Wirtschaftsverbände und Experten sind sich einig: Kleine und mittlere Unternehmen (KMU) sind das Rückgrat und der Motor der deutschen Wirtschaft. Innovationskraft, Unternehmertum und Internationalisierung prägen das KMU-Umfeld – quer durch alle Branchen. Dies zeigt sich im Entwickeln neuer Ideen, Produkte und Dienstleistungen. Das ist eine schöne Erfolgsgeschichte. Nicht ganz - sind KMU doch von vielen Faktoren abhängig, deren ungeplanter Verlauf kleine und mittlere Firmen schnell ins Schlingern bringen können. Seien es Liquidationsengpässe, fehlende Fach- und Führungskräfte, Rohstoffprobleme oder Datendiebstähle unternehmenswichtiger Informationen.

Die Sorgen mittelständischer Unternehmen sind breit gefächert. Dies zeigt eine von Rühlconsulting durchgeführte Umfrage unter rund 120 Geschäftsführern mittelständischer Unternehmen. Demnach sehen 59 Prozent der Befragten das Thema Personalmangel als aktuell größte Gefahr für mittelständische Unternehmen in Deutschland, gefolgt von einem Datenabfluss (38 Prozent) und den Themen Innovationsverlust mit 32 Prozent sowie der Wirtschaftsspionage mit 30 Prozent.


Abbildung 1: Die größten Gefahren für mittelständische Unternehmen


Verantwortungsvolles Unternehmertum heißt aktives Risikomanagement

Viele Unternehmen gehen heute bewusster mit dem Thema Risikomanagement um als noch vor 10 Jahren. Vor allem vor dem Hintergrund, dass ein gut aufgestelltes Risikomanagement den Unternehmenserfolg nachhaltig fördert. Allerdings, so die Ergebnisse der Umfrage, mangelt es in vielen Firmen an einem Gesamtkonzept zum Risikomanagement. Der Umfrage zur Folge geben 71 Prozent der Firmenlenker an, das sie zwar eine Risikoanalyse in ihrem Unternehmen durchführen, jedoch nur in  38 Prozent der Fälle passiert das strukturiert und ganzheitlich. Mit anderen Worten: In vielen Fällen stehen Einzelmaßnahmen auf der Risikomanagementagenda. Im Rahmen der Befragung stellten über 60 Prozent der Umfrageteilnehmer auf das Thema IT als den Bereich ab, in dem Risiken systematisch erfasst und behandelt werden.

Gefolgt von der Personalabteilung mit 38 Prozent und der Finanzbuchhaltung mit 37 Prozent. Die Antworten zeigen, dass viele Mittelständler Risiken nur in einzelnen Bereichen erfassen und keine integrierte sowie umfassende Risikomanagementbewertung durchführen. In diesem Sinne vermuten die Autoren der Studie eine Risikobewertung in Unternehmen, aber das Fehlen einer gründlichen Analyse. Uwe Rühl: "Ich sehe häufig, dass Teilbereiche im Unternehmen betrachtet werden, doch eine umfassende, strukturierte Methode in den wenigsten Firmen angewendet wird."


Abbildung 2: Die größten Risiken im Unternehmen


Abbildung 3: In welchen Bereichen Ihres Unternehmens werden Risiken systematisch erfasst und behandelt?


Abbildung 4: Wie wird die RisikoRisikobewertung/-analyse in Ihrem Unternehmen durchgeführt?


Der Mensch als Sicherheitsrisiko

Mittelständische Unternehmen müssen sich schützen, durch ein verantwortungsvolles Unternehmertum, was gleichzeitig ein aktives und nach vorne gewandtes Risikomanagement berücksichtigen sollte. Sensibel ist beispielsweise der Umgang mit unternehmenskritischen Daten. Wichtig ist deshalb organisationsintern eine verantwortungsbewusste Kombination von "Mensch und Maschine". Will heißen: Die besten IT-Sicherheitsvorkehrungen bringen nichts, wenn der Mitarbeiter nicht sensibilisiert ist und der Auf- und Ausbau von Awareness in den eigenen Firmenreihen nicht gelingt.

"Der Faktor Mensch beeinflusst die Sicherheit von Informationen mindestens so stark, wie alle technischen Maßnahmen zur IT-Sicherheit in einem Unternehmen zusammen", so Uwe Rühl. Bei der Frage nach den größten Risiken im eigenen Unternehmen sehen 38 Prozent der Führungskräfte ein unvorsichtiges Handeln von Mitarbeitern mit einem einhergehenden Datenverlust als Hauptrisiko. Gerade die zunehmende Relevanz sozialer Netzwerke lässt Mitarbeiter zur Zielscheibe für Wirtschaftsspione (Stichwort Social Engineering) und zur Gefahr für Unternehmen werden.

Risikomanagement als Chefsache …

Ein Blick auf die Selbsteinschätzung der befragten Mittelständler zeigt, dass die Mehrheit das Thema Risikomanagement ernst nimmt. Rund 80 Prozent der Befragten gibt an, Führungskräfte in den Risikobewertungsprozess zu involvieren. Bei der Einbindung der Geschäftsführung liegt der Wert bei rund 70 Prozent. Diese Werte gehen in die richtige Richtung und bestätigen die Forderungen von Experten nach einer stärkeren Integration und Führungsverantwortung der Geschäftsführungen im Risikomanagementumfeld – gerade im Mittelstand. Die Gründe? Risikomanagementprozesse müssen Top-Down initiiert und von Führungskräften vorgelebt werden. Nur so kann das Thema wirkungsvoll in der Gesamtorganisation verankert werden. Hinzu kommen gesetzliche Vorgaben, die Führungskräfte stärker in die Verantwortung nehmen und beispielsweise die Überwachungspflicht des Risikomanagementprozesses fordern. Aktiengesellschaften sind gesetzlich verpflichtet ein Risikomanagement umzusetzen, der Mittelstand vielfach nicht. Und doch ähnelten sich nach den Worten Rühls die Gefahren für Konzerne und Mittelständler. Und Uwe Rühl weist darauf hin: "Einem potenziellen Angreifer dürfte die Gesellschaftsform des Unternehmens gänzlich egal sein."

… und der Mangel an strukturierten Managementsystemen

Ein anderes Bild vermitteln die Antworten auf die Frage nach den Maßnahmen in den letzten drei Jahren, um das eigene Unternehmen vor Risiken zu schützen. Demnach geben nur fünf Prozent der befragten Firmen die Einführung eines strukturierten Sicherheitsmanagementsystems als Top-Maßnahme an. 21 Prozent haben Veränderungen in der IT durchgeführt. Mit einem Blick auf die durchgreifenden Maßnahmen bei der Risikomanagementumsetzung zeigt sich, wie schon vorher beschrieben, dass Einzelmaßnahmen überwiegen.

Nur 17 Prozent der Befragten Geschäftsführer stellen die eigene Risikobewertung als die umfangreichste Maßnahme zum Schutz der eigenen Organisation der vergangenen drei Jahre dar. Im Klartext heißt das: Die Mehrheit der mittelständischen Unternehmen  verfügt bisher über kein strukturiertes Managementsystem zum Schutz vor Risiken.


Abbildung 5: Welche Maßnahmen wurden initiiert?

In diesem Kontext muss ein Denken in Silos aufhören und eine Gesamtsicht auf unternehmensweite Risiken und Chancen einsetzen. Entscheider sollten alle Organisationsbereiche in die Risikomanagementbetrachtung aufnehmen, um zu einer zukunftsgewandten Betrachtung zu gelangen. Oder wie es Uwe Rühl formuliert: "Weil es für viele mittelständische Unternehmen schwer ist, ‚das Risiko‘ zu begreifen, verfallen die Unternehmer in ein Silodenken." Ein oft fataler Irrtum. "Sie konzentrieren sich nur auf Teilbereiche ihres Unternehmens und schützen daher auch nur diese", resümiert Rühl.

Fazit: Manches ist gut, vieles geht besser

Die Risikomanagementbefragung mittelständischer Unternehmen bringt es an den Tag: Viele Firmen gehen bewusster mit dem Thema Risikomanagement um. Vor allem vor dem Hintergrund, dass ein gut aufgestelltes Risikomanagement den Unternehmenserfolg nachhaltig fördert. Allerdings, so die Ergebnisse der Studie, mangelt es in vielen Firmen an einem Gesamtkonzept zum Risikomanagement. Vielfach stehen Einzelmaßnahmen im Mittelpunkt der Betrachtung sowie eine zu kurze Planung, um Risiken und Chancen gezielt und vorausschauend steuern zu können. Darüber hinaus wird die Betrachtung potenzieller Risiken in vielen Fällen zu sehr auf das Thema IT reduziert, was zu kurz greift und weitere Risikofaktoren mit einem existenzbedrohenden Charakter nicht berücksichtigt.

Hintergrundinformationen zur Umfrage
Für die Befragung wurden 117 Geschäftsführer mittelständischer Unternehmen befragt. Die Umfrage wurde branchenübergreifend durchgeführt, mit überwiegend folgenden Bereichen: Maschinen- und Anlagenbau, Konsumgüter, Handel, Transport und Logistik. Rund ein Drittel der Firmen ist international tätig. Die Erhebung wurde online durchgeführt.

Weitere Informationen zur Umfrage unter Sicher@ruehlconsulting.de bzw. im Internet unter www.ruehlconsulting.de

[Bildquelle: © iQoncept - Fotolia]