Cyber-Risikomanagement: Bewusstsein allein reicht nicht

Eine Studie der Hochschule Luzern zum Thema "Cyber Risk Management in grösseren Schweizer Unternehmen" kommt zu Schluss, dass Schweizer Unternehmen das Cyber Risk Management zu wenig ins allgemeine Risikomanagement integrieren.

Die Studie entstand in Zusammenarbeit mit dem Versicherungsanbieter Mobiliar und dem Wirtschaftsverband Economiesuisse. In 33 Interviews mit CISOs und Risikomanagement-Verantwortlichen von 18 "grösseren" Schweizer Unternehmen sollte die Lage des Schweizer Cyberrisikomanagements ermittelt werden.

Kein Kapitän, kaum Kooperation

Von den befragten Unternehmen hat keines explizit definiert, in welchem Ausmass Cyberrisiken bewusst eingegangen werden sollen, um die Geschäftsziele zu erreichen. "Aus der Sicht des Risikomanagements ist das vergleichbar mit einem Schiff, das keinen Kapitän hat", sagt Stefan Hunziker, einer der Studienautoren und Leiter des Kompetenzzentrums Risk & Compliance Management HSLU.

Stefan Hunziker, Studienautor und Leiter des Kompetenzzentrums Risk & Compliance Management der HSLU. (Source: zVg)

Häufig verstehen Verantwortliche Cyberrisiken als reine IT-Probleme, was zur Folge hat, dass Unternehmen die Risiken dezentral und rein operativ eingehen. Der CISO, wenn das Unternehmen überhaupt einen hat, ist nicht Teil des unternehmensweiten Risikomanagements. Dies führe zu einer Diskrepanz der Relevanz des Risikos (Awareness) und der "Risk Governance", wie Hunziker erklärt. "Dieser Umstand verhindert einen konsistenten Vergleich – und damit auch eine sinnvolle Priorisierung – von Cyberrisiken und anderen Risikokategorien auf oberster Führungsebene."

Investition in den Menschen notwendig

Laut den Studienautoren wird auch die "einfachste und gleichermassen wirkungsvollste Massnahme" im Umgang mit Cyberrisiken noch immer vernachlässigt. Hierzu sagt Hunziker: "Gegebenenfalls ist die Definition von Cyberrisiken deshalb auch etwas irreführend, da viele Risikoursachen nicht im Cyberraum zu finden sind, sondern in menschlichem Fehlverhalten."

Im Vergleich zu technischen Massnahmen werden menschliche Verhaltensweisen im Bereich der Cybersicherheit zu wenig adressiert. Der Faktor "Mensch" sei im Prozess der Cybersecurity-Erhöhung nur ein Element, aber ein sehr wichtiger Faktor.

Hochrisikobereich Cloud

Einen besonderen Fokus legt die Studie zudem auf die Cloud-Migration. Durch die Nutzung der Cloud entstehen viele Cyberrisiken, weshalb eine vordefinierte Strategie für die Migration von enormer Bedeutung sei. Der Grossteil der von der HSLU befragten Unternehmen hatten eine solche Strategie.

Armand Portmann, Themenfeldverantwortlicher Information & Cyber Security | Privacy der HSLU. (Source: zVg)

"Es ist ein Bewusstsein vorhanden, dass die Nutzung von Cloud-Diensten mit Risiken verbunden ist", sagt Armand Portmann, Themenfeldverantwortlicher Information & Cyber Security | Privacy der HSLU. Zu den am häufigsten genannten Risiken gehöhren der Verlust der Vertraulichkeit respektive die Verletzung des Datenschutzes, die Abhängigkeit vom Cloud-Diensteanbieter und Fragen der Haftung.

Massnahmen zur Verringerung dieser Risiken sind komplex und müssen jeweils individuell an die konkrete Outsourcing-Situation angepasst werden, was für die betroffenen Organisationen meist eine grosse Herausforderung sei.

Die vollständig Studie können Sie hier nachlesen (PDF).

Cybersicherheit sollte generell zur Chefsache werden, wie eine Analyse von Gartner zeigt. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.