Cyber-Sicherheit: Prozesse, Massnahmen und der Mensch

Header Bild Cybersecurity
Ein bekanntes Sprichwort sagt: Planung ist das halbe Leben. Was uns Menschen im Privaten hilft, lohnt sich auch für Unternehmen. Mehr noch: Mit Blick auf mögliche Krisenszenarien erscheint eine vorausschauende Planung unabdingbar.

Vor allem, um die eigene Organisation sicher durch die Unwägbarkeiten eines neuen Zeitalters mit einer ganzen Bandbreite potenzieller Risiken zu führen. Ein Beispiel: Cyber-Risiken. Laut Allianz Risk Barometer 2023 ist Cyber weltweit das Top-Risiko für Unternehmen.

Wer beim Begriff „Drachenkönig“ an die Nibelungensage denkt, liegt - zumindest im konkreten Fall des Risikomanagements - falsch. Denn laut Definition von RiskNET handelt es sich um eine „doppelte Metapher für ein Ereignis, das sowohl extrem gross ist oder grosse Auswirkungen hat (ein „König“) als auch im Vergleich zu anderen Ereignissen desselben Systems einen einzigartigen Ursprung hat (ein „Drache“)“. Und weiter: „Die Drachenkönig-Theorie wurde von dem französischen Wissenschaftler Didier Sornette (Forschungsschwerpunkte: Komplexe Systeme und Risikomanagement) entwickelt, der die Hypothese aufstellt, dass viele Krisen keine Schwarzen Schwäne, sondern „Drachenkönige“ sind, d.h. dass sie bis zu einem gewissen Grad vorhersehbar sein können“.


Von Nachlässigkeiten und den Kosten

Vorhersehbar sind unter anderem Cyber-Risiken. Oder wie es Robert Ebel, Risikomanagement-Experte bei ARISCO Risk Consultants, formuliert: „Es ist nicht die Frage ob, sondern wann ein Cyber-Vorfall die eigene Organisation trifft.“ Und darauf, so Robert Ebel, müssten sich Unternehmen besser vorbereiten. Seine Sorge ist berechtigt. Das zeigt ein Blick auf die Seiten des Nationalen Zentrums für Cyber-Sicherheit (NCSC). Dort wird die Bandbreite möglicher Cyber-Bedrohungen deutlich. Angefangen bei DDoS-Attacken (Distributed Denial of Service) und Fake-Support über Ransomware-Bedrohungen bis hin zum Social-Media-Hacking. Robert Ebel: „Viele dieser Risiken im Cyber-Umfeld sind seit Jahren bekannt, der Umgang mit ihnen lässt oft zu wünschen übrig.“ Im Umkehrschluss heisst das: So vielfältig die Angriffsmöglichkeiten sind, so zurückhaltend sind die Massnahmen, um sich vor den Risiken eines Cyber-Angriffs zu schützen.

Nicht umsonst kommt das Beratungsunternehmen PwC in seiner Studie „Global Digital Trust Insights 2023“ zum Schluss, dass Schweizer Unternehmen ihre Cyber-Sicherheit erhöhen müssen. Hintergrund sei unter anderem, dass weniger als 40 Prozent der Befragten angeben, die Risiken ihrer seit 2020 umgesetzten IT-Initiativen vollständig unter Kontrolle zu haben. Nach Informationen von Schweizer Radio und Fernsehen (SRF) unterschätzen viele kleine und mittlere Unternehmen (KMU) die Gefahr von Hackerangriffen: „Trotz wachsender Bedrohungslage hat Cyber-Sicherheit bei Schweizer KMU nach wie vor eine geringe Priorität“, zitiert SRF aus einer Umfrage des Markt- und Sozialforschungsinstituts gfs-zürich unter 502 Unternehmen. Und weiter: „Im Langzeitvergleich zeigt sich zudem, dass Schutzmassnahmen nur zögerlich umgesetzt werden.“

Prozesse und Massnahmen mit den Menschen zu Ende denken

Ein Grund für die Nachlässigkeiten im Cyber-Umfeld dürfte weniger im technischen Know-how der Unternehmen als vielmehr in der Sensibilisierung für die Gefahren liegen. Prozesse und Massnahmen für mehr Cyber-Sicherheit müssen immer mit den Menschen zu Ende gedacht und umgesetzt werden: Um ein qualitatives Mehr an Cyber-Sicherheit zu erreichen, müssen die Mitarbeiterinnen und Mitarbeiter von Anfang an in die Gesamtstrategie möglicher Initiativen eingebunden werden.

Dazu müssen Awareness-Kampagnen und -Schulungen in ein Gesamtrisiko- und Krisenmanagement integriert und individuell auf die jeweilige Organisation zugeschnitten werden. Dies umfasst auch Szenarioanalysen und Planspiele, um organisationsweite Schwachstellen im Cyber-Bereich zu identifizieren. Schlussendlich sollte der Gesamtprozess in ein dynamisches Identifikations-, Bewertungs- und Kontrollverfahren zum Risikomanagement eingebunden werden.

ARISCO Risk Consultants unterstützt mit umfassender Expertise bei der Entscheidungsfindung rund um wichtige Risikomanagementprozesse, wie z.B. im Bereich Cyber. Unser Ziel ist es, im gemeinsamen Dialog ein integriertes Risikomanagementsystem zu schaffen, das KMU die Widerstandsfähigkeit verleiht, unerwartete Situationen zu überstehen. Mehr noch: Wir unterstützen KMUs dabei, existenzbedrohende Risiken zu minimieren, Wachstumschancen zu entdecken und zu nutzen. Dann lauert auch kein Drachenkönig, den es zu besiegen gilt. Denn gut geplant ist halb gewonnen.

Ihre Ansprechpersonen:

Beat Mosimann

Beat Mosimann

Partner | Marktgebietsleiter

Betriebsökonom FH

+41 41 545 68 60

+41 41 545 68 60

beat.mosimann@arisco.ch

Robert Ebel

Robert Ebel

Partner | Marktgebietsleiter | International Desk Manager

Executive MBA (UZH)

CAS in Insurance Broking

+41 41 545 68 70

+41 41 545 68 70

robert.ebel@arisco.ch

Ganz schön praktisch

Die Kontaktdaten Ihres Beraters oder Ihrer Beraterin stets griffbereit.
Meine persönliche Beraterin oder Berater wählen
| |
profil
Wählen Sie Ihre persönliche Beraterin oder Berater