Cyberrisiken: Seiltanz mit verbundenen Augen?
Hand aufs Herz: Würden Sie den Grand Canyon mit verbundenen Augen auf einer Slackline überqueren? Auf einem nicht einmal zehn Zentimeter breiten Band eine über eine tiefe Schlucht balancieren, ist selbst bei bester Sicht ein beängstigender Gedanke. Und doch ein Szenario, das (zu) viele mittelständische Unternehmen in Bezug auf Cyberrisken jeden Tag eingehen. In der Realität kommt es oft noch dicker: Mitten über dem Abgrund wachen Sie auf, ziehen die Augenbinde ab und stellen fest, dass ein Sturm aufkommt. Ungefähr so fühlt es sich an, wenn aus Bedrohungen Fakten werden und Sie bei einem Angriff Daten oder gar die Kontrolle über Ihre IT verlieren. Eine Horrorvision, die durch IT-Risikomanagement vermeidbar ist.
Was Sie nicht wissen, bedroht sie doch: unbekannte Cyberrisiken
Als Kinder gehört es für uns zu den wichtigsten und vielleicht auch unangenehmsten Lektionen, die wir lernen: Auch wenn wir sie selbst nicht sehen können – die anderen Menschen sind dennoch da. Analog verhält es sich auch mit Cyberrisiken. Sie zu ignorieren, macht sie deshalb nicht weniger gefährlich. Im Gegenteil: Wir verspielen dadurch nur die Chance, sie in unserem Sinne zu beeinflussen.
Nicht nur deshalb wäre es klug, sich mit den Bedrohungen gezielt auseinanderzusetzen. Schließlich sind Unternehmen sogar gesetzlich dazu verpflichtet, Maßnahmen gegen existenzgefährdende Risiken zu ergreifen. Natürlich gibt es auch jede Menge wirtschaftliche Gründe dafür, nicht einfach blauäugig vor sich hin zu wursteln. Neben der eigenen Zahlungsfähigkeit hängen schließlich auch Geschäftsbeziehungen sowie die Bewertung durch Banken von einem verantwortungsbewussten Handeln ab. Und nicht zuletzt gibt es für leichtfertige Hasardeure keinen Versicherungsschutz. Nur wenn Sie Ihre Cyberrisiken kennen, können Sie Angriffen auch angemessen begegnen. Zumal Unwissenheit nicht vor Strafe schützt.
Spot an: Cyberrisiken ausleuchten
Sie haben diese Empfehlung wahrscheinlich schon geahnt: Machen Sie sich ein Bild der Risiken, denen Sie ausgesetzt sind! Das wird Ihr erster Schritt zum Risikomanagement. Denn erst wenn Sie ihre Cyberrisiken erfassen, gewinnen Sie auch die Fähigkeit zu ihrer Steuerung. Betrugsversuche über E-Mails, Links und Webseiten, Hackerangriffe, Lösegeld für durch Schadsoftware verschlüsselte Daten (auch Ramsomware genannt), Industriespionage oder Sabotage – Unternehmen sind heute im elektronischen Datenverkehr vielfältigen Bedrohungen ausgesetzt. Sowohl über Applikationen als auch die Infrastruktur ihrer Computernetzwerke sind Vertraulichkeit, Verfügbarkeit, Verbindlichkeit und Integrität der Daten gefährdet.
Wer Cyberrisiken beleuchtet, erschließt sich den Weg zum Ziel: Ihre Auswirkungen begrenzen und so die Gefahr vermindern zu können. Dazu bilden Sie zwei Kategorien: Sind die Risiken für Ihr Unternehmen beeinflussbar oder entziehen sie sich Ihrem Zugriff? Auf dieser Basis beginnt die Risikobearbeitung als Weg zum Schutz vor Cyberangriffen. Dafür legen Sie ein standardisiertes Vorgehen fest, das Sie zyklisch wiederholen. Sie bewerten die Risiken in Hinblick auf ihre Eintrittswahrscheinlichkeit und ihr Schadenspotenzial und legen anschließend Ihr Vorgehen für den Umgang fest. Dafür stehen Ihnen die folgenden Optionen zur Verfügung: ein Risiko zu
- vermeiden
- begrenzen
- tolerieren
- übertragen
- überwachen
Indem Sie jedes Risiko in eine dieser Kategorien einordnen, entwickeln Sie Ihre Risikostrategie, die Grundlage für ein systematisches Handeln im Umgang mit Cyberattacken.
Systematische Risikobearbeitung bekannter Cyberrisiken
Nun können Sie aus den Handlungsfeldern geeignete Maßnahmen ableiten. Beispielsweise die Schulung ihrer Mitarbeiter, damit sie die Tricks des sogenannten Social Engineering erkennen und künftig auf keinen Fall darauf reinfallen, wenn ihnen ein Fremder vorgaukeln will, der Geschäftsführer zu sein, der für eine geheime Transaktion die stillschweigende Überweisung einer Millionensumme benötigt. Damit wäre der CEO-Fraud vermieden. Wenn Sie zudem Ihre Daten und Systeme sowie Übertragungswege verschlüsseln, begrenzen Sie das Risiko ungewollten Datenverlusts. Dagegen können sie es nur tolerieren, wenn unzufriedene Mitarbeiter Sie durch Diebstahl von Daten oder Sabotage von Produktivsystemen gezielt schädigen wollen. In einigen Bereichen wird es aber möglich sein, Risiken zu übertragen, beispielsweise an eine Versicherung, die auch für den Eigenschaden durch die Betriebsunterbrechung in Folge eines tagelangen Stromausfalls aufkommt. Dabei bleibt die kontinuierliche Überwachung aller Cyberrisiken der Schlüssel zur systematischen Risikobearbeitung.
Raus aus der Komfortzone: Cyberrisiken lassen sich nicht ignorieren
Es gibt nur einen sicheren Weg, nicht in den Abgrund zu stürzen: Die Augen zu öffnen, seinen Blick für Cyberrisiken zu schärfen und raus aus der Komfortzone zu treten. Wer eine Strategie entwickelt, Maßnahmen definiert und die einmal gefundene Lösung immer wieder überprüft, kann letztlich wieder ruhiger schlafen, ohne Angreifer oder Schäden zu fürchten. Denn wenn dann Wind aufkommt, befinden Sie sich bestimmt nicht auf einer Slackline und schon gar nicht mit verbundenen Augen über dem Abgrund. Die gute Nachricht für alle, die sich bewegt haben: Wenn Sie einen erfahrenen IT-Dienstleister beauftragen, hat er die technischen und Betriebsrisiken für Sie sicher im Griff. Dann genügt es, wenn Sie Bewusstsein für die Eigenverantwortung entwickeln.