Fehlendes Risiko-Verständnis im Vorstand

Sicherheit – Achillesferse des digitalen Geschäfts

| Autor / Redakteur: Lars Kroll* / Stephan Augsten

Gehen Daten verloren, dann liegt die Schuld nach Meinung der Kunden immer beim verarbeitenden Unternehmen.
Gehen Daten verloren, dann liegt die Schuld nach Meinung der Kunden immer beim verarbeitenden Unternehmen. (Bild: Archiv)

Fast jedes Unternehmen ist heutzutage digital präsent. Allerdings haben bislang wenige Vorstände realisiert, wie vernetzt ihre Firma tatsächlich ist und welche Risiken aufgrund von Datenverlusten durch Cyberangriffe oder IT-Ausfälle entstehen können.

Cyber-Attacken werden immer ausgereifter und komplexer, Datenverluste häufen sich –beides bedeutet für Unternehmen steigende Folgekosten bzw. Investitionen in diesen Bereichen. Die durchschnittlichen Kosten bei einem Datenverlust belaufen sich laut einer Studie des Ponemon-Instituts im Jahr auf 3,5 Millionen Dollar. Kommt zusätzlich Social Media ins Spiel, kann ein einzelner Fehler weitreichende Konsequenzen für die Reputation eines Unternehmens haben und es in seinen Grundfesten erschüttern.

Ein gutes Beispiel hierfür ist Sony: 2011 wurden bei einem Cyberangriff auf das PlayStation Network 77 Millionen Kundenaccounts kompromittiert. Dieser Angriff kostete Sony 171 Millionen US-Dollar. Das Geld wurde zum einen in Sicherheitslösungen gegen weitere Angriffe investiert, zum anderen aber auch in Marketing-Kampagnen, um die Kunden zurückzugewinnen und gleichzeitig durch verstärkte Öffentlichkeits- und Investor Relations Aktivitäten das Vertrauen in die Marke wiederherzustellen.

Ähnlich erging es Adobe, als im Jahr 2013 38 Millionen Kunden von einer Sicherheitslücke betroffen waren. Allein die Kosten für die Benachrichtigungen an die Betroffenen hätten sich laut des „Cost of a Data Breach“-Berichts von Symantec und Ponemon auf 17.480.000 US-Dollar belaufen.

Um betriebswirtschaftliche Risiken zu analysieren, braucht es heute ein besonderes Verständnis dafür, wie sich das Geschäftsumfeld verändert hat. Während die meisten Vorstände verstanden haben, dass alles digital vernetzt ist, ist vielen noch nicht klar, was dies für ihren Geschäftsablauf bedeutet.

Sicherheit ist ein Verkaufsargument

Im digitalen Zeitalter muss der Schutz von Informationen als reputations- und vertrauenserhaltende Maßnahme verstanden werden – und nicht als alleinige Aufgabe der IT-Abteilung. Jeder Datenverlust oder Systemausfall durch eine physikalische oder virtuelle Störung kostet die Firma Geld – nicht nur in Form von Stunden oder Tagen, die die Firma, ihre Kunden oder Partner nicht auf die Systeme zugreifen können.

Es fallen nun einmal auch Verluste an, weil beispielsweise die Website offline ist und über sie nicht eingekauft werden kann. Dazu kommen Partner, die aufgrund eines Vorfalls nicht mehr mit einer unzuverlässigen Organisation in Verbindung gebracht werden wollen oder es bleiben potenzielle Investoren fern, die die Firma nicht mehr als erfolgsorientiertes Unternehmen wahrnehmen.

Weltweit wurden im Jahr 2013 satte 552 Millionen digitale Identitäten „entwendet“, Datenverluste nahmen um 62 Prozent zu. Hier stellt sich bezüglich Systemausfällen oder Cyberangriffen eher die Frage, wann es passiert – und nicht, ob es passiert.

Vorstände müssen daher ihre digitalen Geschäftsprozesse verstehen und wissen, wie sie diese durchgängig absichern. Nur so sind sie in der Lage, kalkulierte Risiken einzugehen, mittels derer sie ihr Unternehmenswachstum fördern und strategische Ziele erreichen können. Denn letztendlich schafft dieses kalkulierte Risiko den Mehrwert für die Aktionäre – ohne Risiken gäbe es keine Innovationen und die Wirtschaft würde stagnieren.

Online-Banking ist ein gutes Beispiel: Es ist sowohl für Banken als auch für die Kunden nicht ohne Risiko. Entstehen Sicherheitslücken oder fällt das System aus, leiden nicht nur die Daten, sondern vor allem auch das Vertrauen in das Unternehmen und seine Reputation. Bei Banken kann dies im schlimmsten Fall zur Insolvenz führen, denn sie sind auf ein einwandfreies Image angewiesen. Und doch überwiegen die Vorteile für den Kunden, so dass der Service angeboten wird.

Das Unternehmen in der Hauptverantwortung

Auf die Cloud zu verzichten, kann sich kein Unternehmen mehr leisten – ihre Vorteile sind zu groß. Die Geschäftsführung sollte sich darauf konzentrieren, Anwendungen, Geräte und Daten durch ihre IT-Systeme zuverlässiger abzusichern und weitere Schritte unternehmen, um ihre Reputationsrisiken zu reduzieren – ein gutes Kundenservice-Team reicht da nicht aus.

In einer digitalen Welt zu operieren, bedeutet auch veränderte Beziehungen mit den eigenen Kunden: Bei Online-Transaktionen sind Firmen vom Feedback ihrer Kunden abhängig, um Produkte und Dienstleistungen kontinuierlich zu verbessern oder neue zu entwickeln. Auch hier ist die Sicherheit ein wesentlicher Bestandteil des Erfolgs, denn die digitale Welt funktioniert nach dem Prinzip „Ware gegen Daten“.

Dazu gehören persönlichen Informationen, Kreditkarten-Daten oder auch die Shopping-Historie. Falls diese Informationen kompromittiert, verloren oder gestohlen werden, ist für den Konsumenten klar nur einer Schuld: das Unternehmen. Diese Meinung lässt sich über Social-Media-Kanäle oder Verbraucherplattformen in Minutenschnelle verbreiten und schon bekommt das Image Kratzer.

An diesem Punkt wird die Beziehung zwischen Unternehmen und Kunden komplex. Der Verbraucher nimmt das Unternehmen vermutlich weniger positiv wahr, als vor dem Vorfall. Die Marke muss das verlorene Vertrauen und die eigene Reputation wiederherstellen. Den Vorfall schnell und komplett aufzuklären sowie transparent zu kommunizieren, ist dabei entscheidend, denn die Auswirkungen eines Reputationsschadens können verheerend sein.

In Großbritannien würden 53 Prozent der Verbraucher keine Produkte mehr von Unternehmen kaufen, die nicht vertrauenswürdig sind. Zudem gaben 30 Prozent an, ihrem Unmut online Luft zu machen. So erreichen Neuigkeiten über kompromittierte Nutzerdaten nicht nur ein globales Publikum, sondern Unternehmen müssen in Folge auf wertvolle Informationen verzichten: die Kundendaten, die es in der Vergangenheit ermöglicht hatten, Produkte und Services an die Kundenbedürfnisse anzupassen. Der Wettbewerb freut sich: Er erhält ohne Zutun einen Vorsprung.

Sensibiliserung auf jeder Ebene

Das Verständnis für Reputationsrisiken von Sicherheits- und Digital-Systemen beginnt intern. Ein Zusammenspiel von IT und Abteilungen ist daher notwendig, ebenso Trainings für Anwender, um sie zu schulen und für die Risiken zu sensibilisieren. Viele Geschäfte laufen digital ab und es ist deshalb sehr wichtig, dass über digitale Risiken diskutiert wird: in der Führungsetage, unter den Mitarbeitern und Konsumenten.

Die Geschäftsleitung ist aber auch damit beauftragt, die Reputation des Unternehmens und der Marke zu schützen, denn Konsumenten, Mitarbeiter, Partner und Zulieferer müssen der Marke und der Firma vertrauen. Nur so sind langfristig Innovationen und ein gesundes Geschäftswachstum möglich.

Unternehmen müssen genau analysieren, welche Konsequenzen Cyberangriffe für sie haben könnten, ansonsten operieren sie mit einem riesigen „blinden Fleck“ – und das macht sie verwundbar. Für diese Analyse hat Symantec in Zusammenarbeit mit dem Internet Security Forum (ISF) das CyberV Assessment entwickelt.

Durch dieses wird ermittelt, welches Niveau die organisatorische (Cyber-)Sicherheit in Unternehmen hat und welche Optimierungen möglich sind. Denn um langfristig zu wachsen, müssen Vorstand und Geschäftsführung verstehen, wie geschäftskritisch Sicherheit und Informationsmanagement im digitalen Zeitalter sind. Erst dann sind sie in der Lage, ihre wertvollen Informationen entsprechend zu schützen.

* Lars Kroll ist Cyber Security Strategist bei Symantec Deutschland.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43109936 / Risk Management)