News

Informationssicherheit als integraler Bestandteil des Risikomanagements

Wenn die Awareness entscheidet

Redaktion RiskNET07.07.2014, 22:07

In seinem Buch "Die Zeit, die Zeit" beschreibt der Autor Martin Suter den Versuch des alten Albert Knupp und seines Nachbarn Peter Taler die Zeit zurückzudrehen. "Gegenwart, Vergangenheit, Zukunft: alles Mumpitz" – die Grenzen der scheinbar nicht existierenden Zeit werden philosophisch und literarisch verwischt. Was in der theoretischen Welt der "Zeitzweifler" scheinbar funktioniert, ist für Risikomanager in zweierlei Hinsicht nicht praktikabel. Zum einen ist der rückwärtsgewandte Blick in die Vergangenheit – in den Rückspiegel – reine Risikobuchhaltung. Zum anderen braucht ein modernes Risikomanagement den Blick nach vorne, vorwärtsgewandt, um Chancen zu erkennen und für die eigene Organisation zu nutzen. 

Wie wichtig das frühzeitige Erkennen von Risiken und Chancen für Unternehmen jeder Größe und in allen Branchen ist, zeigt sich bei einem Blick auf die Risikolandkarte unserer Zeit. Die Liste möglicher Risiken ist lang und reicht von Finanzkrisen über den Cyberkrieg bis zu Social Engineering und Lieferengpässen aufgrund von Naturkatastrophen. Im Umkehrschluss heißt das für Organisationen sich umfassend zu schützen – sprich professioneller im Risikomanagement und bei IT-Sicherheitsfragen aufstellen und ihre Risikolandkarte vor Augen zu haben. Was Unternehmen in der Praxis brauchen, ist eine umfassende und integrierte Managementstrategie. Wichtig ist die Gesamtsicht auf die Risiken im Unternehmen, denn viele Entscheider befinden sich noch immer im Blindflug. Vor allem verschließen viele Top-Manager die Augen, wenn es um Risiko- und Informationssicherheitsfragen für die eigene Organisation geht. Mit anderen Worten: Unternehmen lassen sich nur zielgerichtet steuern, wenn alle potenziellen Risiken und Chancen erkannt sind und vorausschauend gesteuert werden können. 

Security- und Risk-Lösungen ja, aber …

Der Verfassungsschutz schätzt, dass deutschen Unternehmen durch Wirtschaftsspionage ein Schaden von rund 50 Milliarden Euro pro Jahre entsteht. Die Zahlen zu Datenpannen, Spionageangriffen, Risikoschäden oder strafbaren Compliance-Verfehlungen sind enorm und stehen regelmäßig in den Hitlisten der Wirtschafts- und Fachpresse. Was folgt ist in vielen Fällen der Ruf nach mehr Sicherheit und technischer Unterstützung. Softwareanbieter aller Couleur bieten Security-Lösungen und Risikomanagementsoftware für das sichere Unternehmen an. Ein Patentrezept? Mitnichten, denn technische Lösungen unterstützten nach Expertenmeinung nur zu rund einem Drittel eine solide Sicherheits- und Risikomanagementstrategie in der eigenen Organisation. Die Mehrheit der Vorfälle lässt sich nicht auf technische Vorkehrungen reduzieren. Im Gegenteil führt eine solche einseitige Sichtweise in eine Security- und Risikomanagementfalle, da das Wohl der Organisation auf Basis eines reinen Lösungsweges den realen Bedürfnissen eines Unternehmens nicht gerecht wird. Somit stellen Lösungen im Informationssicherheits- und Risikomanagementumfeld eine Stütze dar. Aber es braucht eine Gesamtstrategie, die mehr ist als der reine Softwareeinsatz. Denn Informationssicherheit muss ein integraler Bestandteil von Risikomanagement sein. 

… die Mitarbeiter in den Mittelpunkt stellen

Entscheider müssen das Risikomanagement als einen integralen Bestandteil von Organisationsprozessen verstehen, Methoden systematisch auswählen und strukturiert sowie zeitgemäß einsetzen. In diesem Kontext gilt es frühzeitig Handlungsalternativen zu finden und ein pro-aktives Sicherheits- und Risikomanagement aufzubauen. Und diese Strategie heißt den Blick nach vorne richten und die Mitarbeiter einbinden. Dies bedingt eine von der Firmenleitung vorgelebte Unternehmenskultur in puncto Prozesse, Risikowahrnehmung und Awareness. Mit einem Top-down-Verfahren müssen alle Mitarbeiter frühzeitig in diesen Gesamtprozess eingebunden werden, um die erarbeiteten Sicherheits- und Risikomanagementziele in der gesamten Organisation umzusetzen. Hilfreich sind an dieser wichtigen Nahtstelle zu den Mitarbeitern Sensibilisierungsmaßnahmen, sogenannte Awareness-Schulungen und unternehmensweit angelegte Sicherheits- und Risikomanagementprogramme.

Das Werben um die eigenen Mitarbeiter und für mehr Sicherheit und Awareness im Umgang mit den Risiken eines Unternehmens – inklusive sensibler Firmendaten und Cyberrisiken – ist nach Expertenansicht daher ein Schlüsselfaktor für den Erfolg solcher Maßnahmen. Und das ist auch dringend notwendig, stellen die eigenen Mitarbeiter durch Unachtsamkeit aber auch durch vorsätzliche beziehungsweise mutwillige Motive eine der größten Gefahrenquellen für Organisationen jeder Größe und in allen Branchen dar. Grundsätzlich ist Awareness jedoch nur ein Faktor – wenn auch wichtiger. Hinzu kommt, dass der normale Administrator auf ein Niveau gehoben werden muss, dass auch er das Thema Sicherheit für wichtig betrachtet. Dafür sind entsprechende Weiterbildungsmaßnahmen wichtig. 

Sinnstiftende Wissensvermittlung 

Flankiert von sinnstiftenden Fachkonferenzen und Aufklärungskampagnen entsteht so ein Gesamtbild inklusive der Wissensvermittlung zum Schutz wichtiger Informationen. Beispielsweise veranstaltet qSkills in diesem Jahr bereits zum siebten Mal das qSkills Security Summit in Nürnberg. Mit dem vom Medienpartner RiskNET unterstützten Security Summit am 6. Oktober 2014 bietet qSkills eine wichtige Plattform für den Wissensaustausch rund um die Themen Informationssicherheit und Risikomanagement. Das Forum ist in den letzten Jahren zu einer festen Größe im Rahmen der Woche der IT-Sicherheit (IT-Security-Fachmesse it-sa) in Nürnberg gereift. Entscheider aus Wirtschaft, Wissenschaft und dem öffentlichen Sektor schätzen die Veranstaltung aufgrund der praxisnahen Ausrichtung der Vorträge und des gezielten Informationsaustausches der Teilnehmer. Zudem bietet sich für die Teilnehmer des qSkills Security Summit die Möglichkeit, die am darauffolgenden Tag startende 3-tägige Fachmesse it-sa (7. bis 9. Oktober 2014, Messe Nürnberg) zu besuchen.

Weitere Informationen zum qSkills Security Summit unter: www.qskills-security-summit.de

[ Bildquelle: © agsandrew - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Garantenpflicht

Haftung eines Risikomanagers

Redaktion RiskNET16.07.2018, 19:30

Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 17.07.2009 (Az 5 StR 394/08) einen Leiter einer Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe von...

Studie

Qualitative Evaluationsstudie

Risikomodellierung, Predictive Analytics und Big Data

Frank Romeike | Stefan Trummer19.06.2018, 08:07

Das Banken- und Versicherungsumfeld ist seit vielen Jahren im Umbruch. Dazu haben in nicht unerheblichem Maße die Aufsichtsbehörden und Standardsetter beigetragen. Wurden bis Mitte der 2000er...

Interview

Mundus vult decipi

Was tun mit Fake News?

Redaktion RiskNET06.06.2018, 14:24

Wahrheit oder Lüge? Wer kann das in unseren digitalen Zeiten noch beantworten? Umso wichtiger sind klare Parameter und ein methodisch sauberes Vorgehen, um Fake News zu enttarnen. Dafür plädiert...

Kolumne

Machine Learning-basierte Klassifikation von Marktphasen

Krisen frühzeitig identifizieren

Dimitrios Geromichalos [RiskDataScience]23.05.2018, 12:30

Wie in der Vergangenheit immer wieder beobachtet werden konnte, verhalten sich Märkte oftmals irrational und zeichnen sich – neben dem "Normal-Zustand" – durch Phasen im Krisen- und...

Kolumne

Geopolitik und Ökonomie

Über den Einfluss politischer Krisen

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.16.05.2018, 11:45

Mehr als sonst ist in den Börsenkommentaren in diesem Jahr nicht nur von ökonomischen Faktoren die Rede. Immer mehr Raum wird den politischen Krisenherden in der Welt eingeräumt. Da geht es um Iran...