Cybersecurity ist heute in aller Munde, nachdem das Problem viel zu lange verdrängt wurde, selbst in der ICT-Branche. Angesichts dessen, dass der jährliche Schaden global mittlerweile zehn Billionen Dollar erreicht, immer mal wieder Unternehmen aufgrund von Cyber-Angriffen zugrunde gehen und auch kritische Infrastrukturen unter Beschuss stehen, war es höchste Zeit zu handeln.
In der ICT-Branche löst das Thema zwiespältige Gefühle aus: Einerseits ist es ein spannendes Geschäftsfeld, das anständige Margen verspricht. Andererseits erhöht es das Risiko für ICT-Anbieter: Sie müssen nicht nur sich selbst vor Angriffen schützen, sondern auch dafür sorgen, dass ihre eigene Lösung nicht zum Einfallstor für Angriffe auf ihre Kunden werden kann. Xplain lässt grüssen!
Was mir allerdings auffällt: In vielen Firmen wird Risikomanagement auf das Thema Cybersecurity beschränkt. Dabei werden die zahlreichen anderen Aspekte dieses Themas weitgehend ausgeblendet. Seit über zehn Jahren ist aber in der Schweiz die Risikoberichterstattung (ab CHF 20 Millionen Jahresumsatz) zu einer expliziten Pflicht des Verwaltungsrats geworden. Es gibt keine konkreten Sanktionen bei Unterlassung, allerdings sollte man hier als Mitglied des Verwaltungsrats nicht nachlässig sein. Aus mangelhaftem Risikomanagement kann eine persönliche Haftbarkeit abgeleitet werden, wenn das Unternehmen zahlungsunfähig wird.
Ich möchte auf ein paar spezifische, oft unterschätzte Bereiche kurz eingehen, um das Problem verständlich zu machen. Die Vorgehensweise ist jedoch in allen Bereichen gleich: Risiken erkennen, beurteilen, eliminieren, Gegenmassnahmen ergreifen oder das Risiko versichern.
Schlüsselpersonen im Maschinenraum
Besonders dramatisch kann sich der Ausfall von Schlüsselpersonen auswirken. Und dies kann jederzeit passieren, selbst wenn sich die Person bester Gesundheit erfreut. Wir alle haben am Sonntag erfahren, dass der 55-jährige Bundesratssprecher beim Wandern ohne irgendwelche Vorzeichen plötzlich tot zusammengebrochen ist. In der Führung gibt es oft klare Stellvertretungsregelungen, doch manchmal übersieht man, dass es nur einen einzigen Mitarbeiter gibt, der weiss, wie man eine bestimmte Maschine wieder zum Laufen bringt. Und gute Verkäufer sind oft unersetzlich, selbst wenn alles sauber im CRM hinterlegt ist, weil die persönliche Beziehung und das Vertrauensverhältnis nicht einfach durch eine andere Person ersetzt werden können. Hier gilt es, vorzusorgen.
Klumpenrisiken erkennen
Dass man sich wirtschaftlich nicht von einem einzigen Kunden abhängig machen sollte, muss heute nicht mehr betont werden. Hingegen sind bei ICT-Firmen oft die Branchenabhängigkeiten beträchtlich: Was passiert, wenn zum Beispiel die Autozuliefer- oder die Textilmaschinenindustrie plötzlich konjunkturell in ein Wellental gerät, der man eine hoch spezialisierte Software anbietet, welche den grössten Teil des Umsatzes generiert?
Gewiss, dieses Risiko kann nicht einfach eliminiert werden und ist dem Business-Modell immanent, aber man muss sich dessen bewusst sein. Ein möglicher Ausweg ist die Sicherstellung einer ausreichenden finanziellen Resilienz, um Durststrecken zu überstehen, oder das Forcieren der Diversifizierung.
Kriminelle Energie nicht unterschätzen
Es gibt ja nicht nur Cybercrime, sondern auch die ganz "normale" Kriminalität. Unterschlagung und Veruntreuung kommen häufiger vor, als man denkt – vor allem, weil Firmen aus Angst vor der Blamage oft davor zurückschrecken, die Vorgänge zur Anzeige zu bringen, und auch, weil die Chance auf Rückerstattung grösser ist, wenn der Täter nicht im Gefängnis hockt.
Dabei zeigt sich, dass die zentralen Geschäftsprozesse durch zahlreiche Prüfungen und Sicherheitsroutinen oft gut geschützt sind. Wenn etwas passiert, sind meist weniger gut kontrollierbare Drittpersonen wie Kunden und Lieferanten im Spiel. Oder aber das kriminelle Geschehen spielt sich in Nebenbereichen wie Marketing oder Sponsoring ab: Ich persönlich erinnere mich an einen Fall, in dem es einem "Finanzer" gelang, superteure Rennräder, die eigentlich für vom Unternehmen unterstützte Spitzensportler bestimmt waren, für sich abzuzweigen.
Es lohnt sich in jedem Fall, als Mitglied der Geschäftsleitung oder als Verwaltungsrat das Risikomanagement ernst zu nehmen und kritisch nachzuhaken. Je nach Grösse und Bedeutung des Unternehmens gilt es natürlich zu differenzieren. Auf die bunte Risikomatrix aus der Küche eines teuren externen Beraters kann getrost verzichtet werden, wenn sich herausstellt, dass das grösste Risiko in der Firma der Ausfall der Kaffeemaschine zur Unzeit ist.
Jean-Marc Hensch ist seit 2012 Kolumnist von inside-it.ch. Als Verwaltungsrat, Startup-Investor und Coach ist er in der ICT- sowie in weiteren Branchen engagiert. Er äussert hier seine persönliche Meinung und twittert als @sosicles. Recherchen und Textoptimierungen erfolgen teilweise mit KI-Tools.