Ob gross oder klein...

...für jedes Unternehmen gilt: Risikomanagement ist eine strategische Aufgabe. «Es geht darum, die Unternehmensziele möglichst stresssicher zu erreichen, indem die vielen ganz unterschiedlichen Risiken erkannt, analysiert und dann bestmöglich bewirtschaftet werden», sagt Sabrina Hartusch, Global Head of Insurance Risk bei Triumph International und Präsidentin der Schweizerischen Vereinigung der Insurance und Risk Manager (SIRM).

Risiken erkennen und bewirtschaften

Es braucht eine Methodik, mit der Risiken und ihre internen oder externen Quellen und Ursachen entdeckt werden können. Dafür braucht es vor allem ein Bewusstsein, dass es diese Risiken gibt und dass man sie nicht unbedingt immer kennt. «Beispielsweise sind sich viele Unternehmen nicht bewusst, dass rund 30 Prozent der Cyber-Risiken von den eigenen Mitarbeitenden ausgehen», sagt Hartusch.

«Das ganze Thema ist sehr unternehmensspezifisch und auch grosse Unternehmen haben oft noch viel Nachholbedarf. Aber auch ein KMU muss ein Risikomanagement betreiben, um weiter agil und im Business zu bleiben. Der Vorteil eines KMU ist es, dass man häufiger näher zusammenarbeitet und kürzere Wege hat.»

Mit Cyber-Risiken tun sich dennoch viele Unternehmen besonders schwer. «Es gibt hier teilweise eine Art subjektiver Unterschätzung der Risiken», sagt Hartusch. «Sie sind nicht gleichermassen greifbar wie beispielsweise ein Feuer oder ein physischer Diebstahl. Damit kommt man zurecht. Doch Cyber-Risiken, obwohl sie ähnlich sind, sind immateriell und ziehen sich wie ein Schleier über das Unternehmen. Man kann selten genau sagen, wo sie sind.» Ihre Empfehlung an KMU ist es deshalb: sich bewusstmachen, was ein Schaden durch Cyber-Risiken für das Unternehmen bedeutet, woher er kommen kann, wie er auftreten kann und dass Externe durchaus ein Interesse daran haben, an Kundendaten, Kompetenzen, Patente oder Prototypen des Unternehmens zu gelangen. «Man muss wissen, welche Kronjuwelen das eigene Unternehmen hat und wie man sie schützen möchte», sagt Hartusch. «Dafür muss man nicht unbedingt viel Geld ausgeben, aber man muss sich mit dem Thema auseinandersetzen, vielleicht auch mithilfe eines externen Beraters.»

Wer kümmert sich darum?

Das Unternehmen muss sich fragen, wer sich um diese Risiken kümmert, wer die Verantwortung übernimmt und wer welche Aufgaben löst. «Vorsorge ist zwar immer besser und versichern kann man nicht alles, aber man sollte auch wissen, wo beispielsweise die Haftpflichtversicherung greift und ob sie noch auf dem aktuellsten Stand ist», sagt Hartusch.

«Auch Reputationsschäden, Eigenschäden und Drittschäden sind Themen, über die man sich im Klaren sein sollte. Und das sind keine IT-Themen, sondern Managementaufgaben.»

Sabrina Hartusch betont, dass ein Risikomanagement speziell rund um Cyber-Risiken eine vernetzte Aufgabe ist: «Der Geschäftsführer ist der Lead und muss in der Firma die richtigen Leute zusammenziehen. Der IT-Verantwortliche ist unersetzlich und eine tragende Säule in diesem Komitee.

Je nachdem braucht es auch den CFO und den CCO, also den Chief Financial Officer und den Chief Commercial Officer. Dieser Kreis muss sich regelmässig treffen und die Risikokultur dann nach aussen tragen, in die Operations, und mit dem HR zusammen alle Mitarbeitenden schulen und sensibilisieren.»