On 27.09.2024
von Olivier Allaire, Technical Lead at Airbus Protect
Cybersecurity

Digitales Risikomanagement: Ein geschäftsorientierter Ansatz

understanding digital risk management
Zusammenfassung

Organisationen stehen heute vor einer komplexen und sich ständig weiterentwickelnden Vielfalt von Risiken, die ein effektives Management erfordern. Einige dieser Risiken sind rein digital, während andere traditionelle Risiken sind, die durch Technologie verstärkt werden. Von Cyberangriffen bis hin zu technischen Störungen stellen diese Bedrohungen erhebliche Herausforderungen dar, die sich auf den Geschäftsbetrieb, die Finanzen, den Ruf und letztendlich das Endergebnis auswirken können.

Um ihre Zukunft zu sichern, müssen Organisationen eine umfassende Strategie für das Enterprise Risk Management (ERM) entwickeln, die digitale Faktoren in das gesamte Risikomanagement-Framework integriert und eng mit den übergeordneten Geschäftszielen sowie den potenziellen Auswirkungen in Einklang bringt.

 

Verständnis von digitalen Risiken

Da Technologie zunehmend in alle Aspekte eines Unternehmens integriert wird, ist das digitale Risiko zu einer wachsenden Sorge für Unternehmen weltweit geworden. Es umfasst eine Vielzahl potenzieller negativer Folgen, die aus digitalen Technologien und Prozessen resultieren. Dazu gehören:

  • Rein digitale Risiken: Bedrohungen, die ohne digitale Technologien nicht existieren würden, wie Datenlecks, Ransomware-Angriffe, Ausfälle von Cloud-Diensten und Verzerrungen durch KI-Algorithmen.
  • Digital verstärkte traditionelle Risiken: Probleme, die schon vorher existierten, durch die Digitalisierung jedoch verstärkt oder transformiert werden, wie Reputationsschäden durch soziale Medien, Unterbrechungen der Lieferkette nach Cyberangriffen und Finanzbetrug über digitale Kanäle.

Die schnelle Entwicklung digitaler Risiken unterscheidet sie von traditionellen Bedrohungen. Durch stark vernetzte digitale Systeme sowie das beispiellose Ausmaß und die Geschwindigkeit, mit der diese Risiken auftreten können, ist es entscheidend, dass Unternehmen die Feinheiten digitaler Technologien verstehen und wissen, wie sie die gesamte Risikolandschaft grundlegend verändern.

 

Integration digitaler Risiken in das Enterprise Risk Management

Um digitale Risiken effektiv zu managen, sollten Organisationen:

  • An bestehende ERM-Frameworks anpassen: Digitale Risiken in Frameworks wie ISO 31000 oder COSO integrieren, sodass sie gemeinsam mit anderen Risikokategorien betrachtet werden (denken Sie daran, dass Risiken mehrfach kategorisiert werden können).
  • Klare Governance-Strukturen schaffen: Zuständigkeiten für das Management digitaler Risiken definieren, einschließlich der Identifikation, Bewertung und des Managements von Risikominderungsplänen. Stellen Sie zudem sicher, dass funktionsübergreifende Ausschüsse eingerichtet und auf Vorstandsebene überwacht werden.
  • Umfassende Risikobewertungen durchführen: Regelmäßige digitale Risikobewertungen im Rahmen der allgemeinen Risikobewertungsprozesse durchführen.
  • Risikobewertungen quantifizieren: Methodologien wie FAIR (Factor Analysis of Information Risk) oder SPICE (Scenario Planning to Identify Cyber Risk Exposure) nutzen, um digitale Risiken in finanziellen Begriffen zu messen.
  • In Geschäftsprozesse integrieren: Digitale Risikobetrachtungen in zentrale Geschäftsprozesse wie Strategieentwicklung, operative Resilienz, Produktdesign und Lieferkettenmanagement einbinden.

Geschäftsorientierte Risikobewertungsmethoden

Um das digitale Risikomanagement stärker an den Geschäftsanforderungen auszurichten, sollten Organisationen standardisierte Risikobewertungsmethoden anpassen:

  • Business Impact Analysis (BIA) Integration: Kritische Geschäftsprozesse und deren digitale Abhängigkeiten identifizieren, die potenziellen Auswirkungen digitaler Unterbrechungen, Integritätsverletzungen und Vertraulichkeitsbrüche ermitteln und die finanziellen, operativen und Reputationsfolgen quantifizieren.
  • Anpassung der Risikobewertung (RCSA): Geschäftseinheiten einbeziehen, um digitale Risiken zu identifizieren, die spezifisch für ihre Abläufe sind, die Wirksamkeit bestehender Kontrollen zu bewerten und Risiken nach ihrer potenziellen Auswirkung auf die Geschäftsziele zu priorisieren.
  • Bow-Tie-Analyse für digitale Risiken: Digitale Risikoevents durch Ursachen- und Folgen-Mapping visualisieren, Folgen mit spezifischen Geschäftsauswirkungen verknüpfen und präventive sowie reaktive Maßnahmen identifizieren.
  • Digital Risk Appetite Statements: Spezifische, messbare Aussagen für verschiedene digitale Risiken entwickeln, die mit der allgemeinen Geschäftsstrategie und den Zielen übereinstimmen.
  • Key Risk Indicators (KRIs) und Key Performance Indicators (KPIs): Eine klare Verbindung zwischen digitalen Risikomessgrößen und der Geschäftsentwicklung herstellen, indem KPIs identifiziert werden, die von digitalen Risiken betroffen sein könnten, und entsprechende KRIs entwickelt werden.
  • Szenarioanalyse und Stresstests: Szenarioplanung mit Geschäftsfokus durchführen. Geschäftliche Führungskräfte einbeziehen, um Szenarien zu entwickeln, die zeigen, wie digitale Risiken die Geschäftsziele beeinflussen könnten.
  • Value-at-Risk (VaR): Den finanziellen Einfluss digitaler Risikoevents über einen definierten Zeitraum mithilfe statistischer Techniken messen und quantifizieren. Die Ergebnisse sollten in geschäftsrelevanten Begriffen wie EBIT und freiem Cashflow ausgedrückt werden.
  • Digital Risk-Adjusted Return on Investment (RAROI): Digitale Risikobetrachtungen in Investitionsentscheidungen einbeziehen, um digitale Initiativen zu priorisieren und Ressourcen effektiv zur Unterstützung der Geschäftsstrategie zuzuweisen.
  • Geschäftsprozess-Mapping mit Risiko-Overlay: Detaillierte Karten der wichtigsten Geschäftsprozesse erstellen und potenzielle digitale Risiken in jeder Phase überlagern, um kritische Punkte zu identifizieren, an denen digitale Risiken den Geschäftsbetrieb erheblich beeinträchtigen könnten.
  • Balanced-Scorecard-Ansatz: Digitale Risikometriken in die Leistungsbewertung der Organisation integrieren, indem digitale risikobezogene Ziele und Metriken zu jeder Perspektive der Balanced Scorecard hinzugefügt werden.
  • PESTLE-Analyse mit digitalem Fokus: Die PESTLE-Analyse anpassen, um digitale Risiken in Bezug auf politische, wirtschaftliche, soziale, technologische, rechtliche und ökologische Faktoren hervorzuheben und deren potenzielle Auswirkungen auf strategische Ziele zu bewerten.

Risikoübernahme und Verantwortlichkeit

Ein entscheidender Schritt, um das digitale Risikomanagement an den geschäftlichen Anforderungen auszurichten, besteht darin, eine klare Zuordnung der Risikoverantwortung an die entsprechenden Personen innerhalb der Organisation festzulegen. Ein Risiko-Eigentümer sollte jemand sein, der befugt ist, die Verantwortung für die finanziellen Auswirkungen des Risikos zu übernehmen. In der Regel fällt diese Rolle auf eine Führungskraft und nicht auf einen technischen Spezialisten.

Zu den wichtigsten Eigenschaften und Verantwortlichkeiten eines Risiko-Eigentümers gehören:

  • Entscheidungsbefugnis: Führungskräfte haben die Macht, strategische Entscheidungen über die Akzeptanz, Minderung oder Übertragung von Risiken zu treffen.
  • Finanzielle Verantwortung: Sie kontrollieren das Budget, das durch ein Risikoevent beeinträchtigt oder für Risikominderungsmaßnahmen genutzt würde.
  • Geschäftskontext: Sie verstehen die gesamten geschäftlichen Auswirkungen des Risikos, nicht nur die technischen Aspekte.
  • Ausrichtung an Geschäftsziele: Ein Risiko-Eigentümer aus dem Geschäftsbereich stellt sicher, dass das Risikomanagement im Einklang mit den übergeordneten Geschäftszielen steht.
  • Effiziente Ressourcenallokation: Wenn der Risiko-Eigentümer die Verantwortung für Gewinn und Verlust trägt, ist er motiviert, Ressourcen effizient für die Risikominderung einzusetzen.
  • Ganzheitliche Risikobetrachtung: Eine Führungskraft fördert eine umfassendere Sicht auf das Risiko, indem sie berücksichtigt, wie Cyberbedrohungen mit anderen Geschäftsrisiken interagieren.
  • Verbesserte Kommunikation: Sie können technische Risiken in geschäftliche Begriffe übersetzen, die für andere Führungskräfte und den Vorstand verständlich sind.
  • Verantwortlichkeit und Kultur: Diese Vorgehensweise fördert eine Kultur des Risikobewusstseins in der gesamten Organisation.

 

Kooperativer Ansatz

Obwohl die Geschäftsführung die Risiken verantworten sollte, muss sie eng mit technischen Experten zusammenarbeiten. Es ist wichtig, dass der Applikationseigentümer oder das IT-Sicherheitsteam technisches Fachwissen und Unterstützung bei der Implementierung bereitstellt. Diese Zusammenarbeit sorgt für ein Gleichgewicht zwischen den Geschäftsanforderungen und den technischen Realitäten. Mit regelmäßigen Meetings und etablierten Kommunikationskanälen zwischen den Geschäfts- und technischen Teams kann eine effektive Abstimmung und ein erfolgreiches Risikomanagement erreicht werden.

 

Implementierung und kontinuierliche Verbesserung

Um diesen geschäftsorientierten Ansatz für das digitale Risikomanagement erfolgreich umzusetzen, müssen Unternehmen:

  • Stakeholder einbeziehen: Führungskräfte, IT-Teams und Risikomanagement-Experten in die Entwicklung des Ansatzes einbeziehen.
  • Pilotprogramme durchführen: Mit einer kritischen Geschäftseinheit oder einem Prozess beginnen, um die Methodik zu testen und zu verfeinern.
  • Schulungen implementieren und Kommunikation fördern: Sicherstellen, dass alle relevanten Mitarbeiter verstehen, wie diese Methoden angewendet werden und warum sie wichtig sind.
  • Regelmäßige Überprüfung und Updates: Den Ansatz kontinuierlich basierend auf geschäftlichen Veränderungen und neuen digitalen Risiken verfeinern.
  • Berichterstattung an die Führungsebene verbessern: Prägnante, geschäftsorientierte Berichte entwickeln, die den Zusammenhang zwischen digitalen Risiken und der Geschäftsentwicklung klar aufzeigen.

Herausforderungen überwinden

Während ein proaktiver und umfassender Ansatz die allgemeine Widerstandsfähigkeit verbessert, können Unternehmen bei der Implementierung vor Herausforderungen stehen, wie zum Beispiel Wissenslücken. Es ist nicht ungewöhnlich, dass Geschäftsleiter kein tiefes technisches Verständnis dieser Risiken haben. Zielgerichtete Schulungen können hier Wachstum unterstützen und eine starke Zusammenarbeit mit den technischen Teams sicherstellen.

Wenn solche Änderungen durchgesetzt werden, könnte es bei einigen Führungskräften zu Widerstand kommen, da sie möglicherweise zögern, eine so große Verantwortung zu übernehmen. Klare Kommunikation über die Bedeutung dieses Ansatzes, das Verknüpfen mit Leistungsbewertungen oder das gezielte Einstellen für diese Rolle kann Unternehmen dabei helfen, dieses Hindernis zu überwinden.

Ein weiterer Aspekt ist die Übergabe der Verantwortung. Der Übergang von der technischen zur geschäftlichen Verantwortung kann komplex sein. Um denjenigen, die diese Rolle übernehmen, zu helfen, sollten Unternehmen einen klaren Prozess zur Übergabe der Risikoverantwortung entwickeln und eine fortlaufende Zusammenarbeit zur Unterstützung reibungsloser Übergänge sicherstellen.

Fazit

Mit diesen Strategien können Organisationen die Ausrichtung zwischen digitalem Risikomanagement und Geschäftszielen stärken, die Effektivität des Risikomanagements verbessern und dessen strategischen Wert innerhalb der Organisation steigern.

 

Die wichtigsten Vorteile dieses geschäftsorientierten Ansatzes sind:

  • Besser fundierte Risikomanagement-Entscheidungen
  • Optimierte Ressourcenallokation
  • Verbesserte Kommunikation der Risiken gegenüber der Führungsebene und dem Vorstand
  • Eine stärkere Sicherheitsposition, die mit den Geschäftszielen übereinstimmt und Sicherheit als Geschäftsfaktor ermöglicht
  • Verbesserte regulatorische Compliance
  • Eine risikobewusstere Unternehmenskultur

Letztendlich führt dieser Ansatz zu einem widerstandsfähigeren Unternehmen, das besser gerüstet ist, um die Komplexitäten der digitalen Landschaft zu bewältigen und gleichzeitig seine strategischen Ziele zu verfolgen. Da sich digitale Technologien kontinuierlich weiterentwickeln und die Geschäftsumgebung verändern, werden Unternehmen, die es schaffen, ihr digitales Risikomanagement mit ihren Geschäftsstrategien in Einklang zu bringen, in einer zunehmend digitalen und volatilen Welt besser positioniert sein.

Auf dem Weg zu operativer Unternehmensresilienz

Während wir die Feinheiten der Ausrichtung des digitalen Risikomanagements an den Geschäftszielen erörtert haben, wird deutlich, dass dieser Ansatz Teil eines größeren, umfassenderen Konzepts ist: der operativen Unternehmensresilienz.

Die Integration des digitalen Risikomanagements in die Kernprozesse des Unternehmens, zusammen mit der geschäftsgeführten Risikoübernahme, bildet eine starke Grundlage für die Fähigkeit einer Organisation, Störungen zu widerstehen, sich anzupassen und in schwierigen Zeiten erfolgreich zu bestehen. Diese Fähigkeit steht im Zentrum der operativen Unternehmensresilienz.

Operative Unternehmensresilienz geht über traditionelle Geschäftskontinuität und Katastrophenmanagement hinaus. Sie umfasst die Fähigkeit einer Organisation, Folgendes zu erreichen:

  • Potenziell beeinflussende Ereignisse durch umfassende Bedrohungs- und Reifegradbewertungen antizipieren
  • Risikomanagement durch einen ganzheitlichen Ansatz mit den Geschäftsstrategien in Einklang bringen
  • Ereignisse, die Auswirkungen auf das Unternehmen haben können, durch Vorfall- und Krisenmanagement erkennen, untersuchen und darauf reagieren
  • Die Auswirkungen dieser Ereignisse durch robuste Risikominderungsstrategien, die Sicherheit und operative Maßnahmen kombinieren, abmildern
  • Sich schnell und effektiv erholen, wenn Ereignisse eintreten, durch Wiederherstellungsstrategien
  • Sich an verändernde Risikolandschaften und Geschäftsumgebungen anpassen und weiterentwickeln

Es ist wichtig zu erkennen, dass operative Unternehmensresilienz nicht durch eine einzige Implementierung erreicht wird. Unternehmen müssen sich kontinuierlich weiterentwickeln, um kritische Funktionen aufrechtzuerhalten, Vermögenswerte zu schützen und weiterhin Mehrwert für die Stakeholder zu schaffen, selbst angesichts erheblicher Herausforderungen. Da sich die Technologie rasant entwickelt und Unternehmen mehr denn je miteinander vernetzt sind, wird der Unterschied zwischen Organisationen, die nur überleben, und denen, die florieren, bald klar werden.

  • Teilen