlich sollte der Gesamtprozess in ein dynamisches Identifikations-, Bewertungs- und Kontrollverfahren zum Risikomanagement eingebunden werden.
ARISCO Risk Consultants unterstützt mit umfassender Expertise bei der Entscheidungsfindung rund um wichtige Risikomanagementprozesse, wie z.B. im Bereich Cyber. Unser Ziel ist es, im gemeinsamen Dialog ein integriertes Risikomanagementsystem zu schaffen, das KMU die Widerstandsfähigkeit verleiht, unerwartete Situationen zu überstehen. Mehr noch: Wir unterstützen KMUs dabei, existenzbedrohende Risiken zu minimieren, Wachstumschancen zu entdecken und zu nutzen. Dann lauert auch kein Drachenkönig, den es zu besiegen gilt. Denn gut geplant ist halb gewonnen.
Ihre Ansprechpersonen:
Beat Mosimann
Partner | Marktgebietsleiter | Fachspezialist Special Lines
Betriebsökonom FH
Robert Ebel
Partner | Marktgebietsleiter | International Desk Manager
Executive MBA (UZH)
CAS in Insurance Broking
Weitere Beiträge
18.10.2024
Gemeinsam stark mit MS Sport
09.10.2024
Ist Ihr Team am Limit?
28.03.2024
Fakten zu Risiko, Sicherheit & Sport
22.01.2024
Gesundheitsmanagement als Teil des Peoplemanagements
02.06.2023
Reform AHV 21 bringt Flexibilität in die Altersvorsorge
01.05.2024
Stillstand ist Rückschritt
01.03.2024
Interview Irena Stirnemann, Case Managerin
04.06.2024
Unsere ISO 9001:2015-Zertifizierung: Ein Zeichen für höchste Qualität
06.11.2024