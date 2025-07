Squalify

Risikomanagement auf Entscheider-Ebene: Cyberangriffe sind längst berechenbar - das Problem ist, dass kaum jemand rechnet

Jedes Unternehmen kann früher oder später von einem Cybervorfall getroffen werden. Die eigentliche Frage ist nicht "ob", sondern: Was kostet es? Und: Wie viel hätte es gekostet, vorbereitet zu sein? Wer weiterhin auf abstrakte Risikoberichte vertraut, statt harte Zahlen zu fordern, lässt das Unternehmen im Blindflug ins nächste Datenleck steuern.

In den Vorstandsetagen wird täglich über Finanzkennzahlen, Marktchancen und Investitionen entschieden. Doch wenn es um die finanziellen Auswirkungen von Cyberrisiken geht, herrscht oft bemerkenswerte Unschärfe. Dabei existieren längst praxiserprobte Methoden, um Cyberrisiken messbar, vergleichbar und vor allem strategisch steuerbar zu machen. Dazu gehört die Cyber Risk Quantification (CRQ). Das deutsche Unternehmen Squalify hat CRQ nicht nur auf ein neues Level gebracht, sondern auch für Großkonzerne optimiert. Squalify CEO Asdrúbal Pichardo gibt einen Überblick darüber, warum mit Cyberrisken gerade in der Führungsetage anders umgegangen werden muss und wie sich das bewerkstelligen lässt.

Risiken sind keine abstrakte Größe mehr

Traditionell wurden Risiken häufig in abstrakten Kategorien wie "hoch", "mittel" oder "niedrig" bewertet, verbunden mit vagen Annahmen und wenig greifbaren Szenarien. In der Praxis führt das dazu, dass insbesondere bei Cyberrisiken Entscheidungen getroffen werden, ohne das volle Ausmaß möglicher finanzieller Konsequenzen zu überblicken. Doch warum sollte die Führungsebene auf dieser Basis agieren? Kaum ein CFO würde eine Investmententscheidung treffen, die auf subjektiven Aussagen basiert. Im Cyberbereich passiert das täglich und lässt damit selbstredend Raum für Fehler.

"Genau hier setzt ein modernes Verständnis von Risikomanagement an", erklärt Asdrúbal Pichardo, CEO bei Squalify, "Risiken, insbesondere im digitalen Raum, lassen sich heute greifbarer, quantifizierbarer und strategisch relevanter darstellen. Entscheider erhalten dadurch nicht nur ein besseres Verständnis potenzieller Bedrohungen, sondern vor allem eine belastbare Entscheidungsgrundlage, die über technische Details hinausgeht."

Daten sind das Fundament jeder belastbaren Risikoquantifizierung. Ohne verlässliche, unternehmensspezifische Informationen bleiben Risikoberichte vage. Entscheidend ist hierbei nicht nur die Qualität der eigenen Daten, sondern auch der Zugriff auf fundierte Vergleichsdaten und bewährte Modelle. Squalify nutzt dafür das erprobte Cyber-Risk-Modell von dem Rückversicherer Munich Re, das auf Daten von mehr als 4.500 quantifizierten Großunternehmen weltweit basiert. Diese einzigartige Datenbasis ermöglicht es, unternehmensindividuelle Cyberrisiken mit höchster Präzision zu bewerten. Somit sind auch die Ergebnisse vertrauenswürdig und wirtschaftlich belastbar.

Die Bedeutung von Transparenz und Quantifizierung

Ein zentrales Element moderner Risikosteuerung ist die Fähigkeit, Risiken auch in wirtschaftlichen Kennzahlen abzubilden. "Insbesondere Cyberrisiken, die immer häufiger zum geschäftskritischen Faktor werden, lassen sich durch Cyber Risk Quantification konkretisieren.", sagt Pichardo weiter. "Die monetäre Bewertung möglicher Schadensszenarien schafft Vergleichbarkeit mit anderen unternehmerischen Risiken und ermöglicht es der Geschäftsleitung, Prioritäten faktenbasiert zu setzen. Die diversen Reports, die jährlich zu den Cybergefahren veröffentlicht werden belegen das: Ein Risiko, das Unternehmen in Deutschland bis zu 9,9 Millionen Dollar kosten kann (für nur einen Security Breach), muss ernsthaft in jede Businessplanung einberechnet werden."

Risikomanagement als Führungsinstrument etablieren

Für die Entscheider-Ebene bedeutet das: Risikomanagement darf kein reines Expertenthema bleiben. Die Verantwortung liegt darin, die richtigen Fragen zu stellen, Transparenz über potenzielle Bedrohungen herzustellen und sicherzustellen, dass Risiken frühzeitig erkannt und nachvollziehbar bewertet werden.

Dazu gehört:

Sichtbarkeit schaffen: Risiken, insbesondere Cyberrisiken, müssen greifbar und verständlich aufbereitet werden, in einer Sprache, die den wirtschaftlichen Kontext in den Vordergrund stellt.

Szenarien durchdenken: Realistische Bedrohungsszenarien, basierend auf konkreten Geschäftsprozessen und Abhängigkeiten, ermöglichen gezielte Vorbereitung.

Handlungsfähigkeit sicherstellen: Durch die Verzahnung von Risikoquantifizierung und Business Continuity Management wird die Reaktionsfähigkeit im Ernstfall erhöht.

Strategische Entscheidungen fundieren: Investitionen, Expansionen oder Transformationsprozesse können auf einer soliden Risikoeinschätzung basieren anstatt auf vagen Annahmen.

Fazit: Wer nicht rechnet, zahlt am Ende drauf

Die wirksame Steuerung von Cyberrisiken verlangt nach einer Kombination beider Ansätze: detaillierte technische Risikoanalysen auf operativer Ebene, aber eben auch eine belastbare, finanzielle Quantifizierung auf Unternehmensebene. Doch gerade auf Entscheider-Ebene gilt: Wer Cyberrisiken weiterhin nur technisch und qualitativ diskutiert, handelt fahrlässig. Unternehmenswerte, Shareholder-Interessen und Reputation stehen auf dem Spiel - es braucht harte Zahlen, keine Schätzungen.

Asdrúbal Pichardo resümiert: "Cyberangriffe lassen sich heute genauso berechnen wie Währungs-, Markt- oder Lieferkettenrisiken. Die einzige Frage ist: Nutzt Ihr Unternehmen diese Möglichkeit - oder steuert es weiter im Blindflug durch die digitale Bedrohungslandschaft?"

