Cyberrisiken im Auge behalten und managen

Cyberangriffe zählen weltweit zu den grössten Geschäftsrisiken. Das gilt auch für die Schweiz: Allein im vergangenen Jahr meldete das Nationale Zentrum für Cybersicherheit über 10 000 Cyberattacken. Die Dunkelziffer dürfte noch um einiges höher sein. Neue Bedrohungen und die digitale Transformation erhöhen die Komplexität der Risikosituation, das Lieferantennetzwerk wird immer umfangreicher und die Anzahl Anwendungen respektive Schnittstellen wächst stetig.

Risikomanagement ist Managementaufgabe

Ausser dem klassischen Risikomanagement gilt es auch zahlreiche regulatorische Vorgaben wie etwa das neue DSG und die DSGVO zu erfüllen. Die Verantwortung hierbei liegt beim Verwaltungsrat. Er trägt unter anderem die Gesamtverantwortung für das Risikomanagement im Unternehmen, definiert die Risikostrategie und überprüft periodisch das Risikoprofil. Dabei gilt es auch finanzielle und operative Risiken (etwa Cyberrisiken) zu betrachten, adäquate Massnahmen zur Steuerung zu definieren und die Wirksamkeit dieser Massnahmen zu überwachen. Dazu müssen die Risiken identifiziert, bewertet und die Risikostrategie respektive der «Risikoappetit» festgelegt werden.

Durch die zunehmende Digitalisierung, Vernetzung und Nutzung von Cloud-Diensten ist dies jedoch eine vielschichtige Herausforderung. Deshalb empfiehlt es sich, das Cyberrisiko-Management auf Szenarien aufzubauen. Dabei werden die Risiken mit prozess- und serviceorientierten Szenarien abgebildet und definiert, inklusive der wichtigsten (Schutz-)Massnahmen. Das Denken in Risikoszenarien hilft, die Auswirkungen von Risiken zu visualisieren und zu konzentrieren.

Cyberrisiken sind dynamisch und kennen keine Grenzen

Da sich Cyberrisiken dauernd verändern, ist auch Cyberrisiko-Management ein kontinuierlicher Prozess. Deshalb muss die Risikoanalyse permanent auf Aktualität und Stimmigkeit überprüft werden. Dazu müssen Cyberrisiken überwacht und allenfalls die Risikostrategie angepasst werden, denn:

Rahmenbedingungen ändern sich: Die initiale Cyberrisiko-Analyse wird unter bestimmten Rahmenbedingungen durchgeführt. Ändern sich diese, so müssen auch die Risiken neu bewertet werden.

Eintrittswahrscheinlichkeiten ändern sich: Ein Cyberrisiko, das ursprünglich als sehr unwahrscheinlich angesehen wurde, kann plötzlich eine höhere Priorität erhalten. Verschieben sich Eintrittswahrscheinlichkeiten, so hat dies auch Einfluss auf die Priorisierung der Massnahmen.

Massnahmen müssen umgesetzt werden: Zum Cyberrisiko-Monitoring gehört auch das Überprüfen, ob die Massnahmen effektiv umgesetzt wurden. Besonders wenn die Verantwortung für die Umsetzung an weitere Personen delegiert wurde, schadet es nicht, den Fortschritt zu überprüfen.

Auswirkungen müssen analysiert werden: Selbst wenn alle Massnahmen wie geplant umgesetzt wurden, heisst das nicht, dass die Cyberrisiken damit auch tatsächlich minimiert wurden. Im Rahmen des Cyberrisiko-Monitorings sollte deshalb auch geprüft werden, ob die Wirkung der Massnahmen effektiv den Erwartungen entsprechen.

Cyberrisiko-Management und das entsprechende Monitoring sind aus diesem Grund wichtige Aspekte im ganzen Sicherheitsdispositiv eines Unternehmens. Cyberrisiken müssen aber immer im Kontext des jeweiligen Business-Umfelds betrachtet werden. Deshalb empfehlen wir auch Drittparteien wie Partner und Lieferanten in die Cyberrisiko-Betrachtung miteinzubeziehen. Nur durch die bewusste Ausweitung des eigenen Risikomanagements auf die Lieferanten erhält man die erforderliche Transparenz über die Cyberrisiken und kann diese bewusst managen.