Trotz künstlicher Intelligenz, Machine Learning und anderen technologischen Fortschritten entscheiden über Risiken und Chancen letztlich immer die Menschen. Daher verknüpfen Unternehmen, die über ein «gutes» Enterprise Risk Management (ERM) verfügen, nicht nur die Risikoanalyse mit der Unternehmensstrategie, sondern berücksichtigen auch die Menschen und deren Verhaltensweisen und investieren in eine gelebte Risikokultur. 

Allerdings glauben nach wie vor noch zu viele Unternehmen daran, sie könnten ein effektives ERM mit Tools, Prozessen und Systemen implementieren und mit einem ISO-Zertifikat sei der Pflicht Genüge getan. Doch dem ist nicht so. «ERM lässt sich weder implementieren noch erwerben und es ist kein Projekt, das zu einem spezifischen Zeitpunkt abgeschlossen ist», betont Professor Stefan Hunziker, Head Competence Center Risk and Compliance Management an der Hochschule Luzern. Seine Konklusion: «Das heute bekannte Corporate Risk Management ist ein Auslaufmodell, denn es basiert auf teilweise kaum nachvollziehbaren Risikobewertungen, die stark von der Eintrittswahrscheinlichkeit geprägt sind und auf bekannte Risiken fokussieren.»

Widerstandskraft und Prävention

Die Priorisierung von Einzelrisiken, die auf wahrscheinlichkeitstheoretischen Überlegungen beruhen, ist also passé. Wichtiger werden die Stärkung der Unternehmensresilienz, die Risikoprävention und das Fortführen der Geschäftstätigkeit im Fall der Fälle, sprich bei Risikoeintritt. Um dies zu erreichen, sollte sich ein zeitgemässes ERM an den bestmöglichen Informationen orientieren. «Das bedeutet, die Geschäftsleitung muss auf eine Kombination von Informationsquellen, zum Beispiel auf historische Daten und Experteneinschätzungen, zurückgreifen.» In vielen Führungsgremien herrsche allerdings noch der Irrglaube, Daten seien dem gesunden Menschenverstand vorzuziehen. «Diese sind jedoch immer vergangenheitsbezogen und es kann fatal sein, aus der Vergangenheit auf die Zukunft zu schliessen …», gibt Stefan Hunziker zu Bedenken.

An den grundlegenden Zielsetzungen hat sich gemäss dem ERM-Experten nichts verändert. Ziel von ERM ist es nach wie vor, durch eine transparente Beurteilung des aktuellen Risiko- und Chancengefüges die Entscheidungsqualität in Unternehmen zu erhöhen und damit einen wirtschaftlichen Wertbeitrag zu liefern. Das gilt auch für den Bereich Cyberrisiken, der grundsätzlich zu den operativen Risiken zählt. Allerdings zählen Cyberrisiken im Gegensatz zu den traditionellen operativen Risiken zu den Emerging Risks, das heisst, dass Unternehmen mit Risiken zu tun haben, die durch Innovationen im IT-Bereich in Zukunft erst noch entstehen werden.

Real-Time-Dashboards statt Risikoberichte

Stefan Hunziker stellt häufig fest, dass Unternehmen bezüglich des Managements von Cyberrisiken unterinvestiert sind und bei der Risikoanalyse zu stark auf die technischen Aspekte fokussieren. «Szenario-Analysen, die die Folgerisiken eines Cybervorfalls auf Menschen, Reputation, Finanzen und Strategie sichtbar machen und die Abhängigkeiten mit anderen Unternehmensbereichen miteinbeziehen, bleiben meist noch aus oder geschehen ad-hoc und unsystematisch.» Dabei sei eine Zusammenarbeit von IT, HR, Datenschutz, Recht, Compliance und Business für eine ganzheitliche Cyberrisikoanalyse absolut zwingend (siehe Box unten). Für eine solche müssen zudem künftige Entwicklungen im Umfeld eines Unternehmens im Fokus stehen. «Dazu sollten Real-Time-Dashboards mit aktuellen Risikoinformationen genutzt werden – auf die jährlichen Risikoberichte, die auf veralteten Informationen beruhen, kann jedoch getrost verzichtet werden», betont Hunziker.  

Cyber Risks: Reifegrad der Risk Governance 

Folgende Fragen an den Verwaltungsrat oder ein anderes Aufsichtsorgan können erste Hinweise darauf geben, wie der Reifegrad bezüglich Risk Governance im Umgang mit Cyberrisiken ausfällt:

  • Sind die wichtigsten Cyberrisiken und ihre Auswirkungen auf die Geschäftsziele bekannt?
  • Stehen CISO und Risk Manager in einem Austausch?
  • Sind die wichtigsten Strategien zur Minderung der Cyberrisiken bekannt?
  • Ist bekannt, was in einem Worst-Case-Cyber-Szenario passiert?
  • Werden angemessene Ressourcen und Budgets für das Cyber Risk Management bereitgestellt?
  • Finden regelmässige Diskussionen über Cyberrisiken im Verwaltungsrat und in der Geschäftsleitung statt?
  • Werden Cyberrisiken und ihre Relevanz bei strategischen Entscheiden konsequent berücksichtigt?