C-Level-Führungskräfte müssen aufhören, unnötige Risiken einzugehen

Eine Unternehmenskultur der Risikobereitschaft kann zu Störungen in der realen Welt führen

Das Eingehen bestimmter Risiken ist töricht. Ein Großteil der Subprime-Bankkredite, die zur Kreditverknappung und schließlich zur globalen Finanzkrise führten, gingen an Menschen, die sich diese Kredite ganz offensichtlich nie leisten konnten. Und doch taten es fast alle Banken.

Unlängst hat jedoch niemand den Lockdown und die Tatsache vorausgesehen, dass alltägliche Handlungen wie zur Schule gehen, arbeiten, Freunde treffen oder an den Strand gehen jemals eine Bedrohung für Ihr Leben und das Ihrer Mitmenschen darstellen könnten. Aber jetzt, da wir den Kontext verstehen, ist es offensichtlich.

Sowohl die globale Finanzkrise im Jahr 2008 als auch die aktuelle Pandemie waren extrem störende Ereignisse, deren Folgen durch eine bessere Risikoeinschätzung oder indem wir früher auf die Kreditrisikomanager und Gesundheitsexperten gehört hätten, vermieden oder zumindest abgeschwächt werden können.

Mangelt es der Unternehmenskultur an Risikowahrnehmung?

Die Art und Weise, wie wir Risiken berücksichtigen, ist auch oft unlogisch und unvorhersehbar. Wir haben eine massive Umstellung auf Heimarbeit erlebt, die einen neuen Angriffsvektor für opportunistische Cyberkriminelle eröffnet hat. Man würde erwarten, dass Unternehmen sich auf die Sicherheit ihrer Cloud-Anwendungen konzentrieren, aber allzu oft wird angenommen, dass sich der Cloud-Anbieter mit der Sicherheit befasst, während in Wirklichkeit falsch konfigurierte Cloud-Instanzen eine der häufigsten Quellen für Datenverstöße sind.

Obwohl Sie Ihre Cloud oder Ihren Laptop niemals ohne ein Passwort oder Schutz lassen würden, delegieren Organisationen die Beschaffung von IoT-Geräten und einfachen Gegenständen wie USB-Sticks häufig an ihre Einkaufsabteilung. Die erwerben dann zwangsläufig die preisgünstigsten Geräte, die es gibt, anstatt für Extras wie Verschlüsselung etwas mehr zu bezahlen. War Ihr USB-Stick, den Sie zuletzt benutzt haben, verschlüsselt und passwortgeschützt? Wenn die Antwort „Nein“ lautet, müssen Sie dringend Ihr Cyberrisiko überprüfen.

Das Versäumnis, Risiken zu berücksichtigen ist nicht nur kulturell bedingt – vom Selfie-Fotografen bis zum Einkaufsleiter schätzen wir das Risiko nicht immer korrekt ein – sondern dies ist auch eine Folge der Art und Weise, wie Unternehmen arbeiten.

Drei Kernpunkte sollten immer berücksichtigt werden

Es ist zu hoffen, dass die jüngsten Vorkommnisse uns alle viel risikobewusster machen. Unternehmensführungen müssen die Art und Weise ändern, wie sie Anreize schaffen, ihre Teams managen und sicherstellen, dass ihre Perspektive alle drei Kernpunkte umfasst: Umsatz, Gewinn UND Risiko. Einkaufsleiter müssen Risiken einschätzen und verstehen, wie Kaufentscheidungen von relativ kostengünstigen Geräte (verschlüsselte Laufwerke kosten nicht viel mehr) bis hin zu größeren komplexen Systemen unter Berücksichtigung der Cybersicherheit getroffen werden müssen.

Angesichts einer risikobewussten Kultur ist es eine vernünftige Investition, für alles eine kleine Cyberrisikoprämie zu zahlen, von sicheren, verschlüsselten Geräten bis hin zu komplexen Multi-Cloud-Systemen. Dann würden CISOs auch wissen, dass sie Alarm auslösen können, ohne ignoriert zu werden.

Kultureller Wandel ist vonnöten

Als Gesellschaft waren wir noch nie so vernetzt oder so abhängig von der Technologie wie jetzt und daher so verwundbar – insbesondere angesichts der sich ständig weiterentwickelnden und wachsenden Bedrohungslandschaft.

Führung ist erforderlich, um das Verhalten des Führungsteams und aller ihm unterstehenden Personen zu verändern, und diese Art des kuturellen Wandels hin zu einem höheren Risikobewusstsein muss von ganz oben erfolgen. Eine Kultur der digitalen Ethik (einschließlich Datenschutz und -sicherheit) muss alle Ebenen – von oben bis unten – durchdringen. Organisationen, die über diese Kultur der digitalen Ethik verfügen und risikobewusst sind, weisen nicht nur eine geringere Wahrscheinlichkeit auf, eine Datenverletzung zu erfahren, sondern können auch besser reagieren, wenn es zu einer solchen kommt.