Cyberrisiken gehören zu den grossen Bedrohungen für Firmen und Organisationen – und sie nehmen beständig zu. In der Schweiz wird dies aber noch immer zu wenig ins Risikomanagement einbezogen. Das zeigt eine gemeinsame Studie der Hochschule Luzern (HSLU), Mobiliar und Economiesuisse.

Ein grundsätzliches Problem haben die Studienautoren im Fehlen einer kompatiblen Sprache zwischen dem CISO und dem Risikomanagement ausgemacht. Auch seien die Gefahren der IT-Welt zu tief in der Hierarchie angesiedelt und würden damit in der Strategieentwicklung zu wenig berücksichtigt, heisst es in der Studie.

In deren Rahmen wurden 33 Interviews mit Risk-Management‐Verantwortlichen und CISOs in 18 grösseren Schweizer Unternehmen geführt. Keine der befragten Organisationen hat explizit definiert, in welchem Ausmass Cyberrisiken bewusst eingegangen werden sollen, um die Geschäftsziele zu erreichen, schreiben die Studienautoren. Nur gerade zwei der befragten Firmen pflegen eine Risikopolitik, in der Cyberrisiken überhaupt erwähnt werden.

Die Lage ist laut HSLU dramatisch. "Aus Sicht des Risikomanagements ist das vergleichbar mit einem Schiff, das keinen Kapitän hat", sagt Stefan Hunziker Studienautor von der Hochschule Luzern. Man müsse die Zusammenarbeit zwischen CISO und Risk Manager fördern, lautet ein Befund. Grundsätzlich gehörten die Cyberrisiken systematisch ins Risk Management integriert und auf oberster Führungsebene besprochen.

Die Cloud: Ursprung und Lösung mancher Probleme

Ein besonderes Augenmerk legt die Studie auf die Cloudnutzung, in der viele Risiken ihren Ursprung haben. Hier ist der Befund etwas positiver: Ein Grossteil der befragten Organisationen verfüge über ein Dokument, das die Rahmenbedingungen zur Einführung und Nutzung von Cloudservices beschreibe. Nur bei zwei Firmen war dies nicht der Fall. Dies weise darauf hin, dass das Thema mittlerweile in der Chefetage angekommen sei.

Der Gefahren scheinen sie sich auch bewusst: Verlust der Vertraulichkeit, respektive Verletzung des Datenschutzes, Abhängigkeit vom Cloudanbieter und Fragen der Haftung sind die Topthemen der Befragten. Die Lösung ist jeweils gar nicht so einfach: "Massnahmen sind äusserst vielfältig und müssen individuell aus der konkreten Outsourcing-Situation entwickelt werden. Das stellt die betroffenen Organisationen oft vor sehr grosse Herausforderungen", sagt Fernand Dubler von der HSLU.

Dennoch hält die Studie einige Kernpunkte fest, um die Risiken zu minimieren: die Verfolgung eines cloud‐agnostischen Ansatzes, die Einführung einer Datenklassifizierung und der Einsatz von Verschlüsselungstechnologie. Das bedeute zwar Aufwand und allenfalls gar eingeschränkte Funktionalitäten, aber der Gewinn an Kontrolle und Flexibilität dürfte dies kompensieren – von der Verhinderung eines ernsten Cyberzwischenfall ganz abgesehen.