Die Vorteile der digitalen Transformation f\u00fcr Unternehmen sind nicht zu untersch\u00e4tzen – ihre Risiken jedoch auch nicht. Digitales Risikomanagement kommt leider h\u00e4ufig zu kurz. Dabei ziehen Datenschutzverletzungen oder Datenlecks nicht nur finanzielle Verluste nach sich. Managern k\u00f6nnen sie den Job kosten und das Image des Unternehmens leidet heftig.<\/p>\n
Dem digitalen Riskomanagement werden s\u00e4mtliche Prozesse und Ma\u00dfnahmen zugeordnet, die dazu dienen, Risiken im Unternehmen zu erkennen und sie entsprechend zu steuern. S\u00e4mtliche potenziellen Risiken, die die IT-Sicherheit eines Unternehmens kurz-, mittel- oder langfristig gef\u00e4hrden k\u00f6nnten, m\u00fcssen einbezogen werden.<\/p>\n
Ziel eines solchen digitalen Risikomanagements sollte die Absicherung der IT-Infrastruktur im Unternehmen sein. Auch gilt es, die IT betreffende Ziele gegen St\u00f6rungen abzusichern, um so insgesamt den Unternehmenswert steigern zu k\u00f6nnen. Da das digitale Risiko eng mit vorherrschenden digitalen Gesch\u00e4ftsprozessen verwoben ist, geht es weniger um technologische als eher um gesamtgesch\u00e4ftliche Entscheidungen.<\/p>\n
Um das Managen digitaler Risiken zum Unternehmensbestandteil zu machen, gilt es, das digitale Risikomanagement als Prozess zu begreifen:<\/p>\n
Zusammenfassen l\u00e4sst sich, dass das digitale Risikomanagement zum Ziel hat, eine digitale Resilienz aufzubauen. Die Operationen und Systeme Ihres Unternehmens sind idealerweise darauf ausgelegt, Bedrohungen nicht nur zu erkennen, sondern auch auf die Ereignisse zu reagieren. Gesch\u00e4ftsunterbrechungen sowie finanzielle Verluste werden so erfolgreich minimiert.<\/p>\n
In vielen Gro\u00dfkonzernen ist das digitale Risikomanagement l\u00e4ngst zum Bestandteil des unternehmensweiten Risikomanagements (\u201cEnterprise Risk Management\u201d) geworden. In kleinen und mittleren Betrieben sieht das anders aus: Abgesehen von fehlenden personellen, wom\u00f6glich auch finanziellen Ressourcen fragen sich viele KMU, was ihnen passieren sollte. So gro\u00df scheint die eigene IT-Landschaft nicht zu sein, digitale Risiken existieren augenscheinlich nur bedingt.<\/p>\n
Weit gefehlt! Auch KMU haben gesch\u00e4ftsentscheidende Risiken, die es zu sch\u00fctzen gilt. Welche das sind, variiert von Fall zu Fall. Patente und geistiges Eigentum sind kritische Assets, aber auch Markennamen, Designs oder der Online-Shop. Betriebsgeheimnisse, geplante \u00dcbernahmen oder Login-Daten: Jedes Unternehmen hat Informationen, die definitiv sch\u00fctzenswert sind.<\/p>\n
Wurden diese digitalen Risiken untersch\u00e4tzt, folgen weitreichende Konsequenzen:<\/p>\n
Es gibt einige Wege, die Sie in Ihrem Unternehmen etablieren k\u00f6nnen, um das digitale Risiko zu senken. Diese stellen wir Ihnen im Folgenden vor.<\/p>\n
Werden Sie konkret: Was in Ihrer Organisation ist sch\u00fctzenswert? Erst, wenn Sie kritische sowie sch\u00fctzenswerte Assets feststellen konnten, ist es m\u00f6glich, den Risiken mit entsprechenden Strategien und Tools entgegenzuwirken. Erfassen Sie Assets eher weitl\u00e4ufig:<\/p>\n
Es ist nicht immer einfach, die sch\u00fctzenswerten Assets zu identifizieren und auch ihre Priorisierung kann sich von Unternehmen zu Unternehmen unterscheiden. Es lohnt sich, ein bisschen wie ein potenzieller Angreifer zu denken, denn nicht immer muss die Einsch\u00e4tzung des Unternehmens mit dem Vorhaben eines Angreifers \u00fcbereinstimmen.<\/p>\n
Es hat sich in der Praxis bew\u00e4hrt, Dateien und Dokumente mit m\u00f6glichst unterschiedlichen Markern zu taggen. So identifizieren Sie – auch f\u00fcr einen eventuellen Bedarfsfall – bestimmte Arten von Assets.<\/p>\n
Im n\u00e4chsten Schritt lohnt ein Blick auf die Bedrohungslandschaft. Es gibt M\u00f6glichkeiten, Taktiken, Techniken sowie Verfahren (\u201cTTPs\u201d) schon bekannter Cyberkrimineller zu analysieren. So bieten Frameworks wie MITRE ATT&CK<\/a> eine gute Basis zum Verstehen des Verhaltens von Angreifern. Die g\u00e4ngigsten TTPs sind:<\/p>\n Beim Monitoring geht es darum, m\u00f6gliche Quellen von Cyberkriminalit\u00e4t im Auge zu behalten. Es ist ein Irrglaube, dass sich Cyberkriminalit\u00e4t ausschlie\u00dflich im Darknet abspielt. Tats\u00e4chlich lassen sich zahlreiche kritische oder personenbezogene Daten frei zug\u00e4nglich im Deep Web finden. Das Darknet ist ein Teil des Deep Webs: Unser allt\u00e4gliches World Wide Web wird auch Surface oder Clear Web genannt. Sie k\u00f6nnen Seiten \u00fcber Suchmaschinen erreichen, wo Daten und Ihre IP-Adresse gespeichert sind. Dieses Clear Web macht lediglich 10 % des gesamten Internets aus.<\/p>\n Als Deep Web werden die restlichen 90 % bezeichnet. Seiten im Deep Web sind nicht \u00fcber herk\u00f6mmliche Suchmaschinen zu finden. Das Deep Web enth\u00e4lt vornehmlich Websites und spezielle Datenbanken, die beispielsweise von Hochschulen oder Unternehmen verwendet werden. Diese Inhalte sind nicht frei zug\u00e4nglich, sondern hinter Pay- und Firewalls versteckt.<\/p>\n Sie sehen: Daten im Deep Web sollten nicht zug\u00e4nglich sein, sind es aber h\u00e4ufig. Das kann geschehen durch falsch konfigurierte Sites sowie Server, \u00fcber offene Cloud Services, Code Repositories oder Paste Sites. Mit verschiedenen Tools k\u00f6nnen Sie sich einen ersten \u00dcberblick verschaffen.<\/p>\n So k\u00f6nnen die banal wirkenden Google Alerts als Monitoring-Tool herhalten. Mit dem K\u00fcrzel \u201cfiletype:\u201d in Verbindung mit der jeweiligen Dateiendung werden Ihnen ausschlie\u00dflich XLS-, DOC- oder PDF-Dateien angezeigt. Geben Sie den Befehl \u201csite:\u201d ein, lassen sich bestimmte Domains untersuchen. Eine \u00dcbersicht aller Google-Suchbefehle finden Sie bei onlinemarketing-praxis.de<\/a> (PDF).<\/p>\n Weitere hilfreiche Tools:<\/p>\n Kennen Sie weitere Tools, die das Monitoring f\u00fcr das digitale Risikomanagement vereinfachen? Unsere Leserinnen und Leser freuen sich \u00fcber Ihre Tipps in den Kommentaren!<\/p>\n Da zum Digital Risk Management nicht nur das Erkennen digitaler Risiken geh\u00f6rt, sondern auch der Schutz vor Bedrohungen, widmen Sie sich diesem Punkt in einem vierten Schritt. Sinnvoll ist es, zwischen operativen, taktischen und strategischen Ma\u00dfnahmen zu unterscheiden:<\/p>\n Gefahren im Internet lauern \u00fcberall, und nicht jeder Mitarbeiter kennt diese. Deshalb ist das Schaffen von Awareness immer empfehlenswert: Binden Sie jeden einzelnen Mitarbeiter in den digitalen Schutz Ihres Unternehmens mit ein. Sensible Informationen sicher zu \u00fcbertragen, vor Phishing-Kampagnen oder vor Social Engineering gesch\u00fctzt zu sein, sind wichtige Meilensteine auf dem Weg zur Cybersecurity. Die Sensibilisierung Ihrer Mitarbeiter<\/a> geh\u00f6rt zu den wichtigsten Schritten im digitalen Risikomanagement.<\/p>\n Hilfreich ist es auch, sich im Team in die K\u00f6pfe von Cyberkriminellen hineinzuversetzen. Das kann ganz theoretisch geschehen, aber auch sehr praktisch. Teilen Sie Ihre Mitarbeiter beispielsweise in zwei Teams ein. Eines ist daf\u00fcr zust\u00e4ndig, Sicherheitsl\u00fccken in Ihrer Organisation herauszufinden und sogar auszunutzen, w\u00e4hrend das andere Team versucht, das \u201ckriminelle\u201d Team abzuwehren.<\/p>\n Weiter ist das Proben f\u00fcr den Ernstfall wichtig. Mindestens einmal, gerne auch zwei- oder dreimal j\u00e4hrlich k\u00f6nnen Sie eine \u00dcbung durchf\u00fchren, bei der eine Cyberattacke auf Ihr Unternehmen simuliert wird. Anhand Ihres Notfall-Plans werden Sie versuchen, die Cyberattacke abzuwehren. Das verhilft zu spannenden Erkenntnissen: Ist unsere Organisation sicherheitstechnisch so gut aufgestellt, dass Cyberkriminellen das Eindringen schwer f\u00e4llt? Wissen alle Verantwortlichen, was nun zu tun ist? Ist das Vorgehen zu panisch oder kann Ihre Organisation einen k\u00fchlen Kopf bewahren? Mit welchen Schritten von welchen Verantwortlichen wehren Sie die Attacke ab? – \u00dcbung macht bekanntlich den Meister, und je h\u00e4ufiger Sie solche \u00dcbungen durchf\u00fchren, umso sicherer werden alle Seiten.<\/p>\n Das digitale Risikomanagement wird Datenverluste sicherlich nicht komplett verhindern k\u00f6nnen oder eine IT-Infrastruktur unverwundbar machen. Das w\u00e4re ein unrealistischer Anspruch, denn die Bedrohungslandschaft w\u00e4chst zu rasant. Vielmehr geht es darum, m\u00f6gliche Datenverluste aufzusp\u00fcren, Angriffsfl\u00e4chen zu minimieren und etwaige Risiken derart zu entsch\u00e4rfen, dass sie nicht zu realen Bedrohungen auswachsen. Je besser die Verantwortlichen in Ihrem Unternehmen die individuelle Risikolage kennen, umso besser ist Ihre Organisation f\u00fcr den Ernstfall gewappnet.<\/p>\n Nehmen wir die Phishing-Website als Beispiel: Von einem Online-Shop wurde eine exakte Kopie angefertigt. Markennamen wurden missbraucht, um die Daten der Kunden abfangen zu k\u00f6nnen. Schlimmstenfalls muss das Unternehmen Guthaben oder betr\u00fcgerische Transaktionen zur\u00fcckerstatten und gegen das angekratzte Image k\u00e4mpfen. Besser w\u00e4re es, dem Online-Shop-Betreiber w\u00fcrde es gelingen, die gef\u00e4lschte Site aufzusp\u00fcren und mit rechtlicher Unterst\u00fctzung die Domain entfernen zu lassen.<\/p>\n Je nach Branche existieren ganze Minenfelder digitaler Risiken. Jedoch muss die digitale Transformation eben diese Risiken nicht zwangsl\u00e4ufig erh\u00f6hen. Werden Risiken ganzheitlich erfasst und auf Gesch\u00e4ftsebene gemanaged, bleiben Wettbewerbsf\u00e4higkeit und Innovationskraft erhalten.<\/p>\n","protected":false},"excerpt":{"rendered":" Die Vorteile der digitalen Transformation f\u00fcr Unternehmen sind nicht zu untersch\u00e4tzen – ihre Risiken jedoch auch nicht. Digitales Risikomanagement kommt leider h\u00e4ufig zu kurz. Dabei ziehen Datenschutzverletzungen oder Datenlecks nicht nur finanzielle Verluste nach sich. Managern k\u00f6nnen sie den Job kosten und das Image des Unternehmens leidet heftig. Digital Risk Management: Was ist das eigentlich? … <\/p>\n\n
Monitoring: Alles im Blick haben<\/h3>\n
\n
Schutz vor Bedrohungen<\/h3>\n
\n
Weitere Schritte zum Senken des digitalen Risikos<\/h3>\n
Schutz vor digitalen Risiken<\/h2>\n