So verfügen nach Angaben der Industrie- und Handelskammer München „mehr als die Hälfte der bayerischen Unternehmen“ über keine entsprechenden Notfallpläne. Laut Digitalverband Bitkom hat deutschlandweit nur jedes zweite Unternehmen einen Notfallplan für Cyberattacken in petto. Damit einher geht die Frage, wie es um die Sorgfaltspflicht in Unternehmen mit Blick auf das organisationsweite Risikomanagement bestellt ist.

Im Grunde ist ein solches Notfallmanagement ein rein reaktives Instrument, wobei eines klar ist: „Es ist nicht die Frage, ob, sondern wann ein Cyberangriff stattfindet.“ Diese Aussage traf Dennis Müllerschön von der Managementberatung Horváth beim Risk Management Congress (RMC) 2023 in Köln. Auf der zweitägigen Fachkonferenz der Risk Management & Rating Association (RMA) wurde deutlich: Der Mensch ist ein Sicherheitsfaktor. Für RMA-Vorstand Marco Wolfrum bedeutet das: „Unternehmen und ihr Management tun gut daran, sich intensiv mit Cybergefahren auseinanderzusetzen, und zwar bereits im Vorfeld.“

Die Zahl der Cyberangriffe auf Unternehmen stieg im Jahr 2022 um 38 Prozent und Unternehmen werden teils mehrfach im Jahr angegriffen, stellte Dennis Müllerschön fest. Zu den Arten der Angriffe nannte der Horváth-Manager vor allem das E-Mail-Phishing mit 45 Prozent, gefolgt von Remote-Angriffen auf Server mit 21 Prozent. Die Folgen von Cyberangriffen seien schwerwiegend, das erfordere einen systematischen Managementansatz.

Wie Cybersicherheit in der Praxis funktionieren kann, zeigte Hermann Huber. Der Manager von Hubert Burda Media betonte, dass im Risikomanagement „absolute Transparenz“ über die Gesamtorganisation bestehen sollte. Diese Transparenz sei mittels eines Cyber Defense Centers (CDC) als zentrale Überwachungsstelle sicherzustellen. Es gehe darum, zu wissen, was innerhalb der eigenen Organisation geschehe. Das CDC sei als dynamische Risikobewertung zu verstehen und müsse auch Warnen und Koordinieren.

Die Menschen und die Kommunikation stehen im Mittelpunkt der Betrachtungen und Entscheidungen. Andernfalls stehen Organisationen vor dem Risiko, die IT-Security- und Risikomanagement-Funktionen rein softwaregetrieben abzuwickeln. Niels von der Hude von Beta Systems Software verglich auf dem RMC 2023 dieses Denken und Handeln mit einer Art Ablasshandel. Damit meint er, dass manch Unternehmenslenkender denke, mithilfe einer Software seien alle Unwägbarkeiten in puncto IT-Sicherheit behoben – ein Trugschluss, der sich als Bumerang erweisen kann.

Weitere Informationen finden Sie hier.

Resilienz und ganzheitliches Krisenmanagement Herausgegeben von der RMA Risk Management & Rating Association Unter den Bedingungen massiver Krisenlagen und ihrer vielfältigen Folgen für Umwelt, Wirtschaft und Gesellschaft muss sich das installierte Risikomanagementsystem in vielen Unternehmen derzeit neu bewähren. Der neue Band der RMA Risk Management & Rating Association e.V. nimmt die aktuell besonders relevanten Fragestellungen und mögliche Lösungsansätze praxisorientiert in den Blick: Welche Bedeutung haben Zukunftsfähigkeit, Robustheit und Resilienz für das Risikomanagement? Wie sollte die Unternehmensführung mit Personalrisiken umgehen? Wie lassen sich Klimarisiken besser berücksichtigen? Was zeichnet ein modernes Krisenmanagement aus? Wie gelingt eine pragmatische Risikoquantifizierung zur Bestimmung des Gesamtrisikoumfangs? Ein wichtiger Querschnitt der aktuellen Entwicklungen im Risikomanagement in einer Zeit tiefgreifender Umbrüche und Veränderungen.