Controller Magazin _ Special 43 Digitalisierung, unternehmerische Risiken und Cyberangrif fe Zurück aus dem Mikrokosmos des Kleinbetriebs in die großeWirtschaf tswelt. Dass dieses Beispiel des „digitalen Verzichts“ nicht auf einen Großteil der Unternehmen unserer Tage übertragbar ist, steht außer Frage. Zu groß sind die Abhängigkeiten vom digitalen Austausch, von globaler Vernetzung und Handel, vom Trading und Warenlieferungen im Sekundentakt. Digitale Strukturen sind hier unerlässliche Steigbügelhalter für das große Geschäf t. Wer sich als Unternehmen darauf einlässt, der trägt auch das Risiko. Will heißen, ein 100-prozentiges Vermeiden von Risiken könne es nicht gehen, wie Marco Wolfrum, Vorstandsmitglied der RMA Risk Management & Rating Association e.V., betont. Wolfrum weiß, wovon er spricht, ist er doch von Berufs wegen in Projekten zum Auf- und Ausbau von Risikomanagementsystemen in Unternehmen beteiligt. „Wer kein Risiko eingehen möchte, der muss die Geschäf tstätigkeit einstellen. Also eine Option, die imGrunde keine ist, denn unternehmerisches Handeln ist stets mit Risiken verbunden“, so Wolfrum. Und er fügt an: „Im Risikomanagement geht es schlicht darum, Risiken mithilfe geeigneter Methoden besser zu steuern und letztendlich zu optimieren.“ Das ist der Preis immarktwirtschaf tlichen System, mit Finanzrisiken, den Gefahren durch Embargos und Kriegen oder aufgrund von Pandemien sowie dem Trendthema der ESG-Risiken (Environmental, Social and Governance). Die Klaviatur der Risikofaktoren ist nicht abschließend und doch scheint ein Risiko über allem zu schweben: die Gefahr von Cyberangrif fen. VonMotiven, den Tätern und demGesamtkonzept Wie eingangs beschrieben sind die Schadenszahlen zu Cyberangrif fen seit Jahren kontinuierlich hoch im dreistelligen Milliarden-Euro-Bereich. Anfang des Jahres warnte das World Economic Forum in einer Meldung vor der durch die geopolitische Instabilität erhöhten Gefahr einer katastrophalen Cyberattacke in den kommenden zwei Jahren. Was das genau heißen mag, bleibt of fen. Anlass zur Vorsicht und Vorsorge besteht trotzdem – auch und gerade aufgrund der steigenden geopolitischen Verwerfungen. Damit nehmen auch die Risiken für kritische Infrastrukturen zu, wie beispielsweise den Energiesektor, die Wasserversorgung oder der Transport sowie der Staat samt seiner Verwaltung in Gänze. Hintergrund der Sorge ist, dass in diesem Zuge staatliche Akteure auf den Plan treten, die über immense Ressourcen an Geld und Know-how verfügen, inklusive hochgerüsteter Cyberabteilungen. Damit dürf te klar sein, dass es Unternehmen, aber auch Behörden, Politik und Wissenschaf t meist mit einem professionellen und arbeitsteiligen Hackermilieu auf der anderen Seite zu tun haben. Für Unternehmenslenker und Risikomanager heißt das: Es ist keine Frage, ob ein Cyberangrif f erfolgt, sondern wann. „Darauf gilt es sich als Organisation bestmöglich vorzubereiten“, unterstreicht MarcoWolfrum von der RMA. Letztere, eben die Risikomanager, sollten im Verbund mit der Geschäf tsführung und der weiteren Leitungsebene ein Gesamtkonzept zur Cybersicherheit aufsetzen und alle Mitarbeiter mitnehmen – initiiert vom Topmanagement. Hierzu ist ein organisationsweites Krisen-, Notfall- und Gesamtrisikomanagement unverzichtbar, inklusive der dazugehörigen Kommunikationsstrukturen. Marco Wolfrum: „Das lässt sich nicht von der Stange kaufen, sondern muss individuell auf das jeweilige Unternehmen zugeschnitten werden.“ Seiner Meinung nach sind die Anforderungen, Strukturen und Unternehmensprozesse viel zu unterschiedlich als dass sich eine Cybersecurity- Lösung einfach überstülpen lässt. „Das geht schief“, warnt Wolfrum. Nicht zu unterschätzen sei seiner Meinung nach die Unternehmenskultur, die maßgeblich über den jeweiligen Weg der Krisen- und Risikomanagementmaßnahmen mitentscheidet. Konkret heißt das unter anderem: Wie sind die Entscheidungswege im Unternehmen? Welcher Digitalisierungsgrad herrscht in der Organisation vor? Handelt es sich um eine größtenteils weit verzweigte Arbeitsplatzstruktur oder besteht Anwesenheitspflicht? In Summe prägen diese und weitere Faktoren eine Unternehmenskultur. Daran muss sich das Krisen- und Risikomanagement auch ausrichten. Entscheider und Risikomanagementverantwortliche tun deshalb gut daran, die Realität der jeweiligen Organisations- und Führungskultur ernst zu nehmen und nicht alles sofort verändern zu wollen. Ohne das Zutun und den Willen der Mitarbeiter, dem zukünf tigen Veränderungsprozess zu folgen, wird das beste Konzeptionspapier zum Krisen- und Risikomanagement ein zahnloser Tiger bleiben. Es ist keine Frage, ob ein Cyberangrif f erfolgt, sondernwann. „Darauf gilt es sich als Organisation bestmöglich vorzubereiten“, unterstreicht MarcoWolfrumvon der RMA.
RkJQdWJsaXNoZXIy Mjc4MQ==