Cyber-Risikomanagement in das ERM (Enterprise Risk Management) integrieren

Die Entwicklung des ERM und seine Konvergenz mit dem Cyber-Risikomanagement

Die Ursprünge und das Konzept des integrierten Managements

Das Konzept des integrierten Risikomanagements begann in den frühen 1990er Jahren Gestalt anzunehmen. James Lam, weithin als erster Chief Risk Officer (CRO) und ERM-Pioneer anerkannt, führte die Idee des „unternehmensweiten Risikomanagements" ein. Seine Vision entstand aus der Erkenntnis, dass das Management von Risiken in isolierten Silos – Kredit-, Markt- und operationelle Risiken – ineffizient und oft irreführend war. Er plädierte stattdessen für einen ganzheitlichen Ansatz, bei dem Risiken integriert verwaltet werden, unter Verwendung von Werkzeugen wie ökonomischem Kapital, um Wechselwirkungen konsistent im gesamten Unternehmen zu behandeln. Dies legte den Grundstein für das, was wir heute als Enterprise Risk Management (ERM) bezeichnen.

Formalisierung und industrielle Standardisierung des Risikomanagements

Lams 2003 veröffentlichtes Buch Enterprise Risk Management: From Incentives to Controls wurde zu einem Eckpfeiler in der Formalisierung des unternehmensweiten Risikomanagements. Darin prognostizierte Lam mehrere Schlüsseltrends, die sich seitdem materialisiert haben:

• ERM als Industriestandard: Heute haben die meisten großen börsennotierten Unternehmen mit Umsätzen über 1 Milliarde Dollar ERM-Programme implementiert.
• Der Aufstieg der CRO-Rolle: Alle Branchen haben die Rolle des Chief Risk Officer übernommen, nicht nur Finanzinstitutionen.
• Die Institutionalisierung der Risikoausbildung: Risikomanagement ist heute Teil der Unternehmensschulungsprogramme und entwickelt Bewusstsein und Expertise in der gesamten Organisation.

Verstärkte Aufmerksamkeit der Aufsichtsräte und erweiterter Anwendungsbereich

In den letzten zwei Jahrzehnten haben Aufsichtsräte einen grundlegenden Wandel in ihrer Herangehensweise an die Risikoaufsicht erlebt. Einst nachrangig behandelt, stehen Risikodiskussionen nun im Mittelpunkt. Verwaltungsratsmitglieder betrachten ERM zunehmend als wesentlichen Mechanismus zur Beeinflussung strategischer Entscheidungsfindung und zum Schutz der langfristigen Wertschöpfung. Der Anwendungsbereich des ERM hat sich ebenfalls erheblich erweitert und umfasst nun Governance und Aufsicht auf Vorstandsebene, strategische Risiken, Cybersicherheit sowie disruptive und existenzielle Risiken.

Risiko als Spektrum von Möglichkeiten verstehen

Risiko lässt sich am besten nicht als einzelnes Ergebnis, sondern als Spektrum potenzieller Ergebnisse verstehen, jedes mit seiner eigenen Wahrscheinlichkeit und Auswirkung. Diese Perspektive spiegelt die FAIR-Methodik wider, bei der Risiko als wahrscheinliche Häufigkeit und Amplitude zukünftiger Verluste definiert wird. In diesem Sinne ist das Ziel des Risikomanagements nicht die Eliminierung von Risiken, sondern die Reduzierung von Unsicherheit und die Ermöglichung besserer Entscheidungsfindung.

Schlüsselprinzipien

• Risikobereitschaft ist wesentlich: Jedes Unternehmen muss Risiken eingehen, um zu überleben und zu wachsen. Die Frage ist nicht ob, sondern welche Risiken und in welchem Ausmaß.
• Ausgewogene Sicht auf Chancen und Bedrohungen: Während Risiken Verluste verursachen können, sind sie auch eine Quelle von Innovation, Wachstum und Wettbewerbsvorteilen.
• Fokus auf Variabilität, nicht auf Absolute: Die Messung und Verwaltung der Ergebnisverteilung – insbesondere unerwarteter extremer Risiken – schafft Stabilität und unterstützt die langfristige Wertschöpfung.

Die vernetzte Natur von Risiken

Cyber-, operative, finanzielle, Compliance- und rechtliche Risiken sind tief miteinander verflochten, und ihre Behandlung in Silos setzt Organisationen unnötigen Gefahren aus. Ein moderner ERM-Ansatz verdeutlicht, wie diese Risikokategorien konvergieren und warum Aufsichtsräte sie gemeinsam behandeln müssen.

Warum Wechselwirkungen wichtig sind

Es ist nicht mehr sinnvoll, Cybersicherheit getrennt von anderen Unternehmensrisiken zu managen. Wechselwirkungen sind allgegenwärtig:

• Operative Störungen: Ein Cyber-Vorfall kann kritische Systeme und Lieferketten beeinträchtigen und das Kundenvertrauen beschädigen.
• Finanzielle Auswirkungen: Verletzungen oder Compliance-Verstöße schlagen sich direkt in finanziellen Kosten nieder: regulatorische Bußgelder, Rechtsstreitigkeiten, Aktienkursvolatilität oder Umsatzverluste.
• Reputationsschäden: Kunden, Partner und Regulierungsbehörden nehmen Versagen ganzheitlich wahr. Selbst wenn die Ursache technischer Natur ist, wird es als Governance- und Kulturversagen interpretiert.
• Rechtliche und Compliance-Exposition: Ein Cyber-Vorfall kann sich schnell ausweiten und regulatorische Meldepflichten auslösen.
• Strategische Abwägungen: Entscheidungen in einem Bereich können bestimmte operative Kosten senken und gleichzeitig neue Cyber-Abhängigkeiten und Drittparteirisiken einführen.

Ineffizienzen und blinde Flecken

Wenn Cyber-Risiken in Silos ohne Berücksichtigung anderer Unternehmensrisiken gemanagt werden, entstehen unweigerlich Ineffizienzen und blinde Flecken. Redundante Kontrollen können beispielsweise zu Ressourcenverschwendung führen, während mangelnde Kohärenz zwischen Cyber- und operativer Planung Organisationen unzureichend vorbereitet lassen kann.

ERM und Cyber: das Argument für Quantifizierung

Enterprise Risk Management hat sich stets auf Quantifizierung gestützt, um Risikoentscheidungen im gesamten Unternehmen konsistent zu machen. In vielen großen Organisationen wird Cyber noch immer mit Heatmaps oder Checklisten gemanagt, die nur dazu dienen, Compliance-Kästchen anzukreuzen. Sie wirken in einem Bericht klar, liefern aber keine Grundlage für fundierte Entscheidungen. Sie ermöglichen weder den Ergebnisvergleich auf Unternehmensebene noch die Bestimmung von Handlungsprioritäten.

Cyber Risk Quantification

Cyber Risk Quantification (CRQ) und der Open-FAIR-Standard modellieren und messen Cyber- und Technologierisiken in finanziellen Begriffen, unter Verwendung derselben Art von Wahrscheinlichkeitsverteilungen, die auf Markt-, Kredit- und operationelle Risiken angewendet werden. CRQ übersetzt Unsicherheit in eine Sprache, die Führungskräfte bereits verstehen. Dies macht Cyber-Risiken innerhalb des ERM direkt vergleichbar und ermöglicht konsistentere Entscheidungen über Investitionen, Priorisierung und Risikoappetit.

Warum Quantifizierung wichtig ist:

• Integration: Cyber kann neben finanziellen, operativen und strategischen Risiken in denselben Begriffen bewertet werden
• Entscheidungsfindung: KRIs und KPIs leiten Investitions-, Versicherungs- und Risikoappetit-Entscheidungen
• Wertschöpfung: Daten- und risikobasierte Analysen ermöglichen es Organisationen, digitale Chancen zu nutzen – vorausgesetzt, die erwartete Rendite kompensiert das Risikoniveau

Durch die Integration von Cyber-Risiken in das ERM vollziehen Organisationen den Übergang von subjektiven Urteilen zu einer datengesteuerten Strategie. Diese Integration ermöglicht es Führungskräften, Abwägungen mit Zuversicht zu treffen und sicherzustellen, dass Cyber-Risiken nicht nur gemanagt, sondern zur Wertschöpfung genutzt werden.

Methodologische Ausrichtung und gemeinsame Rahmenwerke

Eines der größten Hindernisse bei der Integration von Cyber in das ERM ist die Fragmentierung der Methoden. Teams verwenden oft unterschiedliche Rahmenwerke, Terminologien und Reporting-Formate, was zu Duplikaten, Fehlinterpretationen oder blinden Flecken führen kann. Um dies zu überwinden, müssen Organisationen Cyber-Risiken mit derselben Sprache, denselben Kennzahlen und demselben Governance-Zyklus wie andere Unternehmensrisiken messen und managen.

Cybersicherheits-Rahmenwerke

Cybersicherheit verfügt über ein reiches Ökosystem von Rahmenwerken, jedes mit einem anderen Zweck. NIST CSF und ISO/IEC 27005 werden von CIOs und CISOs als operative Leitfäden genutzt – sie sind für Praktiker unverzichtbar, beantworten aber nicht die Frage, die Aufsichtsräte und Führungskräfte am meisten beschäftigt: Wie hoch ist unser Risikoniveau, und was bedeutet das in geschäftlichen Begriffen? Genau hier liefert FAIR kritischen Mehrwert. FAIR ergänzt operative Rahmenwerke, indem es Cyber-Exposition in finanzielle Begriffe übersetzt und sich mit Standards wie NIST CSF und ISO 27005 abstimmt.

Auf Unternehmensebene definieren ISO 31000 und COSO ERM die Governance-Strukturen, in die alle Risikokategorien eingebettet sein müssen. Einmal harmonisiert, funktionieren diese Rahmenwerke zusammen: NIST CSF / ISO 27005 für das operative Cybersicherheits-Risikomanagement, FAIR für die analytische Quantifizierung in finanziellen Begriffen, und ISO 31000 / COSO ERM für unternehmensweite Governance und strategische Integration.

Gemeinsame Werkzeuge für das Cyber-Risikomanagement

Ebenso wichtig ist der Einsatz gemeinsamer Werkzeuge: eine einheitliche Cyber-Risikomanagement-Plattform zur Unterstützung des Third-Party-Risikomanagements, gemeinsame Kennzahlen und Rahmenwerke zur Eliminierung von Duplikaten sowie konsolidierte Dashboards, die Cyber-Risiken in die gesamte ERM-Ansicht integrieren.

Praktische Schritte zur Integration von Cyber-Risiken

Der Weg von isolierter Cybersicherheit zu integriertem Cyber-Wert vollzieht sich nicht über Nacht. Organisationen, die Cyber-Risiken erfolgreich in ihre ERM-Programme integrieren, folgen in der Regel einem bewussten Pfad:

• Mit der Führungsausrichtung beginnen: Die Integration beginnt an der Spitze. Führungskräfte und Verwaltungsratsmitglieder müssen ein gemeinsames Verständnis von Cyber-Risiken als Bestandteil der Unternehmensstrategie teilen – jenseits alarmistischer Hacker-Narrative hin zu Diskussionen über Risikotoleranz, Investitionsabwägungen und Wertschöpfung.
• Quantifizierungskapazitäten entwickeln: Was nicht in geschäftlichen Begriffen gemessen werden kann, kann nicht effektiv gemanagt werden. Dies erfordert Investitionen in Werkzeuge, aber auch in Menschen: Risikofachleute müssen quantitative Methoden auf Cyber-Szenarien anwenden lernen, während Cybersicherheitsteams ihre Expertise in der Risikomodellierung ausbauen.
• Einen regelmäßigen Reporting-Rhythmus etablieren: Cyber-Risiken müssen denselben Rhythmus und dieselbe Struktur wie andere Unternehmensrisiken befolgen – durch periodische Vorstandsberichte auf Basis konsistenter Kennzahlen und explizite Ausrichtung an den Risikoappetit-Erklärungen des Unternehmens.
• Mitarbeitende schulen, ihre Rolle zu erkennen: Integration beruht letztlich auf allen Mitarbeitenden, deren tägliche Entscheidungen und strategische Initiativen die Cyber-Posture der Organisation direkt beeinflussen. Schulungen müssen helfen zu verstehen, wie ihre Handlungen sowohl Risiken als auch die Wertschöpfung beeinflussen. Indem dieses Bewusstsein in die Unternehmenskultur eingebettet wird, wird Cyber-Risikomanagement zu einer gemeinsamen Verantwortung.

Von Cybersicherheit zum Cyber-Wert: eine schrittweise Entwicklung

Der Übergang von Cybersicherheit zum Cyber-Risiko und dann zum Cyber-Wert veranschaulicht die natürliche Entwicklung der Art und Weise, wie Organisationen digitale Risiken begreifen. Anstatt Cyber-Exposition als etwas zu behandeln, das um jeden Preis vermieden werden muss, beginnen Führungskräfte, sie als strategischen Faktor zu betrachten, der gemessen, gemanagt und gegen Chancen abgewogen werden kann. Durch die Anwendung datenbasierter Methoden zur Reduzierung von Unsicherheit erhalten Unternehmen eine klarere Sicht auf Abwägungen, stärken ihre Resilienz und treffen besser informierte Entscheidungen, die sowohl Schutz als auch Wachstum unterstützen.

Konkrete Vorteile der ERM-Integration

Wenn Cyber-Risiken Teil des ERM-Rahmens werden, entstehen konkrete Vorteile:

• Ressourcenoptimierung: Organisationen können Sicherheitsinvestitionen basierend auf tatsächlicher Risikoreduktion zuweisen.
• Verbesserte Entscheidungsfindung: Diskussionen auf Vorstands- und Führungsebene verlagern sich von technischen Schwachstellen hin zu geschäftlichen Auswirkungen.
• Operative Effizienz: Gemeinsame Rahmenwerke und geteilte Kennzahlen eliminieren doppelte Bewertungen und widersprüchliche Risikobewertungen.

Auf dem Weg zu einer einheitlichen Risikovision

Es gibt keine einheitliche Reifegradindikatorschwelle, ab der die Integration von Cyber-Risiken in das Enterprise Risk Management beginnen sollte. Organisationen, die bereits über ERM-Programme verfügen, können ihre Governance-Strukturen und Risikoappetit-Rahmenwerke erweitern, um Cyber als eigenständige Kategorie einzubeziehen. Diejenigen, die sich in einem früheren Stadium befinden, können Cyber-Risiken als Ausgangspunkt nutzen, um umfassendere Risikomanagementprozesse zu formalisieren – angesichts ihrer offensichtlichen geschäftlichen Auswirkungen und der Aufmerksamkeit, die sie auf Vorstandsebene erhalten. Ebenso können Unternehmen mit fortgeschrittenen Cybersicherheitsfunktionen, aber begrenzter ERM-Integration, die Konvergenz einleiten, indem sie technische Kennzahlen in geschäftliche Indikatoren übersetzen – etwa indem sie die Patching-Leistung in Begriffen finanzieller Exposition ausdrücken.

Integration ist wirksam, wenn sie schrittweise erfolgt. Ein Pilotprojekt, das sich auf die Quantifizierung eines einzigen Cyber-Szenarios konzentriert, ein auf eine Geschäftseinheit begrenzter Proof of Concept oder die Ausrichtung des Third-Party-Risikos zwischen Cyber- und operativen Funktionen können den konkreten Wert der Integration von Cyber in das ERM-Ökosystem demonstrieren.

Weit verbreitete Rahmenwerke unterstützen diesen Prozess: FAIR für die Quantifizierung, NIST für das operative Management und ISO 31000 oder COSO für die Unternehmensgovernance. Diese Werkzeuge sind darauf ausgelegt, sich schrittweise zu ergänzen und zu integrieren, anstatt gleichzeitig eingesetzt zu werden. Das Ergebnis ist eine kohärentere und vergleichbarere Risikovision über verschiedene Kategorien hinweg – für ein klareres Reporting und besser informierte Entscheidungen.