Seiten

Dienstag, 25. Januar 2022

Uns passiert schon nichts! Oder: warum Risikomanagement im Mittelstand nicht nur QM ist.

Uns passiert schon nichts! Oder: warum Risikomanagement im Mittelstand unverzichtbar ist.

Ein mittelständisches Unternehmen ist einer Vielzahl von Risiken ausgesetzt - Produktrisiken, Datenpannen, Hackerangriffen und zunehmend auch Naturkatastrophen. Das Ergebnis sind in der Regel mehrere teure, aufwändige und umständliche Managementsysteme mit denen die Unternehmensleitung versucht, diese Risiken beherrschbar zu machen. Aber das muss nicht sein - die Integration aller relevanten Risiken in einem einzigen Managementsystem bietet eine Vielzahl von Vorteilen. 

Risikomanagement im Mittelstand
Größte Gefahr: IT

Nach dem aktuellen Risikobarometer des zur Allianz Gruppe gehörenden Industrieversicherers AGCS sehen Experten in der IT die größte Gefahr für ihre Unternehmen. Erpressung oder Schäden wie ein Produktionsstopp durch Hackerangriffe rangieren inzwischen vor den "klassischen" Risiken wie Schäden durch Naturkatastrophen oder Betriebsunterbrechungen. Quelle: Risikobarometer 2021 der AGCS 

Informationssicherheitsmanagement ist in der heutigen Zeit unverzichtbar

Die Ergebnisse dieser globalen Studie zeigen eindeutig: Informationssicherheitsmanagement ist in der heutigen Zeit unverzichtbar. Auch im Mittelstand. Eine Zertifizierung nach ISO 27001 ist schon längst mehr als nur ein nettes AddOn - sie ist Marketingargument, Anforderung von Kunden und / oder Förderprogrammen und oft auch Voraussetzung für den Abschluss wichtiger Versicherungen wie z.B. der Cyberrisk-Versicherung.

Dafür sind wir doch viel zu klein! - Ein immer noch weit verbreiteter Trugschluss

Und nicht nur Informationssicherheitsmanagement ist auch im Mittelstand notwendig - gesetzliche Vorgaben wie auch Kundenanforderungen bestehen unabhängig von der Unternehmensgröße. Die EU-DSGVO als Grundlage des Datenschutzrechts bemisst ihre Anforderungen an das Datenschutzmanagementsystem eines Unternehmens danach, welche personenbezogenen Daten das Unternehmen verarbeitet. Nicht an der Mitarbeiterzahl oder am Jahresumsatz. Ähnlich sieht es im Bereich Qualitätsmanagement aus - wer Produkte herstellt, von denen hohe Risiken für die Endverbraucher ausgehen können - z.B. Autoteile oder Medizinprodukte - von dem erwarten Endkunden wie auch Weiterverarbeiter die Erfüllung der gängigen Industrienormen. Inhalt und Detailgrad des dafür notwendigen Qualitätsmanagementsystems folgend auch hier aus den Risiken, nicht aus der Unternehmensgröße.

Ein durchschnittliches mittelständisches Unternehmen hat somit mindestens drei Managementsysteme, die dauerhaft und wirkungsvoll bestrieben werden müssen:
  • Datenschutzmanagement: gesetzlich vorgeschrieben durch die EU-DSGVO
  • Informationssicherheitsmanagement: unverzichtbar zum Schutz von Betriebsgeheimnissen und zum Schutz vor Betriebsunterbrechungen
  • Qualitätsmanagement: in vielen Branchen bereits de-facto-Voraussetzung für die Auftragserteilung
Hinzu kommen andere, zum Teil branchen- oder lokationsbezogene Anforderungen: Umweltmanagement in Bezug auf Gefahrstoffe oder Naturkatastrophen, Public Relations-Management für Produkte, die in der öffentlichen Meinung stark polarisieren oder verstärkte Legal Compliance wo sich Wettbewerbs- oder sonstige Rechtsverstöße häufen.

Die Herausforderungen: Vielfältig und komplex

An der Notwendigkeit von Risikomanagement auch im Mittelstand kann also kein Zweifel bestehen - ebenso wenig an der Notwendigkeit des Betriebs entsprechender Managementsysteme. Die Herausforderung ist das "wie".
  • Wie betreibe ich als Mittelständler ein erfolgreiches Datenschutzmanagement, Informationssicherheitsmanagement und Qualitätsmanagement?
  • Wie betreibe ich meine Managementsysteme so, dass der Aufwand bezahlbar bleibt?
  • Wie betreibe ich meine Managementsysteme so, dass keine Konflikte oder Lücken zwischen ihnen entstehen?
  • Wie nutze ich meine Managementsysteme so, dass sie mehr können als nur "Risikoabwehr"? Wie generiere ich Nutzen für meinen Geschäftsbetrieb?
Mit diesen Fragen möchten wir uns in den nächsten Wochen am Datenschutz-Dienstag beschäftigen. Unsere Themen für die nächsten Wochen:

  • 01.02.2022: Und jetzt? Datenschutz fertig? - Oder auch: Aufbauen alleine reicht nicht - ein erfolgreiches Managementsystem muss gelebt werden. Langfristig.
  • 08.02.2022: Was gilt? Über die Notwendigkeit einer Dokumentenhierarchie im Risikomanagement - Oder auch: Eine Unternehmensleitlinie muss her - damit alle Mitarbeiter und alle Managementsysteme in dieselbe Richtung laufen.
  • 15.02.2022: Wenn ich das gewusst hätte! Oder: wie man sicherstellt, dass jeder mitbekommt, was er wissen sollte - Denn die Risiken werden nicht von Dokumenten erkannt und minimiert, sondern von Mitarbeitern.
  • 10.02.2022 / 16.02.2022 Live-Webinar: Ein Geschäftsprozess, viele Risiken. Risikoanalyse und Risikomanagement als Teamsportart - Oder auch: Warum Managementsysteme nur gemeinsam erfolgreich sein können.  Jetzt anmelden.

Möchten Sie mehr über mittelstandstaugliches Datenschutz- und Informationssicherheitsmanagement made by yourIT wissen? Kein Problem!


Das könnte Sie auch interessieren: