Der Prozess des Managements von digitalen Risiken ist in fünf grosse, aufeinander aufbauende Stufen untergliedert. Indem man die einzelnen Stufen konsequent «abarbeitet», kann man das jeweilige Risiko, seine Eintrittswahrscheinlichkeit und seine Auswirkungen mindern.
A. Identifizierung
Der erste Schritt des Prozesses besteht darin, die Bedrohungen und Risiken, denen die Aktivitäten, die Abteilungen des Unternehmens und/oder die zentralen Projekte ausgesetzt sind, zu identifizieren. Dies gibt Aufschluss darüber, auf welche Aspekte man sich konzentrieren sollte, und ermöglicht eine genauere Ermittlung der Mittel, die zum Schutz vor solchen Bedrohungen bereitgestellt werden müssen.
B. Bewertung
Nach erfolgter Identifizierung der Risiken müssen ihre Eintrittswahrscheinlichkeit und ihre möglichen Auswirkungen auf die Geschäftstätigkeit des Unternehmens bewertet werden. Diese Bewertung sollte fundiert sein und mit Zahlen unterlegt werden, damit die Geschäftsleitung auf Grundlage möglichst umfassender Informationen angemessene Massnahmen treffen kann.
C. Behandlung von Risiken
Es gibt verschiedene Kategorien der Risikobehandlung. Die erste besteht darin, das Risiko durch Aufgabe des risikobehafteten Projekts oder durch Einstellung der riskanten Aktivitäten zu vermeiden oder zu beseitigen. Diese Option wird nur selten gewählt, da sie weitreichende Auswirkungen auf die Unternehmensstrategie hat.
Die zweite Strategie besteht darin, das Risiko durch Verringerung seiner Eintrittswahrscheinlichkeit oder Minimierung seiner potenziellen Auswirkungen abzuschwächen: Einführung von Sicherheitsmassnahmen und von Kontrollen, die das Risiko weniger wahrscheinlich werden lassen; und für den Fall, dass das Szenario trotz alledem eintritt, Sicherheitsmassnahmen, die seine Auswirkungen abmildern.
Die dritte Kategorie der Risikobehandlung besteht in der «Übertragung» des Risikos: Dafür schaltet man einen Dienstleister ein, der das Risiko übernimmt (auch wenn sich die Verantwortungskette im Krisenfall teilweise auf die Kundinnen und Kunden auswirken kann), oder überträgt das Risiko (durch Inanspruchnahme von speziellen Angeboten im Bereich der Cybersicherheit) auf eine Versicherung.
D. Analyse
Die nächste Phase des Managements von digitalen Risiken besteht in einer periodischen Analyse der Wirksamkeit der implementierten Kontrollen und Massnahmen. Durch eine solche Wirksamkeitsanalyse lässt sich feststellen, ob das Risiko tatsächlich reduziert wurde oder ob es nach wie vor auf einem besorgniserregenden Niveau verharrt. Im letzteren Fall muss ein Aktionsplan ausgearbeitet werden, um im Krisenfall angemessen reagieren zu können.
E. Reporting oder Follow-up
In der letzten Phase erfolgt eine Zusammenstellung der in den vorangegangenen vier Schritten erzielten Ergebnisse und die Geschäftsleitung wird in Form eines detaillierten Berichts über die Risikolage, die Ergebnisse der Analyse der Kontrollen und Massnahmen, aber auch über den für den Krisenfall vorgesehenen Aktionsplan in Kenntnis gesetzt.
