Cyber Risk Management Fehlende Integration von Cyber-Risiken

Von Anne Richter

Anbieter zum Thema

Schweizer Unternehmen integrieren Cyber-Risiken zu wenig stark ins Risikomanagement. Das zeigt eine gemeinsame Studie der Hochschule Luzern, der Mobiliar und von Economiesuisse. Die Leitungsgremien sind sich der Gefahren bewusst, dennoch werden Cyber-Risiken noch zu oft als reines IT-Problem behandelt.

Eine gemeinsame Studie der Hochschule Luzern, der Mobilar und Economiesuisse zeigt, dass Schweizer Unternehmen Cyber-Risiken zu wenig stark ins Risikomanagement integrieren.
Eine gemeinsame Studie der Hochschule Luzern, der Mobilar und Economiesuisse zeigt, dass Schweizer Unternehmen Cyber-Risiken zu wenig stark ins Risikomanagement integrieren.
(Bild: oz - stock.adobe.com )

Die Hochschule Luzern hat zusammen mit der Mobiliar und Economiesuisse eine Studie über die Integration von Cyber-Risiken in Schweizer Unternehmen durchgeführt und die Ergebnisse veröffentlicht. Aufsichtsorgane sind demnach zunehmend gefordert, ihre rechtlichen Kontroll- und Aufsichtspflichten auch im Umgang mit Cyber-Risiken wahrzunehmen. Nebst dieser rechtlichen Verpflichtung gibt es auch aus betriebswirtschaftlicher Sicht gute Gründe, in das Cyber Risk Management zu investieren. Schliesslich können Cyberangriffe einen erheblichen Schaden in Organisationen verursachen, die im schlimmsten Fall hohe Bussen, einen starken Reputationsverlust, den Entzug der Betriebsbewilligung oder den Konkurs bedeuten können.

Bei vielen Unternehmen scheint ein zentrales Fundament zum Managen von Cyber-Risiken grundsätzlich zu fehlen: Keine der befragten Organisationen hat explizit definiert, in welchem Ausmass Cyber-Risiken bewusst eingegangen werden sollen, um die Geschäftsziele zu erreichen. «Aus der Sicht des Risikomanagements ist das vergleichbar mit einem Schiff, das keinen Kapitän hat», sagt Stefan Hunziker, Studienautor und Leiter des Kompetenzzentrums Risk & Compliance Management an der Hochschule Luzern. Offenbar bereitet das Entwickeln von sogenannten Risikoappetit-Aussagen in der Praxis grosse Mühe.

Die HSLU-Studie zeigt: Im Umgang mit Cyber-Risiken herrscht eine Lücke zwischen der technischen IT-Infrastruktur-­Ebene und der organisatorischen Ebene. «Cyber-Risiken werden noch zu stark als reines IT-Thema verstanden. Entsprechend werden sie dezentral und operativ gesteuert und zu wenig in das unternehmensweite Risk Management integriert», erläutert Hunziker. Hier ist eine Diskrepanz zwischen der Relevanz des Risikos (Awareness) und der «Risk Governance» feststellbar. «Dieser Umstand verhindert einen konsistenten Vergleich – und damit auch eine sinnvolle Priorisierung – von Cyber-Risiken und anderen Risikokategorien auf oberster Führungsebene», sagt der Experte. Als ersten Schritt in die richtige Richtung empfiehlt er, die Zusammenarbeit zwischen Chief Information Security Officer (CISO) und Risk Manager zu fördern. «Denn hier wird primär die Brücke zwischen der technischen Cyber­sicherheit und dem betriebswirtschaftlichen Risk Management geschlagen», so Hunziker.

Ergänzendes zum Thema
Im Fokus
Cyber Risk Management in grösseren Schweizer Unternehmen

Forscher der Hochschule Luzern haben mit der Unterstützung der Mobiliar und von Economiesuisse 33 Interviews mit Risk-­Management-Verantwortlichen und Chief Information Security Officers (CISO) in 18 grösseren Schweizer Unternehmen aus unterschiedlichen Branchen geführt. Ziel der Untersuchung war es, ein tiefgreifendes Verständnis über den Umgang mit Cyber-­Risiken allgemein und speziell im Kontext mit Cloud Computing zu erhalten.

Risikoursache «Mensch»: zusätzliche Investitionen notwendig

Oft werden die einfachsten und gleichermassen wirkungsvollsten Massnahmen im Umgang mit Cyber-Risiken noch immer vernachlässigt. Stefan Hunziker: «Gegebenenfalls ist die Definition von Cyber-­Risiken deshalb auch etwas irreführend, da viele Risikoursachen nicht im Cyber-­Raum zu finden sind, sondern in menschlichem Fehlverhalten.» Hilfreich sei die Analogie zur Medizin: Dort wisse man schon lange, dass korrektes menschliches Verhalten die Übertragung von Krankheiten verhindert. Regelmässige Desinfek­tion, diszipliniertes Händewaschen und Abstand einhalten ist etabliertes Verhalten – spätestens seit Ausbruch der Co­rona-­Pandemie. Die vorliegende Studie bestätigt, dass der «Faktor Mensch» beziehungsweise menschliche Verhaltensweisen im Bereich der Cybersicherheit im Vergleich mit technischen Massnahmen noch zu wenig adressiert werden. «Der Faktor ‹Mensch› macht im kontinuierlichen Verbesserungsprozess der Cyber­sicherheit zwar nur ein Element aus, jedoch ein sehr wichtiges», so Hunziker. Menschliches Verhalten im Umgang mit der Cybersicherheit sollte so trainiert werden, dass es so selbstverständlich und «normal» wird, wie in die Armbeuge zu niesen.

Cloud-Migration: nur mit Strategie

Viele Cyber-Risiken haben ihre Ursache in der Cloud-Nutzung. Umso wichtiger ist es, dass Organisationen den Gang in die Cloud gut planen und mit entsprechenden Massnahmen begleiten. «Das Erstellen einer klaren Strategie steht ganz am Anfang einer gut geplanten Migration in die Cloud», sagt Armand Portmann, Studienautor und Themenfeldverantwortlicher Information & Cyber Security | Privacy am Departement Informatik der Hochschule Luzern. Erfreulicherweise verfügt ein Grossteil der befragten Organisationen über ein solches Dokument, das die Rahmenbedingungen zur Einführung und Nutzung von Cloud Services beschreibt. Das lasse den Schluss zu, dass das Thema Cloud Computing inzwischen auch in den Führungsgremien Aufmerksamkeit ge­niesst. «Es ist ein Bewusstsein vorhanden, dass die Nutzung von Cloud-Diensten mit Risiken verbunden ist», so Armand Portmann.

Bei der Benennung der Risiken, die sich bei der Nutzung von Cloud Services ergeben, sind die befragten Organisationen nicht um Antworten verlegen. «Unter die top drei fallen der Verlust der Vertraulichkeit, respektive die Verletzung des Datenschutzes, die Abhängigkeit vom Cloud-­Diensteanbieter und Fragen der Haftung», erklärt Fernand Dubler, Studien­autor und wissenschaftlicher Mitarbeiter an der Hochschule Luzern. Das Thema sei komplex. Deshalb sei es nicht verwunderlich, dass die Massnahmen, die für die Linderung dieser Risiken notwendig sind, nicht einfach auf der Hand liegen. Dubler ergänzt: «Diese Massnahmen sind äus­serst vielfältig und müssen individuell aus der konkreten Outsourcing-Situation entwickelt werden. Das stellt die betroffenen Organisationen oft vor sehr grosse Herausforderungen.» -ari- SMM

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48365191)