Dass die Cyber-Risiken exponentiell zugenommen haben, ist bei den Schweizer Firmen angekommen. Eine neue Studie weist nun aber auf eine klaffende Lücke hin.
Es wäre verfehlt, der Wirtschaft zu unterstellen, dass sie nichts unternimmt, um sich gegen die Internet-Kriminalität zu schützen. Zu offensichtlich ist das Thema geworden und zu gross die finanziellen Risiken – gerade für die Finanzbranche mit ihren gigantischen Datensätzen ist die Gefahr von Hacks allgegenwärtig.
Entsprechend sind sich die Aufsichtsorgane bewusst, dass sie ihre Kontrollpflichten im Umgang mit den Cyber-Risiken aktiv wahrnehmen müssen, wie eine Umfrage der Hochschule Luzern bei 18 grösseren Schweizer Unternehmen ergeben hat (die Studie wurde mit Economiesuisse und dem Berner Allversicherer Mobiliar durchgeführt).
Kein reines IT-Thema
Auch die operative Fürhung der Firmen kennt genügend Gründe, um sich zu schützen. Denn die betriebswirtschaftlichen Schäden können beträchtlich sein – von den direkten Schäden abgesehen sind auch Bussen, Reputationsverlust oder sogar der Konkurs mögliche Themen für die Geschäftsleitung.
Aber, wie sich zeugt: Trotz des mittlerweile verankerten Bewusstseins gilt es für die Firmen, die Schwachstellen in ihren Organisationen zu erkennen und zu beheben. Die vielleicht grösste Lücke besteht dabei zwischen der IT-Infrastruktur und der organisatorischen Ebene, warnen die Studienautoren.
Wenn der CISO nicht mit dem CRO spricht
«Cyber-Risiken werden noch zu stark als reines IT-Thema verstanden», sagt Stefan Hunziker, Studienautor und Leiter des Kompetenzzentrums Risk & Compliance Management an der Luzerner Hochschule. «Entsprechend werden sie dezentral und operativ gesteuert und zu wenig in das unternehmensweite Risk Management integriert».
Dieser Schwachpunkt in der Struktur verhindert eine «sinnvolle Priorisierung» der verschiedenen Risikokategorien auf der obersten Führungsstufe der Unternehmen, so Hunziker weiter. Er empfiehlt deshalb, die Zusammenarbeit zwischen den Chief Information Security Officer (CISO) und den Risk Management zu fördern. Dies, um die Brücke zwischen der technischen Cyber-Sicherheit und dem betriebswirtschaftlichen Risikomanagement zu schlagen.
Aus Schaden klug werden
Mittlerweile gibt es im Bereich der Cyber Security neue Lehrgänge, unter anderem von der ZHAW, welche sich sehr spezifisch an die CISO, IT Projektleiter und Digital Risk Officer wendet. Aber, obwohl auch die operative Leitungsebene der Firmen angesprochen ist, werden wohl nur die wenigsten einen vollen CAS in Cyber Security belegen.
Wie gefährlich das Unterschätzen der Cyber-Risiken wirklich ist, hat sich im Fall der Aquila-Gruppe gezeigt. Die Vermögensverwaltung-Gruppe hat kürzlich eine Neuorganisation beschlossen, welche nicht zuletzt eine Folge einer Cyber-Attacke im vergangenen Dezember war. So lagert die Aquila die gesamte IT aus und behält nur noch einen Helpdesk im Stammhaus, wie finews.ch berichtete.