ÐндÑей ЯланÑкий -
Wie Risikomanagement und Cybersicherheit zusammenwirken
Cyberrisken existieren nicht in einem isolierten Raum, sondern können den Geschäftsbetrieb nachhaltig beeinflussen. Das muss sich im gesamten Risikomanagement widerspiegeln.
Während Führungskräfte und Vorstände die Cybersicherheit früher in erster Linie als technisches Problem betrachteten, erkennen viele jetzt, dass es sich dabei um ein wichtiges unternehmerisches Problem handelt. Jedes Unternehmen, das seine sensiblen digitalen Ressourcen nicht vor den immer raffinierteren Cyberbedrohungen von heute schützt, wird einen hohen Preis dafür zahlen. Eine einzige schwerwiegende Datenpanne kann zu schwerwiegenden Betriebsunterbrechungen, finanziellen Verlusten, Rufschädigung und behördlichen Sanktionen führen.
Letztlich können es sich Führungskräfte nicht mehr leisten, Cyberrisiken isoliert zu betrachten, und die CISOs auch nicht. Vielmehr sollten sie Sicherheitsinitiativen in den breiteren, unternehmensweiten Rahmen des Risikomanagements einbetten. Auf diese Weise können CISOs effektivere, geschäftsorientierte Entscheidungen treffen, die im Gesamtzusammenhang einen Sinn ergeben.
Risikomanagement vs. Cybersicherheit
Cybersicherheit und Risikomanagement haben unterschiedliche Aufgabenbereiche, überschneiden sich jedoch erheblich. Cybersicherheit konzentriert sich in erster Linie auf den Schutz digitaler Werte - wie Informationssysteme, Netzwerke und Daten - vor unbefugtem Zugriff, Störungen oder Diebstahl. Sie konzentriert sich auf die technischen Kontrollen, Richtlinien und Verfahren, die Cyberrisiken eindämmen.
Enterprise Risk Management (ERM) hingegen ist der Prozess der Identifizierung, Bewertung und Abschwächung der vielfältigen Risiken - strategischer, finanzieller, rechtlicher und betrieblicher Art -, denen Unternehmen heute ausgesetzt sind. Während sich die Cybersicherheit speziell mit digitalen Bedrohungen befasst, ist das Risikomanagement für Unternehmen viel breiter angelegt und befasst sich auch mit Bedrohungen in den Bereichen Wirtschaft, Umwelt, Finanzen, Justiz, Gesetzgebung und Gesellschaft.
Um das Unternehmen möglichst effektiv vor Cyberbedrohungen zu schützen, muss ein CISO die gesamte Risikolandschaft kennen. Sicherheitsverantwortliche sollten daher eng mit anderen Führungskräften des Risikomanagements zusammenarbeiten, darunter beispielsweise Chief Risk Officer (CRO) und Chief Financial Officer (CFO), um die Risikobereitschaft und Risikotoleranz des Unternehmens zu ermitteln.
Schließlich ist es das Unternehmen, das bestimmt, welche Risiken akzeptabel sind, und nicht die Cybersicherheit. Die Aufgabe der Cybersicherheit ist es, dem Unternehmen die digitalen Risiken zu erklären und sie entsprechend den Anforderungen des Unternehmens zu mindern.
Risikomanagement im Unternehmen als Grundlage für Cyberrisikostrategien nutzen
Im Idealfall sind die Kontrollen und Investitionen im Bereich der Cybersicherheit auf die Risikobereitschaft und Risikotoleranz des Unternehmens abgestimmt und spiegeln somit die breitere Risikomanagementstrategie des Unternehmens wider.
Mit einem risikobasierten Ansatz können Sicherheitsverantwortliche ihre Prioritäten für die Cybersicherheit auf der Grundlage der folgenden Punkte festlegen:
- Wie wahrscheinlich ist es, dass ein bestimmtes Cyberereignis eintritt.
- Wie schädlich ein bestimmter Cybervorfall sein könnte.
- Ob die Organisation bereit ist, das Cyberrisiko zu akzeptieren oder nicht.
- Wenn nicht, was wäre nötig, um das Cyberrisiko auf ein akzeptables Niveau zu reduzieren.
Ein Finanzunternehmen würde zum Beispiel das Risiko eines unbefugten Zugriffs auf Kundenkonten wahrscheinlich als sehr hoch einstufen. Daher würde es der Einführung starker Authentifizierungsmechanismen und strenger Zugriffskontrollen Vorrang einräumen.
Die Integration von unternehmensweitem Risikomanagement und Cyberrisikomanagement ist sehr ratsam. Sie erfordert jedoch kontinuierliche interne Bemühungen:
- Verwendung von Frameworks und Methoden für das Risikomanagement in Unternehmen zur Bewertung und Quantifizierung von Cyberrisiken.
- Durchführung regelmäßiger Risikobewertungen und Scans von Schwachstellen, um Unzulänglichkeiten in der Sicherheitsinfrastruktur und den Sicherheitskontrollen des Unternehmens zu ermitteln.
- Durchführung regelmäßiger koordinierter Sicherheitsübungen im gesamten Unternehmen, um weitere Einblicke in das Ausmaß der Cyberrisiken und den Bedarf an Abhilfemaßnahmen zu gewinnen.
- Beziehen Sie sich bei der Entwicklung der Reaktionspläne des Sicherheitsprogramms auf den allgemeinen Rahmen für das Risikomanagement des Unternehmens. Ziel ist es, einen koordinierten und ganzheitlichen Ansatz für die Bewältigung und Eindämmung der Folgen eines Cybervorfalls zu verfolgen.
Strategien für das Risikomanagement von Unternehmen und für das Management von Cyberrisiken sollten nicht isoliert voneinander existieren, sondern sich gegenseitig ergänzen und beeinflussen. Durch die Integration der Cybersicherheit in ihr Risikomanagement können Unternehmen ihre wertvollsten digitalen Vermögenswerte effizienter und besser schützen.