An der Risk-!n 2026 in Zürich war Cybersicherheit das beherrschende Thema. Experten aus der Industrie waren sich einig: Wer Cyberrisiken weiterhin allein der IT-Abteilung überlässt, handelt fahrlässig.
Filip Talac, CEO von Quantum Fort AG, eröffnete seinen Vortrag an der achten Ausgabe der Risk-!n 2026 Konferenz mit einer Geschichte, die im Saal für Stille sorgte. Ein Bierkonzern verlor im vergangenen Jahr 4,2 Millionen Dollar an einem einzigen Nachmittag, nicht weil eine Firewall versagte, sondern weil der CFO auf eine gefälschte E-Mail des Firmenchefs hereinfiel und eine Überweisung tätigte. Die IT-Abteilung hatte ihren Job tadellos gemacht. Das Versagen war ein Governance-Versagen, kein technisches.
Genau das ist Talacs zentrales Argument: Cybersicherheit wurde jahrzehntelang falsch eingerahmt. Wer sie als IT-Problem behandelt, erhält IT-Lösungen: mehr Alerts, mehr Komplexität, mehr Tools. Heute betreibt ein durchschnittliches Unternehmen zwischen 60 und 80 Sicherheitstools, und dennoch erreichen die Kosten von Datenpannen weltweit Rekordhöhen von durchschnittlich 4,9 Milliarden Dollar pro Vorfall.
Die Sprache der Führungsetage
Besonders kritisch sieht Talac die Kommunikation zwischen IT und Vorstand. Wenn ein CISO von «CVE-2024-12345» und «847 ausstehenden Alerts» spricht, versteht im Saal ausser ihm selbst niemand, welche Entscheidungen zu treffen wären. Führungskräfte führen auf Basis von Geschäftsergebnissen, nicht auf Basis von IT-Metriken. Die richtigen Fragen lauten: Welche Exposition könnte uns am stärksten schaden? Wer entscheidet was und wie schnell, wenn es passiert? Und geben wir tatsächlich den richtigen Betrag aus?
Als Beispiel nannte Talac ein Gesundheitsunternehmen mit zwölf Sicherheitsspezialisten, sieben Sicherheitstools und Millionenbudget, das aber nicht beantworten konnte, wer entscheidet, ob bei einem Datenbankausfall Termine abgesagt werden. Als sechs Monate später ein Ransomware-Angriff erfolgte, erkannte das IT-Team den Einbruch innerhalb von zwei Stunden. Die Geschäftsleitung debattierte dann elf Stunden über die Reaktionsstrategie, drei verschiedene Manager erteilten widersprüchliche Anweisungen, und der COO autorisierte die Lösegeldzahlung ohne Rücksprache mit dem Verwaltungsrat.
Quantifizierung schlägt Intuition
Eine weitere Konferenz-Session vertiefte das Thema aus der Perspektive der Risikofinanzierung. Julien Chamonal, Chief Revenue Officer von Citalid, betonte, dass Cyberrisiken erst dann wirklich steuerbar werden, wenn sie in Franken und Euros ausgedrückt werden können. Ein CISO, der für ein Budget kämpft, kommt mit quantifizierten Risikoreduzierungen beim CFO wesentlich weiter als mit Ampelfarben. Die CRO-Perspektive lieferte Serena Fioravanti von ABN AMRO: Bei der Bank werde Cyberrisiko heute primär als Resilienzthema behandelt, nicht als klassisches Kapitalrisiko, aber die Entwicklung gehe klar in Richtung Quantifizierung.
Mark Sweeney von Munich Re fasste es aus Versicherersicht zusammen: Reife Kundinnen und Kunden seien jene, die die Risikoquantifizierungsübung gemacht haben, weil nur so ein sinnvoller Risikotransfer möglich wird. Die Botschaft der Konferenz war eindeutig: Cybersicherheit gehört in den Verwaltungsrat, nicht in den Serverraum.
Binci Heeb
Lesen Sie auch: LBC Insurance Radar #12: Cyber, ESG und Broker im Umbruch
Suche:
Sponsoren:
