Welche Risiken können Sie sich wirklich leisten?

Die Angst vor einem Cybervorfall ist gemäss einer Studie der Allianz-Versicherung im Jahr 2019 mit 48 % aller befragter Unternehmen auf Rang 2 im Risikobarometer der Unter-nehmensrisiken, knapp hinter dem Risiko der Betriebsunterbrechung (Rang 1) mit 58 %. Diverse Cybervorfälle in diesem Jahr, wie zum Beispiel bei Meier Tobler AG, Auto AG Group oder auch beim Handelsunternehmen Offix, zeigen, dass zunehmend auch KMU in den Fokus von Cyberkriminellen gelangen. Zu erwarten sind mit zunehmender Durch-dringung der Digitalisierung eine weitere Steigerung der Anzahl Cyberattacken sowie auch steigende Fallkosten. Die dabei auftre-tenden Risiken werden erfahrungsgemäss in drei Hauptrisikokategorien klassifiziert.

Technische Risikofaktoren
Stellen Sie sich vor, Sie treiben die Digitalisie-rung und Automatisierung in Ihrer Unterneh-mung auf das Maximum. Aus dem Digitalisie- rungsbaukasten würden Sie sich Technologien wie zum Beispiel ein Stück Blockchain, Cloud-Speicher, Collaboration-Services, interaktive sprachgesteuerte Services und Assistenten, Produktionsroboter, digitale Identitäten und Sensoren mit an Bord holen und in Ihre Unter-nehmung integrieren. Die Aufzählung ist kei-nesfalls abschliessend und beliebig erweiterbar.

Damit die eingesetzte Technologie ihre optimale Wirkung entfalten kann, wird sie miteinander verbunden und durch intelli-gente Informations- und Kommunikations-technologien ergänzt und gesteuert. Prozesse werden durchgängig digitalisiert und auto-matisiert, nicht nur unternehmensintern, sondern bis zu einer durchgängigen Kunden-und Lieferantenintegration.

Eine moderne Enterprise-Software in Verbindung mit RPA (Robotic Process Auto-mation) und künstlicher Intelligenz (KI) wird zum zentralen Element Ihrer Unterneh-mungswertschöpfungskette werden. In der vollen digitalen Ausprägung ist alles mitei­ nander vernetzt, die verwendete Hard-/Soft-ware und Netzwerktechnik ist längst nicht mehr nur innerhalb ihres Unternehmens­ perimeters und interagiert miteinander.

Rechtliche Risikofaktoren
Die zunehmende Vernetzung hat einen sehr grossen Einfluss auf Ihre Daten und deren Schutz. Sie sind vielmehr nicht nur für Ihren eigenen Datenschutz zuständig, sondern sehr stark zunehmend für den Schutz der Daten Ihrer Kunden und Lieferanten.

Regeln, Standards wie ISO 27001/2, NIST etc., Richtlinien, Anforderungen, Vor-schriften und das Recht, wie z.B. die Daten-schutzgrundverordnung (DSGVO) oder auch das Bundesgesetz über den Datenschutz (DSG, SR 235.1), bilden die Basis für den Schutzbedarf. Der Umstand, dass Sie als Un-ternehmen den Nachweis zu erbringen ha-ben, wer und wann Zugriff auf welche Daten hatte, wie auch die Sicherstellung des Daten-Lifecycles, sind mitunter treibende Kräfte der Ausbreitung von Identity Governance Admi-nistration (IGA) und auch Cyber-Security-und Cyber-Defence-Lösungen am Markt.

Menschliche Risikofaktoren
Der Mensch als zentrales Bindeglied ist der grösste Risikofaktor in Ihrer Unternehmung! Die durch die Digitalisierung erreichte Effi-zienzsteigerung wird starken Einfluss auf die Aufgaben, Verantwortungen und Kompeten-zen Ihrer Mitarbeitenden haben und wird nicht spurlos an Ihrer Unternehmensorgani-sation vorbeigehen. Jobprofile werden sich verändern, da Routinearbeiten in Ihrer Un-ternehmung zunehmend digitalisiert, auto-matisiert und vom System übernommen werden. Dies wiederum wird dazu führen, dass von Ihren Mitarbeitenden immer mehr komplexere und anspruchsvollere Arbeit übernommen werden muss und dass nicht alle mit diesem Wandel mithalten können werden.

Die grössten Cyber-Sicherheitslücken gemäss «Cyber Security Report» von Deloitte Ein leichtfertiger Datenumgang aufgrund von Nachlässigkeit, Irrtum wie auch Böswil-ligkeit seitens der Mitarbeitenden und die Nutzung mobiler Endgeräte sind gemäss dem «Cyber Security Report» von Deloitte die grössten Cyberrisiken und Sicherheitslücken im eigenen Unternehmen.

Die Erkenntnis aus dem Buch von Dan Ariely «Denken hilft zwar, nützt aber nichts: Warum wir immer wieder unvernünftige Entscheidungen treffen» zeigt uns, dass wir Menschen viel öfter irrationale Entscheidun-gen treffen als allgemein vermutet. Dies, ge-paart mit der zunehmenden hochvernetzten Systemkomplexität, welche durch die Digita-lisierung hervorgeht, wird zu einem giftigen Cocktail an Cyberrisiken, dem wir Beachtung schenken sollten!

Unsere Aufgabe ist es, Massnahmen zum Schutz unser Unternehmenswerte zu ergreifen. Schützenswerte Assets (Infra-struktur, Daten, Lizenzen, Konzepte, Paten-te, Kunden, Mitarbeitende, Lieferanten etc.) können nicht mehr als isolierte Einzelassets angesehen werden, sondern verschmelzen zunehmend zu einem grossen, sehr komple-xen und nicht mehr trennbaren Gesamtsys-tem, welches einen gesamtheitlichen Schutz verlangt.

Vorbeugen ist besser als heilen! Nur durch ein aktives Cyber-Risikomanagement kön-nen Sie Ihre Unternehmung effektiv schützen!
Die Investitionen in eine wirkungsvolle Cy-berabwehr werden also im Gleichschritt mit dem zunehmenden Digitalisierungsreifegrad in Ihrem Unternehmen einhergehen müssen. Ansonsten laufen Sie Gefahr, dass Cyberkri-minelle gezielt Lücken in Ihrem Gesamtsys-tem ausnützen, was Sie angreifbar und er-pressbar macht.

Immer öfter werden gezielt Personen, welche Zugang zu sensiblen Daten haben, durch Social Engineering ausspioniert, pene- triert und sogar erpresst. Die daraus gewon-nenen Daten und Informationen dienen oft als erster Schritt zu einem Cyberangriff, in-dem die Angreifer gezielt über Ihre Prozesse und eingesetzten Technologien sukzessive in Ihr Gesamtsystem ein- und vorzudringen versuchen. Oft dauert es Monate, bis die An-greifer zum Kern ihrer Interessen vordringen und noch öfter bleiben solche Angriffe auch über eine sehr lange Zeit unentdeckt oder werden gar nicht erst erkannt. Eine systema-tische, proaktive und effektive Cyberabwehr ist deshalb von zentraler Bedeutung.

Bevor Sie jedoch handeln können, müs-sen Sie wissen, welche Assets welchen Schutz benötigen, welche Risiken Sie eingegangen sind und welche Sie bewusst eingehen möch-ten oder wo Sie sich gegebenenfalls versiche-rungstechnisch absichern möchten. Es gilt, Risiken zu identifizieren, zu klassifizieren und die entsprechenden Massnahmen zu er-greifen. Für den initialen Start bieten wir Ih-nen einen kostenlosen Quick-Check für Ihre Unternehmung an.