Führungskräfte des Bereichs Risikomanagement in Europa und weltweit spüren entweder bereits die Auswirkungen des Krieges in der Ukraine und der gegen russische und belarussische Akteure verhängten Sanktionen – oder sie werden es bald tun. Falls Sie es noch nicht getan haben, sollten Sie jetzt die folgenden Schritte in Sachen Risikomanagement unternehmen. (Hinweis: Die für Cybersicherheit erforderlichen Maßnahmen finden Sie in diesem begleitenden Blogbeitrag.) 

  • Erstellen Sie Pläne zur Aufrechterhaltung der Resilienz von Geschäftseinheiten, die dem Konfliktgebiet ausgesetzt sind.  Was würden Sie tun, wenn Ihr wichtigster Hyperscaler-Cloud-Anbieter keine Dienste mehr für Geschäftseinheiten innerhalb oder nahe des Konfliktgebiets bereitstellen kann oder Sanktionen oder direkten Geschäftsbeeinträchtigungen in diesem Gebiet ausgesetzt ist? Forrester-Kunden, die in Belarus, Russland oder der Ukraine tätig sind, könnten mit genau diesem Szenario konfrontiert werden. Risikomanager, CISOs und IT-Führungskräfte müssen dringend ihre Abhängigkeiten von den wichtigsten IT-Lieferanten in der Region unter die Lupe nehmen und ihre Fähigkeit, im Bedarfsfall den Lieferanten zu wechseln, schnellstmöglich überprüfen. Überprüfen Sie Ihre Business-Continuity-Pläne, Lieferkettenvereinbarungen und regionale oder globale Alternativen, und stellen Sie sicher, dass bestimmte Führungskräfte befugt sind, mögliche Entscheidungen schnell zu treffen. 
  • Informieren Sie Ihre Mitarbeiter über das erhöhte Risiko.Helfen Sie Ihren Mitarbeitern, damit sie Ihnen helfen können. Sorgen Sie für ein unternehmensweites Gefahrenbewusstsein in Bezug auf potenzielle Angriffe und die Art und Weise solcher Angriffe. Seien Sie in Ihren Mitteilungen sachlich und kurzgefasst, um keine unnötigen Ängste zu schüren. Zeigen Sie in Ihren Mitteilungen Einfühlungsvermögen, insbesondere wenn Sie Mitarbeiter haben, die von den Ereignissen persönlich betroffen sein könnten. Stellen Sie sicher, dass Ihre Mitarbeiter auf mögliche Phishing-Angriffe vorbereitet sind. Jetzt ist nicht der richtige Zeitpunkt, um den Stress Ihrer Mitarbeiter mit unnötigen Phishing-Simulationen zu erhöhen, denn jeder schlecht durchdachte Phishing-Test wird Ihre Marke und Ihren guten Ruf untergraben. 
  • Bereiten Sie sich auf weitere Unterbrechungen in der Lieferkette vor. Gerade als alles nach einer Entspannung der Probleme in der globalen Lieferkette aussah, hat der Krieg in der Ukraine dem System einen weiteren Schlag versetzt. Unternehmen sollten sich darauf einstellen, dass Engpässe, Lieferunterbrechungen und Sanktionen die Lieferketten für mindestens 24 Monate destabilisieren werden. In Anbetracht der Tatsache, dass Russland mehr als ein Drittel des europäischen Erdgases liefert und der zweitgrößte Erdölexporteur der Welt ist und dass Deutschland die Genehmigung für die Nord Stream 2-Pipeline bereits gestoppt hat, sind Sie sicherlich schon auf höhere Kraftstoffpreise und mögliche Engpässe vorbereitet. Nachdem die EU ihren Luftraum für alle russischen Flüge gesperrt hat und FedEx und UPS (zum Zeitpunkt der Erstellung dieses Blogs) ihre Lieferungen sowohl nach Russland als auch in die Ukraine gestoppt haben, sollten Sie außerdem mit einem Anstieg der Kosten und Störungen im Reise- und Güterverkehr rechnen. Außerdem wird der Krieg in der Ukraine Chip-Engpässe verschärfen: Sowohl Xenon- als auch Neongas sind für die Halbleiterherstellung von entscheidender Bedeutung und die Ukraine produziert etwa 70 % der weltweiten Gesamtmenge beider Gase. Die Liste geht weiter: Russland und die Ukraine machen zusammen 25 % der weltweiten Weizenexporte aus. 
  • Beginnen Sie jetzt mit einer Bestandsaufnahme Ihrer direkten und nachgelagerten Lieferkette. Unabhängig von physischen Ereignissen haben Cyberangriffe auf ukrainische Finanz- und Regierungsdienste bereits begonnen. Seien Sie sich im Klaren darüber: Selbst Unternehmen, die keine wichtigen Zulieferer in der Region haben (oder nicht wissen, dass sie diese haben), werden in das Fadenkreuz des digitalen und, wenn es dazu kommt, auch physischen Krieges geraten. Unternehmen sollten unmittelbar damit beginnen, das Ökosystem ihrer Beziehungen hinsichtlich von Geschäftstätigkeiten, Ressourcen, Daten und Abhängigkeiten von der Region genau zu betrachten. Mehr als 3.300 US-amerikanische und europäische Firmen haben direkte Zulieferer in Russland und mehr als 650 US-amerikanische und europäische Firmen haben direkte Zulieferer in der Ukraine. Falls Sie dies noch nicht getan haben, sollten Sie Ihre Tier-1-, Tier-2- und Tier-3-Lieferanten erfassen, um die potenziellen Auswirkungen auf die nachgelagerte Lieferkette zu prüfen. Machen Sie sich auf eine weitere Welle von Cyberangriffen auf Ihre Lieferanten gefasst und halten Sie Ihre Notfallpläne bereit. 

Was als Nächstes zu tun ist 

Nachdem Sie die oben genannten Schritte durchgeführt haben, finden Sie hier die Checkliste für die nächsten Maßnahmen: 

  • Behalten Sie die sich schnell ändernde Situation in Sachen Sanktionen im Auge, die Veränderungen innerhalb Ihres Netzwerks von Drittanbietern notwendig machen könnte.Die routinemäßige Prüfung von Sanktionen für die Entscheidung, ob eine Zusammenarbeit mit einem Kunden, Partner, Anbieter oder Lieferanten sinnvoll ist oder nicht, ist bei weitem komplizierter geworden. Die USA haben bereits Sanktionen gegen neue Investitionen, Handel und Finanzen in den als Volksrepublik Donezk und Volksrepublik Lugansk ausgerufenen ukrainischen Regionen verhängt. Zum Zeitpunkt der Erstellung dieses Blogs haben Australien, die Europäische Union, Japan, Neuseeland, die Schweiz, Taiwan, Großbritannien und die USA Sanktionen gegen das russische Finanzsystem, den Handel und den Zugang zu Halbleitern verhängt, den Zugang zu neuen Schweizer Bankkonten für sanktionierte Unternehmen und Einzelpersonen gesperrt und mehrere russische Banken aus dem SWIFT-System ausgeschlossen (und damit vom globalen Finanzsystem abgeschnitten). Sie sollten von weiteren Sanktionen ausgehen und Drittparteien, einschließlich Partner, ausländischer Tochtergesellschaften und Kunden, auf Verbindungen zu Russland, zu russischen Oligarchen, zu den Separatistenstaaten auf ukrainischem Gebiet und zu Belarus überprüfen. 
  • Prüfen Sie die Bedingungen Ihrer Cyberversicherungspolice genau. Sach- und Haftpflichtversicherungen enthalten in der Regel Kriegsausschlussklauseln. Eigenständige Cyberversicherungspolicen können ebenfalls Formulierungen für den Fall enthalten, dass ein Angriff als Cyber-Terrorismus eingestuft wird. Seit mindestens 2020 weigern sich Cyber-Versicherer, für Schäden im Zusammenhang mit Angriffen zu zahlen, die staatlich unterstützten Akteuren zugeschrieben werden. Insbesondere Lloyd’s of London fügte seinen Policen und denen seiner Syndikate eine weit gefasste Formulierung hinzu, die eine Deckung bei Cyberangriffen ausschließt, die als direkte oder indirekte Folge einer Kriegshandlung oder einer Cyberoperation erachtet werden. Wichtig ist, was Ihre Versicherungspolice ausdrücklich abdeckt. Die Zeiten des „stillen Cyberspace“, in denen eine Police nicht speziell auf Cyberrisiken eingeht, liegen zunehmend hinter uns. Arbeiten Sie mit Ihrem Rechtsteam oder einem externen Anwalt zusammen, um Klarheit von Ihrem Cyberversicherungsmakler oder dem Ansprechpartner für Schadenmanagement bei Ihrem Versicherer zu erhalten. 
  • Testen Sie Ihre Pläne für Notfallwiederherstellung (auch DR für Disaster Recovery) und Hochverfügbarkeit (auch HA für High Availability).Angesichts der verschiedenen Netzwerktopologien, die Sie verwenden (da Sie wahrscheinlich mit einer Mischung aus lokaler, öffentlicher Cloud- und hybrider Infrastruktur arbeiten), ist es nicht nur wichtig, ein DR-Playbook zu haben, sondern auch zu verstehen, wie Sie die entsprechenden Abläufe implementieren. Vergewissern Sie sich bei Ihren IT-Kollegen, dass Sie die Schlüsselelemente Ihres DR-Plans tatsächlich ausgeführt haben (z. B. häufige Backups, Umschaltungen und Umleitungen usw.). Ist dies nicht der Fall, sollten Sie sich darüber informieren, was nötig ist, um den Plan auf den neuesten Stand zu bringen und in die Tat umzusetzen. HA-Pläne können einen großen Beitrag zur Abschwächung von Funktionsverlusten leisten, allerdings nur, wenn sie regelmäßig gewartet und aktualisiert werden. Wenn Ihre HA-Bereitstellung auf „heiß/kalt“-Basis funktioniert, stellen Sie sicher, dass die „kalte“ Seite gewartet wurde und einsatzbereit ist, wenn Sie sie brauchen. 
  • Setzen Sie geopolitische Instabilität ganz oben auf Ihre Agenda für das Risikomanagement Ihres Unternehmens.„Geopolitische Fluktuationen“, die auf externen Ursachen beruhen und sich dadurch auszeichnen, dass sie sich langsam entwickeln und dann sehr schnell zum Tragen kommen, standen auf der Forrester-Liste „The Top Systemic Risks, 2021“ an zweiter Stelle, rutschten aber im Jahr 2022 auf den sechsten Platz der systemischen Risiken mit den größten potenziellen Auswirkungen auf Unternehmen ab. Sie brauchen eine neue geopolitische Risikobewertung und Impaktanalyse, die den Krieg in der Ukraine und all seine Folgewirkungen einbezieht. 

Hinweis: Senior Analyst Heath Mullins hat ebenfalls zu diesem Blogbeitrag beigetragen. 

 

Dieser Blog wurde aus dem Englischen übersetzt.