Wie das Business Continuity Management durch die Quantifizierung von Cyberrisiken verbessert werden kann

Haben Sie jemals das Gefühl gehabt, dass sich alles um Sie herum ständig verändert und alles viel zu schnell geht? Damit sind Sie nicht allein.

Die Entwicklung erstklassiger Kundenerlebnisse, die Erschließung neuer Märkte und die Digitalisierung sind nur drei der Chancen, die erfolgreiche Unternehmen anstreben. Der Erfolg eines Unternehmens hängt heute ebenso sehr von seinem Ökosystem wie von seinen eigenen Kernkompetenzen ab. Ein klares Verständnis darüber, welche Aufgaben ausgelagert sind, welche Partner und Drittanbieter diese erbringen und welche Auswirkungen ein Ausfall dieser Partner auf Ihr Unternehmen hätte, ist der erste Schritt zum Management dieser Risiken.

In diesem Fall wird das Business Continuity Management (BCM) für jedes Unternehmen von entscheidender Bedeutung.

Dieser Artikel beschreibt die wichtigsten Merkmale eines erfolgreichen BCM und zeigt auf, wie die Berücksichtigung derCyber-Risikoquantifizierung (CRQ) neben dem BCM beide Prozesse verbessern und zu einem robusteren Risikomanagement und einer höheren Widerstandsfähigkeit des Unternehmens führen kann.

Wichtige Erkenntnisse

1. Business Continuity Management ist überlebenswichtig: BCM spielt eine entscheidende Rolle bei der Aufrechterhaltung der Kerngeschäftsfunktionen während disruptiver Ereignisse.
2. Cyber-Risikoquantifizierung verbessert die Geschäftskontinuität: CRQ stärkt das BCM, indem es Vertrauen in die Szenarioplanung schafft, potenzielle finanzielle Auswirkungen und Wahrscheinlichkeiten validiert und Unternehmen dabei hilft, Risiken klar in Geldwerten zu quantifizieren, was zu fundierteren Entscheidungen führt.
3. Eine positive Rückkopplungsschleife zwischen CRQ und BCM: Der Austausch von Ergebnissen zwischen CRQ- und BCM-Prozessen schafft eine positive Rückkopplungsschleife, in der sich die beiden Prozesse gegenseitig unterstützen und verbessern, wodurch die Widerstandsfähigkeit des Unternehmens und die Risikomanagementstrategien gestärkt werden.
   

Die Treiber von BCM

Business Continuity Management ist Teil eines umfassenderen Konzepts der Widerstandsfähigkeit von Unternehmen. BCM hilft Ihnen, Kerngeschäftsprozesse zu verstehen und zu erfahren, wie Sie diese auch bei Störfällen aufrechterhalten können.

Diese Praxis spielt aufgrund von drei wichtigen Trends eine immer wichtigere Rolle:

• Internationales Geschäft: Ob Sie Kunden in neuen Märkten ansprechen oder die Produktion an kostengünstigere Standorte verlagern – internationale Geschäfte können das Risiko neuer Vorschriften, geopolitischer Unsicherheiten und extremer Wetterereignisse erhöhen.
• Digitalisierung: Die zunehmende Abhängigkeit von IT-Systemen und globaler Konnektivität bedeutet, dass ein Ausfall zu beispiellosen Störungen führen kann. Die immer häufiger auftretenden Cyberangriffe bedeuten, dass digitale Störungen nicht mehr eine Frage des „Ob“, sondern des „Wann“ sind.
• Abhängigkeiten vom Ökosystem: Da die Abhängigkeit von Partnern und Lieferanten zunimmt, ist es wichtig, Vorkehrungen für die Aufrechterhaltung des Geschäftsbetriebs zu treffen. Sind diese ebenso gut vorbereitet wie Sie?

Angesichts dieser Herausforderungen ist Business Continuity Management mehr als nur eine nette Zusatzleistung – es ist eine Notwendigkeit.

Was könnte schiefgehen?

Business Continuity-Ereignisse lassen sich in vier gängige Szenarien einteilen:

• Ausfall von IT-Systemen: Dies ist ein großes Problem, insbesondere angesichts unserer Abhängigkeit von Technologie. Ein Unternehmen kann langsamer arbeiten oder sogar ganz zum Stillstand kommen, wenn Systeme aufgrund von Cyberangriffen, Fehlfunktionen oder sogar menschlichen Fehlern ausfallen.
• Nichtverfügbarkeit der physischen Räumlichkeiten: Wenn Ihre Räumlichkeiten von einer Naturkatastrophe oder einem Brand betroffen sind, kann Ihr Team den Zugang zu Ihren physischen Räumlichkeiten verlieren. In diesem Fall ist ein Backup-Plan für Remote-Arbeit oder alternative Produktionsstätten von größter Bedeutung.
• Nichtverfügbarkeit von Schlüsselpersonal: Manchmal sind die Personen, auf die Sie sich am meisten verlassen, nicht verfügbar. Ob sie krank sind oder im Lotto gewonnen haben und sich entschlossen haben, auf einer einsamen Insel zu leben – in einem Notfall müssen Sie wissen, wer sie vertreten kann, um den Betrieb aufrechtzuerhalten, oder sogar dafür sorgen, dass ihr Fachwissen im Voraus weitergegeben wird.
• Nichtverfügbarkeit von Lieferanten: Unterbrechungen der Lieferkette können erhebliche Auswirkungen haben. Es ist entscheidend, Notfallpläne und alternative Lieferanten zu haben, falls ein wichtiger Lieferant nicht liefern kann.

Die relative Bedeutung jedes dieser Szenarien hängt von der Art Ihres Unternehmens ab. Eine Risikobewertung zeigt Ihnen, worauf Sie sich konzentrieren müssen.

OK, aber was bedeutet das für das Unternehmen?

Im Mittelpunkt der Risikobewertung steht die Bewertung der Auswirkungen jedes Szenarios auf das Unternehmen. Betrachten wir als Beispiel ein Unternehmen, das Waschmaschinen herstellt, verkauft und wartet, um zu untersuchen, was dies bedeutet.

• Die Fabrik, in der die Maschinen hergestellt werden, ist hochmodern und verfügt über automatisierte, computergesteuerte Fertigungslinien. Wenn diese Systeme oder das Fabrikgebäude nicht verfügbar sind, können keine neuen Maschinen hergestellt werden. Wenn keine neuen Maschinen verkauft werden können, hat dies schnell Auswirkungen auf den Umsatz.
• Die Website des Unternehmens wird von einem externen IT-Dienstleister gehostet. Über die Website können Kunden Bestellungen aufgeben, für den Kundendienst müssen sie jedoch das Servicecenter anrufen. Wenn diese Website nicht verfügbar ist, kann das Unternehmen keine Online-Zahlungen entgegennehmen.
• Das Büro, von dem aus der Servicebetrieb gesteuert wird, befindet sich in einem anderen Land. Hier nehmen Serviceberater Anrufe von Kunden und Technikern entgegen und organisieren Wartungstermine. Wenn das Telefonsystem nicht verfügbar ist, haben Kunden keine Möglichkeit, das Unternehmen zu kontaktieren, um sich über Lieferungen, Reparaturen oder Technikerbesuche zu informieren.

Welche dieser Situationen für das Unternehmen am wichtigsten ist, hängt stark vom Geschäftsmodell ab: Legt das Unternehmen beispielsweise mehr Wert auf den Verkauf neuer Geräte (oder verdient es sogar mehr Geld damit) oder auf einen exzellenten Kundendienst? Um dies herauszufinden, müssen Cybersicherheitsteams wahrscheinlich mit Stakeholdern außerhalb der IT-Abteilung im gesamten Unternehmen sprechen.

Diese Analyse lohnt sich jedoch. Wenn Sie die wahrscheinlichsten und folgenschwersten Szenarien für Ihr Unternehmen kennen, können Sie Ziele festlegen, wie lange ein Ausfall toleriert werden kann, die Kontinuität und Wiederherstellung dieser Prozesse während eines Vorfalls leichter priorisieren und in Gesprächen mit den Stakeholdern des Unternehmens mehr Glaubwürdigkeit gewinnen.

Fortführung des Geschäftsbetriebs und Wiederherstellung des Betriebs

Das Verständnis gängiger Szenarien für die Geschäftskontinuität und deren potenzielle Auswirkungen auf Ihr Unternehmen führt zur nächsten Stufe des Business Continuity Managements: der Planung von Maßnahmen für den Fall einer Störung. Diese kann aus zwei Teilen bestehen: der Sicherstellung, dass kritische Vorgänge während der Störung weiterlaufen können, und der Wiederherstellung der Verluste während der Unterbrechung.

Im Beispiel des Waschmaschinenherstellers könnten für die Kontinuitäts- und Wiederherstellungsplanung folgende Punkte berücksichtigt werden:

• Aufrechterhaltung von Reserven an fertigen Produkten, um die Nachfrage bei Produktionsunterbrechungen zu decken
• Priorisierung der Produktion der profitabelsten oder am meisten nachgefragten Produkte bei begrenzter Produktionskapazität
• Aufrechterhaltung alternativer Verarbeitungssysteme (Cold/Hot Standby) für kritische Systeme, die bei Ausfall des Primärsystems genutzt werden können
• Einführung von Überstunden nach der Wiederherstellung nach einem Vorfall, um verlorene Produktionskapazitäten auszugleichen oder einen Rückstau an Supportanfragen abzuarbeiten.

Die Kombination aus Kontinuitäts- und Wiederherstellungsstrategien, die für das Unternehmen am besten geeignet ist, hängt vom Geschäftsmodell ab, wird aber wahrscheinlich eine Kombination aus technologischen und betrieblichen Maßnahmen sein.

Wie die Quantifizierung von Cyberrisiken das Business Continuity Management stärkt

Zwischen der Quantifizierung von Cyberrisiken und der Geschäftskontinuitätsplanung besteht eine symbiotische Beziehung. Die Risikobewertung kann erheblich von der Geschäftskontinuitätsplanung profitieren, indem sie versteht, welche Risiken zu quantifizieren sind und welche Parameter für diese Risiken und deren Minderung gelten. Die Geschäftskontinuitätsplanung profitiert von der Quantifizierung, indem sie potenzielle Auswirkungen in Dollarbeträgen und die Wahrscheinlichkeiten in vertretbaren Wahrscheinlichkeiten ausdrückt.

Wichtige Fragen, die bei der Quantifizierung von Cyberrisiken behandelt werden, sind:

• Was sind realistische Störungsszenarien?
• Wie lange könnten Systeme und Geschäftsprozesse ausfallen?
• Welche Auswirkungen haben Cyberrisiken auf Umsatz und Gewinn?

Die Quantifizierung von Cyberrisiken verbessert die Vorbereitung von Unternehmen auf Cyberbedrohungen durch:

• die Zuweisung konkreter Geldwerte in Dollar und Euro für potenzielle Auswirkungen und Bedrohungsszenarien;
• die Verknüpfung der Quantifizierungsergebnisse mit der Kontinuitätsplanung und -prüfung, wodurch das Vertrauen der Stakeholder gestärkt wird: Zeigen Ihre Business-Continuity-Tests, dass Sie Ihr Wiederherstellungsziel erreichen können? Großartig! Dann passen wir die Eingabeannahmen für die Quantifizierung entsprechend an.
• Abstrakte Cyberrisikothemen durch reale Szenarien zum Leben erweckt werden.

Darüber hinaus unterstützt CRQ die strategische Planung durch:

• Entwicklung und Validierung von Szenarien durch die Feedbackschleife zwischen Geschäftskontinuität und Risikobewertung;
• Schaffung von Vertrauen in die finanzielle Risikoexposition und die operative Fähigkeit zur Risikosteuerung;
• Information über die Risikobereitschaft und Unterstützung bei der Priorisierung von Verbesserungen in den Geschäftskontinuitätsprozessen.

Vorteile der Integration von CRQ in das unternehmensweite Risikomanagement

Die Integration der Quantifizierung von Cyberrisiken in umfassendere Risikomanagementprozesse und die effektive Kommunikation der Ergebnisse anhand von Business-Continuity-Szenarien helfen dabei, Cyberrisiken in einer vertrauten Geschäftssprache zu erklären und den Fokus auf die geschäftlichen Folgen statt auf technische Details zu legen.

Diese Integration erleichtert die Zusammenarbeit mit anderen Risikostakeholdern (z. B. Spezialisten für operationelle Risiken, Spezialisten für strategische Risiken), gleicht die Berichterstattung über Cyberrisiken mit anderen Risikokategorien ab und verwendet ähnliche Metriken und Berichtsmethoden (z. B. Value-at-Risk-Prozentsätze), um eine Angleichung an Nicht-Cyber-Risikokategorien zu erreichen.

Darüber hinaus können Sie Ihre Ergebnisse und Empfehlungen durch die Kombination von BCM- und CRQ-Ergebnissen effektiver an wichtige Stakeholder, insbesondere an die Führungsebene und den Vorstand, kommunizieren: „Ich weiß, dass Sie über dieses Szenario besorgt sind. Ich schätze die potenziellen Verluste auf X Dollar mit einer Wahrscheinlichkeit von Y, und ich bin davon überzeugt, weil wir eine detaillierte Business Continuity Planung durchgeführt und diese Pläne getestet haben.“

Häufig gestellte Fragen zu Business Continuity Management und CRQ

Warum ist Business Continuity Management (BCM) für Unternehmen heute unverzichtbar?

BCM ist für Unternehmen von entscheidender Bedeutung, um ihre Kerngeschäftsfunktionen bei Störfällen wie IT-Ausfällen, Unterbrechungen der Lieferkette und Naturkatastrophen aufrechtzuerhalten. Es stellt sicher, dass Unternehmen ihren Betrieb fortsetzen und Ausfallzeiten minimieren können, was aufgrund der Globalisierung, Digitalisierung und Ökosystemabhängigkeiten immer wichtiger wird.

Wie verbessert die Cyber-Risikobewertung (CRQ) das Business Continuity Management (BCM)?

CRQ verbessert das BCM, indem es konkrete monetäre Werte für potenzielle Auswirkungen liefert, sodass Unternehmen Maßnahmen zur Risikominderung priorisieren können. Es hilft bei der Validierung von Business Continuity Plänen, indem es finanzielle Ergebnisse mit bestimmten Störungsszenarien verknüpft und so den Planungsprozess strategischer und datengesteuerter macht. Außerdem liefert es fundierte Wahrscheinlichkeiten für das Eintreten eines Ereignisses.

Was sind die Vorteile der Integration von CRQ in das unternehmensweite Risikomanagement?

Die Integration von CRQ in das Unternehmensrisikomanagement hilft, Cyberrisiken in geschäftlicher Sprache zu erklären, die Risikoberichterstattung mit anderen Risikokategorien abzustimmen und die Zusammenarbeit zwischen verschiedenen Risikostakeholdern zu erleichtern. Dieser Ansatz stellt sicher, dass alle Unternehmensrisikofaktoren konsistent bewertet werden, und unterstützt eine fundiertere Entscheidungsfindung auf Vorstandsebene.

In welcher Beziehung stehen Cyber-Risikoquantifizierung und Business Continuity Planning?

Zwischen der Quantifizierung von Cyberrisiken und der Geschäftskontinuitätsplanung besteht eine symbiotische Beziehung. Die CRQ wird verbessert, indem die Geschäftskontinuitätsplanung berücksichtigt wird, um die zu quantifizierenden kritischsten Risiken zu identifizieren, während die Geschäftskontinuitätsplanung von der CRQ profitiert, indem sie die potenziellen finanziellen Auswirkungen verschiedener Szenarien validiert und so eine positive Rückkopplungsschleife schafft, die das Risikomanagement stärkt.

Wie können Unternehmen die Quantifizierung von Cyberrisiken nutzen, um ihre Widerstandsfähigkeit gegen Cyberbedrohungen zu verbessern?

Unternehmen können CRQ nutzen, um potenziellen Cyber-Bedrohungen einen monetären Wert zuzuweisen, realistische Störungsszenarien zu entwickeln und ihre Business Continuity-Pläne anhand dieser Szenarien zu testen. Dieser proaktive Ansatz verbessert nicht nur die Vorbereitung, sondern hilft Unternehmen auch dabei, ihre Investitionen in Cybersicherheitsmaßnahmen zu priorisieren, die den größten Einfluss auf die Widerstandsfähigkeit und Betriebsstabilität haben.

Fazit

Business Continuity Management ist wichtig, um die Sicherheit und den Betrieb Ihres Unternehmens zu gewährleisten. Die Integration von BCM mit Cyber Risk Quantification kann robustere Erkenntnisse liefern, um die Vorbereitung des Unternehmens zu verbessern und die strategische Planung auf C-Level und in der Führungsetage zu unterstützen.

Zwischen BCM und CRQ besteht eine positive Rückkopplungsschleife, in der

• die Risikobewertung verbessert wird, indem die Business Continuity Planung berücksichtigt wird, um zu verstehen, welche Risiken zu quantifizieren sind; und
• Die Business Continuity-Planung profitiert von der Quantifizierung, indem sie potenzielle Auswirkungen und vertretbare Wahrscheinlichkeiten für das Eintreten eines Ereignisses in Dollarbeträge umsetzt.

Die symbiotische Beziehung zwischen Cyber-Risikobewertung und Business Continuity-Planung fördert ein robustes Risikomanagement und die Widerstandsfähigkeit des Unternehmens.