44 Zudem gibt RMA-Vorstandsmitglied Wolfrum zu bedenken, nicht rein auf eine Sof tware im IT-Sicherheitsbereich oder dem Risikomanagement zu vertrauen. „Solche Lösungen können nur f lankierend eingesetzt werden, aber niemals den alleinigen Erfolgsschlüssel zu einem qualitativen Mehr an IT-Sicherheit und einem Gesamtrisikomanagement im Unternehmen gewährleisten“, bringt es Wolfrum auf den Punkt. Wichtig ist zudem, dass IT-Sicherheit und ein Krisenmanagement als Teil des Großen und Ganzen verstanden werden und dementsprechend in ein unternehmensweites und an Standards ausgerichtetes Risikomanagement integriert sein sollte. Planspiele, Schulungen und Awareness Bei allen Standards – vom IT-Grundschutz über ISO 27001 bis zum DIIR RS Nr. 2 – die ihre Daseinsberechtigung haben, braucht es den genauen Blick in das Unternehmen. Hierzu bieten sich unter anderem Planspiele an, um Abläufe sowie Standards zu hinterfragen und Sicherheitslücken im Unternehmen aufzudecken. Mehr noch können damit „Was-wäre-wenn-Analysen“ durchgeführt werden. So lassen sich unterschiedliche Szenarien im Cyberumfeld durchspielen, damit beispielsweise die eigenen IT-Sicherheitsvorkehrungen und Entscheidungsprozesse auf ihre Wirkung hin transparenter und überprüfbarer werden. Diese Simulationen helfen zudem, komplexe Sachverhalte herunterzubrechen, um Zusammenhänge besser zu verstehen. Methodisch sauber aufgesetzt, sind solche Planspiele eine sinnvolle Unterstützung im Werkzeugkasten des Risikomanagements. Denn sie bilden weniger den Ist-Zustand in Form statischer Checklisten ab, sondern bieten neue Handlungsoptionen, erlauben den Blick in die Zukunf t und helfen letztendlich, die Chancensicht zu wahren. „Damit kommen Organisationen vom reinen Reagieren zum Agieren“, erklärt MarcoWolfrum: „Zumal Veränderungsprozesse so leichter anzustoßen sind, wenn alle den Handlungsdruck spielerisch erfahren.“ Flankierend zu Planspielen, auf dem Weg hin zu einem Gesamtkonzept im Risikomanagement, inklusive IT- Sicherheitsvorkehrungen und Krisenmanagementstrukturen, sind individuelle sowie regelmäßige Schulungen für die Mitarbeiter unerlässlich. Dieses Wissen gilt es zu überprüfen und die Schulungen an neue Erfordernisse anzupassen. Hierbei bieten sich auch ergänzende Angebote im Schulungsbereich an, beispielsweise mithilfe der zunehmenden künstlichen Intelligenz (KI). Schulungsinhalte stets zu hinterfragen und an neue Anforderungen, Erkenntnisse und Methoden anzupassen ist entscheidend. Denn aktuelles Wissen im Umgang mit Cybergefahren ist für alle Mitarbeiter und letztendlich die Gesamtorganisation nicht ersetzbar. Und auch hier gilt: Praxisbezug und reale Beispiele sind elementare Ankerpunkte im Rahmen theoretischer Schulungen. Neben den Inhalten zu IT-Sicherheits- und Risikomanagementstandards sollte in Übungen der Schwerpunkt auf die praktische Anwendung im konkreten Unternehmensalltag liegen. Ein Mittel der Wahl könnte lauten: So theoretisch wie nötig, so praktisch wie möglich, gerade vor dem Hintergrund, das theoretische Wissen in den eigenen Arbeitsalltag zu integrieren. In diesem Zuge geht es nach Marco Wolfrums Worten gleichzeitig um Awareness-Maßnahmen, denn alle Mitarbeiter seien zwei Seiten einer Medaille. „Da Mitarbeiter sowohl ein Risikofaktor als auch eine Chance darstellen können, gilt es ersteres zu minimieren, damit die Chancensicht gewahrt und nach Möglichkeit ausgebaut wird. Im Sinne des Mitarbeiters, der sich über sein Handeln bewusst sein sollte, und letztendlich des Unternehmens“, resümiert MarcoWolfrum. Die Frage ist nicht ob, sondern wann ein Cyberangrif f erfolgt. Darauf sollte die Organisation vorbereitet sein – mit dem Menschen imMittelpunkt. f Marco Wolfrum ist stellvertretender Vorsitzender des Vorstands der RMA Risk Management & Rating Association e.V. (www.rma-ev.org), der unabhängigen Interessenvertretung für die Themen Risikomanagement und Rating im deutschsprachigen Raum, sowie Geschäftsführer deren Tochterunternehmen, der RMA Rating & Risk Academy GmbH. Marco Wolfrum ist seit mehr als 25 Jahren als Unternehmensberater aktiv mit einem Schwerpunkt im Bereich entscheidungsorientiertem Risikomanagement und leitet inzwischen als Partner bei der FutureValue Group AG den Bereich Leistungserstellung. Er ist zudem Autor zahlreicher Fachveröffentlichungen, nimmt Lehraufträge an diversen Hochschulen wahr und ist Referent bei verschiedenen Seminaranbietern.
RkJQdWJsaXNoZXIy Mjc4MQ==