InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Die zunehmende Cloud-Nutzung, die steigende Mobilität, das Homeoffice, die Virtualisierung, das «Internet der Dinge» und so weiter sorgen für immer neue Herausforderungen und Bedrohungen im Cyber Security-Ökosystem. Deshalb wird Cyber Risk Management immer wichtiger und muss vom operativen Underdog stärker in das Sichtfeld der Geschäftsleitung verschoben werden. Denn die Verantwortung für die Cyber Resilience eines Unternehmens liegt beim Management. In diesem Blogartikel erfahren Sie, wie Sie ein effizientes Cyber Risk Management aufbauen können.
Ein Leben ohne Risiko gibt es nicht, weder im privaten Umfeld noch im Geschäftsleben. Risiken, deren Einschätzung und ihre Absicherung beeinflusst unser Leben. Vor allem in der Cyber-Welt, denn hier existieren zahlreiche Risiken, die grosse Schäden zur Konsequenz haben können. Cyberangriffe zählen zu den grössten Geschäftsrisiken für Unternehmen weltweit. Das gilt auch für die Schweiz: Allein im vergangenen Jahr meldete das Nationale Zentrum für Cybersicherheit über 10'000 Cyberattacken und die Dunkelziffer dürfte noch um einiges höher liegen.
Regulatorischer Druck, Wettbewerbsveränderungen, Compliance-Vorgaben, Cyberkriminalität und die wachsende Infrastruktur-Komplexität – dies sind nur einige der grossen Treiber. Deren Management und Auswirkung auf Risiken und Compliance sind zwei der grössten Herausforderungen, mit denen sich Unternehmen auseinandersetzen müssen. Denn gleichzeitig agieren Unternehmen heutzutage in einem komplexen, hochdynamischen und nicht selten globalen Umfeld. Wodurch die Anforderungen an das Risikomanagement sowie das interne Kontrollsystem stetig zunehmen.
Ihre Cyber Security muss einerseits die klassischen Risiken wie zielgerichtete Malware, Datenverlust usw. bewältigen. Andererseits ergeben sich immer neue anspruchsvolle Herausforderungen, die neue Technologien und damit auch Risiken mit sich bringen. Darüber hinaus gilt es, zahlreiche regulatorische Vorgaben wie beispielsweise die E-DSG und die DSGVO zu erfüllen. Die Verantwortung hierbei liegt beim Management. Denn gemäss OR 716a ist Risikomanagement eine implizite Aufgabe des Verwaltungsrates. Mit den Revisionen (2008 und 2013) wurden zudem das Interne Kontrollsystem (IKS) und der Risikobericht explizit im Obligationenrecht vorgeschrieben. So trägt der Verwaltungsrat u.a. die Gesamtverantwortung für das Risikomanagement im Unternehmen, definiert die Risikostrategie, überprüft periodisch das Risikoprofil, führt eine Risikobeurteilung durch und berichtet darüber im Lagebericht.
Die Empfehlungen des Swiss Code gehen mit der weiter gefassten Definition des IKS noch stärker Richtung umfassendes Risikomanagement und beinhalten alle Tätigkeiten zur Identifikation, Einschätzung, Steuerung und Überwachung von Risiken bezüglich der Zielerreichung im Unternehmen. Dabei gilt es sowohl finanzielle, operative (beispielsweise Cyberrisiken) sowie strategische und marktspezifische Risiken zu betrachten.
Und so gilt es, für jede Art von Risiken, die Ihr Unternehmen treffen könnte, adäquate Massnahmen zur Steuerung zu definieren und die Wirksamkeit dieser Massnahmen zu überwachen. Dazu müssen Sie die Risiken identifizieren, bewerten und steuern sowie die Risiko-Strategie (Risikoappetit) festlegen. Insofern kommt der Risiko-Strategie sowie der Auswahl von geeigneten Massnahmen zur Risiko-Steuerung eine enorme Bedeutung zu. Diese ist ein wesentlicher Bestandteil des Unternehmens-Risiko-Managements und muss mit viel Fingerspitzengefühl angegangen werden. Durch die digitale Transformation wird die Risikosituation von Unternehmen noch differenzierter, das Partner-/Lieferantennetzwerk wird immer umfangreicher und die Anzahl Anwendungen und Schnittstellen wächst ständig. (Weshalb die Sicherheit in Ihrer Lieferantenkette so wichtig ist, erfahren Sie aus einem früheren Blog).
Wir sind uns bewusst, Cyber Risk Management ist eine herausfordernde Aufgabe , die es zu managen gilt! So treffen wir nicht selten auf Situationen, in denen Unternehmen vor dem vermeintlichen Aufwand resignieren. Deshalb haben wir Ihnen die wichtigsten Punkte für Ihr Cyber Risk Management kurz zusammengefasst:
Richten Sie das Risikomanagement an den Zielen und Vorgaben der Organisation aus.
Identifizieren Sie Risiken. Ermitteln Sie systematisch alle auf eine Organisation einwirkenden (internen und externen) Risiken, welche die erfolgreiche Erreichung der Ziele und Vorgaben beeinträchtigen könnten. Listen Sie diese auf.
Bewerten Sie die Risiken. Analysieren Sie die identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und deren möglichen Auswirkungen. Vergleichen Sie die Risiken mit zuvor festgelegten Kriterien der Risiko-Akzeptanz, um die Prioritäten für die Reaktion auf die Risiken zu priorisieren.
Entscheiden Sie sich für die Risikobehandlungsstrategie. Definieren Sie, wie mit Risiken auf Grundlage der Risikobereitschaft umgegangen werden soll: Soll ein Risiko aufgrund seiner Bewertung akzeptiert, vermieden, reduziert, verteilt oder übertragen werden?
Kontrollieren Sie die Risiken. Überwachen Sie die identifizierten und aktuellen Risiken auf Veränderungen gemäss vordefinierten Risiko-Indikatoren. Kontrollieren Sie, ob die Massnahmen erfolgreich gewesen sind.
Stellen Sie eine adäquate Risikokommunikation sicher. Kommunizieren Sie die Risiken und Risikoergebnisse transparent und nachvollziehbar – zuhanden der Interessengruppen, zur Entscheidungsfindung und als Information.
In der Cyber Security dreht sich alles um Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit. Der klassische, kontroll-basierte Ansatz geht von einem Rahmenwerk (bspw. ISO/IEC 27001) aus und versucht die Schutzziele möglichst vollständig abzubilden. Durch die zunehmende Digitalisierung, Virtualisierung, Vernetzung und Nutzung von Cloud-Diensten ist dies aber eine enorme Herausforderung. Deshalb empfiehlt es sich Ihr Cyber Risikomanagement auf Szenarien aufzubauen. Dabei bilden Sie die Risiken mit prozess- und service-orientierten Szenarien ab und definieren dazu gleich die wichtigsten (Schutz-)Massnahmen.
Beispiel:
Sie haben den Verlust von mobilen Geräten als mögliches Risiko identifiziert. Dabei kann der Verlust durch verschiedene Bedrohungen hervorgerufen werden – Diebstahl, Defekt, Zerstörung, um nur einige zu nennen. Nebst dem finanziellen Risiko können sich je nach Schwachstellen des mobilen Geräts (z.B. keine Verschlüsselung, kein oder schwaches Passwort) weitere Risiken wie ein Datenverlust wichtiger Unternehmensdaten, eine Verletzung des Datenschutzgesetzes ergeben, usw. Mit Massnahmen wie einer MDM-Lösung mit Verschlüsselung und einem starken Passwort (2-Faktor-Authentisierung) können die Auswirkungen des Risikos stark reduziert werden. Es bleiben aber trotzdem noch Restrisiken wie bspw. ein Fehlverhalten des Benutzers («kreatives» Umgehen von Sicherheitsregelungen). Dieses Restrisiko könnten Sie mit einer gezielten Sensibilisierung Ihrer Mitarbeitenden sicher auch noch weiter minimieren.
Versuchen Sie es doch gleich selbst – wie sieht das Risiko-Szenario aus, wenn Ihre Mitarbeitenden Daten mit externen Partnern über Cloudspeicher austauschen?
Sie sehen, das Denken in Risiko-Szenarien hilft Ihnen nicht nur die Auswirkungen von Risiken auf das Unternehmen und Ihren Stakeholdern sichtbar zu machen, es hilft Ihnen auch bei der adressatengerechten Kommunikation der Risiken. Denn dieser Ansatz setzt keine vertiefte Cyber Security-Kenntnisse voraus.
Cyberrisiken sind business-kritisch, da sind wir uns wohl alle einig. Sie stellen eine omnipräsente Bedrohung dar und beeinflussen alle beteiligten Parteien – das eigene Unternehmen selbst, Kunden und Partner. Cyberrisiken verändern sich aber laufend. Cyber Risk Management ein fortlaufender Prozess. Sie unternehmen bestimmt bereits heute erhebliche Anstrengungen, um potenzielle Bedrohungen abzuwenden, die das Erreichen der strategischen Ziele gefährden könnten. Trotzdem (und gerade deshalb) Hand aufs Herz: Können Sie mit gutem Gewissen sagen, dass Sie bezüglich Cyberrisiken an alles gedacht haben und diese auch immer auf dem aktuellsten Stand gehalten werden? In einem der kommenden Blogartikel zeigen wir Ihnen deshalb auf, weshalb das Monitoring der eigenen Cyberrisiken so wichtig ist.
Wenn Sie unsere Blog-Updates noch nicht abonniert haben, ist jetzt der ideale Zeitpunkt – denn so verpassen Sie in Zukunft keine Tipps und Anregungen zur Optimierung Ihrer Cybersicherheit!