In seinem Buch "Die Zeit, die Zeit" beschreibt der Autor Martin Suter den Versuch des alten Albert Knupp und seines Nachbarn Peter Taler die Zeit zurückzudrehen. "Gegenwart, Vergangenheit, Zukunft: alles Mumpitz" – die Grenzen der scheinbar nicht existierenden Zeit werden philosophisch und literarisch verwischt. Was in der theoretischen Welt der "Zeitzweifler" scheinbar funktioniert, ist für Risikomanager in zweierlei Hinsicht nicht praktikabel. Zum einen ist der rückwärtsgewandte Blick in die Vergangenheit – in den Rückspiegel – reine Risikobuchhaltung. Zum anderen braucht ein modernes Risikomanagement den Blick nach vorne, vorwärtsgewandt, um Chancen zu erkennen und für die eigene Organisation zu nutzen.
Wie wichtig das frühzeitige Erkennen von Risiken und Chancen für Unternehmen jeder Größe und in allen Branchen ist, zeigt sich bei einem Blick auf die Risikolandkarte unserer Zeit. Die Liste möglicher Risiken ist lang und reicht von Finanzkrisen über den Cyberkrieg bis zu Social Engineering und Lieferengpässen aufgrund von Naturkatastrophen. Im Umkehrschluss heißt das für Organisationen sich umfassend zu schützen – sprich professioneller im Risikomanagement und bei IT-Sicherheitsfragen aufstellen und ihre Risikolandkarte vor Augen zu haben. Was Unternehmen in der Praxis brauchen, ist eine umfassende und integrierte Managementstrategie. Wichtig ist die Gesamtsicht auf die Risiken im Unternehmen, denn viele Entscheider befinden sich noch immer im Blindflug. Vor allem verschließen viele Top-Manager die Augen, wenn es um Risiko- und Informationssicherheitsfragen für die eigene Organisation geht. Mit anderen Worten: Unternehmen lassen sich nur zielgerichtet steuern, wenn alle potenziellen Risiken und Chancen erkannt sind und vorausschauend gesteuert werden können.
Security- und Risk-Lösungen ja, aber …
Der Verfassungsschutz schätzt, dass deutschen Unternehmen durch Wirtschaftsspionage ein Schaden von rund 50 Milliarden Euro pro Jahre entsteht. Die Zahlen zu Datenpannen, Spionageangriffen, Risikoschäden oder strafbaren Compliance-Verfehlungen sind enorm und stehen regelmäßig in den Hitlisten der Wirtschafts- und Fachpresse. Was folgt ist in vielen Fällen der Ruf nach mehr Sicherheit und technischer Unterstützung. Softwareanbieter aller Couleur bieten Security-Lösungen und Risikomanagementsoftware für das sichere Unternehmen an. Ein Patentrezept? Mitnichten, denn technische Lösungen unterstützten nach Expertenmeinung nur zu rund einem Drittel eine solide Sicherheits- und Risikomanagementstrategie in der eigenen Organisation. Die Mehrheit der Vorfälle lässt sich nicht auf technische Vorkehrungen reduzieren. Im Gegenteil führt eine solche einseitige Sichtweise in eine Security- und Risikomanagementfalle, da das Wohl der Organisation auf Basis eines reinen Lösungsweges den realen Bedürfnissen eines Unternehmens nicht gerecht wird. Somit stellen Lösungen im Informationssicherheits- und Risikomanagementumfeld eine Stütze dar. Aber es braucht eine Gesamtstrategie, die mehr ist als der reine Softwareeinsatz. Denn Informationssicherheit muss ein integraler Bestandteil von Risikomanagement sein.
… die Mitarbeiter in den Mittelpunkt stellen
Entscheider müssen das Risikomanagement als einen integralen Bestandteil von Organisationsprozessen verstehen, Methoden systematisch auswählen und strukturiert sowie zeitgemäß einsetzen. In diesem Kontext gilt es frühzeitig Handlungsalternativen zu finden und ein pro-aktives Sicherheits- und Risikomanagement aufzubauen. Und diese Strategie heißt den Blick nach vorne richten und die Mitarbeiter einbinden. Dies bedingt eine von der Firmenleitung vorgelebte Unternehmenskultur in puncto Prozesse, Risikowahrnehmung und Awareness. Mit einem Top-down-Verfahren müssen alle Mitarbeiter frühzeitig in diesen Gesamtprozess eingebunden werden, um die erarbeiteten Sicherheits- und Risikomanagementziele in der gesamten Organisation umzusetzen. Hilfreich sind an dieser wichtigen Nahtstelle zu den Mitarbeitern Sensibilisierungsmaßnahmen, sogenannte Awareness-Schulungen und unternehmensweit angelegte Sicherheits- und Risikomanagementprogramme.
Das Werben um die eigenen Mitarbeiter und für mehr Sicherheit und Awareness im Umgang mit den Risiken eines Unternehmens – inklusive sensibler Firmendaten und Cyberrisiken – ist nach Expertenansicht daher ein Schlüsselfaktor für den Erfolg solcher Maßnahmen. Und das ist auch dringend notwendig, stellen die eigenen Mitarbeiter durch Unachtsamkeit aber auch durch vorsätzliche beziehungsweise mutwillige Motive eine der größten Gefahrenquellen für Organisationen jeder Größe und in allen Branchen dar. Grundsätzlich ist Awareness jedoch nur ein Faktor – wenn auch wichtiger. Hinzu kommt, dass der normale Administrator auf ein Niveau gehoben werden muss, dass auch er das Thema Sicherheit für wichtig betrachtet. Dafür sind entsprechende Weiterbildungsmaßnahmen wichtig.
Sinnstiftende Wissensvermittlung
Flankiert von sinnstiftenden Fachkonferenzen und Aufklärungskampagnen entsteht so ein Gesamtbild inklusive der Wissensvermittlung zum Schutz wichtiger Informationen. Beispielsweise veranstaltet qSkills in diesem Jahr bereits zum siebten Mal das qSkills Security Summit in Nürnberg. Mit dem vom Medienpartner RiskNET unterstützten Security Summit am 6. Oktober 2014 bietet qSkills eine wichtige Plattform für den Wissensaustausch rund um die Themen Informationssicherheit und Risikomanagement. Das Forum ist in den letzten Jahren zu einer festen Größe im Rahmen der Woche der IT-Sicherheit (IT-Security-Fachmesse it-sa) in Nürnberg gereift. Entscheider aus Wirtschaft, Wissenschaft und dem öffentlichen Sektor schätzen die Veranstaltung aufgrund der praxisnahen Ausrichtung der Vorträge und des gezielten Informationsaustausches der Teilnehmer. Zudem bietet sich für die Teilnehmer des qSkills Security Summit die Möglichkeit, die am darauffolgenden Tag startende 3-tägige Fachmesse it-sa (7. bis 9. Oktober 2014, Messe Nürnberg) zu besuchen.
Weitere Informationen zum qSkills Security Summit unter: www.qskills-security-summit.de