Cybersecurity ist heute in aller Munde, nachdem das Problem viel zu lange verdr\u00e4ngt wurde, selbst in der ICT-Branche. Angesichts dessen, dass der j\u00e4hrliche Schaden global mittlerweile zehn Billionen Dollar erreicht, immer mal wieder Unternehmen aufgrund von Cyber-Angriffen zugrunde gehen und auch kritische Infrastrukturen unter Beschuss stehen, war es h\u00f6chste Zeit zu handeln.<\/p>\n\n\n\n
In der ICT-Branche l\u00f6st das Thema zwiesp\u00e4ltige Gef\u00fchle aus: Einerseits ist es ein spannendes Gesch\u00e4ftsfeld, das anst\u00e4ndige Margen verspricht. Andererseits erh\u00f6ht es das Risiko f\u00fcr ICT-Anbieter: Sie m\u00fcssen nicht nur sich selbst vor Angriffen sch\u00fctzen, sondern auch daf\u00fcr sorgen, dass ihre eigene L\u00f6sung nicht zum Einfallstor f\u00fcr Angriffe auf ihre Kunden werden kann. Xplain l\u00e4sst gr\u00fcssen!<\/p>\n\n\n\n
Was mir allerdings auff\u00e4llt: In vielen Firmen wird Risikomanagement auf das Thema Cybersecurity beschr\u00e4nkt. Dabei werden die zahlreichen anderen Aspekte dieses Themas weitgehend ausgeblendet. Seit \u00fcber zehn Jahren ist aber in der Schweiz die Risikoberichterstattung (ab CHF 20 Millionen Jahresumsatz) zu einer expliziten Pflicht des Verwaltungsrats geworden. Es gibt keine konkreten Sanktionen bei Unterlassung, allerdings sollte man hier als Mitglied des Verwaltungsrats nicht nachl\u00e4ssig sein. Aus mangelhaftem Risikomanagement kann eine pers\u00f6nliche Haftbarkeit abgeleitet werden, wenn das Unternehmen zahlungsunf\u00e4hig wird.<\/p>\n\n\n\n
Ich m\u00f6chte auf ein paar spezifische, oft untersch\u00e4tzte Bereiche kurz eingehen, um das Problem verst\u00e4ndlich zu machen. Die Vorgehensweise ist jedoch in allen Bereichen gleich: Risiken erkennen, beurteilen, eliminieren, Gegenmassnahmen ergreifen oder das Risiko versichern.<\/p>\n\n\n\n
Besonders dramatisch kann sich der Ausfall von Schl\u00fcsselpersonen auswirken. Und dies kann jederzeit passieren, selbst wenn sich die Person bester Gesundheit erfreut. Wir alle haben am Sonntag erfahren, dass der 55-j\u00e4hrige Bundesratssprecher beim Wandern ohne irgendwelche Vorzeichen pl\u00f6tzlich tot zusammengebrochen ist. In der F\u00fchrung gibt es oft klare Stellvertretungsregelungen, doch manchmal \u00fcbersieht man, dass es nur einen einzigen Mitarbeiter gibt, der weiss, wie man eine bestimmte Maschine wieder zum Laufen bringt. Und gute Verk\u00e4ufer sind oft unersetzlich, selbst wenn alles sauber im CRM hinterlegt ist, weil die pers\u00f6nliche Beziehung und das Vertrauensverh\u00e4ltnis nicht einfach durch eine andere Person ersetzt werden k\u00f6nnen. Hier gilt es, vorzusorgen.<\/p>\n\n\n\n
Dass man sich wirtschaftlich nicht von einem einzigen Kunden abh\u00e4ngig machen sollte, muss heute nicht mehr betont werden. Hingegen sind bei ICT-Firmen oft die Branchenabh\u00e4ngigkeiten betr\u00e4chtlich: Was passiert, wenn zum Beispiel die Autozuliefer- oder die Textilmaschinenindustrie pl\u00f6tzlich konjunkturell in ein Wellental ger\u00e4t, der man eine hoch spezialisierte Software anbietet, welche den gr\u00f6ssten Teil des Umsatzes generiert?<\/p>\n\n\n\n
Gewiss, dieses Risiko kann nicht einfach eliminiert werden und ist dem Business-Modell immanent, aber man muss sich dessen bewusst sein. Ein m\u00f6glicher Ausweg ist die Sicherstellung einer ausreichenden finanziellen Resilienz, um Durststrecken zu \u00fcberstehen, oder das Forcieren der Diversifizierung.<\/p>\n\n\n\n
Es gibt ja nicht nur Cybercrime, sondern auch die ganz “normale” Kriminalit\u00e4t. Unterschlagung und Veruntreuung kommen h\u00e4ufiger vor, als man denkt \u2013 vor allem, weil Firmen aus Angst vor der Blamage oft davor zur\u00fcckschrecken, die Vorg\u00e4nge zur Anzeige zu bringen, und auch, weil die Chance auf R\u00fcckerstattung gr\u00f6sser ist, wenn der T\u00e4ter nicht im Gef\u00e4ngnis hockt.<\/p>\n\n\n\n
Dabei zeigt sich, dass die zentralen Gesch\u00e4ftsprozesse durch zahlreiche Pr\u00fcfungen und Sicherheitsroutinen oft gut gesch\u00fctzt sind. Wenn etwas passiert, sind meist weniger gut kontrollierbare Drittpersonen wie Kunden und Lieferanten im Spiel. Oder aber das kriminelle Geschehen spielt sich in Nebenbereichen wie Marketing oder Sponsoring ab: Ich pers\u00f6nlich erinnere mich an einen Fall, in dem es einem “Finanzer” gelang, superteure Rennr\u00e4der, die eigentlich f\u00fcr vom Unternehmen unterst\u00fctzte Spitzensportler bestimmt waren, f\u00fcr sich abzuzweigen.<\/p>\n\n\n\n
Es lohnt sich in jedem Fall, als Mitglied der Gesch\u00e4ftsleitung oder als Verwaltungsrat das Risikomanagement ernst zu nehmen und kritisch nachzuhaken. Je nach Gr\u00f6sse und Bedeutung des Unternehmens gilt es nat\u00fcrlich zu differenzieren. Auf die bunte Risikomatrix aus der K\u00fcche eines teuren externen Beraters kann getrost verzichtet werden, wenn sich herausstellt, dass das gr\u00f6sste Risiko in der Firma der Ausfall der Kaffeemaschine zur Unzeit ist.<\/p>\n\n\n\n
Dieser Beitrag erschien in weitgehend identischer Form in meiner\u00a0<\/em>Kolumne \u201cVon Hensch zu Mensch\u201c<\/a>\u00a0auf inside-it.ch und wurde teilweise mit KI recherchiert und optimiert.\u00a0Illustration: Foto von Dmitrii Vaccinium<\/a> auf Unsplash<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Cybersecurity ist heute in aller Munde, nachdem das Problem viel zu lange verdr\u00e4ngt wurde, selbst in der ICT-Branche. Angesichts dessen, dass der j\u00e4hrliche Schaden global mittlerweile zehn Billionen Dollar erreicht,…<\/p>\n","protected":false},"author":3,"featured_media":3850,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_coblocks_attr":"","_coblocks_dimensions":"","_coblocks_responsive_height":"","_coblocks_accordion_ie_support":"","footnotes":"","_links_to":"","_links_to_target":""},"categories":[83],"tags":[],"class_list":["post-3848","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ict"],"_links":{"self":[{"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/posts\/3848","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/comments?post=3848"}],"version-history":[{"count":2,"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/posts\/3848\/revisions"}],"predecessor-version":[{"id":3852,"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/posts\/3848\/revisions\/3852"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/media\/3850"}],"wp:attachment":[{"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/media?parent=3848"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/categories?post=3848"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hens.ch\/en\/wp-json\/wp\/v2\/tags?post=3848"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}