Für Vorstandsmitglieder in Unternehmen aller Größenordnungen steht das Thema Cybersicherheit mittlerweile auf der Tagesordnung, mal weiter oben, mal eher unter ferner liefen.
Jüngste Untersuchungen zeigen, dass gerade deutsche Vorstände im internationalen Vergleich hinterherhinken, wenn es um die Sensibilisierung für Cyberrisiken sowie die Bereitschaft geht, in Cybersicherheit zu investieren.
Und selbst wenn Zeit und Geld in Cybersicherheit investiert werden, führt das hierzulande nur selten zu einem verbesserten Schutz gegen Cyberrangriffe.
Das US-Cybersicherheitsunternehmen Proofpoint hat für seinen diesjährigen Report „Cybersecurity: The 2023 Board Perspective“ weltweit 659 Vorstandsmitglieder befragt. Dabei stellte sich heraus, dass für nur 59 Prozent der Teilnehmer aus Deutschland Cybersicherheit Priorität genießt, weltweit lag der Durchschnittswert bei 72 Prozent. Auch bei Investitionen in die Cybersicherheit haben deutsche Vorstände Nachholbedarf. Lediglich 63 Prozent sind der Meinung, angemessen in diesem Bereich investiert zu haben, im internationalen Vergleich waren es hingegen 70 Prozent.
Dieser Befund lässt sich darauf zurückführen, dass deutsche Unternehmen zumeist ergebnisorientiert agieren. Für Vorstände stellt es folglich eine Herausforderung dar, Geld für etwas auszugeben, das sie nicht gänzlich verstehen – wie die Cybersicherheit oder zuweilen IT ganz allgemein. Der Umgang mit Cyberrisiken unterscheidet sich jedoch nicht wesentlich von anderen Risiken, denen Unternehmen ausgesetzt sind. Dies können beispielsweise physische Gefahren oder Verletzungen von Mitarbeitern sein.
Die meisten Vorstandsmitglieder sind keine Experten für Brandschutz oder Gefahren am Arbeitsplatz, aber sie wissen, welche Fragen sie zur Sicherheit stellen müssen. Diese Fragen dienen dazu, ein Verständnis dafür zu entwickeln, wie sich die entsprechenden Risiken auf das Unternehmen auswirken könnten. Auch lässt sich dadurch erörtern, welche präventiven Sicherheitsmaßnahmen ergriffen werden können, um sowohl Mitarbeiter als auch das Inventar und Gebäude zu schützen.
Auf ähnliche Weise können Vorstände auch Cyberrisiken adressieren. Für Unternehmen ist Cybersicherheit heute zu einer existenziellen Frage geworden. Daher sollten sich Vorstandsmitglieder über die Auswirkungen von Cyberangriffen und anderen Bedrohungen stets auf dem Laufenden halten. Indem sie ihre Kenntnisse hierzu verbessern, können sie ihrem Chief Information Security Officer (CISO) gezielt Fragen stellen und fundiertere Entscheidungen treffen, um drohenden Cybergefahren zu begegnen.
Die Ergebnisse des Reports zeigen auch, wie Vorstände aktuelle Entwicklungen wie anhaltende geopolitische Spannungen oder verheerende Ransomware-Angriffe beurteilen. Deutsche Unternehmensleiter zeigten sich unter allen europäischen Ländern am besorgtesten über generative künstliche Intelligenz (KI). Tools wie ChatGPT haben weltweit viel mediale Aufmerksamkeit erhalten, was möglicherweise erklärt, warum 61 Prozent der befragten Deutschen diese KI-Technologie als ein Risiko für ihr Unternehmen erachten.
Vorstände sollten sich auf die dringendsten Bedrohungen konzentrieren. Wenngleich es zweifelsohne wichtig ist, Trends im Auge zu behalten, müssen sich die meisten deutschen Unternehmen zunächst akuten Problemen wie veralteten Infrastrukturen kümmern, z.B. in Form nicht mehr unterstützter Betriebssysteme. Vorstände sollten sich daher zunächst mit den grundlegenden Anforderungen der Cybersicherheit befassen, bevor sie sich komplexeren oder brisanteren Themen zuwenden.
Mangelnden Kenntnissen begegnen
Die Studie von Proofpoint belegt, dass Unternehmen nicht immer die erwünschten Ergebnisse erzielen, wenn sie Cybersicherheit Priorität einräumen. 73 Prozent der deutschen Studienteilnehmer glauben, dass ihre Organisation einem erhöhten Risiko für einen Cyberangriff ausgesetzt ist, während 55 Prozent der Auffassung sind, dass sie nicht auf gezielte Angriffe vorbereitet sind.
Auch hier spielt das mangelnde Fachwissen über Cybersecurity eine Rolle. Dies ist der wahrscheinlichste Grund dafür, dass trotz der Sensibilisierung für Cyberrisiken und gesteigerter Investitionen die Verteidigungsbereitschaft vieler Organisationen nach wie vor zu wünschen übrig lässt. In den Nachrichten ist regelmäßig von Angriffen auf deutsche Unternehmen die Rede.
Viele Vorstände sind sich dessen bewusst, dass ihr Unternehmen das nächste sein kann. Diese Schlagzeilen lassen die Alarmglocken schrillen, aber viele Vorstände sind sich nicht bewusst, inwieweit Faktoren wie ihr Geschäftsmodell und ihr betriebliches Umfeld das eigene Unternehmen einzigartig machen. Daher nehmen sie an, dass ihr Unternehmen anfällig und unvorbereitet für Cyberangriffe sei. Cyberrisiken unterscheiden sich jedoch je nach Unternehmen. Für Führungskräfte bedeutet dies, dass sie ein schlichter Vergleich mit anderen Unternehmen nicht weiterbringt. Auch gibt es kein Allheilmittel zum Schutz vor Cyberbedrohungen.
Cyberrisiken in Geschäftsrisiken zu übersetzen, darf nicht allein Aufgabe des CISO sein. CISOs stehen bereits jetzt in vielfacher Hinsicht unter genug Druck, um das Unternehmen mit begrenzten Ressourcen zu schützen, insbesondere in Zeiten des Fachkräftemangels. Vorstandsmitglieder können ihren Beitrag leisten, indem sie Kurse und andere Fortbildungs- und Schulungsmöglichkeiten wahrnehmen, die ihr persönliches Fachwissen über Cybersicherheit fördern.
Die Vorstandsebenen vieler Unternehmen in Deutschland sind sich bewusst, dass ihre Cybersecurity-Kenntnisse zu wünschen übrig lassen. Entsprechendes Fachwissen aufseiten des Vorstands ist einer der drei wichtigsten Punkte auf der Wunschliste der deutschen Vorstände. Erneut die Schulbank zu drücke,n ist dabei der beste Weg für Vorstände, um sich dieses Fachwissen anzueignen. Nur so sind sie in der Lage, sinnvolle Fragen zur Cybersicherheit zu stellen, die das Unternehmen voranbringen.
Langfristige Investitionen in Cybersicherheit
77 Prozent der deutschen Geschäftsführer gehen davon aus, dass ihr Budget für Cybersicherheit in den nächsten 12 Monaten wachsen wird. Dies ist zweifelsohne eine erfreuliche Tatsache, natürlich nur, wenn sie sich auch die Zeit nehmen, ihr Know-how in puncto IT-Sicherheit zu verbessern und das Budget für effektive Verteidigungsmaßnahmen zu nutzen.
Vorstandsmitglieder sollten sich darüber im Klaren sein, dass Cybersicherheit ein langfristiger Prozess ist und entsprechend handeln. Cybersicherheit und IT sind eng mit anderen Unternehmensfunktionen verflochten und abhängig voneinander. Daher dürfen Vorstände auch nicht erwarten, dass ihre Teams Verbesserungen der IT- bzw. Cybersicherheit über Nacht umsetzen können.
Da böswillige Akteure ihre Taktiken stets verfeinern und immer ausgefeiltere Tools zum Einsatz bringen, muss auch die Cyberabwehr kontinuierlich weiterentwickelt werden. Nachhaltige Investitionen in die Cybersicherheit sind somit unerlässlich. Analog zu den Energiekosten oder den Aufwendungen für eine Betriebshaftpflichtversicherung zählt auch die Cybersicherheit zu den regelmäßigen Ausgaben. Ferner steigen die Kosten für Cybersicherheit ähnlich der Stromrechnung und anderer alltäglicher Kosten.
Stärkung der Resilienz
Das Thema Cybersicherheit kann im Vorstand zuweilen zu frustrierenden Debatten führen. Allerdings können die Vorstandsmitglieder dieses Thema nicht länger ignorieren und die Verantwortung für die Cybersicherheit auf andere abwälzen. Durch vertieftes Wissen können sich die Verantwortlichen dem Thema nähern, und der Vorstand kann ein umfassenderes Verständnis dafür entwickeln, wie sich Cybersicherheit auf geschäftliche und betriebliche Risiken auswirkt.
Sobald diese Wissenslücke geschlossen ist, stärkt dies auch das Selbstbewusstsein des Vorstands, sodass er seinen CISO um nutzbare Informationen bitten kann. Dann können Prioritäten für Kontrollen festgelegt und ein Resilienzplan erstellt werden, um sicherzustellen, dass das Unternehmen im Falle eines Cybersicherheitsvorfalls weiterhin arbeitsfähig bleibt. Auch das Budget kann entsprechend angepasst werden.
Eine starke Beziehung zwischen Vorstand und CISO sind in diesem Prozess von entscheidender Bedeutung. Beide Seiten wollen letztendlich dasselbe: das Unternehmen schützen. Eine strategische Kooperation kann dazu beitragen, dieses Ziel effizienter zu erreichen und am Ende des Tages den Schutz und die Resilienz der Organisation zu stärken.