SE IE N SI E SICHER.

Alles auf Risiko Wie leichtfertig deutsche Mittelständler mit modernen Gefahren umgehen

S EIEN SI E SICHER.

Vorwort von Uwe Rühl Wirtschaftsspionage und wirtschaftskriminelle Handlungen sind allgegenwärtig. Letztlich geht es den Angreifern fast immer um brisante Informationen. Oft ist das einzige, das sie hinterlassen, ein immenser wirtschaftlicher Schaden. Nach Angaben des Softwareherstellers Symantec1 haben sich die gezielten Angriffe auf Unternehmen im vergangenen Jahr nahezu verdoppelt. Fast ein Drittel aller Online-Attacken richtete sich dabei gegen kleine und mittlere Unternehmen. Auch der deutsche Verfassungsschutz warnt vor allem Mittelständler vor den wachsenden Risiken2. Denn längst stehen nicht mehr nur Konzerne im Fadenkreuz der Angreifer. Gerade die innovationsstarken Mittelständler sind für Datendiebe interessant geworden. Während Aktiengesellschaften und zu überwachen, steht es allen anderen Unternehmen frei, sich um potenziell gefährliche Risiken zu kümmern. Die vorliegende Befragung von Top-Managern deutscher Mittelständler offenbart eine Diskrepanz zwischen ihrem Risikobewusstsein und ihrem praktischen Handeln. Obwohl sich die meisten Unternehmer der möglichen Gefahren bewusst sind, überschätzen sie in vielen Fällen ihre eigens getroffenen Maßnahmen. Paradoxerweise hält ein Großteil der Befragten ihr Unternehmen trotzdem für gut gewappnet. Dieses Panel führt vor Augen: Allein das Wissen darüber, dass wir angreifbar sind, schützt uns nicht davor. Das gilt für Menschen wie für Unternehmen. Sobald es um Gefahren und Risiken geht, werden wir zu leichtfertig. Nützlich für Unternehmer ist es, die wachsenden Gefahren für ihr Geschäft nicht länger zu ignorieren, sondern sich systematisch mit ihnen auseinanderzusetzen und gezielt Gegenmaßnahmen zu ergreifen. Solange z.B. nur ein Fenster des Firmengebäudes offen steht, ist es uner-

ein strategisches Risikomanagement.

Herzlichst

Uwe Rühl

1

Seite 2

2

http://www.emea.symantec.com/web/regpage/ISTR/DE http://www.verfassungsschutz.de/de/arbeitsfelder/af-wirtschaftsschutz

Inhaltsverzeichnis Vorwort von Uwe Rühl .............................................................................. Seite 2

Teil I. Gefühlte Risiken – Die Sorgen deutscher Mittelständler ...........................................Seite 4 .................................. Seite 5 Mitarbeiter werden zum Risiko................................................................... Seite 5 Risikothemen im Alltag nicht relevant ......................................................... Seite 7 Unverwundbar trotz Kompetenzmängeln an der Spitze ................................. Seite 8

Teil II. Gefühlte Sicherheit – Die Selbsteinschätzung der Top-Manager ....................................Seite 10 Diskrepanz zwischen Theorie und Praxis ..................................................... Seite 10 Risikoabwehr schneidet gut ab .................................................................. Seite 11

Teil III. Reale Wirksamkeit – Die Maßnahmen zur Abwehr ........................................................Seite 12 Überwiegend keine strukturierte Risikobewertung ........................................ Seite 12 Kein umfassender Ansatz für Risikomanagement ......................................... Seite 13 Die IT im Fokus des Risikomanagements .................................................... Seite 15 .............................................. Seite 16

Teil IV. Zusammenfassung ..........................................................Seite 17 Teil V. Hintergrundinformationen zur Studie ...............................Seite 18 Über den Autor ....................................................................................... Seite 18 Design der Befragung............................................................................... Seite 18 Quellenangaben ...................................................................................... Seite 19 Abbildungsverzeichnis .............................................................................. Seite 19 Seite 3

S EIEN SI E SICHER.

Teil I. Gefühlte Risiken –

Die Sorgen deutscher Mittelständler Ein hoch vertrauliches Dokument geht per Fax an die falsche Nummer. Einem Mitarbeiter aus der Entwicklungsabteilung wird der Laptop gestohlen. Jemand verschickt die neuen Konstruktionspläne unverschlüsselt per E-Mail. Dies sind nur wenige Beispiele, die für ein Unternehmen nicht ohne Folgen bleiben können.

Für Unternehmen erhöht sich besonders vor dem Hintergrund steigender Fallzahlen in der Wirtschaftskriminalität das Risiko täglich3. Ist dem Mittelstand diese Bedrohung bewusst? Und worin sieht er die vermeintlich größten Gefahren? In dieser Studie gehen wir diesen und weiteren Fragen rund um das Thema Risikomanagement auf den Grund.

I.1. – Was sind Ihrer Meinung nach momentan die größten Gefahren für mittelständische Unternehmen in Deutschland? Rohstoffverknappung

24% 59%

Personalmangel

38% Preisschwankungen

29%

Wirtschaftsspionage

30% 32%

Drohender Innovationsverlust Sichere Energieversorgung

22% 0%

10%

20%

30%

40%

50%

60%

70%

80%

106 von 117 Befragten (91%); Antworten total: 308; Mehrfachnennungen möglich

3

Seite 4

http://www.polizei-dein-partner.de/themen/wirtschaft/detailansicht-wirtschaft/ artikel/wirtschaftskriminalitaet-in-zahlen.html

90%

100%

Bedroht fühlt sich der Mittelstand vor allem von aktuellen Themen aus der Wirtschaft. Es überrascht daher nicht, dass 59 Prozent der befragten Top-Manager Personalmangel als den größten Risikofaktor für den Mittelstand ausmachen. Aber auch die Informationsverarbeitung halten die Befragten für potenziell gefährdet: Auf Platz zwei der größten Risikofaktoren wählten die Unternehmer mens in Gefahr. Das Spektrum an Informationen umfasst nicht selten innovative

Gleichzeitig steigt das Wissen darüber, dass ausgelagerte Produktionseinheiten und IT-Prozesse sowie ungesicherte Kommunikationsverbindungen Risiken bergen. Damit wächst auch das Bewusstsein für Spionageangriffe. 30 Prozent der sieht darin also eine der größten Gefahren für Mittelständler.

„Für Unternehmen ist es entscheidend, ihre kritischen Informationen zu kennen. Das sind die sensiblen Daten, die ein Unternehmen braucht, um wirtschaftlich und innovativ zu sein. Nur so können sie diese in Sicherheit bringen und wirksam schützen.“ Uwe Rühl

Mangelndes Risikobewusstsein kann man deutschen Mittelständlern nicht unterstellen. Die Teilnehmer dieses Panels sehen die von ihnen genannten Risiken auch in ihren eigenen Unternehmen. Für fast 70 Prozent ist es denkbar, meinen, Beschäftigte lassen Daten versehentlich in falsche Hände gelangen; weitere 29 Prozent sind überzeugt: Mitarbeiter spähen Informationen sogar absichtlich aus und geben diese beispielsweise an Wettbewerber weiter. Auf den absichtlich schaden. Es kommt tatsächlich vor, dass Beschäftigte ihrem Arbeitgeber mit Vorsatz schaden, etwa aus Unzufriedenheit oder mangelnder Anerkennung. Auch

Seite 5

S EIEN SI E SICHER.

wenn Vorgesetzte für deren Loyalität ihre sprichwörtliche Hand ins Feuer Unachtsamkeit kann ebenso schwere Folgen haben, wie der vorsätzliche Missbrauch sensibler Daten. I.2. – Wo liegen Ihrer Einschätzung nach die größten Risiken in Ihrem Unternehmen? 38%

Unvorsichtiges Handeln von Mitarbeitern führt zu Datenverlust oder ermöglicht Wirtschaftsspionage

29%

Mitarbeiter, die beabsichtigt dem Unternehmen Schaden wollen, indem sie sensible Daten für Ihre Zwecke missbrauchen

31%

Der Einsatz der IT folgt nicht ausreichend den Anforderungen des Unternehmens Das Unternehmen ist von einer stabilen Energieversorgung abhängig

22% 41% 0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

106 von 117 Befragten (91%); Antworten total: 280; Mehrfachnennungen möglich

Aufgrund der zunehmenden Relevanz und Nutzung sozialer Netzwerke, können Mitarbeiter mit interessantem Firmenwissen auch dort zur Zielscheibe werden. Social Engineering, auf Deutsch „soziale Manipulation“, lautet die liche Daten zu entlocken. Das private Verhalten der Mitarbeiter wird also zunehmend zum Unsicherheitsfaktor für Unternehmen, wenn diese ausgehorcht werden.

mindestens so stark, wie alle technischen Maßnahmen zur IT-Sicherheit in einem Unternehmen zusammen.“ Uwe Rühl

Jeder dritte der befragten Mittelständler sieht ein Risiko im IT-Betrieb des eigenen Unternehmens. Die angewandte Informationstechnik folgt demnach nicht die Datensicherheit haben. Während eine aufgeblähte, bürokratisierte IT die Prozesse verlangsamt, kann es andersherum an technischer Unterstützung in cherheit ist außerdem, Kennzahlen zur Wirksamkeit der gewählten Maßnahmen laufend auszuwerten und zu überwachen.

Seite 6

100%

Die gefühlten Risiken bereiten den Unternehmern durchaus Kopfzerbrechen: Mehr als die Hälfte der Befragten gab an, sich öfter als einmal in der Woche Gedanken um mögliche Geschäftsrisiken zu machen; sieben Prozent beschäftigen sich sogar mehrfach täglich damit. I.3. – Wie oft machen Sie sich Gedanken über mögliche Risiken wie beispielsweise Personalmangel, Ressourcenmangel,

7%

Mehrmals täglich Täglich

22%

Mehrmals wöchentlich

28% 8%

Wöchentlich Mehrmals im Monat

21% 3% 0%

Weniger als einmal im Monat 10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

80%

90%

100%

106 von 117 Befragten (91%); Mehrfachnennungen möglich

Was überrascht, sind die Szenarien, die die Top-Manager im Alltag tatsächlich bewegen. Während die Befragten Datenklau und Wirtschaftsspionage zu den größten Gefahren für deutsche Mittelständler zählen und auch durchaus für risikorelevante Bereiche des eigenen Unternehmens halten, denkt nicht einmal ein Viertel von ihnen über mögliche Lösungen nach. Das bedeutet, die Alltagssorgen der befragten Mittelständler drehen sich um andere Dinge. Welche sind das? I.4. – Welche Risiken beschäftigen Sie momentan? 36% Veränderte gesetzliche Vorgaben und Regelungen

23% 40%

Zu wenig Personal

21% Datenschutzvorfälle

21%

Einkauf und Beschaffung (z.B. Rohstoffe)

18%

Finanzen

32% Infrastruktur

17% 14%

Anfällige Energie- und Telekommunikationsversorgung

14%

Fehlende Innovation bei Produkten / Dienstleistungen

0%

10%

20%

30%

40%

50%

60%

70%

106 von 117 Befragten (91%); Antworten total: 308; Mehrfachnennungen möglich

Seite 7

S EIEN SI E SICHER.

„Konjunktur, Wettbewerb, Finanzen und Personal sind die Kernthemen des Unternehmers, denn hier kann er handeln, strategisch tätig werden und im besten Fall ein positives Ergebnis bewirken. Im Gegensatz dazu sind Risikoszenarien abstrakt und passiv; wird der Manager hier tätig, dann bleiben sichtbare Erfolge aus. Erst langfristig ist zu beurteilen, ob ein Risikomanagement erfolgreich war, da das Vermeiden von Risiken einfach nicht so attraktiv ist, wie das aktive Steuern von wirtschaftlichen Herausforderungen – für ersteres klopft einem niemand auf die Schulter.“ Uwe Rühl

und veränderte gesetzliche Vorgaben, die tatsächlich das Denken bestimmen. how und Wirtschaftsspionage, wenn sie danach gefragt werden, welche Risiken sie persönlich beschäftigen.

Es stellt sich die Frage, warum Top-Manager die Gefahren, die sie sehen, nicht auf ihr eigenes Unternehmen übertragen. Sie stufen das Risiko, Opfer Unternehmen aber dennoch für immun.

I.5. – In welchem Bereich Ihres Unternehmens sehen Sie das größte Risikopotenzial? Fehlende oder unzureichende Mitarbeiter- / Kompetenzentwicklung

38%

Fehlende oder unzureichende Führungs- und Managementkompetenz

27% 33%

Fehlende oder unklare Unternehmensstrategie

33%

Anfällige Stromversorgung oder hohe Abhängigkeit von stabiler Stromversorgung Fehlende technische Maßnahmen

30%

Drohender Innovationsverlust

29% 0%

10%

20%

30%

40%

105 von 117 Befragten (90%); Antworten total: 439; Mehrfachnennungen möglich

Seite 8

50%

60%

70%

80%

90%

100%

Dieser Logik folgend, müssten die befragten Unternehmen gegen interne und externe Risikofaktoren gut geschützt sein. Zumindest dürften keine Sicherdas sagen die Top-Manager selbst. Die Befragten stufen ausgerechnet die Unternehmensspitze als unzuverlässig ein: 60 Prozent sehen das höchste Risikopotenzial in den Bereichen der Unternehmensstrategie (33 Prozent) sowie in der Führungs- und Managementkompetenz (27 Prozent). Das sind die ureigenen Kompetenzbereiche der befragten Personengruppe, die aus Geschäftsleitung, Senior Management und Vorständen besteht. Da die Unternehmensstrategie wesentliches Element für alle Maßnahmen ist, ist sie auch maßgeblich für die Risikosteuerung. Das wirft die Frage auf: Sind sich die Befragten bewusst, dass ihre Strategie kein wirksames Risikomanagement beinhaltet? Und wer sollte dies ändern, wenn nicht sie?

„Ich bin überrascht, dass das Top-Management die eigene Unternehmensstrategie so klar als Schwachpunkt ausmacht, wenn es um mögliche Risiken und ihre Abwehr geht. Andererseits verschließen die Unternehmer ihre Augen vor der eigenen Verantwortung, wenn sie nichts dagegen tun.“ Uwe Rühl

Seite 9

S EIEN SI E SICHER.

Teil II. Gefühlte Sicherheit –

Die Selbsteinschätzung der Top-Manager Die Führungsetagen deutscher Mittelständler sind sich möglicher Risiken bewusst und erkennen Schwachstellen im eigenen Unternehmen. Sie wissen sogar, das Risikomanagement liegt in ihrer Verantwortung und sie sind bislang dieser Aufgabe nicht ausreichend nachgekommen. Man könnte meinen: Klassische und moderne Risikoszenarien sind in den Führungsetagen deutscher Mittelständler angekommen. Soweit die Theorie.

Praktisch verdrängen und vernachlässigen die Top-Manager allerdings das Thema: Die Befragten glauben, befriedigend bis gut auf interne und externe Risikoszenarien vorbereitet zu sein. Sie sollten ihre Einschätzung anhand einer zehnstelligen Skala vornehmen; die Spanne reichte von der Aussage, dass Unternehmen gar nicht auf Zwischenfälle vorbereitet ist (eins), bis zur Einschätzung, bestmöglich gegen Krisen, Notfälle und Störungen gewappnet zu sein (zehn). Im Durchschnitt geben die Befragten einen Wert von 6,38 an. II.1. – Wie gut sind Sie Ihrer Einschätzung nach auf einer Skala von 1 bis 10 auf interne oder externe Risikoszenarien vorbereitet (z.B. Krisen, Notfälle, Störungen)? 0%

1 (tiefste Note)

2%

2 3

3%

4

6%

5

15% 16%

6

23%

7

18%

8

4%

9

2%

10

0%

5%

10%

15%

20%

25%

30%

105 von 117 Befragten (90%); 1 = überhaupt nicht vorbereitet / 10 = alle möglichen Vorsorgemaßnahmen sind getroffen

Seite 10

35%

40%

45%

50%

Keiner der Befragten glaubt, einem möglichen Risikoszenario nichts entgegensetzen zu können. Hingegen fühlen sich sechs Prozent nahezu oder gar perfekt vorbereitet. Knapp ein Viertel der befragten Mittelständler gibt sich in der Selbsteinschätzung eine der drei Spitzenbewertungen. Insgesamt sehen sich 63 Prozent im oberen Bereich der Skala und schätzen ihre Widerstandsfähigkeit gegen Risiken als gut ein

Ebenso positiv bewerten die Befragten auch ihr Risikomanagement. Mehr als die Hälfte gibt an, wirksames Risikomanagement zu betreiben. Ein weiteres Viertel erfolgreich. Einen grundsätzlichen Mangel an wirksamen Maßnahmen sehen demnach lediglich vier Prozent der Befragten.

II.2. – Wie wirksam ist Ihr Risikomanagement Ihrer Meinung nach? Sehr wirksam

11%

Wirksam

48%

Teilweise wirksam/Verbesserungspotenzial vorhanden

26% 3% 1% 0%

Wenig wirksam/erhebliches Verbesserungspotenzial vorhanden Ein Risikomanagement muss grundsätzlich erst einmal eingerichtet werden ment muss grundsätzlich erst einmal eingerichtet werden 10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

105 von 117 Befragten (90%)

Isoliert betrachtet, gibt die Selbsteinschätzung der Mittelständler Grund zur Annahme, dass sie Risikomanagement überwiegend für wichtig erachten und zudem erfolgreich umsetzen. Im Gesamtbild des Panels ergibt sich ein anderes Bild. Wenn man davon ausgeht, Risikomanagement könne nur wirksam sein, wenn es zentral gesteuert wird und alle Unternehmensbereiche durchdringt, können Unternehmer, die ihre eigene Kompetenz infrage stellen, keine hervorragenden Ergebnisse im Risikomanagement erzielen. Wunsch und Wirklichkeit driften hier auseinander. Gefühlt haben Mittelständler Risiken im Griff und da bisher noch nichts Gegenteiliges passiert ist, gibt es keine Erfahrungswerte, die diesen Glauben erschüttern.

„Viele halten ihr Risikomanagement für wirksam, nur weil es noch keinen gravierenden Zwischenfall gab.“ Uwe Rühl

Seite 11

S EIEN SI E SICHER.

Teil III. Reale Wirksamkeit –

Die Maßnahmen zur Abwehr Damit die Sicherheitslage im gesamten Unternehmen stabil bleibt, umfasst eine Risikobewertung alle erforderlichen Bereiche. Sie prüft alle Abwehrmaßnahmen auf tung hält das Sicherheitsnetz des Unternehmens engmaschig. Damit Unternehmen geeignete Präventivmaßnahmen zum Schutz gegen Risiken einsetzen können, müssen sie Unregelmäßigkeiten in verschiedenen Unternehmensbereichen beurteilen. Dazu ziehen sie u.a. Reviews und Bewertungen heran. Daraus lässt sich ableiten, wie zukünftig mit dem Risikofaktor umgegangen wird und ob weitere Maßnahmen notwendig sind.

Fast drei Viertel der befragten Top-Manager sagen, dass sie regelmäßig mögliche Bedrohungen für das Unternehmen analysieren. Eine festgelegte Methode oder gar ein strukturiertes Tool ziehen mehr als 40 Prozent für die Analyse heran. 37 Prozent der befragten Top-Manager geben an, dass sie Schwachstellen im Unternehmen

III.1. – Findet eine regelmäßige Risikobewertung / -analyse in Ihrem Unternehmen statt? Ja

71% Nein

19% 0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

80%

90%

100%

105 von 117 Befragten (90%)

III 2. – Falls ja, wie wird diese durchgeführt? Je nach Bedarf

41%

Strukturiert nach einer festgelegten Methode

38% 4% 0%

Strukturiert mit einem Tool 10%

20%

30%

40%

106 von 117 Befragten (91%); Antworten total: 280; Mehrfachnennungen möglich

Seite 12

50%

60%

70%

Wenn man der Selbsteinschätzung deutscher Mittelständler vertraut, scheint es, als würden sie die Risikobewertung sehr ernst nehmen. Dafür spricht auch, dass in fast 80 Prozent der Unternehmen Führungskräfte in die Bewertung eingebunden sind, bei knapp zwei Dritteln ist sogar die Geschäftsführung dabei. Man kann also durchaus sagen: Risikobewertung ist Chefsache.

Problematisch ist außerdem, dass Schwachstellen dort ausgemacht werden sollten, wo sie entstehen, also in den einzelnen Teilbereichen des Unternehmens. Wichtiger ist, die Risikosteuerung und der Gesamtüberblick sind auf

III.3. – Wer ist an der Risikobewertung im Unternehmen beteiligt? Geschäftsführung

64%

Führungskräfte

79% Sacharbeiter

32%

Produktionsmitarbeiter

12% 14% 0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

105 von 117 Befragten (90%); Antworten total: 236; Mehrfachnennungen möglich

„Ich vermute, dass die Unternehmer zwar eine Risikobewertung durchführen, Unternehmen betrachtet werden – doch eine umfassende, strukturierte Methode wenden die wenigsten Firmen an. “ Uwe Rühl

Ein Blick auf die letzten großen Maßnahmen, die die befragten Unternehmen umgesetzt haben, offenbart: zur Vorbereitung auf Risikoszenarien werden meist Einzelmaßnahmen ergriffen. Für lediglich 17 Prozent der Befragten stellte die Risikobewertung die umfangreichste Maßnahme der vergangenen drei

Seite 13

S EIEN SI E SICHER.

Jahre dar. Wie bereits ausgeführt, ist die Risikobewertung eine alle Bereiche umfassende, strukturierte Vorgehensweise. Hier hätte man also vermuten können, dass mehr Befragte diese Antwort wählen.

III.4. – Welche Maßnahmen haben Sie in den letzten drei Jahren ergriffen, um Ihr Unternehmen vor Risiken zu schützen (wenn Sie mehrere Maßnahmen ergriffen haben, wählen Sie hier bitte die umfangreichste)? Ein Notfallmanagement eingeführt

9% 10%

Eine Krisenübung durchgeführt Bauliche Maßnahmen durchgeführt

12%

Veränderungen in der IT vorgenommen

21%

Eine regelmäßige Risikobewertung durchgeführt und entsprechende Maßnahmen abgeleitet

17% 16%

Mitarbeiter geschult und sensibilisiert Ein Sicherheitsmanagementsystem eingeführt (z.B. Informationssicherheitsmanagementsystem oder Business-Continuity-Management-System)

5% 0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

105 von 117 Befragten (90%)

Für fast ein Viertel waren Baumaßnahmen oder Krisenübungen die größte Investition in ihr Risikomanagement. Es muss die Frage gestellt werden, ob die Mittel hier immer nach den tatsächlich nötigen Prioritäten verwendet werden. Nur fünf Prozent der befragten Unternehmen führten ein strukturiertes Sicherheitsmanagementsystem ein. Im Umkehrschluss heißt das: Die allermeisten mittelständischen Unternehmen verfügen noch nicht über ein strukturiertes, auf Normen basierendes Managementsystem zum Schutz vor Risiken. Dies lässt den Schluss zu, das Thema hat im Mittelstand noch keine allzu große Popularität.

setzen. Im Mittelstand ist das anders. Wer nicht gerade von seiner Wirtschaftsprüfungsgesellschaft darauf gebracht wurde, sah bislang vielleicht einfach keinen Anlass dazu, mögliche Risiken aufzuschlüsseln und einen Maßnahmeplan zu erarbeiten. Die Gefahren für Konzerne und Mittelständler ähneln sich dabei. Und einem potenziellen Angreifer dürfte die Gesellschaftsform des Unternehmens gänzlich egal sein – für ihn zählt allein der Wert der Daten oder der Schaden, den er anrichten kann. “ Uwe Rühl

Seite 14

Die Informationstechnik ist ganz offensichtlich der Bereich, der beim Thema Risikomanagement im Fokus steht. Kein Wunder, schließlich sind Datendiebstahl und Spionage reale Bedrohungen, die unmittelbar mit zunehmenden technischen Möglichkeiten zusammenhängen.

umfassende Änderungen in den vergangenen drei Jahren vornahmen. Hier der mittelständischen Unternehmen hat die IT diesbezüglich auf dem Radar. ein hohes Schutzbedürfnis haben bzw. besonders interessant für Angreifer sein dürften.

III.5. – In welchen Bereichen Ihres Unternehmens werden Risiken systematisch erfasst und behandelt?

Forschung und Entwicklung

26% 61%

IT Finanzbuchhaltung

37%

Personalabteilung

38% Produktion

23% 27%

Marketing und Vertrieb Versand / Logistik

15% 0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

106 von 117 Befragten (91%); Antworten total: 308; Mehrfachnennungen möglich

während in der Forschung und Entwicklung sogar die innovativsten Ideen des sind das die Abteilungen, in denen Risiken systematisch erfasst werden. Ihre Datenschätze könnten damit zugänglich wie ein offenes Buch sein. Die Antworten zeigen auch, dass die meisten Unternehmen nur einzelne Bereiche risikorebewertung verfolgen.

Seite 15

S EIEN SI E SICHER.

III.6. Welche Standards und Leitfäden zu Risikomanagement gibt es in Ihrem Unternehmen?

Anlehnung an die ISO 31000

26% 12%

BCM nach ISO 22301

18%

BSI-Standard 100-4 Notfallmanagement

18%

ISO/IEC 27001 Informationssicherheitsmanagement ISO/IEC 27005 Leitfaden für Risikomanagement in der Informationssicherheit

14% 0%

ONR 49000-Reihe

3%

ISO 28000 Absicherung der Lieferkette

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

105 von 117 Befragten (90%)

Um alle Felder im Risikomanagementansatz zu erfassen, ist es sinnvoll, sich an einem Leitfaden zu orientieren. Ein Viertel der Befragten arbeitet nach ISO 31000, dem internationalen Leitfaden für Risikomanagement. Dass sich der Großteil der Unternehmen an Leitfäden aus der Informationstechnik orientiert, bestätigt wiederum die starke Fokussierung auf den Bereich IT, der sich durch das Panel zieht. Es zeigt sich auch, die speziellen Normen für das Risikomanagement sind noch nicht populär genug.

„Das Problem ist nicht, den Unternehmern erst erklären zu müssen, dass es Risiken gibt. Oft wollen sie es einfach nicht so genau wissen. Und weil es schwer ist, „das Risiko“ zu begreifen, verfallen die Unternehmer in ein Silodenken. Sie konzentrieren sich also nur auf Teilbereiche ihres Unternehmens – und schützen auch nur diese.“ Uwe Rühl

Seite 16

50%

Teil IV.

Zusammenfassung Die Befragung des Topmanagements mittelständischer Unternehmen zeigt: Deutsche Unternehmen sind risikobewusst und erkennen, dass ein gut aufgestelltes Risikomanagement ihren Unternehmenserfolg nachhaltig fördern kann nahmen auf der Agenda, die nicht ausreichen, das Unternehmen umfassend auf interne und externe Gefahrensituationen vorzubereiten. Die befragten Mittelständler planen nicht langfristig genug, um Risiken tatsächlich gezielt steuern zu können. Spitzenmanager benennen zwar gravierende Risikofaktoren für den Mittelstand auch im eigenen Unternehmen, sind sich der Gefahren aber nur begrenzt bewusst: Neben klassischen Unternehmerthemen fürchten sie am sowie Wirtschaftsspionage. In vielen Fällen besteht die Risikoabwehr aus weitgehend unstrukturierten und auf einzelnen Unternehmensbereichen konzentrierten Maßnahmen. Wenige Mittelständler dürften demnach auf Bedrohungen vorbereitet sein, die des Unternehmens leidet. Trotz Mängel und dem Bewusstsein über die Geein Zustand, für den es zu sensibilisieren gilt.

Seite 17

S EIEN SI E SICHER.

Teil V.

Hintergrundinformationen zur Studie Sicherheit ist nicht nur seine Expertise, sondern auch seine Leidenschaft. Uwe Rühl kennt Extremsituationen aus seiner früheren Tätigkeit in Rettungsdienst, Feuerwehr und Katastrophenschutz. Heute sorgt er mit seinem Spezialistenteam dafür, dass Konzerne und Mittelständler Risiken rechtzeitig erkennen sichern und die Kontrolle zu behalten. Die Schwerpunkte von RÜHLCONSULTING sind Informationssicherheits-, Risiko- und Business-Continuity-Management und die Verknüpfung mit integrierten Managementsystemen. Das Expertenteam sitzt in Nürnberg.

Design der Befragung An dem Panel beteiligten sich 117 mittlere und große Unternehmen aus dem deutschen Mittelstand; von ihnen ist knapp die Hälfte familiengeführt. Die Untersuchung fand branchenübergreifend statt. Der überwiegende Teil kann folgenden Bereichen zugeordnet werden: Dienstleistung, Maschinen- und Anlagenbau, Konsumgüter, Handel, Transport und Logistik. Etwa ein Drittel der Unternehmen ist international tätig. Mehr als 90 Prozent der Befragten gehören der Top-Managementebene an und sind Geschäftsführer, Mitglied der Geschäftsleitung oder des Vorstands sowie Senior Manager. Die Online-Erhebung fand im Herbst 2013 statt. Der Verzicht auf gleichzeitige Nennung von männlicher und weiblicher Form ist ausschließlich der besseren Lesbarkeit und Verständlichkeit des Textes geschuldet. Selbstverständlich schließt die verwendete männliche Form auch Frauen ein.

Seite 18

Polizei Dein Partner (Das Präventionsportal): Artikel zum „Bundeslagebild Wirtschaftskriminalität 2010“, „Wirtschaftskriminalität in Zahlen. Jeder vierte Täter betrügt per Internet“

I.1.

Was sind Ihrer Meinung nach momentan die größten Gefahren für mittelständische Unternehmen in Deutschland?

I.2.

Wo liegen Ihrer Einschätzung nach die größten Risiken in Ihrem Unternehmen?

I.3.

Wie oft machen Sie sich Gedanken über mögliche Risiken wie beispielsweise Wirtschaftsspionage oder Preisschwankungen für Ihr Unternehmen?

I.4.

Welche Risiken beschäftigen Sie momentan?

I.5.

In welchem Bereich Ihres Unternehmens sehen Sie das größte Risikopotenzial?

II.1.

Wie gut sind Sie Ihrer Einschätzung nach auf einer Skala von 1 bis 10 auf interne oder externe Risikoszenarien vorbereitet (z.B. Krisen, Notfälle, Störungen)?

II.2.

Wie wirksam ist Ihr Risikomanagement Ihrer Meinung nach?

III.1.

Findet eine regelmäßige Risikobewertung / -analyse in Ihrem Unternehmen statt?

III.3.

Wer ist an der Risikobewertung im Unternehmen beteiligt?

III.4.

Welche Maßnahmen haben Sie in den letzten drei Jahren ergriffen, um Ihr Unternehmen vor Risiken zu schützen (wenn Sie mehrere Maßnahmen ergriffen haben, wählen Sie hier bitte die umfangreichste)?

III.5.

In welchen Bereichen Ihres Unternehmens werden Risiken systematisch erfasst und behandelt?

III.6.

Welche Standards und Leitfäden zu Risikomanagement gibt es in Ihrem Unternehmen?

Seite 19

S EIEN SI E SICHER.

RÜHLCONSULTING – Mehr Kontrolle und Sicherheit in Ihrer Hand!

Kontakt

Impressum

Telefon: +49.911.477528-0 Email: [email protected] Internet: www.RUEHLCONSULTING.de

Verantwortlich i. S. d. P.: Stephanie Niemann, ppa.

RÜHLCONSULTING GmbH Neumeyerstraße 48 90411 Nürnberg

© 2013 RÜHLCONSULTING GmbH Irrtum vorbehalten. Bitte beachten Sie unsere Allgemeinen Geschäftsbedingungen.