Cyberrisiken werden für KMUs zunehmend business-kritisch. Sie stellen eine omnipräsente Bedrohung dar und beeinflussen alle beteiligten Parteien – das eigene Unternehmen selbst, Kunden und Partner. Cyber Risk Management und das entsprechende Self-Monitoring sind aus diesem Grund wichtige Aspekte im ganzen Sicherheitsdispositiv eines Unternehmens und eines Unternehmens als vertrauenswürdiger Partner. Weshalb dies so ist, erfahren Sie in diesem Blogbeitrag.
Um möglichst effizient zu arbeiten, werden Tätigkeiten vermehrt ausgelagert, womit die Abhängigkeit von Dritten steigt. Das Lieferantenmanagement (Supply Chain Management) hat deshalb in den letzten Jahren immer mehr an Bedeutung gewonnen ‒ insbesondere in Bezug auf die Berücksichtigung von Aspekten der Cybersicherheit. Wenn es bei Ihnen, einem Lieferanten oder Partner zu einem Sicherheitsvorfall kommt, können die Auswirkungen auf die eigenen Prozesse und/oder die Prozesse vor- oder nachgelagerter Partner in der Wertschöpfungskette schwerwiegend sein. Dies kann zu erheblichen finanziellen Verlusten, Reputationsschäden oder auch rechtlichen Konsequenzen führen. Aber auch ohne die Abhängigkeit von Dritten unterliegt Ihr Unternehmen zunehmenden Cyberrisiken – und immer mehr sind Schweizer Unternehmen im Fokus von Cyberkriminellen.
Sie haben bereits Ihre Cyberrisiken analysiert? Sehr gut. Und wenn Sie auch entsprechende Massnahmen abgeleitet haben – umso besser. Damit ist die Arbeit aber leider noch nicht getan. Es ist wichtig, jederzeit ein Auge auf die Cyberrisiken zu haben. Wie so häufig handelt es sich bei Cyberrisiken nicht um statische Gegebenheiten, sondern um ein sehr dynamisches Objekt. Und so gibt es gute Gründe, warum Cyberrisiken regelmässig beobachtet werden sollten:
Rahmenbedingungen ändern sich
Die heutige Businesswelt ist extrem dynamisch und so wirken von aussen immer neue Einflüsse auf Ihr Unternehmen ein, die beachtet werden müssen. Die initiale Cyberrisikoanalyse wurde unter bestimmten Voraussetzungen durchgeführt. Ändern sich diese, so müssen zwangsläufig auch die Risiken überdacht werden.
Eintrittswahrscheinlichkeiten ändern sich
Eine initiale Risikoanalyse basiert auf den zu dem Zeitpunkt vorliegenden Informationen. Wie wir ausgeführt haben, können sich diese jederzeit ändern. Ein Cyberrisiko, dass ursprünglich als sehr unwahrscheinlich angesehen wurde, kann plötzlich eine höhere Priorität erhalten. Ebenso kann der umgekehrte Fall eintreten. Und wenn sich Eintrittswahrscheinlichkeiten verschieben, kann sich das wiederum auf die geplanten Massnahmen auswirken.
Umsetzung der Massnahmen müssen überwacht werden
Wenn Sie aus der initialen Risikoanalyse Massnahmen abgeleitet haben, um die Cyberrisiken zu minimieren, ist das sehr gut! Leider erledigen sich diese nicht von selbst. Zum Cyber Risk Monitoring gehört also auch die Überprüfung, ob die Massnahmen effektiv umgesetzt wurden. Insbesondere wenn die Verantwortung für die Umsetzung an andere Personen delegiert wurde, schadet es nicht, den Fortschritt zu überprüfen
Auswirkungen von Massnahmen müssen überwacht werden
Selbst wenn alle Massnahmen wie geplant umgesetzt wurden, heisst das noch lange nicht, dass die Cyberrisiken damit auch tatsächlich minimiert wurden. Was ist, wenn die Massnahmen nicht wie geplant wirken? Oder vielleicht gar nicht mehr den aktuellen Gegebenheiten entsprechen? Im Rahmen des Cyber Risk Monitorings sollte auch geprüft werden, ob die Wirkung der ergriffenen Massnahmen den Erwartungen entsprechen.
Leider unterschätzen viele Unternehmen die generellen Cyberrisiken. Deshalb ist nicht nur eine einmalige Risikobewertung wichtig, sondern es muss eine regelmässige Überwachung stattfinden und eine Risikostrategie festgelegt werden (reduzieren, akzeptieren, auslagern etc.), um schliesslich einem «Leading Practice-Ansatz» gerecht zu werden. Die Herausforderungen bei der Bewältigung von Cyber-Sicherheitsrisiken für ein KMU sind zahlreich. Wesentliche Schwierigkeiten resultieren unserer Erfahrung nach aus:
Diese Schwierigkeiten zeigen leider, dass das Cyber-Risikomanagement heute noch immer ein vernachlässigtes Thema darstellt. Dabei sind gerade Cyberrisiken auch für KMU elementar und dürfen nicht ausser Acht gelassen werden.
Das Cyber-Risikomanagement bildet die Basis und dient dazu, Gefahren und Risiken frühzeitig zu erkennen, zu behandeln sowie proaktiv Aktionen und Massnahmen für den Ereignisfall zu definieren. Dabei empfehlen wir Standards und Best Practices als Orientierungshilfe zu nutzen. Die Version 1.1 des NIST Cyber Security Frameworks sowie der IKT-Minimalstandard tragen den neuen technologischen Entwicklungen Rechnung und bieten ein anerkanntes Framework für das Cyber-Risikomanagement. Ein wichtiger Schwerpunkt liegt unbestritten in der Erkennung von Risiken. Die Kommunikation und Überprüfung von Cyber-Sicherheitsanforderungen zwischen Ihrem Unternehmen und beteiligten Drittparteien ist ein weiterer Aspekt. Hierbei muss sichergestellt sein, Daten und digitales geistiges Eigentum zu schützen, wie es die eigenen Cyber Security-Anforderungen verlangen. Im Bedarfsfall kann dies mittels Security Assessments, Schwachstellen-Scans oder Penetration Tests verifiziert werden. Professionelle Lösungen helfen Ihnen das Cyber Risk Management ressourceneffizient umzusetzen. Die Vorteile liegen auf der Hand: Nur mit solchen Lösungen ist es möglich, die erforderliche Transparenz über Ihre Cyberrisiken zu erhalten, diese zu managen und nachhaltig zu minimieren.
Mit unserer langjährigen Erfahrung im Bereich Cyber Security verfügen wir über die notwendige Expertise, um Sie bei der Definition und beim Aufbau Ihres Cyber Risk Monitoring zu unterstützen. Wir helfen Ihnen, Ihre aktuelle Risikolandschaft zu verstehen und Ihre Risiken zu messen, Ihre Risk Management-Strategie zu definieren und die erforderlichen Massnahmen umzusetzen. Dazu liefert Ihnen unser Cyber Risk Self-Monitoring Service, basierend auf SecurityScorecard, wertvolle Informationen. Dank Cyber Risk Monitoring können Sie rund um die Uhr Ihre Risiken identifizieren, managen und transparent ausweisen. Selbstverständlich können Sie SecurityScorecard auch für die Sicherheitsbewertung Ihrer Lieferantenkette nutzen. Mehr dazu erfahren Sie auf unserer Webpage.