Risiken gehören zu jedem Unternehmen. Entscheidend ist, wie ein Unternehmen sie versteht und steuert.

Von operativen Herausforderungen bis hin zu Marktvolatilität, regulatorischen Veränderungen und technologischen Fortschritten sind Unternehmen mit einem Spektrum von Unsicherheiten konfrontiert, die entweder Wachstum generieren oder zu Verlusten führen können.

Um sie effektiv zu verwalten, muss ein Unternehmen ein Framework festlegen, das ihm hilft, zu bestimmen, wie viel Risiko es bereit ist, für seine Ziele zu akzeptieren. An dieser Stelle kommt das Konzept der „Risikobereitschaft“ ins Spiel.

Aber um seine Risikobereitschaft zu definieren, muss ein Unternehmen alle Risiken erkennen und verstehen, denen es ausgesetzt ist. Und für Sicherheitsteams, die den Grundstein für ihre Exposure Management-Strategie legen, ist die Definition der Risikobereitschaft ihres Unternehmens ein entscheidender Schritt.

Was ist Risikobereitschaft?

Risikobereitschaft bezeichnet das Maß an Risiko, das ein Unternehmen zur Erreichung seiner Ziele bereit ist, einzugehen. Die Definition setzt dem Unternehmen Grenzen in Bezug darauf, welche Risiken es in welchem Ausmaß eingehen wird. Eine hohe Risikobereitschaft bedeutet, dass man bereit ist, größere Risiken für möglicherweise höhere Belohnungen in Kauf zu nehmen, während eine niedrige Risikobereitschaft bedeutet, dass das Unternehmen es vorzieht, das Risiko so weit wie möglich zu reduzieren.

Stellen Sie sich ein Startup vor, das in wegweisende Forschung und Entwicklung investiert. Um bahnbrechende, disruptive Innovationen zu ermöglichen, nimmt es bewusst ein höheres Risiko in Kauf – in der Überzeugung, dass der potenzielle Erfolg die Unsicherheit rechtfertigt. Ein großes, etabliertes Unternehmen hingegen agiert meist vorsichtiger: Es setzt auf kontinuierliches Wachstum und meidet Vorhaben, die seine Marktstellung oder seine Reputation ernsthaft gefährden könnten

Die Risikobereitschaft ist sowohl quantitativ als auch qualitativ

Die Risikobereitschaft ist niemals statisch. Sie ist ein dynamisches Maß, das auf der Grundlage von Faktoren wie Branche, Unternehmensgröße und -gesundheit, strategischen Zielen, regulatorischen Anforderungen und dem allgemeinen Marktumfeld angepasst werden sollte.

Es geht auch nicht nur um Zahlen: Die Risikobereitschaft ist eine Mischung aus quantitativen und qualitativen Faktoren.

Einerseits kann ein Unternehmen messbare Kriterien haben, wie z.B. die Höhe der Verluste, die es zu tolerieren bereit ist, den Verschuldungsgrad und die angestrebte Kapitalrendite (Return on Investment, ROI). Es können auch subjektive Aspekte zu berücksichtigen sein, wie z.B. die potenziellen Auswirkungen auf die Reputation des Unternehmens, ethische Erwägungen und die Frage, inwieweit seine Entscheidungen mit seinen Grundwerten übereinstimmen.

Warum ist es wichtig, die Risikobereitschaft zu definieren?

Fast jedes Unternehmen, das erfolgreich sein will, muss kalkulierte Risiken eingehen. Aber ohne ein klares Verständnis seiner Risikobereitschaft kann es zu inkonsistenten, reaktiven oder übermäßig vorsichtigen Entscheidungen kommen. Das kann zu verpassten Chancen oder Geschäftseinbußen führen. Deshalb ist die Definition der Risikobereitschaft essenziell:

Strategie und Risikomanagement aufeinander abstimmen

Eine klar definierte Risikobereitschaft schafft einen strategischen Rahmen, der das Risikomanagement mit den übergeordneten Unternehmenszielen in Einklang bringt. Wenn ein Unternehmen weiß, wie viel Risiko es bereit ist zu akzeptieren, kann es gezielt Chancen ergreifen, die zu seiner Risikobereitschaft passen – und gleichzeitig solche vermeiden, die ein unangemessen hohes Risiko bergen.

Entscheidungsfindung verbessern

Die Definition der Risikobereitschaft ermöglicht es Führungskräften und Managern, fundierte Entscheidungen zu treffen, da sie genau wissen, was ein akzeptables Risiko darstellt. Sie legt auch die Erwartungen an die Risikobereitschaft und die Risikovermeidung im gesamten Unternehmen fest und hilft den Managern bei der Bewertung von Kompromissen zwischen Risiko und Prämie in verschiedenen Szenarien.

Vertrauen bei den Stakeholdern aufbauen

Eine klar definierte Risikobereitschaft gibt Investoren, Aufsichtsbehörden, Mitarbeitenden und anderen Stakeholdern die Gewissheit, dass das Unternehmen dem Risikomanagement Priorität einräumt. Sie zeigt auch einen methodischen, vertrauenswürdigen Ansatz, um Risiko und Belohnung gegeneinander abzuwägen, was das Vertrauen der Stakeholder weiter stärkt.

Konsistenz fördern

Wenn allen Mitarbeitenden im Unternehmen klar ist, welches Maß an Risiko vertretbar ist, fördert das konsistente Entscheidungen und ein abgestimmtes Vorgehen. Alle wissen, was als akzeptables Risiko gilt – die Wahrscheinlichkeit sinkt, dass Abteilungen aneinander vorbeiarbeiten oder sogar in entgegengesetzte Richtungen steuern. So könnte etwa die Rechtsabteilung ein ambitioniertes Vorhaben des Marketingteams ausbremsen, wenn kein gemeinsames Verständnis darüber besteht, welches Risiko tragbar ist.

Effektive Risikoüberwachung unterstützen

Wenn Unternehmen ihre Risikobereitschaft definieren, können sie Systeme einrichten, um das Risikoniveau im gesamten Unternehmen zu überwachen, von den Finanzen bis zum operativen Geschäft. So sind können sie potenzielle Probleme frühzeitig erkennen und sicherstellen, dass die Aktivitäten innerhalb der Grenzen dessen bleiben, was als sicher – oder zumindest akzeptabel – angesehen wird. Das Festlegen und Überwachen von Schlüssel-Risiko-Indikatoren (KRIs) liefert Frühwarnungen, wenn sich jemand diesen Grenzen zu sehr nähert.

Wie definiert ein Unternehmen seine Risikobereitschaft?

In der Regel tut ein Unternehmen dies, indem es eine Erklärung zur Risikobereitschaft (Risk Appetite Statement, RAS) verfasst. In den ersten Teilen eines RAS werden die strategischen Ziele des Unternehmens und die damit verbundenen Risiken dargelegt.

Ein Unternehmen möchte vielleicht der führende Softwareanbieter in seiner Branche werden. Sie sollten die strategischen Ziele auflisten, die für die Erreichung dieses Ziels entscheidend sind, und auch die damit verbundenen Risiken auflisten. Ivanti zum Beispiel bietet Cloud-basierte IT-Dienste und Sicherheitsmanagement-Lösungen an. Das bedeutet, dass im Rahmen unserer Risikobereitschaft alle mit diesem Geschäftsbereich verbundenen Risiken erfasst und dokumentiert werden müssen – einschließlich einer klaren Darstellung, wie wir mit diesen Risiken umgehen wollen.

Hier ist ein Beispiel dafür, wie ein Abschnitt einer Erklärung zur Risikobereitschaft für einen Softwareanbieter aussehen könnte:

Generelle Risikobereitschaft

[Unternehmen XYZ] verfolgt einen ausgewogenen Ansatz in Bezug auf Risiken und erkennt an, dass nicht alle Risiken gleich sind und dass ein gewisses Maß an Risiko notwendig ist, um unsere strategischen Ziele zu erreichen.
Innovationsrisiken Wir sind sehr risikobereit, wenn es darum geht, in fortschrittliche Technologien und innovative Lösungen zu investieren, die unsere Produkte von denen der Konkurrenz abheben. Wir sind uns bewusst, dass dies bedeutet, dass wir ein gewisses Maß an Ungewissheit bei der Forschung und Entwicklung und der Produktentwicklung in Kauf nehmen müssen.
Operative Risiken Wir haben eine geringe bis moderate Risikobereitschaft. Bei unserem Streben nach operativer Exzellenz setzen wir auf Initiativen, die die Effizienz und Servicequalität verbessern, ohne unsere Lieferstandards zu beeinträchtigen.
Sicherheitsrisiken Wir haben eine extrem geringe Risikobereitschaft für Sicherheitsbedrohungen und -verletzungen. Unser Engagement für Netzwerksicherheit und Datenschutz ist von höchster Bedeutung, und wir investieren viel in den Schutz unserer Systeme und der Daten unserer Kunden.
Compliance-Risiken Wir haben eine geringe Risikobereitschaft für die Nichteinhaltung von rechtlichen und regulatorischen Anforderungen. Die Einhaltung einschlägiger Gesetze, Standards und bewährter Verfahren in allen operativen Bereichen ist von entscheidender Bedeutung.

Das RAS sollte die Risiken definieren, die die größten Auswirkungen auf das Unternehmen haben würden, und nicht die alltäglichen Risiken, die einfach zum Geschäft gehören. Sie sollte mehrere Risikoszenarien berücksichtigen. So kann eine bestimmte Strategie beispielsweise Risiken in der Lieferkette mit sich bringen, wie z.B. die Auswirkungen der Bindung an einen Lieferanten oder die Gefahren der Regulierung, wenn ein Lieferant mit Kundendaten falsch umgeht.

Sie sollte auch die Höhe des finanziellen Risikos festlegen, das ein Unternehmen bereit ist, einzugehen. Wenn das Ziel darin besteht, ein neues Produkt oder eine neue Dienstleistung anzubieten, besteht immer die Gefahr, dass es auf dem Markt scheitert.

Komponenten der Risikobereitschaft

Dies sind die Schlüsselfaktoren, die bei der Festlegung der Risikobereitschaft berücksichtigt werden müssen:

Risikokapazität

Dies bezieht sich auf die maximale Menge an Risiko, die eine Organisation tragen kann. Dies hängt von den finanziellen Ressourcen, den operativen Fähigkeiten und den gesetzlichen Auflagen ab. Und die Risikokapazität unterscheidet sich von der Risikobereitschaft: Ein Unternehmen kann die Kapazität haben, ein bestimmtes Risikoniveau einzugehen, sich aber auf der Grundlage seiner Risikobereitschaft dagegen entscheiden.

Risikotoleranz

Während es bei der Risikokapazität darum geht, wie viel Risiko ein Unternehmen verkraften kann, ist die Risikotoleranz eine akzeptable Abweichung von diesem Ziel. Es kann sogar unterschiedliche Toleranzen für verschiedene Bereiche festlegen. Ein Unternehmen kann zum Beispiel gut darin sein, ein neues Produkt zu wagen, aber risikoscheu bei der Verwaltung von Kundendaten.

Risikogrenzen

Wir haben die Risikoüberwachung und die Key Risk Indicators (KRIs) bereits erwähnt, da sie dazu dienen, ein Unternehmen davor zu bewahren, Risikogrenzen zu überschreiten - die „roten Linien“, die ein zu hohes Risiko darstellen. Das Überschreiten einer Risikoschwelle könnte eine Änderung der Pläne, erhöhte Sicherheitsmaßnahmen oder sogar einen kompletten Stopp der Aktivitäten erfordern.

Mehr zum Thema: Ivanti Forschungsreport: Unterschiedliche Sichtweisen aufeinander abstimmen: Cyber-Risikomanagement in der C-Suite

Warum ist die Risikobereitschaft beim Exposure Management wichtig?

Früher war es viel einfacher, digitale Risiken zu minimieren als heute. Das liegt daran, dass sich die Angriffsflächen der meisten großen Unternehmen im Laufe der Zeit stark vergrößert haben. Immer mehr Geräte und Anwendungen, die von den Mitarbeitenden an immer mehr Orten genutzt werden, haben den Arbeitsplatz verändert und die digitale Bedrohungslandschaft erweitert.

Das ist einer der Gründe, warum die Ivanti-Untersuchung herausfand, dass mehr als die Hälfte der IT-Experten nicht sehr zuversichtlich sind, dass sie in den nächsten 12 Monaten einen schädlichen Sicherheitsvorfall verhindern können. Mehr als jeder Dritte gibt sogar an, dass er weniger gut darauf vorbereitet ist, Bedrohungen zu erkennen und auf Vorfälle zu reagieren als noch vor einem Jahr.

Das traditionelle Schwachstellenmanagement konzentriert sich seit Langem auf die reaktive Behebung von Schwachstellen in Software und Hardware und anderen CVEs, führt aber in der Regel nur sporadische Scans durch. Aber das heutige Cyberbedrohungsszenario erfordert einen neuen Ansatz.

Modernes Exposure Management konzentriert sich auf die kontinuierliche, proaktive Erkennung und Behebung von Risiken und Schwachstellen über die gesamte digitale Angriffsfläche hinweg. Unabhängig davon, ob sie von exponierten IT-Assets, ungesicherten Endgeräten und Anwendungen, cloudbasierten Ressourcen oder anderen Vektoren ausgehen. Warum sind Exposure Management und Risikobereitschaft so eng miteinander verknüpft?

  • Bewertung des Exposures anhand akzeptabler Risikowerte: Das Exposure-Management umfasst die Quantifizierung der mit verschiedenen Exposures verbundenen Risikowerte. Durch die Definition akzeptabler Risiken können Unternehmen die möglichen Auswirkungen verschiedener Risiken mit ihrer Risikobereitschaft vergleichen.
  • Risikobasierter Einsatz von Ressourcen: Unternehmen müssen priorisieren, welche Risiken die größte Gefahr für ihre Strategien darstellen – eine Einschätzung, die sie nur mit einem klaren Verständnis ihrer Risikobereitschaft treffen können. Durch diese Priorisierung können sie ihre Ressourcen auf die Minderung der kritischsten Risiken konzentrieren, häufig mithilfe eines fortschrittlichen RBVM-Tools.
  • Risikobereitschaft anpassen: Wenn sich das Geschäftsumfeld verändert oder neue Risiken auftreten, muss die Risikobereitschaft möglicherweise angepasst werden. Die Daten und Erkenntnisse, die Unternehmen im Rahmen ihres Risikomanagements gewinnen, helfen ihnen, fundierte Entscheidungen über solche Anpassungen zu treffen.
  • Compliance sicherstellen: In vielen Branchen gelten regulatorische Anforderungen zum Risikomanagement, die sich wiederum auf die Risikobereitschaft eines Unternehmens auswirken. Das Risikomanagement umfasst die Identifizierung und Bewältigung von Risiken, die zu Verstößen führen könnten.

Mehr zum Thema: Ivanti-Forschungsreport: Attack Surface Management – ASM

Betrachtung von Sicherheitsrisiken aus der Perspektive des Exposure Managements

Ein wesentlicher Unterschied zwischen dem Exposure Management und anderen Sicherheitsmaßnahmen besteht darin, dass das Exposure Management nicht nur die Priorisierung der Risiken umfasst, die das größte Risiko für das Unternehmen darstellen, sondern auch die aktive Definition der Risiken, die innerhalb der Risikotoleranz eines Unternehmens liegen. Beispielsweise könnte ein E-Commerce-Unternehmen bereit sein, erhöhte Sicherheitsrisiken in Kauf zu nehmen, um seine Website am Black Friday funktionsfähig zu halten – dieser Kompromiss lohnt sich für das Unternehmen.

Anstatt jedes potenzielle Risiko als Krise zu betrachten, die sofort behoben werden muss, sollten Unternehmen diese Risiken anhand der geschäftlichen Anforderungen priorisieren. In diesem Rahmen ist Risiko nicht per se negativ – entscheidend ist, wie man darauf reagiert, es steuert und eindämmt, um es auf ein vertretbares Maß zu bringen.