2020 hat Gartner eine Vorhersage veröffentlicht, die bei näherer Betrachtung viel darüber aussagt, wie die oberste Ebene der Unternehmensführung das Risiko der Cybersicherheit sieht. Es ging nicht darum, dass dies zur zweithöchsten Risikoquelle für Unternehmen geworden ist und zur riskantesten von allen werden könnte. Dieses Gefühl ist bereits weit verbreitet. Vielmehr hat eine Gartner-Umfrage ergeben, dass 40 % der amerikanischen Vorstände bis 2025 einen speziellen Ausschuss für Cybersicherheit haben werden, der von einem qualifizierten Vorstandsmitglied geleitet wird. Heute liegt die Zahl bei weniger als 15 %.
Ja, das ist ein Fortschritt. Aber das Thema wird immer noch unterschätzt.
Mehr zum Thema gibt es auch vom WEF, wo das Thema “Cyber Risk” seit mehreren Jahren ein Schwerpunkt darstellt.
Cybersicherheit ist mehr als nur ein IT-Thema. Hier was CIO’s und CISO’s damit tun. Cyber-Bedrohungen sind anhaltende, strategische Unternehmens-Risiken für alle Organisationen, unabhängig von der Branche, in der sie tätig sind. Effektive organisatorische Cybersecurity trägt direkt zur Werterhaltung als auch zu neuen Möglichkeiten der Wertschöpfung für das Unternehmen und die Gesellschaft insgesamt. Der Umgang mit diesen Risiken
erfordert eine Kultur der Cybersicherheit. Was sind die wichtigsten Punkte für den Verwaltungsrat:
- Verankern Sie Cyber-Risikoüberlegungen in wichtigen operativen und strategischen Entscheidungsprozessen, einschliesslich der Aufnahme von Cyberrisiken als wiederkehrender Tagesordnungspunkt für die VR Sitzung. Minimal sollten Sie das Thema im Risiko-Management besprechen
- Betrachten Sie jede grössere neue Initiative zur digitalen Initiative durch die Brille des Cyberrisikos
- Bestimmen Sie, welcher Ausschuss die die primäre Aufsicht über Cyber-Risikofragen haben sollte
- Analysieren Sie Cybersicherheitsfragen im Hinblick auf ihre strategischen Auswirkungen und als Teil des Unternehmensrisiken; analysieren Sie zusätzlich die Geschäftsstrategie und Überlegungen zum Geschäftsmodell im Hinblick auf Cybersicherheitsfragen
- Bitten Sie die Führungskräfte, Möglichkeiten zu identifizieren Cybersicherheit als Marktunterscheidungsmerkmal oder Differenzierung einzubringen
Dieser Artikel in der NZZ vom 28.08.2021 zeigt die Herausforderungen noch einmal gut auf. Wenn Sie als VR ihre Aufgaben wahrnehmen wollen, dann würden sich die folgenden Fragen anbieten:
- Ist das Cyber-Risiko im Risiko-Management aufgenommen?
- Gibt es regelmässige Sensibilisierungskampagnen für die Mitarbeitenden?
- Bestehen Informations- und/oder Vorgehenskonzepte, falls ein Vorfall eintritt?
- Wieviel % des (Informatik-)Budgets wird für die Abwehr der Cyber-Risiken verwendet?
- Wurde schon einmal ein Penetrationstest durchgeführt?
- Besteht eine Cyber-Versicherung?
- Wie lange könnte unser Unternehmen ohne Informatik weiter funktonieren / überleben?
Sollten Sie keine oder unbefriedigende Antworten bekommen, dann sollte das Thema aufgenommen werden. Denken Sie daran, dass Böse such einfach Ziele, die schnell bereit sind zu zahlen, weil sie keine Publizität suchen oder eine grosse Abhängigkeit von ihrer Informatik haben.
Gute Beispiel zum Zeitpunkt der Erstellung dieses Beitrags sind: Comparis, die Gemeinde Rolle, die TU Berlin. Und die Liste liesse sich unbegrenzt verlängern.