Welchen Platz nimmt das Risikomanagement bei CISOs ein - warum ist es so wichtig?
CISOs werden immer stärker in Organisationen eingebunden, was eine zunehmende Konzentration auf Risikomanagementund zwar nicht nur aus der Perspektive der Bedrohung, sondern auch aus der Perspektive der Betriebs- und Geschäftslogik.
Eine wachsende Bedrohungslandschaft hat die Rolle des CISO schnell zu einer der einflussreichsten Positionen auf C-Level gemacht. Es überrascht nicht, dass sich der Aufgabenbereich von CISOs ständig erweitert und weit über die ursprünglichen Ziele der Cybersicherheit, nämlich den Schutz von Infrastruktur und Daten, hinausgeht.
In diesem Artikel werden wir uns eingehend damit befassen, was Risikomanagement im Zusammenhang mit der Rolle des CISO ist. Wir werden auch erörtern, warum das Risikomanagement für CISOs so wichtig geworden ist und welche Schritte CISOs unternehmen können, um die Informationssicherheit und das Geschäftsrisiko in ihren Organisationen zu mindern.
Einführung in CISOs und Risikomanagement
CISO ist die Abkürzung für Chief Information Security Officer. Aber was genau beinhaltet die Rolle des CISO, wenn man auch Rollen wie den Chief Information Officer (CIO) und den Chief Security Officer (CSO) in Betracht zieht? Und was meinen wir, wenn wir von Risikomanagement für CISOs sprechen? Werfen wir einen Blick darauf.
CISOs sind für die Informations- und Datensicherheit in einem Unternehmen verantwortlich. Wenn man über die Ursprünge der Rolle nachdenkt, bedeutet das in der Praxis, dass CISOs vor Cybersecurity-Bedrohungen - Eindringlinge, Ransomware und so weiter - schützen mussten.
Traditionell sind CISOs mit der Leitung eines Teams von Cybersicherheitsexperten betraut, die sich auf praktische Aspekte wie Perimeterverteidigung, Schwachstellenmanagement und verwandte Bereiche konzentrieren. Zu den wichtigsten Aufgaben des CISO gehören in diesem Zusammenhang die Planung der Bedrohungsabwehr, die Überwachung der gesamten Cybersicherheitsumgebung und die Gewährleistung des Schutzes der Infrastruktur und der Informationsbestände vor internen und externen Bedrohungen.
CISO vs. CIO & CSO
Wo steht der CISO im Vergleich zum CIO und CSO? Betrachtet man die Technologiefunktionen auf der C-Ebene, so ist der CIO die höchste Position. Chief Information Officers berichten fast immer direkt an den CEO und sind für die gesamte IT-Strategie verantwortlich - einschließlich IT-Investitionen, digitale Transformation usw.
In großen Unternehmen wiederum ist der CISO dem CIO unterstellt - in kleineren Organisationen kann der CISO aber auch direkt dem CEO unterstellt sein.
Welchen Platz nimmt der CSO ein? Das hängt von der jeweiligen Organisation ab. Die Positionen des CISO und des CSO könnten in gewisser Weise austauschbar sein. Dennoch könnte man sich einen CSO als einen Mitarbeiter der Führungsebene vorstellen, der für die organisatorische Sicherheit in einem eher greifbaren oder physischen Sinne verantwortlich ist - und weniger in Bezug auf die Informationssicherheit. Große Organisationen haben sowohl einen CSO als auch einen CISO in unterschiedlichen Funktionen.
Die Rolle des CISO im Risikomanagement
Was macht ein CISO im Alltag? Schon von Anfang an war die Rolle des CISO relativ komplex - wie man es von einer C-Level-Rolle erwarten würde. Die Aufgaben des CISO lassen sich in vier Hauptbereiche unterteilen:
- Bestimmen Sie kritische Elemente: Zu verstehen, was gefährdet ist, ist ein wichtiger erster Schritt für CISOs, da man nicht schützen kann, was man nicht kennt. Im Rahmen dieses Prozesses führen CISOs eine Bewertung durch, um die kritischsten Infrastrukturen, Systeme und Daten zu ermitteln, da der Verlust des Zugriffs auf diese Elemente zu erheblichen Schäden führen kann.
- Schutz vor Bedrohungen: Im Kern schützen CISOs Unternehmen vor internen und externen Bedrohungen. Mit einer Mischung aus Hardware, Software und Richtlinien schützen CISOs vor diesen Bedrohungen und schränken so die Möglichkeiten von Cyberkriminellen ein, in Systeme einzudringen und diese zu missbrauchen, oder von internen Mitarbeitern, Schaden anzurichten.
- Überwachung: Der Schutz vor Bedrohungen ist hilfreich, aber CISOs brauchen auch Frühwarnsysteme, um sicherzustellen, dass Sicherheitsteams schnell auf sich entwickelnde Bedrohungen reagieren können. Dazu gehört eine kontinuierliche Systemüberwachung mit frühzeitiger Benachrichtigung.
- Wiederherstellung und Kontinuität: Schutz hilft, aber selbst für die kompetentesten CISOs bleibt das Risiko eines erfolgreichen Verstoßes bestehen. In solchen Fällen ist die Fähigkeit, schnell zu reagieren, von entscheidender Bedeutung für die Aufrechterhaltung der Geschäftskontinuität. Dazu gehört auch die Implementierung von Strategien, die die Wiederherstellung kritischer Systeme beschleunigen und den normalen Betrieb so schnell wie möglich wiederherstellen.
Verstehen von Risikomanagement
Jede Organisation ist mit unerwünschten Ereignissen konfrontiert. Mit unerwünschten Ereignissen meinen wir die Möglichkeit, dass etwas schief geht und den Betrieb oder sogar die Existenz des Unternehmens gefährdet. Früher waren es Dinge wie Dürren, Stürme oder physische Diebstähle, über die sich Unternehmen Sorgen machten.
Die Unternehmen von heute sind mit einer Reihe von Bedrohungen im Zusammenhang mit der Informationstechnologie konfrontiert: Cyberkriminalität, Ausfall der Infrastruktur, Datenverlust usw. Jedes dieser unerwünschten Ereignisse birgt ein Risiko. Mit dem Risiko ist die Wahrscheinlichkeit verbunden, dass das Ereignis eintritt - und auch die damit verbundenen Kosten.
Risikomanagement ist also ein grundlegender Prozess, bei dem es darum geht, diese negativen Angriffe, denen eine Organisation oder eine Einzelperson ausgesetzt sein könnte, zu erkennen, zu bewerten und abzumildern. Mit anderen Worten, es ist ein proaktiver Ansatz, um potenzielle Risiken zu antizipieren und Maßnahmen zu ergreifen, um deren Wahrscheinlichkeit oder Auswirkungen zu verringern.
Dazu gehört ein breites Spektrum an Aktivitäten, z. B. die Einführung von Sicherheitskontrollen zur Verhinderung von Datenschutzverletzungen, die Entwicklung von Notfallplänen zur Gewährleistung der Geschäftskontinuität im Falle eines größeren Ausfalls oder die Durchführung regelmäßiger Sicherheitsinspektionen zur Ermittlung und Minderung von Gefahren am Arbeitsplatz.
Der Prozess des Risikomanagements läuft wie folgt ab:
Risikoidentifizierung und -analyse
Die Ermittlung und Analyse von Risiken ist ein entscheidender Schritt im Risikomanagementprozess. Ihre Organisation identifiziert potenzielle negative Ereignisse, die sich negativ auf Vermögenswerte, Prozesse und Ergebnisse auswirken können. Nach der Identifizierung bestimmen Sie die potenziellen Kosten, die mit dem Risiko verbunden sind - unabhängig davon, ob diese geringfügig, leicht aufzufangen oder katastrophal für Ihr Unternehmen wären.
Risikominderung
Anhand des Ergebnisses des vorangegangenen Schritts wissen Sie, ob ein Risiko akzeptabel ist - oder ob Sie spezielle Kontrollen zur Risikominderung einrichten müssen, um ein potenziell katastrophales Ergebnis abzuwenden. Bei der Risikominderung geht es nicht nur um Vorbeugung, sondern auch um Notfallpläne, die sicherstellen, dass der Geschäftsbetrieb auch im schlimmsten Fall weiterläuft.
Risikoüberwachung
Der letzte Schritt eines wirksamen Risikomanagements ist die laufende Überwachung, um Veränderungen in der Risikolandschaft zu erkennen. Die Risikoüberwachung hilft Ihrem Unternehmen auch dabei, ein unerwünschtes Ereignis zu erkennen, das noch nicht eingetreten ist, sich aber bereits abzeichnet.
Dies ist nur eine Einführung in die typischen Schritte, die eine Organisation auf dem Weg zum Risikomanagement unternimmt, und CISOs haben natürlich besondere Vorrechte, wenn es um das Risikomanagement geht.
Unternehmensrisikomanagement und der CISO
Organisationen können mit Hilfe von ERM (Enterprise Risk Management) als strategischem Rahmenwerk Risiken in ihrer gesamten Infrastruktur ermitteln, bewerten und verringern. Es bietet eine systematische Strategie zum Verständnis von Schwachstellen, zur Ausführung von Plänen und zur wirksamen Reaktion auf Zwischenfälle. Durch die Integration von ERM-Techniken in ihre täglichen Abläufe können Unternehmen potenzielle Risiken proaktiv erkennen und die Robustheit ihrer Systeme gewährleisten.
Der CISO leitet die Sicherheitslage der Organisation, die eine zentrale Rolle im Risikomanagement des Unternehmens einnimmt. Er arbeitet mit verschiedenen Abteilungen zusammen, um Sicherheitsrichtlinien umzusetzen, Risikoanalysen durchzuführen und Strategien zur Reaktion auf Vorfälle zu entwickeln. Der CISO ist ein wichtiger Verbündeter bei der Koordinierung von Sicherheitsmaßnahmen mit den Unternehmenszielen.
Die Überbrückung der Kluft zwischen technischen Cybersicherheitsmaßnahmen und Geschäftszielen ist eine der Hauptaufgaben des CISO im ERM. CISOs müssen Sicherheitsstrategien mit den Zielen und Prioritäten des Unternehmens koordinieren und dabei Kosten, Produktivität und Kundenzufriedenheit berücksichtigen. Der CISO hilft bei der Risikominderung und fördert gleichzeitig Innovation und Wachstum, indem er Sicherheitsfragen in den Entscheidungsprozess einbezieht.
Warum ist Risikomanagement für CISOs so wichtig?
Da heute fast jedes Unternehmen für den täglichen Betrieb auf Technologielösungen angewiesen ist und die Technologie immer tiefer in die Geschäftsprozesse integriert wird, wird die Trennung zwischen Technologie und dem Rest des Unternehmens sehr dünn.
Um die Bedrohungen für die Technologiebereitstellung wirksam zu bewältigen, können sich CISOs nicht mehr nur auf die Technik konzentrieren - ein CISO muss sich auf die geschäftlichen Aspekte konzentrieren, da Sicherheitsprobleme in der Informationstechnologie von Natur aus auch geschäftliche Probleme sind.
Dabei muss der CISO über die traditionellen IT-Sicherheitsaufgaben - Schutz, Reaktion usw. - hinausblicken und sich stattdessen auf die Risikobewertung konzentrieren, d. h. auf die Suche nach negativen Ereignissen, die eine Bedrohung für das Unternehmen darstellen, und zwar sowohl in Bezug auf das Geschäft als auch auf die IT.
Geschäftsprozesse verbinden sich mit IT
Wie wir bereits angedeutet haben, ist das Risikomanagement für CISOs immer wichtiger geworden, da die Geschäftsprozesse direkt mit der IT verbunden sind, was sich wiederum auf die IT-Risiken auswirkt. Mit anderen Worten: Die Risiken eines IT-Ausfalls hängen nicht nur mit Bedrohungen zusammen - auch interne Geschäftsprozesse können Risiken schaffen.
Wenn sich CISOs ausschließlich auf technische und externe Bedrohungen konzentrieren, ohne einen Risikomanagement-Ansatz zu verfolgen, der den breiteren Unternehmenskontext berücksichtigt, bedeutet dies, dass CISOs in Bezug auf den Schutz, den sie dem Unternehmen wirklich bieten können, eingeschränkt sind.
Ein wirksames Risikomanagement, das die Risiken umfassend kompensieren kann, erfordert eine genaue Kenntnis der Geschäftsabläufe und der damit verbundenen Abhängigkeiten. Mit anderen Worten: Der CISO muss ein Unternehmen, seine Entscheidungsverfahren und die Entscheidungen selbst verstehen, um ein robustes Sicherheitskonzept zu entwerfen. Ein Risikomanagement-Ansatz ist für diesen Prozess von zentraler Bedeutung.
Bedrohungen können versteckt sein
Ein risikobasierter Ansatz, bei dem das Geschäft im Vordergrund steht, ist auch deshalb wichtig, weil sich Sicherheits- und Betriebsbedrohungen verstecken können - manchmal sogar im Verborgenen. Die CISOs von heute wissen, dass Sicherheitsrisiken nicht nur Cyber-Bedrohungen sind - die Aufgabe des CISOs ist es, über die offensichtlichen Ziele hinaus zu schauen, z. B. Rechenzentren, IoT und Edge Computing.
Sicherheitsrisiken können sich auch in Geschäftsprozessen verstecken. Mit einem Risikomanagement-Ansatz sind CISOs besser in der Lage, die weniger offensichtlichen Risiken zu erkennen - und die Risiken, die in komplizierteren Geschäftsprozessen stecken.
Darüber hinaus müssen CISOs auch die mit menschlichen Fehlern verbundenen Risiken berücksichtigen. Mit anderen Worten: Was passiert, wenn Mitarbeiter bei ihren täglichen Aufgaben Fehler machen - und was passiert, wenn bei der Implementierung oder dem Betrieb der Technologie etwas Unerwartetes schief geht?
Das Regulierungsregime
Schließlich lohnt es sich, das Compliance-Risiko zu betrachten. Aus Sicht der Informationstechnologie hat die Einhaltung von Vorschriften heutzutage ein enormes Gewicht. Normen wie ISO 27001, HIPAA, NIST 800-53und PCI DSS können zu hohen Geldstrafen führen, wenn Unternehmen die Mindestanforderungen nicht erfüllen. Die Nichteinhaltung von Vorschriften kann auch zum Verlust von Kunden oder zu Schwierigkeiten bei der Gewinnung neuer Aufträge führen.
CISOs müssen die Einhaltung von Vorschriften in ihr Risikomanagementkonzept einbeziehen. Mit anderen Worten: Wie hoch ist das Risiko eines Verstoßes gegen die Compliance-Standards? Und welche Folgen hat die Nichteinhaltung der Mindeststandards für das Risikomanagement, die in diesen Compliance-Standards enthalten sind?
Risikomanagement-Herausforderungen für CISOs
Bei der Bewertung von Bedrohungen der Informationssicherheit müssen CISOs nicht nur auf Schutz und Abhilfemaßnahmen achten. Stattdessen erfordert ein Risikomanagement-Ansatz, dass CISOs bewerten, was am meisten gefährdet ist und was am kostspieligsten zu beheben ist.
Die Rolle des CISO besteht jedoch auch darin, die gesamte Organisation und die ihr zugrunde liegenden Geschäftsprozesse zu berücksichtigen. Einige der gefährlichsten Bedrohungen können darin bestehen, dass diese Prozesse schief laufen, während einige scheinbar weniger ernsthafte Bedrohungen erhebliche Auswirkungen auf die Prozesse haben können. Es ist die Aufgabe des CISO, zu ermitteln, wo diese realen, bedeutenden Risiken liegen, und Strategien zu entwickeln, um sie wirksam zu bekämpfen.
Auch das Risiko von Anbietern und Zulieferern ist wichtig
Unternehmen sind bei der Erfassung, Übertragung und Speicherung von Daten zunehmend von Drittanbietern abhängig. Allein die Nutzung eines Cloud-Anbieters, wie sie heutzutage fast jedes Unternehmen vornimmt, birgt Risiken für das Unternehmen.
Während CISOs ihr Bestes tun, um die von ihnen verwaltete technologische Infrastruktur vor Bedrohungen zu schützen, müssen CISOs ebenso wachsam sein, wenn es um Anbieter geht. Auch hier sollten die CISOs einen Risikomanagement-Ansatz verfolgen. Anbieter müssen überwacht werden, und CISOs müssen die Sicherheitskontrollen der Anbieter bewerten, um sicherzustellen, dass die Infrastruktur und die Daten ihres Unternehmens nicht gefährdet sind.
Verknüpfung des IT-Risikomanagements mit dem Management von Geschäftsrisiken
Es sollte inzwischen klar sein, dass die Aufgaben eines CISO im Bereich Sicherheit und Risikomanagement nicht in einer vom Rest des Unternehmens isolierten Technologieblase existieren. Das Risikomanagement wird bereits in viele Geschäftsfunktionen integriert sein; große Organisationen werden erhebliche Ressourcen für das Risikomanagement im gesamten Unternehmen aufwenden.
CISOs sollten eng mit anderen Geschäftsbereichen zusammenarbeiten, um das Risikomanagement zu integrieren, indem sie das Wissen über Technologierisiken in das breitere Bild des Risikomanagements einbringen und gleichzeitig auf die Gesamtrisikobewertung des Unternehmens zurückgreifen, um festzustellen, wie sich diese auf das IT-Risiko auswirkt.
Der CISO sollte die Organisation zu bewährten Verfahren zur Risikominderung drängen, insbesondere im Bereich der IT-Infrastruktur, z. B. durch die Einführung strikter, vorzugsweise automatisierter Mechanismen zur Bereitstellung von Sicherheitspatches, geeigneter Support-Optionen für erworbene Systeme (um sicherzustellen, dass die Systeme stets mit neuen Firmware-Versionen ausgestattet sind), Treibern und technischer Unterstützung sowie zuverlässiger und regelmäßiger Sicherheitsaudits, die entweder von internen Teams (sofern sie über das entsprechende Know-how verfügen) oder von seriösen externen Auftragnehmern durchgeführt werden, um einen klaren Überblick über das aktuelle Sicherheitspanorama zu erhalten - neben vielen anderen Dingen.
Einige Unternehmen werden nicht über die Ressourcen verfügen, um all diese Ziele ordnungsgemäß zu erreichen, aber es gibt Lösungen, die dies ermöglichen - wie die von TuxCare - die dem CISO helfen, seine Rolle effektiver zu erfüllen.
Jedes IT-Risiko, das bekannt ist und zugelassen wird, wie z. B. ein nicht gepatchtes System oder ein Server mit einer Firewall-Fehlkonfiguration, lässt sich direkt in ein Geschäftsrisiko umwandeln - Risiko einer Datenverletzung, Risiko der Nichteinhaltung von Vorschriften, Reputationsrisiko, finanzielles Risiko, Risiko des Diebstahls von geistigem Eigentum oder operatives Risiko - und alle, oder eigentlich jedes, dieser Risiken werden dem Unternehmen großen Schaden zufügen.
Flüssig kommunizieren
Ein wichtiger Bestandteil des Risikomanagementprozesses ist die Kommunikation und Konsultation. Wichtige Details über Risiken werden wohl erst in einer breiteren Diskussion zutage treten. Mit anderen Worten: Eine echte Risikobewertung setzt voraus, dass man mehrere Perspektiven einnimmt.
Für CISOs bedeutet dies, dass sie die Befehlskette hinunter kommunizieren und eng mit den Mitarbeitern vor Ort zusammenarbeiten müssen, um versteckte Risiken aufzuspüren. Es bedeutet auch eine klare Kommunikation mit der Führungsebene, um IT-Risiken bekannt zu machen und vollständig zu verstehen.
Bewältigung von Interessenkonflikten
Das Risikomanagement kann auch zu einem Interessenkonflikt führen. So kaufen und verwalten CIOs beispielsweise technologische Anlagen, was zu einem Konflikt zwischen den Kosten und dem Ersatz älterer Anlagen und der Einrichtung neuer, sicherer und risikofreier Anlagen führen kann.
Die Aufgabentrennung ist daher von entscheidender Bedeutung, und CISOs sollten ihre Pflichten als Risikomanager konsequent wahrnehmen, um sicherzustellen, dass die eingesetzte Technologie das Risikomanagement in Ihrem Unternehmen unterstützt. Ähnlich verhält es sich mit Geschäftsprozessen, bei denen Effizienz und Risikoaversion aufeinanderprallen können. Auch hier sollten CISOs sicherstellen, dass die IT-Sicherheit niemals durch geschäftliche Effizienz beeinträchtigt wird.
Wie CISOs Risiken reduzieren können
Durch die Implementierung einer effizienten Risikotaktik können CISOs sicherstellen, dass die kritischen Vermögenswerte ihrer Organisation, einschließlich sensibler Informationen und Systeme, vor potenziellen Bedrohungen geschützt bleiben. Darüber hinaus hilft ein effektives Risikomanagement den CISOs dabei, Prioritäten für ihre Sicherheitsinvestitionen zu setzen und die Ressourcen den Bereichen zuzuweisen, die die meiste Aufmerksamkeit erfordern.
- Durchführen regelmäßiger Risikobewertungen: Durch eine regelmäßige Bewertung der potenziellen Risiken, mit denen ihr Unternehmen konfrontiert sein könnte, können CISOs die wichtigsten Risiken ermitteln und nach Prioritäten ordnen und wirksame Strategien zur Risikominderung entwickeln.
- Entwicklung und Umsetzung von Sicherheitsrichtlinien und -verfahren: CISOs können das Risiko verringern, indem sie umfassende Sicherheitsrichtlinien und -verfahren entwickeln und implementieren, die mit den bewährten Praktiken der Branche und den gesetzlichen Anforderungen übereinstimmen.
- Laufende Schulungen zum Sicherheitsbewusstsein: CISOs können zur Risikominderung beitragen, indem sie ihren Mitarbeitern fortlaufend Schulungen zum Sicherheitsbewusstsein anbieten, um sicherzustellen, dass sie sich potenzieller Sicherheitsbedrohungen bewusst sind und wissen, wie sie darauf reagieren können.
- Implementierung von Sicherheitskontrollen: CISOs können das Risiko verringern, indem sie wirksame Sicherheitskontrollen wie Firewalls, Intrusion-Detection-Systeme und Verschlüsselung implementieren, um die kritischen Ressourcen ihres Unternehmens vor potenziellen Bedrohungen zu schützen.
- Entwicklung und Umsetzung von Reaktionsplänen für Zwischenfälle: CISOs können das Risiko verringern, indem sie Pläne für die Reaktion auf Sicherheitsvorfälle entwickeln und umsetzen, in denen die Schritte festgelegt sind, die im Falle eines Sicherheitsvorfalls zu unternehmen sind. Auf diese Weise kann die Organisation schnell und effektiv auf Sicherheitsvorfälle reagieren und deren Auswirkungen minimieren.
Live-Patching für das Risikomanagement
Live-Patching bietet erhebliche Vorteile für das Risikomanagement von Unternehmen. Es handelt sich um einen automatisierten, unterbrechungsfreien Patching-Ansatz, der die Cybersicherheit verbessert, indem er Schwachstellen schließt und so das Risiko von Angriffen verringert. Darüber hinaus kann es für verschiedene Technologiedienste eingesetzt werden, darunter Linux-Betriebssysteme für Unternehmen, Datenbanken und häufig verwendete Softwarebibliotheken.
TuxCare bietet KernelCare Enterprisean, das alle gängigen Distributionen live patcht, darunter CentOS, AlmaLinux, Debian, RHEL, Ubuntu, Oracle Linux, Amazon Linux, CloudLinux, Rocky Linux und viele mehr.
Wenn Sie mehr darüber erfahren möchten, wie Live-Patching funktioniert, besuchen Sie hier.
Schlussfolgerung
Die Rolle eines CISO ist nicht auf einen engen Bereich beschränkt. CISOs sind zwar für die Cybersicherheit und den Schutz von Infrastruktur, Anwendungen und Daten vor internen und externen Bedrohungen verantwortlich, aber um dies effektiv zu tun, muss ein Risikomanagement-Ansatz verfolgt werden.
Das Risikomanagement für CISOs ist übergreifend. CISOs brauchen einen breiten, tiefen Einblick in die Risiken des gesamten Unternehmens. Diese ganzheitliche Sichtweise ermöglicht es CISOs, Informationssicherheitsrisiken im gesamten Unternehmen effektiv zu verwalten.
CISOs müssen nicht nur das IT-Risiko verwalten, sondern das Risiko im gesamten Unternehmen verstehen und beeinflussen, einschließlich des Risikos, das durch Entscheidungen der Führungsebene entsteht.
Schließlich müssen die CISOs akzeptieren, dass es nicht immer möglich ist, jedes Risiko vollständig auszuschalten oder zu vermeiden. Wo immer es möglich ist, ist eine Risikominderung unabdingbar, aber in einer großen Organisation muss ein gewisses Maß an Risiko akzeptiert und den Kollegen mitgeteilt werden, damit die Organisation es effektiv verwalten und bewältigen kann.