Cyber- und Umweltrisikominderung strategisch verknüpfen
Um die Widerstandsfähigkeit von Unternehmen deutlich zu erhöhen, sollten beim Risikomanagement die beiden Bereiche Cybersicherheit und Klimawandel integriert werden.
Von allen Risiken, mit denen Unternehmen heute konfrontiert sind, haben die Risiken im Zusammenhang mit Cybersicherheit und Umwelt die größten finanziellen Auswirkungen. Dennoch haben nur wenige Unternehmensverantwortliche Cyberrisiken und Klimarisiken ausdrücklich miteinander verknüpft.
Zugegeben, der Zusammenhang zwischen Faktoren wie Hacking und CO2-Emissionen ist vielleicht nicht sofort ersichtlich. In beiden Fällen sind die damit verbundenen Auswirkungen jedoch zunehmend schwerwiegend, weit verbreitet, kostspielig und unvermeidlich. Unternehmen, die es versäumen, Cybersicherheits- und Umweltaspekte in ihre Governance-Strategien zu integrieren, erhöhen nicht nur heute ihre Risiken, sondern werden in den kommenden Jahren auch weniger widerstandsfähig sein.
Um Cyberrisiko- und Klimarisikostrategien wirkungsvoll zu verbinden, sollten Sie mit den folgenden fünf Schritten beginnen.
1. Aufklären, um gemeinsame Zusammenhänge und Risiken zu verdeutlichen
Machen Sie die Überschneidungen zwischen Cyber- und Umweltrisiken sowohl der geschäftlichen als auch der technischen Führungsebene klar. Dies erfordert eine Verknüpfung der Punkte innerhalb der Sicherheitskultur des Unternehmens sowie ein spezielles Schulungs- und Ausbildungsangebot.
Der entscheidende Bewusstseinswandel besteht in der Einsicht, dass sowohl Cyber- als auch Klimabedrohungen alle Geschäftsfunktionen und -abläufe beeinflussen können und dass Unternehmen sie nicht als unabhängige vertikale Einheiten betrachten können. Das greifbarste Beispiel für dieses vernetzte Risiko ist die moderne Infrastruktur. Jedes Unternehmen, das auf Rechenzentren, Gebäude, Fahrzeuge oder HLK-Systeme (Heizung, Lüftung, Klimatechnik) angewiesen ist, muss sich mit sicherheits- und klimabezogenen Risiken auseinandersetzen.
Der Einbruch in eine Wasseraufbereitungsanlage in Florida im Jahr 2021 war beispielsweise auf eine veraltete Software und ein schwaches Passwort zurückzuführen. Dank der rechtzeitigen Eindämmung des Angriffs konnten größere Störungen verhindert werden. Solche Angriffe auf kritische Infrastrukturen könnten jedoch zu einer Umweltkatastrophe führen, die das Potenzial für Gesundheitskrisen und finanzielle, staatliche und wirtschaftliche Verwerfungen hat.
Ein Beispiel dafür ist der Ausfall der Colonial Pipeline, der im Jahr 2021 an der Ostküste der USA zu erheblichen Treibstoffengpässen führte. Hätten die Angreifer die Betriebssysteme der Pipeline direkt angegriffen, hätte der Vorfall möglicherweise zu Ölaustritten und Umweltverschmutzung führen können.
Ein weiterer sich entwickelnder Risikofaktor, den Führungskräfte oft übersehen, hat mit Versicherungen zu tun. Aufgrund der immer häufigeren und teureren Cyber- und klimabezogenen Vorfälle schränken die Versicherungsunternehmen ihren Versicherungsschutz bereits ein. Bestehende Cyberpolicen können Bedingungen wie Sachschäden, Körperverletzungen oder Umweltverschmutzung einschließen, müssen es aber nicht. Und Umweltpolicen decken unter Umständen Auslöser wie Insider-Bedrohungen ab - zum Beispiel die Deaktivierung von Leckagealarmen oder die Einleitung von ungeklärten Abwässern in die lokale Umgebung.
Abbildung 1: In Deutschland sorgen sich Experten für Risikomanagement insbesondere um Betriebsunterbrechungen, Cybervorfälle sowie um Folgen des Klimawandels und Naturkatastrophen. Dabei können die drei letztgenannten allesamt auch für Betriebsunterbrechungen sorgen.
2. Erkennen, wie die digitale Transformation die Minderung von Cyber- und Umweltrisiken beeinflusst
Das Aufkommen von Software, Sensoren und Netzwerkkonnektivität hat einen umfassenden Wandel in der Art und Weise ausgelöst, wie Unternehmen über Technologie, Daten und Strategie denken. Dieser Wandel bedeutet neue Geschäftsmöglichkeiten, aber die Digitalisierung steht auch für auch eine massive Erweiterung der Cyberbedrohungslandschaft.
In der Vergangenheit war die Infrastruktur in ihrer eher analogen und mechanischen Form nicht von Natur aus anfällig für Cyberangriffe. Doch heute schafft jedes angeschlossene Gerät, jede Maschine und jeder Arbeitsplatz sowie jedes Partnersystem, jedes öffentliche Netz und jede Cloud eines Drittanbieters neue Schwachstellen – nicht nur für das unmittelbare System, sondern für alle miteinander verbundenen Systeme. Angriffe auf die digitale Infrastruktur können nun kaskadenartige Auswirkungen haben, die sich auch auf die öffentliche Sicherheit und das Gesundheitswesen auswirken können.
Die zunehmende Abhängigkeit von der Digitalisierung zur Minderung von Umweltrisiken erhöht das Cyberrisiko weiter. So setzen Unternehmen und Regierungen bei der Verringerung von CO2-Emissionen heute stark auf Technologie statt auf politische oder marktwirtschaftliche Kontrollen. Und da extreme Hitze- und Wetterereignisse immer häufiger auftreten, setzen immer mehr Unternehmen Luft- und Lärmüberwachungsgeräte, tragbare Geräte, Drohnen und Alarmsysteme ein, um Probleme zu erkennen und Mitarbeiter zu schützen.
3. Gemeinsame Ziele und Governance-Anforderungen vereinen
Die gemeinsamen Ziele für die Verknüpfung von Cyber- und Umweltrisikominderung umfassen das Unternehmen, seine Mitarbeiter und Interessenvertreter sowie die Allgemeinheit und Regierungen. Die oben genannten Beispiele zeigen, wie sich sowohl Cyberrisiken als auch Klimarisiken auf Mitarbeiter, Kunden und Partner auswirken können.
Kriminelle Akteure werden sich zunehmend auf Geräte und Infrastrukturen konzentrieren, um ihre Angriffe zu verstärken und mehrgleisig zu fahren. Ein Angriff auf das Stromnetz oder die Verursachung eines Stromausfalls, eines Lecks oder einer anderen Störung untergräbt das Vertrauen der Öffentlichkeit und lenkt erfolgreich Ressourcen und Aufmerksamkeit von anderen dringenden Bedürfnissen ab. Auf diese Weise können geopolitische Spannungen - die sich häufig um Energieressourcen drehen und sogar Hacktivismus beinhalten können - leicht zum Problem von Unternehmen werden.
Der entscheidende Bewusstseins-Wandel besteht in der Einsicht, dass sowohl Cyber- als auch Klimabedrohungen alle Geschäftsfunktionen und -abläufe beeinflussen können und nicht als unabhängige vertikale Einheiten betrachtet werden können.
Daher benötigen Unternehmen umfassende Vorschriften für die Cybersicherheit, sowohl für die Umweltinfrastruktur als auch für die allgemeine IT- und OT-Geschäftsinfrastruktur (Betriebstechnologie). Bislang war dies eine große Herausforderung für die Cybersicherheitsbranche, da politische Entscheidungsträger und Unternehmen um die Festlegung einer angemessenen Regelung gerungen haben. Es ist schwierig, ein Gleichgewicht zu finden zwischen gemeinsamen Standards, die allgemein anwendbar sind, und solchen, die spezifisch genug sind, um nützlich zu sein und den Bedürfnissen der einzelnen Unternehmen und ihrer breiten Palette an Technologien Rechnung zu tragen. Es ist bemerkenswert, dass sich eine ähnliche Dynamik im Bereich der Umwelt-, Sozial- und Governance-Bemühungen (ESG) abspielt, mit einer Vielzahl von Rahmenwerken und einem Mangel an einem allgemeinen Konsens.
Es gibt jedoch mehrere Regelwerke zur Unterstützung der Cybersicherheit und des Umweltmanagements von Organisationen. Jetzt ist es an der Zeit, ihre bewährten Verfahren zu aktualisieren, um gemeinsame Risiken einzubeziehen.
4. Aktualisierung bestehender bewährter Verfahren zur Berücksichtigung von Cyber- und Klimarisiken
Auch wenn die Normen nach wie vor uneinheitlich sind, können Unternehmen mehrere Schritte unternehmen, um beide Risikovektoren gleichzeitig anzugehen. Dazu gehören zum Beispiel die folgenden:
Priorisieren Sie die Erfassung von Daten und Informationen, um eine bessere Berichterstattung und Messung zu ermöglichen.
Durchführung regelmäßiger Risikobewertungen und Einbeziehung von Prüfungen durch Dritte, mit Rechenschaftspflicht gegenüber internen und externen Interessenvertretern.
Stellen Sie die Fähigkeiten zur Minderung von Cyber- und Klimarisiken als Unterscheidungsmerkmal zum Wettbewerb dar. Berücksichtigen Sie beide Bereiche bei der Bewertung von Tools und Anbietern vor neuen Investitionen oder Implementierungen.
Entwickeln Sie Richtlinien und Verfahren zur Risikominderung und zur laufenden dynamischen Bewertung von Bedrohungen und setzen Sie diese durch.
Planen Sie für Zwischenfälle und bereiten Sie Ihre Mitarbeiter für Notfallsituationen vor.
Berücksichtigen Sie das gesamte digitale Ökosystem und erstellen Sie Risikoinventare für alle IT/OT-Assets, Lieferketten, Partnernetzwerke und verteilte Netzwerkdesigns. Tauschen Sie Informationen aus und engagieren Sie sich für eine gemeinschaftliche Risikominderung.
Es gibt mehrere Gruppen, die Bemühungen an der Schnittstelle zwischen Cyber- und Klimarisiken unterstützen. Einige, wie die International Society of Automation und die Cybersecurity and Infrastructure Security Agency, bieten Ressourcen für verschiedene Geschäftsbereiche an. Andere, darunter eine wachsende Zahl von Beratern, Industriekonsortien und Anbietern von Sicherheits- und ESG-Software, konzentrieren sich auf die Überschneidung von Cyber- und Klimarisiken in bestimmten Sektoren.
5. Über ESG hinaus: Governance als Strategie denken
Eine gute Unternehmensführung in den Mittelpunkt von Geschäftsabläufen und Investitionsentscheidungen zu stellen, ist strategisch sinnvoll - die wichtigste Gemeinsamkeit von Cyber- und Klimarisiko-Management. ESG ist das aktuelle Modewort für die Art und Weise, wie Unternehmen eine Bestandsaufnahme ihrer Verpflichtungen, Verpflichtungen und Rechenschaftspflicht im großen Rahmen vornehmen. Doch gute Unternehmensführung ist nicht nur eine populäre Berichtsübung.
Vielmehr geht es bei der guten Unternehmensführung darum, das Unternehmen so zu lenken, dass es seine Ziele mit der Integrität des Marktes erreicht: Es muss gewinnbringend konkurrieren und gleichzeitig Unsicherheiten, Komplexität und das Schadenspotenzial erkennen und angehen. Und noch nie war es so klar wie heute, dass die Verknüpfung von Cyber- und Umweltrisiken zur Verbesserung einer guten Unternehmensführung für die Erreichung einer optimalen, langfristigen Widerstandsfähigkeit des Unternehmens von entscheidender Bedeutung ist.
