Der Cyber-Sicherheits-Check<\/strong><\/h2>\nDas zweite Dilemma ist ein klassisches Informationsgef\u00e4lle zwischen denen, die zun\u00e4chst nur eine diffuse Vorstellung von der eigenen Gef\u00e4hrdung haben (zum Beispiel die Unternehmensleitung, die sich nicht detailliert mit der IT auseinandersetzt) und den Fachkundigen (zum Beispiel die IT-Abteilung), die Schwachstellen im Unternehmen benennen k\u00f6nnen. Dieses Gef\u00e4lle auszugleichen bedeutet \u00dcberzeugungsarbeit: sich Geh\u00f6r verschaffen, informieren, appellieren. Zu verstehen, wor\u00fcber man gemeinsam redet, ist die halbe Miete \u2013 aber eben nur die halbe Miete. Entscheidend ist, wie die Verantwortlichen im Unternehmen die Bedrohungslage, den Schutzbedarf und die notwendigen Schutzma\u00dfnahmen bewerten. Dazu wird man sich auch fragen m\u00fcssen, wie anf\u00e4llig ein Unternehmen f\u00fcr Cyber-Kriminelle ist. Mit welchen Cyber-Kriminellen werden wir es zu tun haben? Angreifer, die fl\u00e4chendeckend Schwachstellen von beliebigen Unternehmen ausnutzen oder sind vielmehr gezielte, langfristig und sorgf\u00e4ltig vorbereitete Eindringungsversuche in unsere Systeme wahrscheinlich \u2013 weil gerade wir f\u00fcr bestimmte T\u00e4tergruppen attraktiv sind? Auf welche Informationen, Daten, Prozesse und welches Know-how k\u00f6nnten es Cyber-Kriminelle abgesehen haben? Welcher Schaden droht zu entstehen: Datenverlust? Eine Betriebsunterbrechung? Haftungs- und Schadensersatzanspr\u00fcche Dritter? Sind wir angemessen darauf vorbereitet? Die Antwort auf diese Fragen lassen unterschiedliche subjektive Sichten auf das Risiko vermuten. Der Cyber-Sicherheits-Check<\/a> hilft, dieses Dilemma aufzul\u00f6sen. Sobald die Unternehmensleitung entscheidet, diese und weitere Fragen mit verschiedenen Ansprechpartnern im Unternehmen zu er\u00f6rtern, gewinnen alle Beteiligten an \u00dcbersicht und Einsicht in das, was zu tun ist. Oft kann eine Kickoff-Veranstaltung<\/a> dabei helfen, bereits in der Startphase das Informationsgef\u00e4lle zwischen Entscheidern und Fachkundigen zu verkleinern. Indem firmenintern das Vorgehen, die Bewertung und m\u00f6gliche Ma\u00dfnahmen zur Bek\u00e4mpfung der Top-Ten-Cyberrisiken im Unternehmen besprochen werden, wird der Cyber-Sicherheits-Check zu einem gemeinsamen Anliegen und Auftrag.<\/p>\nMa\u00dfnahmen gegen Cybercrime<\/strong><\/h2>\nDas dritte Szenario ist ein Entscheidungsdilemma. Wollen wir alles Notwendige<\/a> gegen Cyber-Kriminalit\u00e4t umsetzen? Oder beschr\u00e4nken wir uns auf ein \u201eweniger als notwendig\u201c? Die zutreffende Entscheidung hat immer einen Preis: Den der einzuleitenden Ma\u00dfnahmen oder den des eintretenden Risikos. Das Problem an diesem Szenario ist, dass Entscheider ihm gerne entfliehen wollen. Getreu dem Motto \u201ewas ich nicht wei\u00df, macht mich nicht hei\u00df\u201c k\u00f6nnte die Gesch\u00e4ftsleitung hoffen, dass sie f\u00fcr aus Cyberrisiken entstehenden Verm\u00f6genssch\u00e4den des Unternehmens oder gegen\u00fcber kompromittierten Vertragskunden und -partnern nicht haftbar gemacht werden kann. Die knifflige Kosten-Nutzen-Frage wird sich auch dadurch nicht l\u00f6sen lassen, dass sogenannte Cyber-Policen Versicherungsschutz bieten. Im Gegenteil: Die Versicherungsgesellschaften setzen zwingend voraus, dass das Unternehmen bereits alles Notwendige bei der Risikoermittlung, Risikobewertung und Risikopr\u00e4vention unternommen hat. Dar\u00fcber hinaus betreibt die Versicherungswirtschaft das Cyber-Versicherungsgesch\u00e4ft<\/a> zur\u00fcckhaltend. Zu komplex seien die Cyber-Gefahren. Dem k\u00f6nnen Gesch\u00e4ftsleitung und Verantwortliche im Bereich IT-Sicherheit nur zustimmen.<\/p>\nRisikowahrnehmung und Risikokommunikation<\/strong><\/h2>\nDas vierte Dilemma bietet paradoxerweise eine L\u00f6sung der zuvor geschilderten Szenarien: Das Dilemma der Risikowahrnehmung<\/a>. Was nehmen wir als Risiko wahr? Die Antwort lautet: das, was wir als Risiko erwarten. Und unsere Erwartungen leiten wir daraus ab, wie wir unser Risikomodell konstruieren. Dazu filtern wir relevante aus nicht-relevanten Einflussfaktoren heraus. Schlie\u00dflich liegt der Nutzen von Risikomodellen in der Komplexit\u00e4tsreduktion, damit wir die Wirkungszusammenh\u00e4nge und Auswirkungen besser erfassen und managen k\u00f6nnen. Das Problem der Komplexit\u00e4tsreduktion ist nicht etwa das Ausschlie\u00dfen von Faktoren, sondern in der subjektiven Entscheidung dar\u00fcber,
\nwas ausgeschlossen werden soll. Auch wenn der Leser Widerspruch anmeldet, so m\u00fcssen wir zur Kenntnis nehmen, dass selbst eine sogenannte \u201eobjektive\u201c Entscheidung tats\u00e4chlich eine inter-subjektiv-nachpr\u00fcfbare Verst\u00e4ndigung dar\u00fcber ist, was nun gelten soll. Mit unserer Risikoentscheidung sind untrennbar das Rest-Risiko oder die blinden Flecken verbunden. Und wo ist nun die versprochene L\u00f6sung des Dilemmas? Die L\u00f6sung lautet: Risikokommunikation! Alle vier bisherigen Szenarien (Unwissen\/Wissen; Informationsgef\u00e4lle; Preis der Entscheidung und Risikowahrnehmung) k\u00f6nnen durch Risikokommunikation aufgel\u00f6st werden. Petra Haferkorn, die Risikomodelle der Versicherungswirtschaft f\u00fcr die BaFin<\/a> pr\u00fcft, arbeitet in ihrem Beitrag \u201eRisk communication from an audit team to the client\u201c1)<\/sup> das Problem objektiver Entscheidungen klar heraus:<\/p>\n![\"2017](\"https:\/\/blog.frankfurt-school.de\/wp-content\/uploads\/2023\/10\/2017-07_FS-Blog_Cybersecurity_Nilles-GA_Risk_Communication-460x343-1.jpg\")
<\/p>\n
Risikowahrnehmung, -bewertung und -entscheidung m\u00fcssen als dynamischer Lernprozess aufgefasst werden. Die Probleme verschwinden dadurch nicht einfach, aber sie l\u00f6sen sich nach und nach auf. Das Konzept des Cyber Security Practitioners<\/a> vertraut auf diesen Lernprozess. Beginnend mit der Unternehmensleitung starten die internen Sicherheitsmanager ein Audit, das immer auf Augenh\u00f6he mit allen internen Ansprechpartnern gef\u00fchrt wird. Anschlie\u00dfend werden die Audit-Ergebnisse an die betroffenen Unternehmensbereiche und der Unternehmensleitung zur\u00fcck gespielt. Wird dieses Vorgehen regelm\u00e4\u00dfig wiederholt, verst\u00e4ndigen sich die Beteiligten immer mehr dar\u00fcber, welches Risiko sie wahrnehmen und wie sie es wirksam begrenzen wollen. Dabei entsteht \u2013 quasi nebenbei \u2013 eine Kultur der Risikokommunikation, in der man sicher Geglaubtes laufend hinterfragt und den Status Quo auf blinde Flecken \u00fcberpr\u00fcft.<\/p>\nWer sich theoretisch und intensiv mit Risikokommunikation besch\u00e4ftigen m\u00f6chte, dem sei das Buch \u201eDie Politik der Krise \u2013 Soziologische Analysen zur Finanzkrise und ihre Konsequenzen\u201c von Marco J\u00f6stingmeier<\/a> sehr empfohlen. Schlie\u00dflich gilt f\u00fcr Cyberrisiken vergleichbares wie f\u00fcr Finanzrisiken: In dynamischen Situationen sind Checklisten, Kontrollen und Regularien nur eingeschr\u00e4nkt hilfreich. Es sei denn, man misstraut ihrem umfassenden G\u00fcltigkeitsanspruch!<\/p>\n <\/p>\n
1)<\/sup> Petra Haferkorn, „Risk communication from an audit team to the client\u201c. <\/em>In: Tagungsband des NetWork Workshops 2016 der Fondation pour une culture de s\u00e9curit\u00e9 industrielle (FONCSI) \u201eRisk communication in and for the real world- From persuasion to co-construction: reaching beyond an absolute trust in an absolute truth.\u201c der \u201eNavigating Industrial Safety Springer Briefs series\u201c.<\/em><\/p>\nAlle Blogs des Autors zu Themen wie Cybercrime, Compliance, Security und Wirtschaftskriminalit\u00e4t finden Sie hier<\/a>.<\/p>\nBleiben Sie up to date! Abonnieren Sie unseren Newsletter <\/a>oder informieren Sie sich \u00fcber unsere Themen<\/a>.
\n<\/em><\/p>","protected":false},"excerpt":{"rendered":"Der Begriff Cybercrime taucht regelm\u00e4\u00dfig in den Nachrichten auf. Und trotzdem k\u00f6nnen die wenigsten konkret benennen, was tats\u00e4chlich darunter zu verstehen ist. Hier haben sich\u00a0vier Szenarien herausgebildet. Jedes kann als Dilemma gewertet \u2013 aber auch nachhaltig gel\u00f6st werden. Die Antworten fallen h\u00f6chst unterschiedlich aus, wenn man im eigenen Unternehmen abteilungs-, funktions- und hierarchie\u00fcbergreifend nach dem […]<\/p>\n","protected":false},"author":39,"featured_media":13375,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[51],"tags":[193,726,179],"class_list":["post-8008","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-executive-education","tag-audit","tag-cybersecurity","tag-wirtschaftskriminalitaet"],"acf":[],"_links":{"self":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/users\/39"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/comments?post=8008"}],"version-history":[{"count":6,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008\/revisions"}],"predecessor-version":[{"id":35029,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008\/revisions\/35029"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media\/13375"}],"wp:attachment":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media?parent=8008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/categories?post=8008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/tags?post=8008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Ma\u00dfnahmen gegen Cybercrime<\/strong><\/h2>\nDas dritte Szenario ist ein Entscheidungsdilemma. Wollen wir alles Notwendige<\/a> gegen Cyber-Kriminalit\u00e4t umsetzen? Oder beschr\u00e4nken wir uns auf ein \u201eweniger als notwendig\u201c? Die zutreffende Entscheidung hat immer einen Preis: Den der einzuleitenden Ma\u00dfnahmen oder den des eintretenden Risikos. Das Problem an diesem Szenario ist, dass Entscheider ihm gerne entfliehen wollen. Getreu dem Motto \u201ewas ich nicht wei\u00df, macht mich nicht hei\u00df\u201c k\u00f6nnte die Gesch\u00e4ftsleitung hoffen, dass sie f\u00fcr aus Cyberrisiken entstehenden Verm\u00f6genssch\u00e4den des Unternehmens oder gegen\u00fcber kompromittierten Vertragskunden und -partnern nicht haftbar gemacht werden kann. Die knifflige Kosten-Nutzen-Frage wird sich auch dadurch nicht l\u00f6sen lassen, dass sogenannte Cyber-Policen Versicherungsschutz bieten. Im Gegenteil: Die Versicherungsgesellschaften setzen zwingend voraus, dass das Unternehmen bereits alles Notwendige bei der Risikoermittlung, Risikobewertung und Risikopr\u00e4vention unternommen hat. Dar\u00fcber hinaus betreibt die Versicherungswirtschaft das Cyber-Versicherungsgesch\u00e4ft<\/a> zur\u00fcckhaltend. Zu komplex seien die Cyber-Gefahren. Dem k\u00f6nnen Gesch\u00e4ftsleitung und Verantwortliche im Bereich IT-Sicherheit nur zustimmen.<\/p>\nRisikowahrnehmung und Risikokommunikation<\/strong><\/h2>\nDas vierte Dilemma bietet paradoxerweise eine L\u00f6sung der zuvor geschilderten Szenarien: Das Dilemma der Risikowahrnehmung<\/a>. Was nehmen wir als Risiko wahr? Die Antwort lautet: das, was wir als Risiko erwarten. Und unsere Erwartungen leiten wir daraus ab, wie wir unser Risikomodell konstruieren. Dazu filtern wir relevante aus nicht-relevanten Einflussfaktoren heraus. Schlie\u00dflich liegt der Nutzen von Risikomodellen in der Komplexit\u00e4tsreduktion, damit wir die Wirkungszusammenh\u00e4nge und Auswirkungen besser erfassen und managen k\u00f6nnen. Das Problem der Komplexit\u00e4tsreduktion ist nicht etwa das Ausschlie\u00dfen von Faktoren, sondern in der subjektiven Entscheidung dar\u00fcber,
\nwas ausgeschlossen werden soll. Auch wenn der Leser Widerspruch anmeldet, so m\u00fcssen wir zur Kenntnis nehmen, dass selbst eine sogenannte \u201eobjektive\u201c Entscheidung tats\u00e4chlich eine inter-subjektiv-nachpr\u00fcfbare Verst\u00e4ndigung dar\u00fcber ist, was nun gelten soll. Mit unserer Risikoentscheidung sind untrennbar das Rest-Risiko oder die blinden Flecken verbunden. Und wo ist nun die versprochene L\u00f6sung des Dilemmas? Die L\u00f6sung lautet: Risikokommunikation! Alle vier bisherigen Szenarien (Unwissen\/Wissen; Informationsgef\u00e4lle; Preis der Entscheidung und Risikowahrnehmung) k\u00f6nnen durch Risikokommunikation aufgel\u00f6st werden. Petra Haferkorn, die Risikomodelle der Versicherungswirtschaft f\u00fcr die BaFin<\/a> pr\u00fcft, arbeitet in ihrem Beitrag \u201eRisk communication from an audit team to the client\u201c1)<\/sup> das Problem objektiver Entscheidungen klar heraus:<\/p>\n<\/p>\n
Risikowahrnehmung, -bewertung und -entscheidung m\u00fcssen als dynamischer Lernprozess aufgefasst werden. Die Probleme verschwinden dadurch nicht einfach, aber sie l\u00f6sen sich nach und nach auf. Das Konzept des Cyber Security Practitioners<\/a> vertraut auf diesen Lernprozess. Beginnend mit der Unternehmensleitung starten die internen Sicherheitsmanager ein Audit, das immer auf Augenh\u00f6he mit allen internen Ansprechpartnern gef\u00fchrt wird. Anschlie\u00dfend werden die Audit-Ergebnisse an die betroffenen Unternehmensbereiche und der Unternehmensleitung zur\u00fcck gespielt. Wird dieses Vorgehen regelm\u00e4\u00dfig wiederholt, verst\u00e4ndigen sich die Beteiligten immer mehr dar\u00fcber, welches Risiko sie wahrnehmen und wie sie es wirksam begrenzen wollen. Dabei entsteht \u2013 quasi nebenbei \u2013 eine Kultur der Risikokommunikation, in der man sicher Geglaubtes laufend hinterfragt und den Status Quo auf blinde Flecken \u00fcberpr\u00fcft.<\/p>\nWer sich theoretisch und intensiv mit Risikokommunikation besch\u00e4ftigen m\u00f6chte, dem sei das Buch \u201eDie Politik der Krise \u2013 Soziologische Analysen zur Finanzkrise und ihre Konsequenzen\u201c von Marco J\u00f6stingmeier<\/a> sehr empfohlen. Schlie\u00dflich gilt f\u00fcr Cyberrisiken vergleichbares wie f\u00fcr Finanzrisiken: In dynamischen Situationen sind Checklisten, Kontrollen und Regularien nur eingeschr\u00e4nkt hilfreich. Es sei denn, man misstraut ihrem umfassenden G\u00fcltigkeitsanspruch!<\/p>\n <\/p>\n
1)<\/sup> Petra Haferkorn, „Risk communication from an audit team to the client\u201c. <\/em>In: Tagungsband des NetWork Workshops 2016 der Fondation pour une culture de s\u00e9curit\u00e9 industrielle (FONCSI) \u201eRisk communication in and for the real world- From persuasion to co-construction: reaching beyond an absolute trust in an absolute truth.\u201c der \u201eNavigating Industrial Safety Springer Briefs series\u201c.<\/em><\/p>\nAlle Blogs des Autors zu Themen wie Cybercrime, Compliance, Security und Wirtschaftskriminalit\u00e4t finden Sie hier<\/a>.<\/p>\nBleiben Sie up to date! Abonnieren Sie unseren Newsletter <\/a>oder informieren Sie sich \u00fcber unsere Themen<\/a>.
\n<\/em><\/p>","protected":false},"excerpt":{"rendered":"Der Begriff Cybercrime taucht regelm\u00e4\u00dfig in den Nachrichten auf. Und trotzdem k\u00f6nnen die wenigsten konkret benennen, was tats\u00e4chlich darunter zu verstehen ist. Hier haben sich\u00a0vier Szenarien herausgebildet. Jedes kann als Dilemma gewertet \u2013 aber auch nachhaltig gel\u00f6st werden. Die Antworten fallen h\u00f6chst unterschiedlich aus, wenn man im eigenen Unternehmen abteilungs-, funktions- und hierarchie\u00fcbergreifend nach dem […]<\/p>\n","protected":false},"author":39,"featured_media":13375,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[51],"tags":[193,726,179],"class_list":["post-8008","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-executive-education","tag-audit","tag-cybersecurity","tag-wirtschaftskriminalitaet"],"acf":[],"_links":{"self":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/users\/39"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/comments?post=8008"}],"version-history":[{"count":6,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008\/revisions"}],"predecessor-version":[{"id":35029,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008\/revisions\/35029"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media\/13375"}],"wp:attachment":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media?parent=8008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/categories?post=8008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/tags?post=8008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Risikowahrnehmung und Risikokommunikation<\/strong><\/h2>\nDas vierte Dilemma bietet paradoxerweise eine L\u00f6sung der zuvor geschilderten Szenarien: Das Dilemma der Risikowahrnehmung<\/a>. Was nehmen wir als Risiko wahr? Die Antwort lautet: das, was wir als Risiko erwarten. Und unsere Erwartungen leiten wir daraus ab, wie wir unser Risikomodell konstruieren. Dazu filtern wir relevante aus nicht-relevanten Einflussfaktoren heraus. Schlie\u00dflich liegt der Nutzen von Risikomodellen in der Komplexit\u00e4tsreduktion, damit wir die Wirkungszusammenh\u00e4nge und Auswirkungen besser erfassen und managen k\u00f6nnen. Das Problem der Komplexit\u00e4tsreduktion ist nicht etwa das Ausschlie\u00dfen von Faktoren, sondern in der subjektiven Entscheidung dar\u00fcber,
\nwas ausgeschlossen werden soll. Auch wenn der Leser Widerspruch anmeldet, so m\u00fcssen wir zur Kenntnis nehmen, dass selbst eine sogenannte \u201eobjektive\u201c Entscheidung tats\u00e4chlich eine inter-subjektiv-nachpr\u00fcfbare Verst\u00e4ndigung dar\u00fcber ist, was nun gelten soll. Mit unserer Risikoentscheidung sind untrennbar das Rest-Risiko oder die blinden Flecken verbunden. Und wo ist nun die versprochene L\u00f6sung des Dilemmas? Die L\u00f6sung lautet: Risikokommunikation! Alle vier bisherigen Szenarien (Unwissen\/Wissen; Informationsgef\u00e4lle; Preis der Entscheidung und Risikowahrnehmung) k\u00f6nnen durch Risikokommunikation aufgel\u00f6st werden. Petra Haferkorn, die Risikomodelle der Versicherungswirtschaft f\u00fcr die BaFin<\/a> pr\u00fcft, arbeitet in ihrem Beitrag \u201eRisk communication from an audit team to the client\u201c1)<\/sup> das Problem objektiver Entscheidungen klar heraus:<\/p>\n<\/p>\n
Risikowahrnehmung, -bewertung und -entscheidung m\u00fcssen als dynamischer Lernprozess aufgefasst werden. Die Probleme verschwinden dadurch nicht einfach, aber sie l\u00f6sen sich nach und nach auf. Das Konzept des Cyber Security Practitioners<\/a> vertraut auf diesen Lernprozess. Beginnend mit der Unternehmensleitung starten die internen Sicherheitsmanager ein Audit, das immer auf Augenh\u00f6he mit allen internen Ansprechpartnern gef\u00fchrt wird. Anschlie\u00dfend werden die Audit-Ergebnisse an die betroffenen Unternehmensbereiche und der Unternehmensleitung zur\u00fcck gespielt. Wird dieses Vorgehen regelm\u00e4\u00dfig wiederholt, verst\u00e4ndigen sich die Beteiligten immer mehr dar\u00fcber, welches Risiko sie wahrnehmen und wie sie es wirksam begrenzen wollen. Dabei entsteht \u2013 quasi nebenbei \u2013 eine Kultur der Risikokommunikation, in der man sicher Geglaubtes laufend hinterfragt und den Status Quo auf blinde Flecken \u00fcberpr\u00fcft.<\/p>\nWer sich theoretisch und intensiv mit Risikokommunikation besch\u00e4ftigen m\u00f6chte, dem sei das Buch \u201eDie Politik der Krise \u2013 Soziologische Analysen zur Finanzkrise und ihre Konsequenzen\u201c von Marco J\u00f6stingmeier<\/a> sehr empfohlen. Schlie\u00dflich gilt f\u00fcr Cyberrisiken vergleichbares wie f\u00fcr Finanzrisiken: In dynamischen Situationen sind Checklisten, Kontrollen und Regularien nur eingeschr\u00e4nkt hilfreich. Es sei denn, man misstraut ihrem umfassenden G\u00fcltigkeitsanspruch!<\/p>\n <\/p>\n
1)<\/sup> Petra Haferkorn, „Risk communication from an audit team to the client\u201c. <\/em>In: Tagungsband des NetWork Workshops 2016 der Fondation pour une culture de s\u00e9curit\u00e9 industrielle (FONCSI) \u201eRisk communication in and for the real world- From persuasion to co-construction: reaching beyond an absolute trust in an absolute truth.\u201c der \u201eNavigating Industrial Safety Springer Briefs series\u201c.<\/em><\/p>\nAlle Blogs des Autors zu Themen wie Cybercrime, Compliance, Security und Wirtschaftskriminalit\u00e4t finden Sie hier<\/a>.<\/p>\nBleiben Sie up to date! Abonnieren Sie unseren Newsletter <\/a>oder informieren Sie sich \u00fcber unsere Themen<\/a>.
\n<\/em><\/p>","protected":false},"excerpt":{"rendered":"Der Begriff Cybercrime taucht regelm\u00e4\u00dfig in den Nachrichten auf. Und trotzdem k\u00f6nnen die wenigsten konkret benennen, was tats\u00e4chlich darunter zu verstehen ist. Hier haben sich\u00a0vier Szenarien herausgebildet. Jedes kann als Dilemma gewertet \u2013 aber auch nachhaltig gel\u00f6st werden. Die Antworten fallen h\u00f6chst unterschiedlich aus, wenn man im eigenen Unternehmen abteilungs-, funktions- und hierarchie\u00fcbergreifend nach dem […]<\/p>\n","protected":false},"author":39,"featured_media":13375,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[51],"tags":[193,726,179],"class_list":["post-8008","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-executive-education","tag-audit","tag-cybersecurity","tag-wirtschaftskriminalitaet"],"acf":[],"_links":{"self":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/users\/39"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/comments?post=8008"}],"version-history":[{"count":6,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008\/revisions"}],"predecessor-version":[{"id":35029,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008\/revisions\/35029"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media\/13375"}],"wp:attachment":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media?parent=8008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/categories?post=8008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/tags?post=8008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nwas ausgeschlossen werden soll. Auch wenn der Leser Widerspruch anmeldet, so m\u00fcssen wir zur Kenntnis nehmen, dass selbst eine sogenannte \u201eobjektive\u201c Entscheidung tats\u00e4chlich eine inter-subjektiv-nachpr\u00fcfbare Verst\u00e4ndigung dar\u00fcber ist, was nun gelten soll. Mit unserer Risikoentscheidung sind untrennbar das Rest-Risiko oder die blinden Flecken verbunden. Und wo ist nun die versprochene L\u00f6sung des Dilemmas? Die L\u00f6sung lautet: Risikokommunikation! Alle vier bisherigen Szenarien (Unwissen\/Wissen; Informationsgef\u00e4lle; Preis der Entscheidung und Risikowahrnehmung) k\u00f6nnen durch Risikokommunikation aufgel\u00f6st werden. Petra Haferkorn, die Risikomodelle der Versicherungswirtschaft f\u00fcr die BaFin<\/a> pr\u00fcft, arbeitet in ihrem Beitrag \u201eRisk communication from an audit team to the client\u201c1)<\/sup> das Problem objektiver Entscheidungen klar heraus:<\/p>\n
<\/p>\n
Risikowahrnehmung, -bewertung und -entscheidung m\u00fcssen als dynamischer Lernprozess aufgefasst werden. Die Probleme verschwinden dadurch nicht einfach, aber sie l\u00f6sen sich nach und nach auf. Das Konzept des Cyber Security Practitioners<\/a> vertraut auf diesen Lernprozess. Beginnend mit der Unternehmensleitung starten die internen Sicherheitsmanager ein Audit, das immer auf Augenh\u00f6he mit allen internen Ansprechpartnern gef\u00fchrt wird. Anschlie\u00dfend werden die Audit-Ergebnisse an die betroffenen Unternehmensbereiche und der Unternehmensleitung zur\u00fcck gespielt. Wird dieses Vorgehen regelm\u00e4\u00dfig wiederholt, verst\u00e4ndigen sich die Beteiligten immer mehr dar\u00fcber, welches Risiko sie wahrnehmen und wie sie es wirksam begrenzen wollen. Dabei entsteht \u2013 quasi nebenbei \u2013 eine Kultur der Risikokommunikation, in der man sicher Geglaubtes laufend hinterfragt und den Status Quo auf blinde Flecken \u00fcberpr\u00fcft.<\/p>\n Wer sich theoretisch und intensiv mit Risikokommunikation besch\u00e4ftigen m\u00f6chte, dem sei das Buch \u201eDie Politik der Krise \u2013 Soziologische Analysen zur Finanzkrise und ihre Konsequenzen\u201c von Marco J\u00f6stingmeier<\/a> sehr empfohlen. Schlie\u00dflich gilt f\u00fcr Cyberrisiken vergleichbares wie f\u00fcr Finanzrisiken: In dynamischen Situationen sind Checklisten, Kontrollen und Regularien nur eingeschr\u00e4nkt hilfreich. Es sei denn, man misstraut ihrem umfassenden G\u00fcltigkeitsanspruch!<\/p>\n <\/p>\n 1)<\/sup> Petra Haferkorn, „Risk communication from an audit team to the client\u201c. <\/em>In: Tagungsband des NetWork Workshops 2016 der Fondation pour une culture de s\u00e9curit\u00e9 industrielle (FONCSI) \u201eRisk communication in and for the real world- From persuasion to co-construction: reaching beyond an absolute trust in an absolute truth.\u201c der \u201eNavigating Industrial Safety Springer Briefs series\u201c.<\/em><\/p>\n Alle Blogs des Autors zu Themen wie Cybercrime, Compliance, Security und Wirtschaftskriminalit\u00e4t finden Sie hier<\/a>.<\/p>\n Bleiben Sie up to date! Abonnieren Sie unseren Newsletter <\/a>oder informieren Sie sich \u00fcber unsere Themen<\/a>. Der Begriff Cybercrime taucht regelm\u00e4\u00dfig in den Nachrichten auf. Und trotzdem k\u00f6nnen die wenigsten konkret benennen, was tats\u00e4chlich darunter zu verstehen ist. Hier haben sich\u00a0vier Szenarien herausgebildet. Jedes kann als Dilemma gewertet \u2013 aber auch nachhaltig gel\u00f6st werden. Die Antworten fallen h\u00f6chst unterschiedlich aus, wenn man im eigenen Unternehmen abteilungs-, funktions- und hierarchie\u00fcbergreifend nach dem […]<\/p>\n","protected":false},"author":39,"featured_media":13375,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[51],"tags":[193,726,179],"class_list":["post-8008","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-executive-education","tag-audit","tag-cybersecurity","tag-wirtschaftskriminalitaet"],"acf":[],"_links":{"self":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/users\/39"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/comments?post=8008"}],"version-history":[{"count":6,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008\/revisions"}],"predecessor-version":[{"id":35029,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/8008\/revisions\/35029"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media\/13375"}],"wp:attachment":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media?parent=8008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/categories?post=8008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/tags?post=8008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n<\/em><\/p>","protected":false},"excerpt":{"rendered":"