Das geschäftliche Umfeld wird auch für KMUs immer komplexer. Fachkräftemangel, zunehmender Wettbewerb und Kostendruck gehören zur Tagesordnung. Dazu kommen neue Risiken — wie die steigende Abhängigkeit von digitaler Technologie und Cloud-Lösungen oder Elementarschäden und politische Gewalt, die zu erheblichen wirtschaftlichen Verlusten durch Betriebsunterbrechungen und Lieferverzögerungen führen können. Wenn Sie noch kein Risikomanagement-System inklusive Business Continuity-Programm haben oder ihr bestehendes System überprüfen möchten, finden Sie hier einige Kernbereiche, in denen Ihr KMU gefährdet sein könnte. Ausserdem erhalten Sie Empfehlungen für Massnahmen, mit denen Sie beginnen können, um Schwachstellen zu vermeiden.
- Identifizieren Sie alle gefährlichen Materialien (einschliesslich entzündlicher oder brennbarer Flüssigkeiten) und stellen Sie sicher, dass geeignete Kontrollen vorhanden sind, um diese Materialien sicher zu verwenden, zu lagern, zu dosieren und zu entsorgen.
- Stellen Sie sicher, dass die Brandrisiken angemessen bewertet wurden. Brandschutzeinrichtungen sollten in einem funktionsfähigen Zustand gehalten und in Übereinstimmung mit den geltenden Normen gewartet werden. Feuermeldeeinrichtungen sollten für die Räumlichkeiten geeignet sein und Signale an einen ständig besetzten Standort senden.
- Sorgen Sie für klare, ungehinderte Zugangswege und Arbeitsbereiche.
- Stellen Sie sicher, dass elektrische Anlagen in Übereinstimmung mit den geltenden Vorschriften installiert und geprüft werden.
- Ersetzen Sie alle Verlängerungskabel durch eine feste Verkabelung.
- Stellen Sie sicher, dass Maschinen über geeignete Schutzvorrichtungen und dokumentierte Lockout/Tagout-Verfahren verfügen.
- Stellen Sie einen geeigneten, kontrollierten Empfangsbereich für Besucher zur Verfügung.
- Schulen Sie ihre Mitarbeitenden in Bezug auf Unternehmensrichtlinien, Arbeitssicherheitsprogramme, Datenverwaltung und Notfallmassnahmen. Führen Sie regelmässige Auffrischungsschulungen für alle Mitarbeiter:innen durch und erstellen Sie dabei Schulungsunterlagen.
- Entwickeln, überprüfen und testen Sie mindestens alle 12 Monate Ihren Notfallevakuierungsplan (bspw. im Falle von Feuer).
- Verwenden Sie ein physisches und ein IT-Sicherheitssystem (bspw. Badge oder Schlüssel und IT-Zugang), das ehemaligen Mitarbeitenden und Externen den Zugang verwehrt.
- Legen Sie Richtlinien und Sicherheitsvorkehrungen zum Schutz vor Betrug und Unterschlagung fest.
- Schulen Sie Ihre Mitarbeitenden in der korrekten Verwendung und Instandhaltung der persönlichen Schutzausrüstung, wenn solche vorgeschrieben ist.
- Implementieren Sie ein Business Continuity Management-Programm und entwickeln Sie Pläne für den Notfall. Überprüfen Sie das entsprechende Programm und üben Sie die Notfallpläne jährlich.
- Bereiten Sie sich auf Naturereignisse vor. Verlegen Sie z. B. in einer Überschwemmungszone kritische Anlagen oberhalb des potenziellen Hochwasserspiegels; halten Sie geeignete Materialien bereit (Sandsäcke, Hochwasserschutzwände usw.); installieren Sie Steuerelemente, um Verschmutzungen zu verhindern.
- Sie sollten über eine formale Cyber-Sicherheits-Richtlinie verfügen, die von einem qualifizierten IT-Sicherheitsexperten unter Verwendung anerkannter Cybersicherheitsstandards erstellt wurde. Die Richtlinie sollte alle Geschäftssysteme (einschliesslich z. B. Verwaltungsdatenbanken, Software für die Produktion und Entwicklungssysteme, CRM- und ERP-Tools), Netzwerkverbindungen mit Kunden und Lieferanten, Cloud-Speicher- und Back-up-Managementsysteme sowie sichere Produktentwicklungsprozesse abdecken.
- Stellen Sie sicher, dass Cybervorfälle und entsprechende Reaktionspläne in Ihr Business Continuity Management-Programm aufgenommen werden.
- Erstellen Sie einen konkreten Reaktionsplan für Datenschutzverletzungen, um die Eindämmung, Untersuchung und Meldung nach einem Datensicherheitsvorfall zu unterstützen. Stellen Sie sicher, dass dieser Reaktionsplan jährlich überprüft und getestet wird, um effektiv und relevant zu bleiben.
- Sichern Sie regelmässig kritische Daten und Systeminformationen, lagern Sie sie ausserhalb des Standorts und testen Sie ihre Wiederherstellung. Stellen Sie sicher, dass die Wiederherstellungsfunktionen, Ihren geschäftlichen Anforderungen ausreichend entsprechen.
- Implementieren Sie zuverlässige Verfahren zur Zugriffsverwaltung in Ihrem gesamten Netzwerk, einschliesslich des Zugriffs auf kritische Systeme und sensible Daten wie persönliche, gesundheitliche und vertrauliche Geschäftsinformationen
- Schulen Sie Ihre Mitarbeiter:innen mindestens einmal jährlich in guter Cyber-Hygiene, unter anderem in der Verwaltung sicherer Passwörter, im Bewusstsein für Social Engineering/Phishing und in der Bedeutung des Schutzes sensibler Daten.
Chubbs Risikoingenieure:innen unterstützen KMUs im Risk Management und leisten einen wertvollen Service zur Sicherung des Geschäftserfolgs der Zukunft.