Erkenntnisse der Studie «Cyber Risk Management»
Basierend auf der Studie «Cyber Risk Management in grösseren Schweizer Unternehmen» und in Abstimmung mit der aktuellen Literatur werden folgende acht konkrete Empfehlungen im Umgang mit Cyberrisiken an die Praxis formuliert:
1. Integration von Cyberrisiken ins ERM fördern.
2. Fehlende Risk Governance – fehlendes Fundament: Cyberrisiken müssen in der Corporate Governance jeder Organisation formell verankert werden.
3. Mehrwert bringende Dienstleistungen des Versicherers: Im Risikodialog zwischen Kundschaft/Risk Manager und IT-(Security-)Dienstleister oder Chief Information Security Officer (CISO) kann ein Versicherer auch als Sparringspartner auftreten.
4. Faktor Mensch – ein lohnendes Investment: Menschliche Verhaltensweisen werden im Bereich der Cybersicherheit tendenziell noch zu wenig adressiert.
5. Cloud-Kosten früh und langfristig planen.
6. Cloud-Agnostizismus ermöglicht Flexibilität: Wer Dienstleistungen auslagert, begibt sich in ein Abhängigkeitsverhältnis. Durch die Gestaltung einer Cloud-agnostischen IT-Infrastruktur lässt sich der Grad der Abhängigkeit gezielt reduzieren und steuern.
7. Kontrolle behalten – klassifizieren und verschlüsseln.
8. Vorbereitet sein für Notfälle durch Planung und Übung.
Cyberrisiken zählen zu den globalen Toprisiken. Auch die Treiber der Entwicklung sind bekannt: Die zunehmende Entwicklungen Richtung Cloud Computing, die Virtualisierung des Arbeits‐ und Privatlebens und die stärkere Vernetzung mit dem Internet auch im industriellen Umfeld führen dazu, dass die Risiken zunehmen.
Vor allem die Industrie, die vermehrt auf Cloud-Services setzt, ist mit nicht zu unterschätzenden Risiken konfrontiert: Datenschutz, rechtliche Unsicherheiten, Vertraulichkeit der Daten, Abhängigkeit von einem einzelnen Anbieter, Know-how- und Kontrollverlust, Zunahme der Komplexität, weil Cloud-Anbieter in diverse Massnahmen und Prozesse eingebunden werden müssen wie etwa ins Business-Continuity-Management (BCM).
Unübertragbare Aufgaben
Leitungsgremien tun daher gut daran, Cyberrisiken nicht ausschliesslich als technisches IT-Problem zu verstehen. «Damit sind Aufsichtsorgane zunehmend gefordert, ihre rechtlichen Kontroll- und Aufsichtspflichten auch im Bereich Cyberrisk-Management wahrzunehmen», sagt Stefan Hunziker, Professor und Leiter Kompetenzzentrum Risk and Compliance Management der Hochschule Luzern (HSLU). Denn «der angemessene Umgang mit Cyberrisiken gehört zu den unübertragbaren und unentziehbaren Aufgaben jedes Aufsichtsorgans». Dies, weil Cyberangriffe einen erheblichen Schaden in Organisationen verursachen können, die im schlimmsten Fall hohe Bussen, starke Reputationseinbussen, einen Entzug der Betriebsbewilligung oder sogar den Konkurs bedeuten können.
Hunziker hat mit seinem Team und unterstützt von Economiesuisse sowie von der Schweizerischen Mobiliar das Cyberrisk-Management in 18 grösseren Schweizer Unternehmen aus unterschiedlichen Branchen mit Fokus auf Cloud-Computing untersucht. Dazu liess er 33 Interviews mit Chief Information Security Officers (CISO) und Risk-Management-Verantwortlichen durchführen. Die Ergebnisse zeigen deutlich auf, dass die Relevanz von Cyberrisiken in allen Organisationen in den letzten Jahren erheblich gestiegen ist.
Cyberrisiken: Gefährliche Lücke
Ebenso ist in den Leitungsgremien eine hohe bis sehr hohe Awareness feststellbar. Beispielsweise bei der Fenaco Genossenschaft: «Cyberrisiken sind ein Teil unseres Enterprise-Risk-Managements (ERM)», betont Maria Nutz, Bereichsleiterin Sachversicherungen und Risk Management bei Fenaco, «sie werden speziell im Informationssicherheits-Risikomanagement erfasst, konsolidiert und der Risiko-Controlling-Stelle gemeldet. Letztere sammelt und aggregiert alle Risiken. So fliessen auch Cyberrisiken in den Risikobericht ein.» Das ist für die Agrargenossenschaft mit gut 43 000 Mitgliedern und unterschiedlichen Geschäftsbereichen zentral.
Und doch: Bei vielen Unternehmen scheint ein zentrales Fundament zum Managen von Cyberrisiken zu fehlen. So hat keine der befragten Organisationen explizit definiert, in welchem Ausmass Cyberrisiken bewusst eingegangen werden sollen, um die Geschäftsziele zu erreichen. «Aus der Sicht des Risikomanagements ist das vergleichbar mit einem Schiff, das keinen Kapitän hat», bringt es Studienautor Stefan Hunziker auf den Punkt. Offenbar bereitet das Entwickeln von sogenannten Risikoappetitaussagen in der Praxis grosse Mühe.
Die HSLU-Studie zeigt: Im Umgang mit Cyberrisiken herrscht eine Lücke zwischen der technischen IT-Infrastrukturebene und der organisatorischen Ebene. «Cyberrisiken werden noch zu stark als reines IT-Thema verstanden. Entsprechend werden sie dezentral und operativ gesteuert und zu wenig in das unternehmensweite Risk Management integriert», erläutert Hunziker. Hier ist eine Diskrepanz zwischen der Relevanz des Risikos (Aware ness) und der Risk Governance feststellbar. «Dieser Umstand verhindert einen konsistenten Vergleich – und damit auch eine sinnvolle Priorisierung – von Cyberrisiken und anderen Risikokategorien auf oberster Führungsebene», sagt der Experte.
Risikotransfer: Versicherer sind gefordert
Cyberrisiken können nicht gänzlich verhindert werden. Gerade im Zuge der Pandemie mit dem vermehrten Homeoffice oder der steigenden Anzahl Cyberattacken rückt die Möglichkeit eines Risikotransfers an Versicherer in den Fokus. Aufgrund dieser Entwicklung könnten sich Cyberrisken in den nächsten Jahren zu einer Risikokategorie vergleichbar mit anderen bekannten Risiken entwickeln, gegen die sich zunehmend mehr Firmen und Organisationen versichern.
Doch was können Versicherer beitragen, um Risiken zu minimieren? «Wir als Versicherer sind in der Tat gefordert», so Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk der Mobiliar. «Mit der Cyberversicherung ermöglichen wir beispielsweise Unternehmen einen bedürfnisgerechten Risikotransfer.»
Die aufgezeigten Schwachpunkte in der Studie in Bezug auf deren Anwendbarkeit müsse jedes Unternehmen für sich beurteilen, sagt Hölzli. Aber: «Ungeachtet der technischen Massnahmen kann ein Unternehmen mit dem gezielten Aufbau einer Risikokultur gegenüber Cybergefahren bereits viel erreichen; für diese Stärkung der Widerstandsfähigkeit ist ein Mix von personenbezogenen, technischen, organisatorischen und physischen Massnahmen wichtig.» Andreas Hölzli zeigt sich erstaunt darüber, dass die steigende Gefahr von Cyberrisiken kaum Thema in den Gesprächen mit den Versicherungsgesellschaften ist: «Auch Handlungsempfehlungen und Bedarfsabklärungen werden bei einem etwaigen Restrisiko wenig angesprochen. Dieser Cyberrisikodialog würde nicht nur im Risikoverständnis und Bewusstsein helfen, sondern unter anderem auch in der Risikoeinschätzung, in der Festlegung der Risikoakzeptanz sowie in der Überwachung.»
In der Industrie geht es aber auch um Grundsätzliches: «Man muss die Balance finden: Ist es klüger, das Geld in die Versicherungslösung zu investieren, oder ist es besser, in Cyber-Security zu investieren?», fragt Peter Jussel vom Corporate Risk and Insurance Management der Hilti Corporation, dem weltweit tätigen liechtensteinischen Werkzeughersteller. Die Balance dürfe man nicht so verstehen, dass die Ausgaben für die Versicherungsdeckung einerseits und die Cyber-Security anderseits in etwa gleich gross seien. Es ist eine Balance, die – so die HSLU-Studie – vermehrt von der obersten Führungsebene gehalten werden muss.
Dieser Artikel ist erstmals erschienen unter dem Titel «Das Ende der Ausreden der Chefs» im Risk Management Special der «Handelszeitung» vom 7.7.2022