Cyber Risk Mitigation – Kostenfaktor oder Wertschöpfung?

Mit der Corona-Krise – spätestens aber mit dem Krieg in der Ukraine und den damit einhergehenden geopolitischen Umwälzungen – stellten wir alle fest, dass sich das Tempo der Veränderung unserer Umwelt noch einmal verschärft hat. Was wir lange Jahre als VUCA-Welt (Volatility, Uncertainty, Complexity, Ambiguity) wahrgenommen haben, hat sich zu einer noch weniger fassbaren Welt verändert, für die Jamais Cascio 2020 in einem Essay den Begriff BANI (Briddle, Anxious, Non-linear, Incomprehensible) geprägt hat. Wie sollen Verwaltungsrat und Geschäftsleitung eines Unternehmens in diesem Umfeld Leadership wahrnehmen, auch im Hinblick auf die exponentiell wachsenden Technologie-Opportunitäten und Herausforderungen? Wenn es früher scheinbar gereicht hat, heikle Themen wie z. B. Cyber Risk Mitigation an die interne Fachabteilung zu delegieren, wird dieser Ansatz dem heu­tigen Umfeld definitiv nicht mehr gerecht.

Auch für KMU ist die Hoffnung, «unterhalb des Radars zu fliegen» und von Cyberkriminellen unbeachtet zu bleiben, mittlerweile vorbei. Es gibt inzwischen mehr als genug Meldungen zu Angriffen und Schadenfällen, ob bei grossen Firmen, bei der öffentlichen Verwaltung oder eben auch bei KMU. Heikler Datenklau, frustrierte Kundinnen und Kunden und völlig unterschätzte Aufwände für das Neuaufsetzen attackierter Systeme sind auch in der Schweiz an der Tagesordnung. Mit der voranschreitenden Digitalisierung der Geschäftsprozesse und -modelle und der fortlaufend komplexer werdenden IT-Welt – man denke nur an das Internet of Things – werden auch die Angriffsflächen für Hackerinnen und Hacker jeglicher Couleur immer zahlreicher.

Eine 100-prozentige Sicherheit gegen Cyber­risiken gibt es nicht. Das ist allseits bekannt und sollte allen Beteiligten bewusst sein. Deshalb ist das Eintreffen eines Cyber­vorfalls kein theoretisches Gedankenspiel, sondern ein konkret zu erwartendes Ereignis. Das heisst jedoch, dass neben den vorbeugenden technischen, organisatorischen und auch kulturellen Massnahmen auch das Verhalten während und nach einem Vorfall geplant und trainiert werden muss. Also konkretes Krisen- und Business Continuity Management. Leider sind viel zu viele Organisationen auf diese Aufgaben völlig unzureichend vorbereitet. Eine Unternehmensleitung, die das Risiko eingeht, von einem Cyberangriff überrascht zu werden, nimmt ihre Verantwortung nicht vollumfänglich wahr. Aber nicht nur kurzfristig auftauchende Zwischenfälle, auch sich längerfristig entwickelnde Szenarien fordern die oberste Leitung. Mit künstlicher Intelligenz – und in nicht allzu ferner Zukunft wohl auch mit Quantum Computing – stehen mächtige Werkzeuge bereit, die in der Hand von Krimi­nellen und staatlichen Akteuren weitere Gefährdungspotenziale generieren.

Spätestens seit 2020 hat sich gezeigt, dass coronabedingte Personalausfälle, Energie­-engpässe oder auch Cyberattacken zu Unterbrüchen oder zumindest zu Verzögerungen in der Lieferkette geführt haben. Die Lieferfähigkeit trotz widriger Umstände aufrecht zu erhalten bzw. wieder herzustellen ist unter dem Begriff der «Operational Resilience» im heutigen Umfeld ein wichtiger Erfolgsfaktor der unternehmerischen Wertschöpfung geworden. Und in einem digitalisierten Umfeld ist der Aufbau und die Sicherstellung einer «IT Resilience» eine Grundvoraussetzung für eine Operational Resilience des Unternehmens. Adäquate Cyber Risk Mitigation, von der Unternehmensleitung weitsichtig gefordert, gefördert und gesteuert, trägt wesentlich dazu bei und ist deshalb nicht bloss als lästige «Versicherungsgebühr», sondern im Gegenteil als essenzieller Beitrag zur Sicherstellung der Wertschöpfung zu beurteilen.

Wie kann ein Mitglied von Geschäftsleitung oder Verwaltungsrat dieser Verantwortung gerecht werden? Denn wer hat sich in einer Situation, in der Cyberspezialistinnen und -spezialisten Risiken, Konzepte und Massnahmen diskutieren, nicht schon gedacht, dass es gerade so gut Delphine sein können, die hier miteinander kommunizieren. Denn man versteht kein Wort. Nun, GL- und VR-Mitglieder müssen keine technischen Expertinnen und Experten für Cyber Risk Mitiga­tion sein. Aber sie müssen beurteilen können, ob das Unternehmen die realen Risiken von Cyber Incidents identifiziert hat und über die notwendige Maturität verfügt, diese Risiken zu managen. Sie müssen verstehen, ob die kritischen Daten ausreichend geschützt sind, und ob die eigenen kritischen Systeme und Geschäftsprozesse sowie auch diejenigen der wichtigen Lieferanten genügend resilient sind. Ebenso ist zu verifizieren, ob ein Vorfall- und ein Business Continuity Management eingeführt ist und trainiert wird.

Während grosse Unternehmen und kritische Infrastrukturen die technische Kompetenz zur Planung und Umsetzung dieser Aufgaben meist inhouse haben, bestehen bei KMU oft Wissenslücken. Hilfe bieten jedoch Standards und Rahmenwerke wie das «Cybersecurity Framework» vom National Institute of Standards and Technology (NIST) oder auch der «Minimalstandard zur Verbesserung der IKT-Resilienz» vom Bundesamt für wirtschaftliche Landesversorgung. Ebenfalls aufschlussreich ist das Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» der FINMA, das auch anderen Branchen als wertvoller Leitfaden dienen kann.

Um in einer Welt, die von BANI-Mustern geprägt ist, erfolgreich unterwegs zu sein, ist Resilienz ein Schlüsselfaktor. Der Weg dorthin ist aufwändig, jedoch alternativlos. Und mit einem stufenweisen Vorgehen jedoch gut erreichbar. Wird z. B. anhand von Health Checks eine Roadmap aus Initiativen erarbeitet und diese schrittweise implementiert, so hat die Unternehmensleitung jederzeit die Möglichkeit, steuernd einzugreifen. Essenzielle Voraussetzung ist, dass diese die Aufgabe einer effektiven Cyber Risk Mitigation und die damit verbundene Ver­antwortung wahrnimmt.