16. Juli 2018

Cyber-Risiko-Management: Runter von der Insel!

Cybersicherheit und das damit verbundene Risiko-Management sind rein technische Themen und gehören deshalb allein in die zuständige Abteilung. Ist das richtig? Definitiv nein. Denn es geht nicht darum, Cybersicherheit zu „erreichen“, sondern Unternehmenssicherheit. Und damit landen die Themen auf dem Tisch der Unternehmensführung. Sie hat die Aufgabe, das Cyber-Risiko-Management mit den übrigen Maßnahmen zum Risiko-Management zu verzahnen.

Cybersicherheit sollte Teil des allgemeinen Risiko-Managements sein zoom Cybersicherheit sollte Teil des allgemeinen Risiko-Managements sein

Dass Cybersicherheit sehr wichtig ist, dürfte mittlerweile fast jedem Unternehmenslenker klar sein. Soweit, so gut? Nein. Denn in der Mehrzahl aller deutschen Unternehmen sind die Cyber-Schutzmaßnahmen beziehungsweise das zugrundeliegende Risiko-Management nicht mit dem übrigen Risikoregister verzahnt. Cyber spielt sich also auf einer – meist von der IT-Abteilung regierten – Insel ab, die keine Brücken zu den anderen Risiko-Management-Maßnahmen hat. Das zumindest legt eine Studie von KPMG nahe, laut der lediglich 38 Prozent aller befragten Unternehmen Cyber-Risiken im Risikoregister der Organisation führen.

Es fehlt also am ganzheitlichen Ansatz. Diesen herbeizuführen muss Aufgabe der Geschäftsführung beziehungsweise des Vorstands sein. Denn nur hier laufen alle wichtigen Fäden zusammen. Nur hier lassen sich die Geschäftsziele mit den damit verbundenen Risiken und den eventuell notwendigen Schutzmaßnahmen korrelieren. Die IT-Spezialisten im Unternehmen haben so gut wie nie den notwendigen Einblick, um über alle derzeitigen und kommenden Geschäftsziele informiert zu sein. Der Fokus auf die technischen Aspekte von Cyber-Sicherheit ist also zu eng.

Per se ist für die Integration der bislang getrennt arbeitenden Risiko-Management-Domänen kein neues Handwerkszeug nötig. Die bislang bewährten Methoden lassen sich auch auf die Cyber-Risiken anwenden. Dabei müssen Unternehmensverantwortliche aber eine sehr wichtige Eigenart der Cyber-Welt berücksichtigen: Die Risikolage kann sich rasend schnell ändern. Einerseits durch neu entdeckte Schwachstellen in der von der Organisation verwendeten Software oder durch erfolgreiche Angriffe auf die IT-Infrastruktur des Unternehmens. Andererseits durch sich ändernde Business-Prioritäten innerhalb des Unternehmens: Beispielsweise kann ein neues, umsatztechnisch überaus relevantes Projekt plötzlich schützenswerte Daten in einer Abteilung erzeugen, die bislang nicht im Fokus der Cyber-Sicherheitsbemühungen stand. Zumindest letzteres lässt sich durch eine optimierte interne Kommunikation zwischen den betroffenen Fachabteilungen und den Cyber-Sicherheitsfachleuten aus der Welt schaffen. Ersteres erfordert dagegen schlanke, auf die jeweilige Organisation und deren Prozesse abgestimmte Methoden für das Risiko-Management.

Und noch an einer anderen Stelle macht sich die fortschreitende Digitalisierung hinsichtlich des Umgangs mit Risiken bemerkbar: beim Umgang mit Lieferanten. Im Zeitalter vor der Digitalisierung und Vernetzung waren externe Dritte nur relevant, wenn sie für die Geschäftsprozesse des Kunden unabdingbare Dienste leisteten. Beispielsweise als Vorlieferant in der Fertigung. Kommen die IT-Systeme der Unternehmen aber direkt in Kontakt, entstehen neue Einfallstore. Das können entweder sehr große Lücken sein, durch die Schadsoftware ihren Weg von einem Netzwerk ins andere findet. Oder aber es kann sich um kleinere aber nicht minder gefährliche Schwachstellen handeln – und zwar in Form von minderwertigen oder fehlerhaften Daten. Je nach Relevanz dieser zugelieferten Daten steigt also das Risiko für die eigene Organisation.

Auch beim Thema Industrie 4.0 spielt Vernetzung eine Rolle. Denn hier bekommen externe Dritte unter Umständen Zugriff auf das Netzwerk der Produktionsanlagen. Beispielsweise, um dort tätige Roboter zu warten, Produktionsmaschinen zu überwachen oder bei Bedarf rechtzeitig neues Material anliefern zu können. Spätestens beim Blick auf die erwähnten Zulieferer oder Produktionsmaschinen wird deutlich, dass integriertes Risiko-Management keine Aufgabe der IT-Spezialisten ist – sondern von der Geschäftsführung ausgehen muss. Auf dass das Inseldasein der Cyber-Sicherheit ganz bald zu Ende ist.


Photo by Helloquence on unsplash.com