Face

2020 Ausgabe 2

Risk Engineering

Titelthema

Mit dem Finger auf der Wunde

Im heutigen Informations- und Digitalzeitalter sind wir in der Lage, mehr Daten als je zuvor zu sammeln, effizienter mit anderen zusammenzuarbeiten, Geschäftsprozesse zu rationalisieren und Informationen jederzeit weltweit abzurufen. Daten sind Wissen und Wissen ist Macht, so lautet das Motto. Wie bei fast allem gibt es jedoch auch bei der Medaille namens Digitalisierung durchaus eine Kehrseite und diese heißt Cyberrisiko. Auch hier ist Wissen Macht, denn die individuellen Risiken zu kennen – und diese entsprechend zu handhaben –, ist für Unternehmen angesichts der immer weiter zunehmenden Bedrohung durch Cybergefahren essenziell.

Aktiv dagegensteuern


Durch die hohe Abhängigkeit von Computersystemen und Datenzugriffen können System- ausfälle, Fehler und Angriffe auf die neuen Prozesse enorm gefährlich und kostspielig werden. Viele Cyberexperten sehen die Lage sogar noch weitaus kritischer. Aus ihrer Sicht lautet die Frage nicht, ob es zu Datenpannen oder Verletzungen der Privatsphäre kommen könnte, sondern es ist vielmehr nur eine Frage der Zeit. Bei so düsteren Prognosen fragt man sich dann: Kann ich überhaupt etwas gegen Cyberrisiken tun, wenn das doch der scheinbar unvermeidliche Lauf der Dinge ist? Ganz so einfach ist das natürlich nicht. Zwar gibt es keine hundertprozentige IT-Sicherheit, weshalb sich auch nicht jeder Cybervorfall verhindern lässt, das ist die Realität, doch was durchaus verhindert werden kann, ist das Ausmaß eines solchen Ereignisses. Und dessen Eintrittswahrscheinlichkeit beziehungsweise ebenfalls die Häufigkeit von Vorfällen. Denn je größer das Sicherheitslevel, desto schwieriger haben es Cyberrisiken natürlich auch. Tut man jedoch nichts gegen sie und verschließt die Augen vor möglichen „Brandherden“, dann ist die Wahrscheinlichkeit recht groß, dass es tatsächlich bald brennt – möglicherweise sogar mit verheerenden Folgen. Alle Gefahrenpotenziale zu identifizieren, zu analysieren und für diese eine Lösung zu finden, ist heute also weniger eine Option als vielmehr ein Muss, damit das eigene Unternehmen nicht in ernstzunehmende Schwierigkeiten oder sogar in eine existenzbedrohende Situation gerät.

Unterschiedlich gefährdet


Aufgrund der vielfältigen und schnell wechselnden Bedrohungsszenarien gestaltet sich das Risk Management in Sachen Cyber meist recht komplex. Erschwerend kommt hier hinzu, dass sich die Exponierung von Unternehmen zu Unternehmen deutlich unterscheiden kann. Deswegen ist beim Erfassen der jeweiligen Risikosituation mehr als ein striktes Vorgehen nach „Schema F“ nötig, es bedarf vielmehr einer individuellen Betrachtung und das vor allem unter Berücksichtigung branchenspezifischer Risiken. Denn je nachdem in welchem Sektor Unternehmen tätig sind, wirkt sich das auch darauf aus, für welche Cyberrisiken sie besonders und in welchem Ausmaß sie dabei exponiert sind – und hierbei kann es ebenfalls Unterschiede geben.

f_20_2_imga_tt1.jpgf_20_2_imgb_tt1.jpg

Genau hingeschaut


Die betrieblichen Abläufe von Unternehmen und die von ihnen eingesetzten Technologien können also sehr verschieden sein. Umso wichtiger ist es deswegen, dass individuelle Schwachstellen identifiziert werden und vor allem auch dass ein grundlegendes Verständnis dafür entsteht, wie und zu welchen Cybervorfällen es kommen kann und wie beziehungsweise durch welche Maßnahmen diese bestmöglich vermieden werden können. Um das vollumfängliche Cyberrisiko eines Unternehmens einschätzen zu können, müssen allerdings zahlreiche – und zwar die unterschiedlichsten – Faktoren berücksichtigt und entsprechend beurteilt werden: das Unternehmen selbst, dessen Firmengelände, das Netzwerk und die Infrastruktur, zudem die Ressourcen für die Informationssicherheit, Richtlinien, Prozesse und Schutzmaßnahmen sowie spezifische Sicherheitsverfahrensweisen. Dabei gilt es auch eventuelle Verstöße zu erkennen und daraus resultierende Maßnahmen zu bewerten, außerdem fließen frühere Schäden in die Risikoeinschätzung des Risikoingenieurs ein. Hier geht es darum, einen vollständigen Überblick zu erhalten. Denn nur wenn das Gesamtbild bekannt ist, können auch adäquate Handlungsempfehlungen gegeben werden, zum Beispiel im Hinblick auf die zu erwartenden Schäden oder aber detaillierte Informationen über Verbesserungen, die in Bezug auf die Risiken möglich sind. Gleichzeitig bedeutet das: Nur wer sich seine Gefahren vor Augen führt, genau um diese weiß, kann auch sein IT-Sicherheitslevel verbessern und dadurch die Gefahr von Cybervorfällen und -schäden reduzieren. Damit wären wir wieder am Anfang, der Kreis schließt sich sozusagen. Wissen ist tatsächlich Macht. Oder im vorliegenden Fall: Wissen ist Sicherheit und Sicherheit ist Macht.

Marielle Winter
marielle.winter@chubb.com

Archiv

Sie möchten eine ältere Ausgabe der Face lesen? Dann stöbern Sie bitte durch das Archiv und laden sich die entsprechende Ausgabe als PDF herunter.

Zum Archiv

Anmeldung Face

Sie möchten in Zukunft darüber informiert werden, wann die neue Ausgabe der Face hier zu lesen ist? Dann melden Sie sich bitte hier an, gerne lassen wir Ihnen eine Nachricht zukommen.