{"id":25634,"date":"2022-12-22T10:06:08","date_gmt":"2022-12-22T09:06:08","guid":{"rendered":"https:\/\/scf-5-sci-2025.hipdev.pro\/blog\/experten-rundtischgespraech-cyber-risiken-fuer-unternehmen\/"},"modified":"2024-09-24T17:01:36","modified_gmt":"2024-09-24T15:01:36","slug":"experten-rundtischgespraech-cyber-risiken-fuer-unternehmen","status":"publish","type":"post","link":"https:\/\/scf-5-sci-2025.hipdev.pro\/de\/insider\/blog\/experten-rundtischgespraech-cyber-risiken-fuer-unternehmen\/","title":{"rendered":"Experten-Rundtischgespr\u00e4ch: „Cyber-Risiken f\u00fcr Unternehmen“"},"content":{"rendered":"\n

Dieser Artikel fasst die wichtigsten Erkenntnisse und Lernpunkte der Expertenrunde „Cyberrisiken f\u00fcr Unternehmen“ zusammen, die vom Swiss Cyber Institute am 30. November 2022 veranstaltet und per Live-Stream an die Swiss Cyber Institute Community \u00fcbertragen wurde.<\/strong> Eine Aufzeichnung der Veranstaltung ist auch hier<\/a> verf\u00fcgbar.<\/strong><\/p>\n\n

Geschrieben von <\/strong>Yanya Viskovich<\/strong><\/a> Vorsitzender der Arbeitsgruppe Cyber Law Governance am Swiss Cyber Institute.<\/p>\n\n

Der Vorstand und das Management eines Unternehmens haben die Pflicht, die wesentlichen Risiken f\u00fcr das Unternehmen zu verstehen und zu \u00fcberwachen. Dazu geh\u00f6rt heute auch das Cyber-Risiko. Wie die letzten zwei Jahre gezeigt haben, nimmt dieses Risiko erheblich zu. <\/p>\n\n

Die komplexe und dynamische Natur von Cyber-Risiken – die alle Bereiche eines Unternehmens betreffen – erfordert interdisziplin\u00e4re Ans\u00e4tze, die Menschen aus allen Bereichen eines Unternehmens zusammenbringen. Um die Herausforderungen zu er\u00f6rtern, mit denen Unternehmen im Bereich der Cyber-Governance konfrontiert sind, und um sich \u00fcber bew\u00e4hrte Praktiken, Schl\u00fcsselprinzipien, Strategien und Instrumente zur Erh\u00f6hung der Cyber-Resilienz auszutauschen, haben die Experten an diesem Rundtischgespr\u00e4ch eine Vielzahl von Hintergr\u00fcnden vertreten. Die Diskussionsteilnehmer boten eine Reihe von konkreten Vorschl\u00e4gen f\u00fcr Unternehmen, deren Management und Aufsichtsr\u00e4te zur Verbesserung der Cyber-Resilienz. Wenn Sie nicht online an dieser hybriden Veranstaltung teilnehmen konnten, finden Sie im Folgenden einige konkrete Anregungen aus der Diskussion, die Sie vielleicht in Ihre verschiedenen Organisationen mitnehmen m\u00f6chten. <\/p>\n\n

Wer sass mit am Tisch?<\/strong><\/h2>\n\n

Dr. Maya Bundt – eine erfahrene F\u00fchrungspers\u00f6nlichkeit und mehrfaches Vorstandsmitglied, u.a. Vorstandsmitglied und Vorsitzende des Kapitels Cyber Resilience bei der Swiss Risk Association. Sie ist Mitglied der Cyber Security Commission von digitalswitzerland, Mitglied des Global Future Council for Cybersecurity des WEF und Partnerin f\u00fcr Governance of Digital Risks am International Center for Corporate Governance. In fast 20 Jahren bei dem globalen R\u00fcckversicherer Swiss Re hatte Maya verschiedene Funktionen in den Bereichen IT, Strategie und R\u00fcckversicherung inne. Ab 2014 war sie f\u00fcr die Entwicklung der Cyber-Versicherungsstrategie von Swiss Re verantwortlich und baute erfolgreich die Funktion und das Team f\u00fcr Cyber- und digitale L\u00f6sungen auf und f\u00fchrte den Vorsitz des Swiss Re Cyber Council. <\/p>\n\n

Zu Gast war auch Susanne Gn\u00e4dinger, Chief Transformation Officer bei der MS Amlin AG, besser bekannt unter der Marke MS Reinsurance – wo Susanne die End-to-End-Transformation des Unternehmens erm\u00f6glicht. Susanne Gn\u00e4dinger hat einen Master in Wirtschaftswissenschaften und Informatik von der Universit\u00e4t Z\u00fcrich und begann ihre Karriere bei einem Softwareentwicklungsunternehmen, um das Handwerk des Programmierens zu erlernen. Anschliessend arbeitete sie in der Beratung, wo sie an mehreren Projekten in der Finanzbranche beteiligt war. Im Jahr 2005 kam Susanne zu PartnerRe, wo sie verschiedene Funktionen innehatte, von der Lebensr\u00fcckversicherung \u00fcber die Katastrophenversicherung bis hin zur Schadenr\u00fcckversicherung. Sp\u00e4ter \u00fcbernahm sie die Rolle des Chief Transformation Officer, als das Unternehmen begann, sich mit dem Einsatz neuer Technologien zu befassen. <\/p>\n\n

Andreas Pankow, Chief Executive Officer von DGC Schweiz – einem umfassenden Anbieter von Cybersicherheit und Partner des Swiss Cyber Institute – nahm ebenfalls an der Diskussionsrunde teil. Andreas Pankow berichtete \u00fcber seine mehr als 20-j\u00e4hrige Erfahrung in verschiedenen F\u00fchrungspositionen bei internationalen Unternehmen, darunter UBS und Credit Suisse. Andreas arbeitet in Z\u00fcrich, Schweiz, von wo aus DGC sein internationales Gesch\u00e4ft aufbaut. Andreas ist Experte f\u00fcr strategische Unternehmensplanung, die F\u00fchrung junger Unternehmen in ihren Wachstumsambitionen sowie die Entwicklung und Umsetzung von Vertriebsstrategien. Andreas hat einen MBA in Finanzen von der EBS Universit\u00e4t, Deutschland, und Abschl\u00fcsse in Bankwesen und Finanzen von der \u00c9cole Sup\u00e9rieure de Commerce Et de Management (ESCEM) und der San Diego State University. <\/p>\n\n

Moderiert wurde der Runde Tisch von Yanya Viskovich, einem Spezialisten f\u00fcr Cyber-Resilienz-Kultur und Vorsitzender der Arbeitsgruppe Cyber-Recht und Governance am Swiss Cyber Institute.<\/p>\n\n

Trotz der Vielfalt am Tisch – die Podiumsteilnehmer haben sich aus verschiedenen Blickwinkeln mit Cyber-Risiken befasst, z.B. aus der Sicht der Aufsicht, der Unternehmensf\u00fchrung, des Managements, des Betriebs, der Technik, des Gesch\u00e4fts, des Vertriebs, des \u00c4nderungsmanagements, der Strategie und der Rechtsabteilung usw. – herrschte weitgehende Einigkeit \u00fcber die besten Praktiken f\u00fcr Unternehmen und ihre Vorst\u00e4nde sowie \u00fcber die notwendigen Zutaten f\u00fcr die Schaffung einer Cyber-Resilienz-Kultur, die die Gesch\u00e4ftskontinuit\u00e4t gew\u00e4hrleistet. <\/p>\n\n

Vor allem drei Themen zogen sich wie ein roter Faden durch die Diskussion, die wir im Folgenden unter diesen Themen zusammenfassen:<\/p>\n\n

1.„Das Management von Cyber-Risiken geh\u00f6rt zu den Kosten der Gesch\u00e4ftst\u00e4tigkeit“<\/strong><\/h2>\n\n

Zu Beginn der Diskussion stellte Andreas Pankow fest, dass die j\u00fcngste weltweite Zunahme von Cyberangriffen nicht trotz <\/em>, sondern wegen<\/em> des digitalen Wandels zu verzeichnen ist. Dies ist vor allem darauf zur\u00fcckzuf\u00fchren, dass diese Digitalisierung vor dem Hintergrund eines allgemeinen Mangels an Cybervorbereitung seitens der Vorst\u00e4nde und der Unternehmensf\u00fchrung erfolgte. Dar\u00fcber hinaus f\u00fchrte COVID dazu, dass viele Unternehmen in vielen, wenn nicht sogar allen Branchen bestimmte Elemente ihrer Wertsch\u00f6pfungskette digitalisieren mussten. F\u00fcr einige bedeutete dies, dass sie ihre Mitarbeiter von zu Hause aus arbeiten liessen, w\u00e4hrend f\u00fcr andere der Verkauf von Waren nur noch \u00fcber den elektronischen Handel m\u00f6glich war, um im Gesch\u00e4ft zu bleiben. Viele Unternehmen haben viele dieser digitalen Elemente beibehalten, aber viele haben vergessen, die Sicherheitsaspekte ihrer Digitalisierungsreise zu ber\u00fccksichtigen. Zum Teil war dies eine Folge der Dringlichkeit, f\u00fcr die Gesch\u00e4ftskontinuit\u00e4t zu handeln, in anderen F\u00e4llen lag es an schierer Faulheit, mangelnder Aufmerksamkeit oder der Unwissenheit. Es wurde festgestellt, dass Angreifer im Durchschnitt zwischen zwei und 6 Monaten im System eines Unternehmens verbringen, bevor es zu einem Angriff kommt. Das erkl\u00e4rt zum Teil den Anstieg der Angriffe in diesem Jahr. Dr. Maya Bundt wies darauf hin, dass einige Unternehmen wie z.B. Swiss Re in den letzten 20 Jahren eine allm\u00e4hliche digitale Transformation durchlaufen haben, aber mit COVID mussten viele grundlegende Aufgaben des Risikomanagements neu oder anders erledigt werden, und die Herausforderungen f\u00fcr die Unternehmen sind im Zusammenhang mit einer sich schnell entwickelnden regulatorischen Landschaft gestiegen. <\/p>\n\n

Dr. Maya Bundt wies darauf hin, dass strategische Unternehmensentscheidungen sowohl Chancen als auch Risiken f\u00fcr ein Unternehmen mit sich bringen und dass „das Management von Cyberrisiken zu den Kosten der Gesch\u00e4ftst\u00e4tigkeit geh\u00f6rt“. Um die Risiken zu mindern, m\u00fcssen sich Vorst\u00e4nde und Management der Auswirkungen von Unternehmensentscheidungen auf das Cyber-Risikoprofil ihres Unternehmens bewusst sein und diese proaktiv ber\u00fccksichtigen. Anstatt jedoch sichere Produkte und Dienstleistungen nur als Risiko oder Kostenthema zu behandeln, sollten Vorst\u00e4nde und Management diese auch als strategische Verm\u00f6genswerte betrachten. <\/p>\n\n

Alle waren sich einig, dass in vielen F\u00e4llen die Sicherheit zugunsten von Effizienz oder Anschaffungskosten vernachl\u00e4ssigt wird. Dr. Maya Bundt wies darauf hin, dass die Frage, wie das richtige Gleichgewicht gefunden werden kann, von der Gesch\u00e4ftsstrategie und dem Risikomanagementrahmen bestimmt werden sollte, wenn Gesch\u00e4ftsanforderungen Vorrang vor sicherem Cyberverhalten haben. Das bedeutet, dass sich Unternehmen fragen m\u00fcssen: Welches Risiko will das Unternehmen eingehen? Und wie hoch ist das Risiko, das wir eingehen, wenn wir diese Gesch\u00e4ftsentscheidung treffen oder nicht treffen? Es ist wichtig, dass das Unternehmen das Risiko versteht und seine Sicherheits- und Risikopolitik anwendet, durchsetzt und lebt. Es wurde einger\u00e4umt, dass manchmal ein schwerf\u00e4lligerer Ansatz oder Prozess erforderlich ist, um die digitalen Verm\u00f6genswerte des Unternehmens zu sch\u00fctzen. Andreas Pankow wies auf die Notwendigkeit hin, pragmatisch vorzugehen und ein Gleichgewicht zwischen Risiko und Ertrag zu finden. Er r\u00e4umte auch ein, dass gesch\u00e4ftliche Erfordernisse manchmal eine gewisse Dringlichkeit haben, dass aber dennoch bestimmte Risiko- und Sicherheitselemente angewandt werden sollten, und zwar auch dann, wenn die gesch\u00e4ftliche Entscheidung bereits gefallen ist. <\/p>\n\n

Dr. Maya Bundt wies darauf hin, dass die Betrachtung des Themas als Gesch\u00e4ftsbed\u00fcrfnis und als<\/em> Sicherheitsbed\u00fcrfnis eine sich gegenseitig ausschliessende Entscheidung oder ein Nullsummenspiel darstellt. Diese dichotome Denkweise kann vermieden werden, wenn das Gesch\u00e4ftsbed\u00fcrfnis Sicherheitsanforderungen einschliesst<\/em>. Susanne Gn\u00e4dinger wies darauf hin, dass es entscheidend ist, die Sprache des Vorstands und des Unternehmens zu sprechen, wenn es darum geht, die Kosten aufzuzeigen, die dem Unternehmen entstehen, wenn Sicherheitsanforderungen nicht umgesetzt werden. Andreas Pankow wies darauf hin, dass in Unternehmen, in denen der CISO den CFO davon \u00fcberzeugen muss, dass Cyberrisiken keine ‚versunkenen Kosten‘ sind, dies ein kulturelles Problem darstellt. Die Verf\u00fcgbarkeit von branchenrelevanten Statistiken kann dazu beitragen, das Unternehmen davon zu \u00fcberzeugen, das Cyber-Risiko einer Gesch\u00e4ftsentscheidung in Betracht zu ziehen, ebenso wie die M\u00f6glichkeit, ein „Preisschild“ f\u00fcr die j\u00e4hrlichen Cybersicherheitskosten des Unternehmens im Vergleich zu den durchschnittlichen Kosten eines Cyber-Angriffs aufzuzeigen. Andreas Pankow wies darauf hin, dass es in der Verantwortung des CFO – und nicht des CISO – liegt, sich diese Zahlen anzusehen und eine Entscheidung zu treffen, die das Business Continuity Management sicherstellt. <\/p>\n\n

Gesch\u00e4fte in einer digitalen Welt bedeuten, dass Cyber-Risiken Teil der Kosten f\u00fcr die Gesch\u00e4ftst\u00e4tigkeit sind <\/em>. Daher ist es t\u00f6richt, Ausgaben f\u00fcr die Cybersicherheit als „versunkene Kosten“ zu betrachten. Dennoch herrscht in vielen Unternehmen eine solche Einstellung vor, und die Sensibilisierung spielt in dieser Hinsicht eine wichtige Rolle. So k\u00f6nnen beispielsweise Nachrichten, Medienartikel und Ver\u00f6ffentlichungen, in denen die pers\u00f6nliche Haftung von F\u00fchrungskr\u00e4ften und Vorstandsmitgliedern bei Cyberangriffen hervorgehoben wird, dazu beitragen, die Gesch\u00e4ftsleitung und die Vorstandsmitglieder in die richtige Richtung zu dr\u00e4ngen, wenn es darum geht, Sicherheitsanforderungen in Gesch\u00e4ftsentscheidungen zu verankern. <\/p>\n\n

Andreas Pankow wies auf die inh\u00e4renten Risiken hin, die mit dem unternehmensstrategischen Element der Expansion – ob vertikal oder horizontal – verbunden sind, von einer MA-Transaktion bis hin zum Onboarding eines neuen Anbieters – und auf die Notwendigkeit, Ressourcen f\u00fcr die Bew\u00e4ltigung dieser Risiken bereitzustellen. Im Zusammenhang mit der Due-Diligence-Pr\u00fcfung von Drittanbietern und dem Management von Lieferantenrisiken stellte Dr. Maya Bundt fest, dass es wichtig ist, diejenigen Lieferanten zu identifizieren, die f\u00fcr die betriebliche Kontinuit\u00e4t des Unternehmens entscheidend sind, ihre Lieferketten zu bewerten und einen \u00dcberblick \u00fcber ihre Lieferanten zu haben. Es wurde zwar einger\u00e4umt, dass dies eine entmutigende und schwierige Aufgabe ist, insbesondere f\u00fcr Unternehmen mit mehreren zehntausend Lieferanten (was bei gr\u00f6sseren multinationalen Unternehmen oft der Fall ist), aber es ist eine wesentliche Sicherheitsanforderung. Andreas Pankow vertrat die Ansicht, dass es so etwas wie einen vertrauensw\u00fcrdigen Anbieter nicht gibt und dass jedes Unternehmen seine eigenen Risikokriterien festlegen und durchsetzen muss, um zu bestimmen, mit welchen Anbietern es zusammenarbeitet und mit wem es Systeme und Daten gemeinsam nutzt. Susanne Gn\u00e4dinger wies auch auf die Komplexit\u00e4t der Due-Diligence-Pr\u00fcfung von Drittanbietern im Zusammenhang mit mehreren Anbietern hin und betonte, wie wichtig es ist, Priorit\u00e4ten in Bezug auf ihre Kritikalit\u00e4t zu setzen. <\/p>\n\n

Alle Podiumsteilnehmer wiesen darauf hin, dass der Umgang mit Cyber-Risiken keine einmalige <\/em>Angelegenheit ist; die Cyber-Bedrohung ist best\u00e4ndig und verschwindet nie.\nDementsprechend sind Penetrationstests kein einmaliges Ereignis im Jahr, das Ihr Unternehmen f\u00fcr den Rest des Jahres absichert.\nVielmehr muss die Cybersicherheit Teil des normalen Betriebsablaufs des Unternehmens sein und in die Risikokultur des Unternehmens eingebettet werden.\nDas bedeutet, dass sie ein st\u00e4ndiges Element der Unternehmenspraktiken sein muss, implementiert und Teil des t\u00e4glichen Lebens eines Unternehmens und eines jeden Einzelnen – wie das Z\u00e4hneputzen.\nSusanne Gn\u00e4dinger merkte an, dass es in dieser Hinsicht ein bisschen so ist, wie wenn man fit werden will oder plant, einen 10-Kilometer-Lauf zu absolvieren, was t\u00e4gliches Training erfordert, anstatt nur alle paar Monate einmal ins Fitnessstudio zu gehen.\nEine solche Gewohnheitsbildung erh\u00f6ht die Cyber-Resilienz, denn wenn sie in die t\u00e4gliche Arbeit und die DNA des Unternehmens eingebettet ist, wird es f\u00fcr die Mitarbeiter einfacher und leichter, sich mit dem Thema zu befassen, und sie werden dazu beitragen, die Angst, die die Cybersicherheit umgibt, in Bewusstsein und Engagement umzuwandeln. <\/p>\n\n

Andreas Pankow wies darauf hin, dass Cyber-Risiken ein t\u00e4gliches Thema auf der Tagesordnung des Managements sein m\u00fcssen. Ausserdem wurde festgestellt, dass einige Unternehmen naiverweise davon ausgehen, dass sie nicht angegriffen werden k\u00f6nnen. Es gibt jedoch keine Branche, Unternehmensgr\u00f6sse oder Organisationsform, die nicht im Fokus der Angreifer steht. Dr. Maya Bundt stellte fest, dass kein Unternehmen zu klein ist, um Opfer eines Cyberangriffs zu werden. Andreas Pankow wies darauf hin, dass ein Grund daf\u00fcr die Professionalisierung und Digitalisierung der Angreifer selbst ist. Dr. Maya Bundt wies darauf hin, dass das Konzept des „Kollateralschadens“ – bei dem Unternehmen, die nicht direkt im Visier der Angreifer stehen, dennoch erheblich beeintr\u00e4chtigt werden – oft \u00fcbersehen wird. Das kann so einfach sein wie die Nutzung eines Lieferanten oder Anbieters, der angegriffen wurde. Susanne Gn\u00e4dinger merkte an, dass die zunehmende Nutzung von Ger\u00e4ten als Folge der Digitalisierung vergleichbar sei mit der Masse an Menschen, die im Stra\u00dfenverkehr unterwegs sind, ohne das Wissen oder die Erfahrung zu haben, wie man ein Fahrzeug bedient. <\/p>\n\n

Cyber-Risiken m\u00fcssen ein Thema f\u00fcr den Vorstand und das Management sein, aber das ist in einigen Unternehmen oft noch nicht der Fall, weil die Vorstandsmitglieder und das Management Angst haben und mit dem Thema Cybersicherheit nicht vertraut sind. Andreas Pankow wies darauf hin, dass das Cyber-Risiko f\u00fcr mittelst\u00e4ndische Unternehmen, die vor einem Nachfolgeproblem stehen, oft eine Herausforderung darstellt; es kann sowohl auf der gesch\u00e4ftlichen als auch auf der pers\u00f6nlichen Seite ein Problem sein und erfordert weitere Sensibilisierung. <\/p>\n\n

2. Die „Risikokultur“ eines Unternehmens<\/strong> wirkt sich grundlegend auf die Cyber-Resilienz des Unternehmens aus<\/strong><\/h2>\n\n

Eine Risikokultur existiert unabh\u00e4ngig davon, ob sich ein Unternehmen dessen bewusst ist oder nicht, und muss im weiteren kulturellen Kontext des Unternehmens untersucht werden. Eine Unternehmenskultur, in der die Mitarbeiter ermutigt werden, sich zu \u00e4ussern, wenn sie etwas bemerken, das dem Unternehmen schaden oder seine Kontinuit\u00e4t gef\u00e4hrden k\u00f6nnte, oder in der Fehler zu machen als etwas angesehen wird, das wir alle tun, schafft eine gesunde Risikokultur. Eine solche Kultur verschafft einem Unternehmen die M\u00f6glichkeit, ein potenzielles Problem zu beheben, bevor es zu einem Vorfall f\u00fcr das Krisenmanagement wird. Vorst\u00e4nde und Management spielen eine entscheidende Rolle bei der Schaffung einer solchen Unternehmenskultur. Sie m\u00fcssen mit gutem Beispiel vorangehen, wenn es darum geht, Sicherheitswerte und Verhaltensweisen vorzuleben. Das bedeutet, dass Vorst\u00e4nde und Management zeigen m\u00fcssen, dass sie das Cyber-Risiko ernst nehmen und die Cyber-Resilienz zu einem Teil der DNA ihres Unternehmens machen. Dazu geh\u00f6rt auch, dass sie Verhaltensweisen belohnen und f\u00f6rdern, die eine starke Cyber-Hygiene beg\u00fcnstigen, wie z.B. die Ermutigung zum Melden von Risiken, das Vermeiden von Schuldgef\u00fchlen, wenn man Fehler gemacht hat, regelm\u00e4ssige Feedbackschleifen und die Belohnung von Mitarbeitern, die Schwachstellen im Unternehmen erkennen, bevor Angreifer es tun. <\/p>\n\n

F\u00fcr Aufsichtsr\u00e4te wies Dr. Maya Bundt darauf hin, dass es wichtig ist, dass sie auch „Taten folgen lassen“, indem sie unter anderem vermeiden,<\/em> Verhaltensweisen zu f\u00f6rdern, die Anreize f\u00fcr schlechte Cyber-Praktiken bieten oder eine gute Cyber-Hygiene untergraben k\u00f6nnten. Ausserdem betonte Dr. Bundt, dass es wichtig ist, dass Aufsichtsr\u00e4te einen offenen und direkten Kommunikationskanal mit dem CISO haben. Dadurch wird das Interesse des Vorstands an dem Thema geweckt und es k\u00f6nnen g\u00e4ngige Mythen ausger\u00e4umt werden. Wenn ein Aufsichtsrat den CISO kennt und einen direkten Draht zu ihm hat, kann dies auch dazu beitragen, dass Themen des operationellen Cyber-Risikos in die Bedeutung f\u00fcr das Unternehmen \u00fcbersetzt werden, d.h. was es in Schweizer Franken\/Euro\/USD bedeutet und was es f\u00fcr die Lieferanten, Kunden und Aktion\u00e4re eines Unternehmens bedeutet. Dies f\u00f6rdert dann einen pragmatischen Rahmen f\u00fcr das Risikomanagement. Susanne Gn\u00e4dinger merkte an, dass dieser Ansatz einer offenen Kommunikation auch einen Sinn in einer Organisation schafft, da er eine Betrachtung des Themas aus einer End-to-End-Perspektive f\u00fcr das Unternehmen erfordert, wodurch der Beitrag jedes Mitarbeiters zur allgemeinen Cyber-Resilienz des Unternehmens greifbarer wird. In dieser Hinsicht ist die altehrw\u00fcrdige menschliche Tradition des Geschichtenerz\u00e4hlens – zu der auch geh\u00f6rt, dass F\u00fchrungspers\u00f6nlichkeiten sich verletzlich zeigen und von ihren Fehlern, aber auch von guten Verhaltensweisen berichten – ein m\u00e4chtiges Instrument, das genutzt werden sollte, um gute Cyber-Praktiken f\u00fcr alle im Unternehmen zu modellieren. <\/p>\n\n

3. Der menschliche Faktor<\/strong> in der Cybersicherheit<\/strong><\/h2>\n\n

Alle Experten waren sich einig, dass der Faktor Mensch in vielerlei Hinsicht eine entscheidende Rolle f\u00fcr die Cyber-Resilienz spielt, aber im Allgemeinen untersch\u00e4tzt und oft missverstanden wird. In einer digitalen Welt spielt jeder im Unternehmen eine wichtige Rolle bei der Gew\u00e4hrleistung der Cybersicherheit und damit der Aufrechterhaltung der betrieblichen Kontinuit\u00e4t des Unternehmens. Unternehmen m\u00fcssen ihre Mitarbeiter und ihre Prozesse verstehen und wissen, wie sie arbeiten. Die Mitarbeiter im gesamten Unternehmen m\u00fcssen durch positive Psychologie bef\u00e4higt und als wichtige Akteure f\u00fcr die Daseinsberechtigung<\/em> des Unternehmens gest\u00e4rkt werden. Das bedeutet, dass die F\u00fchrungskr\u00e4fte die F\u00e4higkeiten und Fertigkeiten ihrer Mitarbeiter und den Wert, den sie schaffen, kennen und mit ihren Mitarbeitern in Kontakt treten m\u00fcssen. In gr\u00f6sseren Unternehmen ist dies eine gr\u00f6ssere Herausforderung, die jedoch durch Delegation gel\u00f6st werden kann. <\/p>\n\n

Die Auswirkungen des Managements von Cyber-Risiken auf die Menschen sind ebenfalls \u00fcberw\u00e4ltigend, und dies muss sowohl aus der Perspektive des Wohlbefindens als auch aus operativer und strategischer Sicht ber\u00fccksichtigt werden, da es sich auch um einen Cyber-Risikofaktor handelt. Dr. Maya Bundt wies darauf hin, dass sich Cyber-Krisen oft \u00fcber Wochen und Monate hinziehen, so dass die Belastung der Cybersecurity-Krisenteams oft enorm ist und ihre Menschlichkeit oft \u00fcbersehen und missachtet wird – d.h. sie haben Familien und ein Leben ausserhalb der Bew\u00e4ltigung dieser Krisen. Dar\u00fcber hinaus kann eine un\u00fcberschaubare Arbeitsbelastung das Cyber-Risiko erh\u00f6hen, da es an Pr\u00e4senz und Aufmerksamkeit mangelt. Deshalb sollten Unternehmen bei ihren Cybersicherheitsstrategien auch den Faktor Mensch ber\u00fccksichtigen und bei der Planung von Ereignissen und Notf\u00e4llen die Kapazit\u00e4ten ihrer Mitarbeiter und Krisenteams im Auge behalten. <\/p>\n\n

Zum Thema Sicherheitsschulungen merkten alle Diskussionsteilnehmer an, dass diese ansprechend sein und Spass machen m\u00fcssen, so viel wie m\u00f6glich mit Spielen arbeiten und Rollenspiele, Escape Rooms und Simulationsmethoden verwenden sollten, die es Ihnen erm\u00f6glichen, den Schmerz eines Cyberangriffs zu „sp\u00fcren“. Wichtig ist, dass die Schulungen so „\u00fcbersetzt“ werden, dass die Mitarbeiter verstehen, wie das, was sie tun, in das Gesamtbild passt, wenn es um den Schutz und die Sicherung der „Kronjuwelen“ des Unternehmens geht. In diesem Zusammenhang wurde angemerkt, dass gute Cyber-Praktiken so routinem\u00e4ssig werden m\u00fcssen wie „Z\u00e4hneputzen“. Im Zusammenhang mit Social Engineering wies Andreas Pankow darauf hin, dass schlechte digitale Sicherheit in Privathaushalten und auf privaten Ger\u00e4ten oft der Ausgangspunkt f\u00fcr Cyberangriffe auf Unternehmen ist. <\/p>\n\n

Alle Diskussionsteilnehmer betonten, wie wichtig es ist, die positive Psychologie bei der Bewusstseinsbildung oder bei der Durchf\u00fchrung von Schulungs- und Ausbildungsma\u00dfnahmen in Organisationen einzusetzen. Es wurde festgestellt, dass die Sprache, die innerhalb einer Organisation verwendet wird, eine wichtige Rolle dabei spielt, eine starke Cyber-Kultur entweder zu untergraben oder zu verst\u00e4rken. Andreas Pankow stellte fest, dass „Zero-Trust intern missverstanden wird“ und die kontraproduktive Botschaft aussendet, dass man seinen Kollegen nicht trauen kann. Dies gilt insbesondere im Zusammenhang mit dem sch\u00e4dlichen Klischee, dass „der Mensch das schw\u00e4chste Glied“ in der Sicherheitskette ist. <\/p>\n\n

Es herrschte allgemeiner Konsens dar\u00fcber, dass die Sensibilisierung lange vor dem Eintritt in das Berufsleben beginnen muss und dass es in dieser Hinsicht eine gesellschaftliche Verpflichtung gibt, die n\u00e4chste Generation zu erziehen, indem Kinder in den Schulen \u00fcber Cyberrisiken aufgekl\u00e4rt werden. Infolge des Hausunterrichts w\u00e4hrend der COVID ist das Alter, in dem Kinder zum ersten Mal Ger\u00e4te benutzen, gesunken, was eine st\u00e4rkere Sensibilisierung und digitale Erziehung in einem fr\u00fcheren Alter erfordert. Andreas Pankow wies darauf hin, dass die DGC in Deutschland ein erfolgreiches Projekt zur digitalen Bildung an Schulen gestartet hat, in dem Sch\u00fcler \u00fcber die Risiken der digitalen Kommunikation aufgekl\u00e4rt werden. <\/p>\n\n

Im Anschluss an die Diskussion gab es eine ausf\u00fchrliche Fragerunde mit einer Reihe von aufmerksamen Fragen unseres Online-Publikums, von denen viele auf die in der Diskussion angesprochenen Punkte eingingen, die in der obigen \u00dcbersicht enthalten sind, sowie einige abschliessende Empfehlungen der Diskussionsteilnehmer, die im Folgenden zusammengefasst sind:<\/p>\n\n