Von der Lücke zum Millionenschaden – und wie man es verhindert
Es beginnt oft mit einer kleinen Unachtsamkeit – eine vergessene Zugriffsbeschränkung, ein schlecht dokumentierter Risikoeintrag, eine übersehene Schwachstelle. Was harmlos wirkt, kann schnell eskalieren und zu hohen finanziellen Schäden führen.
Doch nicht nur interne Risiken stellen Unternehmen vor große Herausforderungen. Auch externe Gefahren nehmen in unserer globalisierten Welt zu. Böswillige Cyberangriffe stehen mittlerweile auf der Tagesordnung, die Abhängigkeit von Technologie und Drittanbietern steigt, instabile politische Lagen führen unter anderem zu Preisinflation und Lieferkettenproblemen. Komplettiert wird all dies durch immer komplexere regulatorische Anforderungen auf nationaler und internationaler Ebene, die Unternehmen zunehmend unter Druck setzen.
Diese Negativdynamik macht es notwendig, Risikostrategien von Grund auf neu zu denken. Während Cyberangriffe, IT-Fehler oder großflächige Systemausfälle früher noch überwiegend technisches Problemverständnis erforderten, rücken diese Ereignisse heute ins Zentrum strategischer Unternehmensentscheidungen.
Damit steigt der Bedarf an einem integrierten Risiko- und Sicherheitsmanagement, das die Bereiche Enterprise Risk Management (ERM) und Information Security Management (ISM) als Einheit betrachtet und eng miteinander verzahnt. Denn eine isolierte Betrachtung birgt das Risiko, dass nicht nur der Überblick über das große Ganze schwindet, sondern auch wertvolle Zeit und Handlungsspielräume verloren gehen.
Echte Resilienz entsteht erst dort, wo Prozesse, Verantwortlichkeiten und Daten aus beiden Welten nahtlos miteinander verknüpft, koordiniert und ganzheitlich gesteuert werden. Die gute Nachricht: ERM und ISM ergänzen einander hervorragend – besonders, wenn sie auf einer gemeinsamen Plattform gedacht und umgesetzt werden.
Was steckt hinter ERM und ISM – und wo liegen die Schnittmengen?
Enterprise Risk Management dient zur ganzheitlichen Verwaltung aller wesentlichen Risiken, die den Unternehmenserfolg gefährden können. Der ERM-Prozess ist mehrstufig und lässt sich in die sechs übergeordneten Schritte unterteilen:
- Risikoidentifikation (einschließlich Kategorisierung und Festlegung von Verantwortlichkeiten)
- Risikobewertung (qualitativ mittels Heatmap und/oder quantitativ mittels Simulation)
- Risikobehandlung (Vermeidung, Minderung, Akzeptanz, Übertragung)
- Risikokommunikation (internes und externes Reporting)
- Maßnahmenüberwachung (Evaluierung der Maßnahmenwirksamkeit)
- Risikosteuerung (Kontinuierlicher Verbesserungsprozess durch Risikoüberwachung)
Die Streuung der Risiken ist dabei groß und umfasst strategische, operative, finanzielle, rechtliche oder auch externe Risiken. Damit schafft ERM ein übergeordnetes Steuerungsinstrument, das Entscheidungen absichert und die Unternehmensresilienz langfristig stärkt.
Information Security Management hingegen konzentriert sich auf die Sicherstellung der Informationssicherheit innerhalb einer Organisation. Ziel ist es, die Vertraulichkeit, Integrität und laufende Verfügbarkeit von kritischen Informationen und Assets zu schützen – insbesondere im Kontext zunehmender digitaler Prozesse und gesetzlicher Regelungen wie sie bspw. die DSGVO, NIS-2 oder DORA im EU-Raum darstellen. Zusätzlich verbessert ISM die IT-bezogenen Risikoprozesse eines Unternehmens durch klare Kontrollen und regelmäßige Sicherheitsberichte und trägt somit zur Steigerung des allgemeinen GRC-Reifegrads (Governance, Risk, Compliance) bei. Was es besonders auszeichnet: ISM schafft die Basis für offizielle Zertifizierungen wie ISO/IEC 27001, was ein wichtiges Signal für die Vertrauenswürdigkeit und Zukunftssicherheit einer jeden Organisation ist.
Der gemeinsame Nenner: Sowohl ERM als auch ISM arbeiten gefahrenbasiert, folgen klaren Prozessen zur Bewertung und Kontrolle von Risiken und basieren auf regelmäßigen Überprüfungen sowie kontinuierlicher Verbesserung. Gemeinsam schaffen sie mehr als nur Sicherheit: Sie bauen Resilienz auf. Egal, ob es sich um klassische Markt- oder Liquiditätsrisiken, rechtliche Veränderungen oder digitale Bedrohungen handelt – mit einem integrierten Blick auf unternehmerische und technologische Risiken entsteht ein umfassendes Risikobewusstsein. Ein Bewusstsein, das Organisationen nicht nur schützt, sondern auch zukunftsfähig macht.
Gängige Herausforderungen bei getrennten Systemen
Erfahrungsgemäß zeigt sich leider, dass viele Unternehmen ERM und ISM derzeit noch als voneinander unabhängige Disziplinen behandeln. In der Praxis bedeutet dies eine scharfe Trennung zwischen einem als rein technisch gesehenen ISM und einem ERM, das sich vermehrt auf strategische und operationale Risiken konzentriert. Diese Trennung mag auf den ersten Blick logisch erscheinen, führt jedoch in der Realität zu einer Reihe an unangenehmen Folgen.
- Doppelte Risikoerfassungen
Viele Risiken (besonders jene mit IT-Bezug) werden oft sowohl im ISM als auch im ERM geführt und bewertet – allerdings auf unterschiedlichen Bewertungsgrundlagen, was zu Inkonsistenzen und Mehraufwand führt. - Kommunikationsbrüche
Sicherheitsverantwortliche aus verschiedenen Risikobereichen sprechen oft nicht dieselbe Sprache – sie nutzen unterschiedliche Tools, setzen andere Schwerpunkte und arbeiten mit eigenen Begriffen. Wenn all diese Informationen nicht clever in einem zentralen Risikomanagement zusammengeführt werden, entsteht leicht Chaos: Der Überblick geht verloren, und das Management bekommt im schlimmsten Fall widersprüchliche Aussagen auf den Tisch. - Ineffiziente Maßnahmenplanung
Fehlen klare Schnittstellen zwischen den verschiedenen Risikobereichen, kann das schnell zu einem unkoordinierten Vorgehen führen. Maßnahmen werden doppelt geplant oder – im schlimmsten Fall – widersprechen sich sogar. Das kostet nicht nur Zeit und Geld, sondern bindet wertvolle Ressourcen, die an anderer Stelle dringend gebraucht würden. - Eingeschränkte Steuerungsfähigkeit
Isoliert betrachtete Risiken verunmöglichen eine gemeinsame Sicht mit Blick auf das große Ganze. Informationen bleiben in einzelnen Abteilungen oder Systemen stecken und strategische Entscheidungen basieren nur auf einem kleinen, unzureichenden Teil des tatsächlichen Risikoprofils. Die Folge sind kritische Fehleinschätzungen, die verhindern, dass Chancen und Gefahren im richtigen Zusammenhang bewertet werden.
Warum ERM und ISMS auf einer Plattform gedacht werden sollten
Risiko- und Informationssicherheitsmanagement gehören zusammen. Eine Zusammenarbeit rein auf organisatorischer Ebene wäre dabei jedoch kaum ausreichend. Sinnvoller ist eine tiefergehende Integration – sowohl inhaltlich als auch technisch.
1. Ganzheitliche Sicht auf Risiken
Durch das direkte Einfließen sicherheitsbezogener Risiken (Cyberangriffe, Phishing-Attacken, Systemausfälle, ...) ins übergeordnete Risikomanagement entsteht ein vollständiges Bild der konzernweiten Gefährdungslage. Das macht es einfacher, die richtigen Prioritäten zu setzen und sinnvolle strategische Entscheidungen zu treffen.
2. Einheitliche Risikobewertung und -steuerung
Einer der größten Vorteile ist die gemeinsame Datenbasis als Single-Source-of-Truth. Organisationen können damit ihre Sicherheits- und Unternehmensrisiken konsistent nach denselben Kriterien (z. B. Schadenshöhe, Eintrittswahrscheinlichkeit, Kritikalität) beurteilen und in übersichtlichen Dashboards oder Risikomatrizen konsolidiert abbilden.
3. Synergien bei Maßnahmen und Kontrollen
Aus rein pragmatischen Gründen wird es vorkommen, dass sich Maßnahmen (z.B. präventive Schutzmaßnahmen oder Maßnahmen zur akuten Risikobehandlung) innerhalb der beiden Systeme überschneiden. Durch eine gemeinsame Verwaltung auf einer Plattform lassen sich diese gebündelt planen, umsetzen und überwachen – ohne doppelte Pflege und Informationsverlust.
4. Effizienzsteigerung durch integrierte Workflows
Ob es um die Behandlung von Sicherheitsvorfällen, die Umsetzung von Risikominderungsmaßnahmen oder das Berichtswesen geht, klar aufeinander abgestimmte und automatisierte Prozesse sorgen dafür, dass Aufgaben gezielt zugewiesen werden, Bearbeitungen transparent nachvollziehbar sind und keine essenziellen Tätigkeiten unter den Tisch fallen.
5. Klare Verantwortlichkeiten und bessere Zusammenarbeit
Ein integriertes System bringt die involvierten Personen aller relevanten Bereiche an einen Tisch. Es verbessert die abteilungsübergreifende Kommunikation und macht klar, wer wofür verantwortlich ist. Das verbessert nicht nur die Reaktionsfähigkeit bei imminenten Bedrohungen, sondern fördert auch eine offene, auf Langfristigkeit ausgelegte Risikokultur im gesamten Unternehmen.
6. Erfüllung regulatorischer Anforderungen
Verschiedene gesetzliche Vorgaben verlangen mittlerweile explizit die Berücksichtigung von Informationssicherheitsrisiken im Rahmen des Unternehmensrisikomanagements – etwa die europäische NIS-2-Richtlinie oder der Digital Operational Resilience Act (DORA). Eine Plattformlösung erleichtert es, diese Anforderungen nachweislich zu erfüllen.
Technologische Basis: Eine zentrale GRC-Plattform
Der Schlüssel zur erfolgreichen Verzahnung von ERM und ISM liegt in der Wahl der richtigen technologischen Plattform. Moderne GRC-Lösungen ermöglichen es, beide Systeme flexibel und skalierbar abzubilden – von der Risikoidentifikation und -bewertung über Maßnahmensetzung und -verfolgung bis hin zu Audits und Reportings.
Besonders wichtig dabei:
- Gemeinsame Datenhaltung für Risiken, Maßnahmen, Kontrollen
- Rollenspezifische Ansichten und Berechtigungen
- Klare Prozesse für Vorfallmanagement, Eskalation und Berichterstattung
- Integration mit thematisch angrenzenden Systemen wie interner Kontrolle, Business Continuity oder Datenschutz
Jetzt anmelden: Webinar am 10. Juli
Sie möchten mehr darüber wissen, wie die Integration von ERM und ISM in der Praxis funktioniert? Dann melden Sie sich zum kostenlosen Webinar von GBTEC am 10. Juli an. Erleben Sie live die Vorteile einer vollintegrierten ERM- und ISM-Plattformlösung und erfahren Sie mehr zur Umsetzung und den konkreten Anwendungsfällen für Ihr Unternehmen.
Fotocredit: GBTEC Software AG
