swissVR Monitor: Viele Unternehmen scheinen beim Thema Cyber-Resilienz nicht wirklich Handlungsbedarf zu sehen, bis sie Opfer eines Cyber-Angriffs werden. Unterschätzen respektive verdrängen Firmen oftmals Cyber-Risiken?
Sonja Stirnimann: Noch sehe ich, dass sehr oft die Thematik zu stark den IT-Verantwortlichen zugeschanzt und weniger als strategischer Pfeiler wahrgenommen wird. Dies aus meiner Sicht zu Unrecht, da die Thematik einen so massiven Stellenwert einnimmt, wenn es darum geht die Vermögenswerte, Reputation und Handlungsfähigkeit von Unternehmen und deren Verantwortlichen zu schützen. Die Cyber-Resilienz ist einer der wichtigsten Wettbewerbsvorteile für ein Unternehmen (und deren Verantwortlichen) – auch diese Perspektive wird aktuell noch zu wenig berücksichtigt, wenn es darum geht, präventive Massnahmen für den Ernstfall zu ergreifen.
Ob es sich um bewusstes Verdrängen oder Unterschätzen handelt, möchte ich mir nicht anmassen zu beurteilen, jedoch ist es menschlich, dass Themen, in denen man sich selbst noch nicht so versiert bewegt, gerne vermieden werden. Dieses (unbewusste) Verhalten kann im Kontext der Cyber-Resilienz fatale Folgen haben. Wenn wir das nun aus Sicht der Verantwortung eines Verwaltungsrats betrachten, ist es unabdingbar, dass wir der Thematik die notwendige Beachtung schenken.
swissVR Monitor: Welche Rolle spielt der (Risiko-)Faktor Mensch beim Thema Cyber-Resilienz?
Sonja Stirnimann: Im Gegensatz zur Resistenz, welche sehr viel stärker die Themen der IT-Sicherheit, die IT-Infrastruktur, die Abwehrdispositive inklusive Monitoring betrifft, ist die Resilienz eines Unternehmens essenziell, wenn es darum geht, wie schnell wir in welcher Form wieder für unsere Stakeholder handlungsfähig sind.
Nicht selten wird die Handlungsfähigkeit akut gefährdet. Diese Handlungsfähigkeit ist enorm stark abhängig von der Reaktion der Verantwortlichen in dieser doch meist ausserordentlichen Situation. Nicht alle Verantwortlichen und somit deren Unternehmen sind auf solche Ernstfälle professionell vorbereitet. Diese Sicherstellung der Handlungsfähigkeit gehört auch auf Stufe Verwaltungsrat und Geschäftsleitung implementiert und ist Teil unserer Verantwortung. Es schadet auch nicht, diesen Ernstfall zu üben und die Kenntnisse daraus verbessernd in den Prozess einfliessen zu lassen.
Cyber-Resilienz – wie wir den Begriff im Sprachgebrauch verwenden – bezieht sich auf die Fähigkeit einer Organisation, Cyber-Angriffe zu erkennen, darauf zu reagieren, sich davon zu erholen und ihre Betriebsfähigkeit aufrechtzuerhalten. Der Unterschied zwischen Resistenz und Resilienz, wenn wir uns etwas vertiefter mit der Thematik auseinandersetzen, sehen wir am Lebenszyklus cyberkrimineller Vorfälle.
Die Resistenz konzentriert sich darauf, Angriffe zu verhindern oder zu stoppen, um Schäden zu vermeiden. Dies umfasst die Implementierung von Sicherheitsmassnahmen wie Firewalls, Intrusion Detection Systems und Sicherheitsrichtlinien. Während die Resistenz wichtig ist, kann sie dennoch nicht garantieren, dass ein Angriff vollständig verhindert wird. In der heutigen Zeit müssen wir davon ausgehen, dass wir alle laufend angegriffen werden.
Die Resistenz umfasst präventive Massnahmen zur Absicherung / Minimierung des Risikos. Resilienz bezieht sich auf die Fähigkeit einer Organisation, nach einem Angriff oder einer Störung schnell zu reagieren, sich zu erholen und ihre Geschäftstätigkeit fortzusetzen. Resilienz beinhaltet die Erkennung von Angriffen, die rasche Reaktion, die Wiederherstellung der Systeme und den kontinuierlichen Betrieb des Unternehmens. Es geht darum, die Auswirkungen und somit meist den Schaden von Angriffen zu begrenzen und sich schnell wieder zu erholen, anstatt nur auf Prävention (Resistenz) zu setzen. Und hier spielt die Handlungsfähigkeit die wesentliche Rolle.
swissVR Monitor: Unternehmen sprechen nicht immer offen über Cyber-Vorfälle. Wie kommen Firmen weg von dieser Tabueinstellung und hin zu mehr Transparenz?
Sonja Stirnimann: Das Territorium «Cyber» ist mindestens 40 Jahre alt und im Vergleich zu anderen operationellen Risiken für viele Verantwortliche noch «Neuland». Was ich erlebe, ist, dass dieses aktuelle Tabu-Thema den Schrecken verliert, wenn es in einem geschützten Rahmen mit Gleichgesinnten auf Stufe Verwaltungsrat und Geschäftsleitung diskutiert werden kann. Dazu bedarf es wie erwähnt den geschützten Rahmen und den Willen, Erfahrungen zu teilen und zu lernen. In der Praxis zeigt sich, dass die Verantwortlichen diesen Austausch schätzen und enorm viel voneinander lernen können. Diese Austausche sind gerne auch industrieübergreifend.
swissVR Monitor: Wen geht das Thema Cyber-Resilienz im Unternehmen etwas an respektive wo sollte es angesiedelt sein?
Sonja Stirnimann: Da es sich für viele Unternehmen noch nicht (oder noch nicht lange) um ein Thema handelt, mit welchem sie sich konfrontiert sehen, erachte ich es als wichtig, dass dieses als eines der operativen Risiken auf Stufe Verwaltungsrat und Geschäftsleitung Beachtung findet und auch dort angesiedelt ist. Dies zusammen mit der Cyber-Resistenz, welche der Resilienz vorgelagert ist. Je nach Maturitätsgrad der jeweiligen Unternehmen und deren Gremien bedarf es auch eine mehr oder weniger steile Lernkurve. Verwaltungsrat und Geschäftsleitung wirken als Vorbild («Role Model») und das gilt bei der Thematik der Cyber-Resilienz genauso.
swissVR Monitor: Sie empfehlen Unternehmen die initiale Massnahme der Sensibilisierung. Was bedeutet dies im Kontext der Cyber-Resilienz?
Sonja Stirnimann: Sensibilisierung beginnt dort, wo über das Thema aktiv gesprochen, informiert und ausgebildet wird – auf sämtlichen Hierarchie-Ebenen. Wir lernen durch Praxisfälle, die analysiert und besprochen werden und können diese für unsere eigene Risikoidentifikation nutzen.
Das Bedarf Offenheit der Thematik gegenüber und Einsicht, dass auch wir alle betroffen sein werden, früher oder später. Oft beginnen genau diese Diskussionen erst im Nachgang statt bereits präventiv. Ich sehe gute Erfolge – im Sinne vom Schutz der Vermögenswerte – bei denjenigen Unternehmen, die sich bereits im Vorfeld diese strategischen, unternehmerischen Gedanken machen und ihren Wettbewerbsvorteil ausbauen und sichern wollen.
Sonja Stirnimann
Vorsitzende des Prüfungsausschusses der Glarner Kantonalbank und Verwaltungsratsmitglied von Apiax
Sonja Stirnimann ist als unabhängiges Verwaltungsratsmitglied und Vorsitzende der Prüfungsausschüsse mehrerer privater und börsennotierter Unternehmen tätig. Sie ist Ökonomin, dipl. Wirtschaftsprüferin, hält einen eMBA Financial Services & Insurance der HSG, das Board of Director Diploma des IMD und ist Certified Fraud Examiner (CFE). Als Expertin im Bereich Governance, Risk und Audit ist sie für Unternehmen im Einsatz, wenn es um Unternehmensintegrität und Krisenmanagement im Zusammenhang mit Non-Compliance, Wirtschafts- und Cyber-Kriminalität geht. Sonja Stirnimann verfügt über mehr als drei Jahrzehnte Berufserfahrung und arbeitete für globale Unternehmen wie LafargeHolcim, UBS, Deloitte und EY in ihrem Fachgebiet. Sie unterrichtet an verschiedenen globalen Institutionen, Universitäten, Berufsverbänden sowie für international tätige Unternehmen. Ihr Buch Der Mensch als Risikofaktor bei Wirtschaftskriminalität. Handlungsfähig bei Non-Complianc und Cyberkriminalität. ist in der 2. Auflage bei Springer erschienen.