Mittelständler ergreifen zu wenige Maßnahmen, um ihr Unternehmen vor Cyberrisiken, Wirtschaftsspionage und Abfluss von Daten zu schützen – die meisten Geschäftsführer und Topmanager wiegen sich in gefährlicher Sicherheit. Zu diesem Ergebnis kommt die aktuelle Befragung deutscher Mittelständler durch die Risikoexperten der RÜHLCONSULTING.
Jeden Tag sind Unternehmen diversen Risiken, Gefahren und Katastrophen ausgeliefert. Nicht immer muss es gleich das Worst Case Szenario sein, aber bereits kleinere Vorfälle wie zum Beispiel Verzögerungen bei der Rohstofflieferung aufgrund eines Hochwassers oder Stromausfall kann ein Unternehmen Tausende von Euros kosten – vom Imageschaden bei Kunden, die ihre Ware zu spät oder gar nicht erhalten, ganz abgesehen.
Unternehmer sehen an vorderster Front andere Gefahren. Die größte darunter ist der drohende Fach- und Führungskräftemangel – ein Ergebnis, das kaum verwundert, lebt der deutsche Mittelstand doch stark von der Expertise und Innovation seiner Mitarbeiter. Auf Platz zwei halten 39 Prozent der Befragten den Abfluss von Daten für ein ernstzunehmendes Risiko; das Spektrum reicht hier von innovativen Entwicklungen über Forschungsergebnisse bis hin zu sensiblen Kundendaten – alles Bereiche, in denen schnell hohe finanzielle, rechtliche Schwierigkeiten oder Imageverlust drohen.
Überraschend ist allerdings, dass für einen Großteil der Geschäftsführer eigene Mitarbeiter für den Datenverlust verantwortlich sind: Knapp 30 Prozent sind überzeugt, ihre Angestellten entwenden Daten absichtlich, um sie an die Konkurrenz zu verkaufen. In den meisten Fällen schaden Mitarbeiter ihrem Arbeitgeber aus Unzufriedenheit oder mangelnder Anerkennung – eine Tatsache, die nicht zu unterschätzen ist. Aber auch durch soziale Netzwerke, „Social Engineering“ und allgemeine Unachtsamkeit werden Informationen und Firmenwissen versehentlich weitergegeben. Vom gestohlenen Laptop mit den neuesten Konstruktionsplänen, einem netten Gespräch mit dem mutmaßlichen Interessenten auf der Messe, der eigentlich ein Spion der Konkurrenz ist, einem Fax, das an die falsche Adresse geht oder eine Rechnung, die unverschlüsselt versendet wird – viele Situationen sind denkbar und leider auch Alltag in deutschen Unternehmen.
Mittelständler wiegen sich in scheinbarer Sicherheit
Zwar sind sich die befragten Firmenchefs der Risiken bewusst, mehr als die Hälfte beschäftigt sich öfter als einmal in der Woche mit potenziellen Gefahren, jedoch denkt nicht einmal ein Viertel über mögliche Lösungen nach. Weshalb? Der operative Alltag mit seinen Problemen hält die Unternehmer davon ab, sich ausreichend um strategische Themen zu kümmern. Stattdessen bereiten ihnen Personalprobleme, Konjunktur, Finanzen und der Wettbewerb Sorgen. Das sind Themen, die unmittelbar den Gewinn und Verlust des Unternehmens betreffen und mit Kennzahlen sowie Controlling leichter zu greifen sind als abstrakte Themen wie Risikoszenarien, die nur langfristig zu bewerten sind. Trotzdem glauben die befragten Manager auf mögliche Katastrophen und Risiken gut vorbereitet zu sein: Auf einer Skala von 1 bis 10, wobei 10 bedeutet, alle Eventualitäten unter Kontrolle zu haben, lag der Durchschnittswert bei 6,38; nur ein Viertel der Befragten bewertete sich mit einer 5 oder schlechter. Ebenso positiv wird das eigene Risikomanagement eingeschätzt: Knapp 60 Prozent sind überzeugt, ein wirksames bis sehr wirksames Risikomanagement zu betreiben – Zahlen, die konträr zur Aussage stehen, die Unternehmensstrategie berge das höchste Risikopotenzial. Denn ebenfalls 60 Prozent gaben fehlende Führungs- und Managementkompetenz sowie unklare Unternehmensstrategie als Bereiche an, in denen sie das höchste Risiko vermuten. Doch wesentliches Element einer jeder guten Unternehmensstrategie ist eine umfassende Risikobewertung und -steuerung.
Gegen diese Einschätzung spricht auch, dass eine systematische Risikobewertung für lediglich 17 Prozent der Unternehmen in den letzten drei Jahren die umfangreichste Maßnahme zur Risikosteuerung war; sogar nur fünf Prozent investierten in ein strukturiertes Risikomanagement. Auf der Agenda stehen vielmehr Einzelmaßnahmen wie die Einführung von Notfallmanagement und Krisenübungen; Maßnahmen, die zugegebenermaßen wichtig sind, die aber eine komplette Risiko- und Sicherheitsstrategie nie ersetzen können. Was Mittelständler brauchen, sind nicht einzelne konzentrierte Maßnahmen, sondern ein richtiges System – nur dann sind sie gegen Gefahren gerüstet und auf alle Eventualitäten vorbereitet.
Fünf Schritte zu einer besseren Risikoabwehr
Ein gut aufgestelltes Risikomanagement, das den Unternehmenserfolg nachhaltig fördert, braucht je nach Größe und Komplexität der Organisation, Zeit und Ressourcen. Allerdings ist es mit entsprechender Anleitung und gegebenenfalls externer Unterstützung möglich, in wenigen Workshops einen guten Überblick über Risiken und Chancen zu erhalten – und diese zu steuern.
Folgende Schritte sind für ein erfolgreiches Risikomanagement unerlässlich:
Erstens legen Sie Verantwortliche im Unternehmen fest. Zweitens identifizieren Sie die wichtigsten Werte Ihres Unternehmens und identifizieren Sie daraus Bedrohungen und Schwachstellen. Drittens analysieren Sie Risiken, also welcher Schaden könnte daraus entstehen und wie wahrscheinlich ist dieses Szenario. Werten Sie dann viertens diese Ergebnisse aus und legen Sie entsprechende Maßnahmen fest. Bewerten Sie fünftens diese Maßnahmen kritisch und führen Sie regelmäßige Risikobewertungen durch.
Über den Autor:
Uwe Rühl kennt Extremsituationen aus seiner früheren Tätigkeit in Rettungsdienst, Feuerwehr und Katastrophenschutz. Außerdem entwickelte er unter anderem Sicherheitsstrategien zur Fußball-Weltmeisterschaft 2006 in Deutschland.
Heute sorgt er mit seinem Spezialistenteam dafür, dass Konzerne und Mittelständler potenzielle Sicherheitsrisiken rechtzeitig erkennen und behandeln.
Weitere Informationen und die Zusammenfassung zur Studie „Alles auf Risiko – Wie leichtfertigt deutsche Mittelständler mit modernen Gefahren umgehen“ unter: www.ruehlconsulting.de