News

Informationssicherheit als integraler Bestandteil des Risikomanagements

Wenn die Awareness entscheidet

Redaktion RiskNET07.07.2014, 22:07

In seinem Buch "Die Zeit, die Zeit" beschreibt der Autor Martin Suter den Versuch des alten Albert Knupp und seines Nachbarn Peter Taler die Zeit zurückzudrehen. "Gegenwart, Vergangenheit, Zukunft: alles Mumpitz" – die Grenzen der scheinbar nicht existierenden Zeit werden philosophisch und literarisch verwischt. Was in der theoretischen Welt der "Zeitzweifler" scheinbar funktioniert, ist für Risikomanager in zweierlei Hinsicht nicht praktikabel. Zum einen ist der rückwärtsgewandte Blick in die Vergangenheit – in den Rückspiegel – reine Risikobuchhaltung. Zum anderen braucht ein modernes Risikomanagement den Blick nach vorne, vorwärtsgewandt, um Chancen zu erkennen und für die eigene Organisation zu nutzen. 

Wie wichtig das frühzeitige Erkennen von Risiken und Chancen für Unternehmen jeder Größe und in allen Branchen ist, zeigt sich bei einem Blick auf die Risikolandkarte unserer Zeit. Die Liste möglicher Risiken ist lang und reicht von Finanzkrisen über den Cyberkrieg bis zu Social Engineering und Lieferengpässen aufgrund von Naturkatastrophen. Im Umkehrschluss heißt das für Organisationen sich umfassend zu schützen – sprich professioneller im Risikomanagement und bei IT-Sicherheitsfragen aufstellen und ihre Risikolandkarte vor Augen zu haben. Was Unternehmen in der Praxis brauchen, ist eine umfassende und integrierte Managementstrategie. Wichtig ist die Gesamtsicht auf die Risiken im Unternehmen, denn viele Entscheider befinden sich noch immer im Blindflug. Vor allem verschließen viele Top-Manager die Augen, wenn es um Risiko- und Informationssicherheitsfragen für die eigene Organisation geht. Mit anderen Worten: Unternehmen lassen sich nur zielgerichtet steuern, wenn alle potenziellen Risiken und Chancen erkannt sind und vorausschauend gesteuert werden können. 

Security- und Risk-Lösungen ja, aber …

Der Verfassungsschutz schätzt, dass deutschen Unternehmen durch Wirtschaftsspionage ein Schaden von rund 50 Milliarden Euro pro Jahre entsteht. Die Zahlen zu Datenpannen, Spionageangriffen, Risikoschäden oder strafbaren Compliance-Verfehlungen sind enorm und stehen regelmäßig in den Hitlisten der Wirtschafts- und Fachpresse. Was folgt ist in vielen Fällen der Ruf nach mehr Sicherheit und technischer Unterstützung. Softwareanbieter aller Couleur bieten Security-Lösungen und Risikomanagementsoftware für das sichere Unternehmen an. Ein Patentrezept? Mitnichten, denn technische Lösungen unterstützten nach Expertenmeinung nur zu rund einem Drittel eine solide Sicherheits- und Risikomanagementstrategie in der eigenen Organisation. Die Mehrheit der Vorfälle lässt sich nicht auf technische Vorkehrungen reduzieren. Im Gegenteil führt eine solche einseitige Sichtweise in eine Security- und Risikomanagementfalle, da das Wohl der Organisation auf Basis eines reinen Lösungsweges den realen Bedürfnissen eines Unternehmens nicht gerecht wird. Somit stellen Lösungen im Informationssicherheits- und Risikomanagementumfeld eine Stütze dar. Aber es braucht eine Gesamtstrategie, die mehr ist als der reine Softwareeinsatz. Denn Informationssicherheit muss ein integraler Bestandteil von Risikomanagement sein. 

… die Mitarbeiter in den Mittelpunkt stellen

Entscheider müssen das Risikomanagement als einen integralen Bestandteil von Organisationsprozessen verstehen, Methoden systematisch auswählen und strukturiert sowie zeitgemäß einsetzen. In diesem Kontext gilt es frühzeitig Handlungsalternativen zu finden und ein pro-aktives Sicherheits- und Risikomanagement aufzubauen. Und diese Strategie heißt den Blick nach vorne richten und die Mitarbeiter einbinden. Dies bedingt eine von der Firmenleitung vorgelebte Unternehmenskultur in puncto Prozesse, Risikowahrnehmung und Awareness. Mit einem Top-down-Verfahren müssen alle Mitarbeiter frühzeitig in diesen Gesamtprozess eingebunden werden, um die erarbeiteten Sicherheits- und Risikomanagementziele in der gesamten Organisation umzusetzen. Hilfreich sind an dieser wichtigen Nahtstelle zu den Mitarbeitern Sensibilisierungsmaßnahmen, sogenannte Awareness-Schulungen und unternehmensweit angelegte Sicherheits- und Risikomanagementprogramme.

Das Werben um die eigenen Mitarbeiter und für mehr Sicherheit und Awareness im Umgang mit den Risiken eines Unternehmens – inklusive sensibler Firmendaten und Cyberrisiken – ist nach Expertenansicht daher ein Schlüsselfaktor für den Erfolg solcher Maßnahmen. Und das ist auch dringend notwendig, stellen die eigenen Mitarbeiter durch Unachtsamkeit aber auch durch vorsätzliche beziehungsweise mutwillige Motive eine der größten Gefahrenquellen für Organisationen jeder Größe und in allen Branchen dar. Grundsätzlich ist Awareness jedoch nur ein Faktor – wenn auch wichtiger. Hinzu kommt, dass der normale Administrator auf ein Niveau gehoben werden muss, dass auch er das Thema Sicherheit für wichtig betrachtet. Dafür sind entsprechende Weiterbildungsmaßnahmen wichtig. 

Sinnstiftende Wissensvermittlung 

Flankiert von sinnstiftenden Fachkonferenzen und Aufklärungskampagnen entsteht so ein Gesamtbild inklusive der Wissensvermittlung zum Schutz wichtiger Informationen. Beispielsweise veranstaltet qSkills in diesem Jahr bereits zum siebten Mal das qSkills Security Summit in Nürnberg. Mit dem vom Medienpartner RiskNET unterstützten Security Summit am 6. Oktober 2014 bietet qSkills eine wichtige Plattform für den Wissensaustausch rund um die Themen Informationssicherheit und Risikomanagement. Das Forum ist in den letzten Jahren zu einer festen Größe im Rahmen der Woche der IT-Sicherheit (IT-Security-Fachmesse it-sa) in Nürnberg gereift. Entscheider aus Wirtschaft, Wissenschaft und dem öffentlichen Sektor schätzen die Veranstaltung aufgrund der praxisnahen Ausrichtung der Vorträge und des gezielten Informationsaustausches der Teilnehmer. Zudem bietet sich für die Teilnehmer des qSkills Security Summit die Möglichkeit, die am darauffolgenden Tag startende 3-tägige Fachmesse it-sa (7. bis 9. Oktober 2014, Messe Nürnberg) zu besuchen.

Weitere Informationen zum qSkills Security Summit unter: www.qskills-security-summit.de

[ Bildquelle: © agsandrew - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Den Wettlauf mit der Komplexität können wir nicht gewinnen

Im Wettlauf mit der Komplexität

Conny Dethloff23.01.2018, 14:49

Ich möchte als Autor in diesem Beitrag die These aufstellen, dass Komplexität von uns Menschen nicht zu managen ist, wir sie aber trotzdem handhaben müssen. Und ich möchte diese These begründen. Man...

Studie

Welt steht 2018 vor kritischer Phase

Schneller Wandel verschärft Risiken

Redaktion RiskNET22.01.2018, 15:14

Im Jahr 2018 besteht Aussicht auf ein starkes Wirtschaftswachstum. Das bietet Staats- und Regierungschefs die Chance, gegen schwerwiegende Schwächen in vielen der komplexen Systeme, wie...

Studie

Risikolandkarte 2018

Störungen in der Lieferkette sowie Cyberrisiken

Redaktion RiskNET16.01.2018, 14:09

Sie richten sich gegen das Rückgrat der vernetzten Wirtschaft und können den Erfolg oder gar die Existenz von Unternehmen jeder Größe und Branche gefährden: Die Risiken einer Betriebsunterbrechung...

News

Dreamteam im Kampf gegen die Wirtschaftskrise

Der Vorstand und sein Risikomanager

Redaktion RiskNET09.01.2018, 12:51

Obwohl Risikomanagement in deutschen Unternehmen gesetzlich vorgeschrieben ist, praktizieren es viele noch immer mangelhaft. Sei es, weil sie es nicht richtig verstehen, ihm keine Bedeutung beimessen...

Kolumne

Moritz'sche Risikomühle

Relevante Risikoinformationen erfassen

Frank Moritz22.12.2017, 08:01

Viele Unternehmen beschäftigen sich derzeit damit ein Risk Management-Systems einzuführen oder ihr bestehendes System in Richtung operationeller Risiken, Risiken aus Prozessen, Personen, Technik...