Risikomanagement

Cyberri­siken richtig einschätzen

Viele Unternehmen machen den Fehler, sich bei Bedrohungen ihrer Systeme nur die Schwachstellen in der IT anzuschauen. Das ist gefährlich, denn dabei werden wichtige Risiken vergessen. So geht es besser.

Von Thomas J. Parenty

In den ver­gan­ge­nen zehn Jah­ren ha­ben Cy­ber­an­grif­fe im­mer hö­he­re Kos­ten ver­ur­sacht und im­mer ne­ga­ti­ve­re Fol­gen ge­habt. Die fi­nan­zi­el­len und wirt­schaft­li­chen Ver­lus­te durch den Wan­na­Cry-An­griff 2017 wer­den zum Bei­spiel auf ins­ge­samt acht Mil­li­ar­den Dol­lar ge­schätzt. Und 2018 ent­deck­te der ame­ri­ka­ni­sche Ho­tel­kon­zern Mar­riott, dass bei ei­nem Ha­cker­an­griff auf das Re­ser­vie­rungs­sys­tem des Toch­ter­un­ter­neh­mens Star­wood per­sön­li­che Da­ten und Kre­dit­kar­ten­in­for­ma­tio­nen von 500 Mil­lio­nen Gäs­ten öf­fent­lich wur­den. Ha­cker schei­nen im­mer bes­ser zu wer­den. Im Rah­men un­se­rer Be­ra­ter­tä­tig­keit für Kun­den rund um den Glo­bus ha­ben wir aber noch ei­nen an­de­ren Grund da­für aus­ge­macht, war­um Un­ter­neh­men so an­fäl­lig für Cy­ber­an­grif­fe sind: Sie ken­nen oder ver­ste­hen ihre wich­tigs­ten Ri­si­ko­fak­to­ren nicht, weil sie sich zu sehr auf die tech­ni­sche Ab­si­che­rung kon­zen­trie­ren.

Dies führt dazu, dass die Un­ter­neh­mens­füh­rung schlecht in­for­miert und die Or­ga­ni­sa­ti­on nicht aus­rei­chend ge­schützt ist. Weil Fach­chi­ne­sisch die De­bat­te über Cy­ber­be­dro­hun­gen do­mi­niert, kön­nen Top­ma­na­ger kei­nen nen­nens­wer­ten Bei­trag leis­ten. Des­halb de­le­gie­ren sie die Ver­ant­wor­tung für die Cy­ber­ab­wehr an die Fach­ab­tei­lun­gen für Cy­ber­si­cher­heit und IT, die sich vor al­lem auf Com­pu­ter­sys­te­me kon­zen­trie­ren. Das Er­geb­nis sind lan­ge, schlecht prio­ri­sier­te Maß­nah­men­ka­ta­lo­ge. Und weil kein Un­ter­neh­men aus­rei­chend Res­sour­cen hat, um alle Cy­ber­si­cher­heits­pro­ble­me an­zu­ge­hen, kann es dazu kom­men, dass gra­vie­ren­de Be­dro­hun­gen un­be­rück­sich­tigt blei­ben.

Sinn­vol­ler ist es, sich dar­auf zu kon­zen­trie­ren, wie sich An­grif­fe auf die ge­schäft­li­chen Ak­ti­vi­tä­ten ei­nes Un­ter­neh­mens aus­wir­ken kön­nen. An­ge­nom­men, Sie sind Top­ma­na­ger ei­nes Che­mie­un­ter­neh­mens. Statt zu über­le­gen, wel­che Cy­ber­an­grif­fe auf Ihre Sys­te­me denk­bar sind, könn­ten Sie fol­gen­de Fra­gen stel­len: Wie könn­te ein Cy­ber­an­griff Ihre Lie­fer­ket­te stö­ren? Oder Be­triebs­ge­heim­nis­se of­fen­le­gen? Oder dazu füh­ren, dass Sie ver­trag­li­che Pflich­ten nicht mehr er­fül­len kön­nen? Oder eine Be­dro­hung für die Mensch­heit dar­stel­len? Auf den ers­ten Blick mag die­ser An­satz kei­ne gro­ße Ände­rung be­deu­ten, aber wenn Ma­na­ger bei ih­ren ge­schäfts­kri­ti­schen Ak­ti­vi­tä­ten an­set­zen statt bei der Tech­no­lo­gie, kön­nen sie ihre Ab­wehr­maß­nah­men sinn­voll prio­ri­sie­ren.

Sie lesen die Vorschau

Sie haben diese Ausgabe bereits gekauft oder ein digitales Abo? Dann melden Sie sich mit Ihrer manager-ID an, um den vollständigen Artikel zu lesen.

Den vollständigen Artikel lesen Sie in der Ausgabe 2/2020.