Cyberrisiken gelten als eine der größten Herausforderungen für die Weltwirtschaft in allen Branchen. Mit der Gesundheitskrise haben sich Cyberangriffe exponentiell vervielfacht und belasten die IT-Systeme mit einem nie zuvor gekannten Ausmaß an Cyberrisiken. Die Folgen sind vielfältig und reichen vom Datenverlust bis zum Stillstand von Produktionslinien, sind aber in der Regel mit erheblichen Kosten verbunden. Es liegt in der Verantwortung der Unternehmensleiter, die Vermögenswerte, einschließlich sensibler Daten und des Markenimages, zu schützen. Heutzutage sind alle Berufe von Cybersicherheit betroffen und hier stellt die Einkaufsabteilung keine Ausnahme dar.
Cyberrisiko: Definition und Herausforderungen
Das Institut für Risikomanagement beschreibt Cyberrisiken als „jedes Risiko eines finanziellen Verlusts, einer Störung oder einer Rufschädigung einer Organisation, die sich aus irgendeinem Ausfall ihrer informationstechnologischen Systeme ergibt“.
Diese Risiken gehen in der Regel von Cyberangriffen aus, die von kriminellen Akteuren inszeniert werden. In den vergangenen Jahren hat der Anstieg der Telearbeit in Verbindung mit der Zunahme von Online-Aktivitäten (z.B. soziale Netzwerke) den Datenverkehr im Internet vervielfacht. Dies hat zur Verbreitung und Professionalisierung von Cyberangriffen geführt, und zwar verschiedenster Arten: Cyberkriminalität, Imageschädigung, Spionage oder sogar Sabotage.
Die Folgen können dramatisch sein:
Verlust wichtiger Daten
Betriebsstörungen
Sachschäden
Diebstahl
Verlust von Marktanteilen
Verlust von Geschäftsgeheimnissen oder vertraulichen Informationen
Erpressung von Geld
Vertragsbruch
Rückrufaktionen
Kosten für Benachrichtigungen und andere Antworten
Wussten Sie, dass:
31% der Cyberangriffe in Europa erfolgen, vor Nordamerika (27%) und Asien (25%) (X-Force Threat Intelligence Index IBM Security, 2021)
37% der Bedrohungen speziell auf die Verwendung mobiler Datenträger wie USB-Sticks ausgelegt sind (Industrial Cybersecurity USB Threat Report 2021, Honeywell, 2021)
PDF-Dateien die häufigsten Anhänge in betrügerischen E-Mails sind (Must-Know Phishing Statistics Tessian, 2021, aktualisiert 2022).
Das Cyberrisiko in der Einkaufsfunktion
Wie alle anderen Abteilungen sind auch die Einkaufsabteilungen von Cyberrisiken betroffen. Laut einer aktuellen Umfrage von PwC zeigen sich 90% der Entscheidungsträger wegen der Cyberbedrohungen besorgt, und 27% geben an, bereits Opfer eines unbefugten Eindringens geworden zu sein.
Dies bedeutet in Bezug auf die Produktivität und die Wettbewerbsfähigkeit zwei große Herausforderungen für die Einkaufsabteilung.
Die Produktivität
Einkaufsabteilungen nutzen immer häufiger digitale Lösungen für ihre täglichen Abläufe (Bestellungen bei Lieferanten, elektronische Unterschriften usw.). Sollte dies vorübergehend nicht funktionieren, wirkt sich dies unweigerlich auf die Aktivitäten des Unternehmens und seiner Partner aus.
Die Wettbewerbsfähigkeit
Die Einkaufsfunktion wertet verschiedene Arten von Daten aus, die für Cyberkriminelle von Interesse sein können (Pläne, Preise, Kontaktdaten usw.). Wenn diese Daten nicht mehr zur Verfügung stehen oder wenn diese Daten beschädigt werden, führt dies zu einem Wertverlust.
Das Management der Cyberrisiken in 4 Schritten
Solange Cyberrisiken bestehen, müssen Unternehmen die Cybersicherheit gewährleisten. Dazu muss man Analyse, Proaktivität und Reaktionsfähigkeit durch die Anwendung bewährter Praktiken vereinen.
1. Analyse von Cyberrisiken
In einem ersten Schritt muss das Unternehmen alle Schwachstellen und Bedrohungen ermitteln, die es in irgendeiner Weise betreffen könnte. Dazu durchforstet das Unternehmen sein gesamtes Umfeld, um die sogenannten „bedeutenden“ Aktivitäten zu identifizieren. Dies kann sich auf strategische Ziele, Datenschutz, Einhaltung von Vorschriften usw. beziehen.
Anschließend wird jedes Risiko detailliert beschrieben: Konsequenzen, Wahrscheinlichkeiten, beteiligte Personen usw. Dies wird dann (qualitativ oder quantitativ) eingeschätzt und bewertet, um zu einer Entscheidung zu gelangen.
2. Behandlung von Fall zu Fall
In einem zweiten Schritt ergreift das Unternehmen Maßnahmen, die auf diese Analyse abgestimmt sind. Es sind mehrere Aktionen möglich:
Man kann entscheiden, ein Cyberrisiko einzugehen.
Man kann versuchen, die Auswirkungen zu verringern.
Man kann das Risiko beseitigen.
Man kann eine Cyberversicherung abschließen.
usw.
Häufig lautet das Motto: Prävention. Cyberrisiken vorherzusehen, bevor sie auftreten, erfordert den Einsatz von Sicherheitssoftware wie Antivirenprogrammen, Firewalls, Intrusion Detection Systeme usw.
Das Unternehmen kann auch Sicherheitsrichtlinien einführen, um sensible Daten zu schützen, etwa durch die Verwendung komplexer Passwörter oder die Verschlüsselung von Daten.
3. Kommunikation mit den Interessengruppen
Beim Management von Cyberrisiken ist die Kommunikation überaus wichtig, sowohl intern als auch extern. Sie müssen insbesondere die Verantwortlichkeiten jedes Einzelnen benennen, die Geschäftsleitung briefen, ihre Partner in diesem Prozess begleiten, aber auch – und vor allem – die Mitarbeiter sensibilisieren.
Der letzte Punkt ist von entscheidender Bedeutung, da die Mitarbeiter bei Cyberangriffen oft an vorderster Front stehen. Laut IBM sind übrigens 90% der Cybersicherheitslücken auf menschliches Versagen zurückzuführen. Deshalb sollten Sie Ihre Mitarbeiter regelmäßig in Sachen IT-Sicherheit schulen und sicherstellen, dass sie die Herausforderungen verstehen und sich die internen Richtlinien zu eigen machen. Manche Unternehmen führen sogar Phishing-Tests durch, um ihre Mitarbeiter auf die Probe zu stellen!
Mitarbeiter bei Cyberangriffen
Jeder Mitarbeiter erhält durchschnittlich 14 betrügerische E-Mails pro Jahr.
80% der Personen nutzen ihren privaten Computer für die Telearbeit, obwohl die meisten von ihnen einen Firmencomputer zur Verfügung haben (Kaspersky Consumer IT Security Risks Report 2021 Kaspersky, 2021).
In mehr als einem Drittel der Unternehmen umgehen oder deaktivieren Mitarbeiter Sicherheitsmaßnahmen aus der Ferne (The State of Hybrid Workforce Security 2021 Palo Alto Networks, 2021).
4. Langfristige Überwachung von Cyberrisiken
Nun gilt es, die Sicherheitsmaßnahmen zu überwachen, um Vorfälle in den Griff zu bekommen oder zu verhindern. Außerdem entwickelt sich das Unternehmen mit der Zeit weiter: neue Vermögenswerte, neue Aktivitäten, neue Risiken, neue Bedrohungen usw. Daher ist es wichtig, sein Cyberrisiko-Management im Rahmen der kontinuierlichen Verbesserung anzupassen. Das bedeutet, dass die Sicherheitsmaßnahmen aktualisiert und an diese neuen Parameter angepasst werden müssen.
Jedes seiner Mitglieder ist ein Garant für die Cybersicherheit des Unternehmens. Aus diesem Grund ist die Prävention gegen Cyberrisiken auf allen Ebenen der Organisation und in allen Berufen angesagt.
Laden Sie jetzt die nachfolgende Infografik herunter!
