Vorstand steht bei Cyber-Resilience in der Pflicht

Cyber-Resilience soll eine ständiger Tagesordnungspunkt bei Vorstandssitzungen sein
Der Kampf gegen Cyber-Kriminalität braucht neben modernen Security-Lösungen ein strategisches Management der Security und vor allem die Rückendeckung der Geschäftsleitung. In einem Leitfaden-Papier geben Experten den Vorständen zehn Ratschläge zur Verbesserung der Cyber-Resilience.

Um den Angriffen auf die IT-Infrastruktur zu widerstehen, ist die Installation moderne, vernetzter Sicherheitslösungen unverzichtbar. Sie allein reicht aber heutzutage nicht mehr aus. Es ist mindestens genauso wichtig, die Sicherheitssysteme kompetent zu managen und ständig strategisch weiterzuentwickeln. Nur so schaffen sie für das Unternehmen eine hohe Cyber-Resilience, die Widerstandsfähigkeit gegen Cyber-Angriffe. „Diejenigen, die bei der digitalen Sicherheit vorne weg gehen, teilen die Ansicht des Weltwirtschaftsforums, dass es bei Cyber-Resilience mehr um Strategie und Kultur geht, als um Taktik“, schreiben die Autoren des Berichts „Advancing Cyber Resilience: Principles and Tools for Boards“, der auf Initiative des Weltwirtschaftsforums unter Mitwirkung von DXC Technology und der Boston Consulting Group entstand. Eine zentrale Aussage des Reports ist, dass Cyber-Resilience die Unterstützung der Leitungsebene bedarf. „Um resilient zu sein, müssen diejenigen an der Spitze eines Unternehmens, Organisation oder Verwaltungsorganisation erkennen, dass es wichtig ist, Risiken zu vermeiden und vorausschauend zu minimieren“, so die Autoren. Als Hilfestellung arbeiteten die Autoren der Studie zehn Grundsätze aus, die verantwortungsvolle Vorstandsmitglieder beherzigen sollten.

Grundsatz 1: Verantwortung für Cyber-Resilience übernehmen
Der Vorstand trägt die Gesamtverantwortung und hat die Aufsicht über die Cyber-Risiken und die Widerstandsfähigkeit inne. Der Vorstand kann die prinzipielle Aufsichtstätigkeit an ein anderes, bereits bestehendes Gremium wie den Risikoausschuss oder an ein neu zu gründendes wie das Cyber-Resilience-Komitee übertragen.

Grundsatz 2: Über das Thema informiert bleiben
Vorstände werden im Rahmen der Vorstandstreffen über Cyber-Resilience auf dem laufenden gehalten und werden dabei regelmäßig über die aktuellen Bedrohungen und Trends informiert. Dabei sollen auch die Expertise und die Hilfe von externen Experten bei Bedarf hinzugezogen werden.

Grundsatz 3: Verantwortlichen Manager bestimmen
Der Vorstand trägt Sorge, dass ein leitender Angestellter dem Vorstand zur Cyber-Resilience im Unternehmen Bericht erstattet. Der Bericht soll den aktuellen Stand der Cyber-Resilience abbilden und die Fortschritte bei der Erreichung der Ziele umfassen. Der Vorstand stellt sicher, dass der leitende Angestellte regelmäßig zu den Vorstandssitzungen eingeladen wird, mit ausreichend Kompetenzen ausgestattet ist, über gute Kenntnisse und Erfahrung zur Cyber-Resilience verfügt und ihm genügend Ressourcen zur Verfügung stehen, um die Aufgaben zu bewältigen.

Grundsatz 4: Integration der Cyber-Resilience vorantreiben
Der Vorstand stellt sicher, dass das Management die Themen Cyber-Resilience und Cyber-Risikobewertung in die allgemeine Geschäftsstrategie und in das unternehmensweite Risikomanagement integrieren. Außerdem sollen die Themen bei der Budgetierung und Ressourcenzuteilung Berücksichtigung finden.

Grundsatz 5: Risikobereitschaft definieren
Der Vorstand definiert und quantifiziert jedes Jahr die Geschäftsrisikotoleranz im Verhältnis zur Cyber-Resilience und stellt sicher, dass das im Einklang mit der Unternehmensstrategie und der Risikobereitschaft steht. Der Vorstand lässt sich sowohl zur momentanen und künftigen Risikoexposition als auch zu regulatorischen Vorgaben und industriellen/gesellschaftlichen Benchmarks bei der Risikobereitschaft beraten.

Grundsatz 6: Risikobewertung und Reporting installieren
Der Vorstand nimmt das Management in die Verantwortung, einen Bericht mit einer quantifizierten und verständlichen Bewertung des Cyber-Risikos, zu Bedrohungen und Vorfällen zu erstellen. Die Berichterstattung ist ein ständiger Tagesordnungspunkt der Vorstandssitzungen. Der Vorstand validiert diese Bewertungen mit seiner eigenen strategischen Risikobewertung unter Zuhilfenahme des Board Cyber Risk Framework.

Grundsatz 7: Resilienzpläne erstellen
Der Vorstand trägt Sorge, dass das Management den für Cyber-Resilience verantwortlichen leitenden Mitarbeiter unterstützt, indem es Cyber-Resilience-Pläne entwirft, implementiert, testet und ständig weiterentwickelt. Der Verantwortliche soll die Performance ständig monitoren und dem Vorstand darüber berichten.

Grundsatz 8: Einbeziehung der Community
Der Vorstand ermutigt das Management mit anderen Stakeholdern zusammenzuarbeiten, soweit wichtig und angemessen, um eine systematische Resilienz sicherzustellen.

Grundsatz 9:
Der Vorstand stellt sicher, dass jährlich eine formelle, unabhängige Bewertung der Cyber-Resilience des Unternehmens stattfindet.

Grundsatz 10: Effektivität
Der Vorstand bewertet regelmäßig seine eigene Performance bezüglich der Implementierung dieser Grundsätze oder sucht nach unabhängiger Beratung für eine kontinuierliche Verbesserung.

 

Cyber-Resilience-Leitfaden

Der Bericht „Advancing Cyber Resilience: Principles and Tools for Boards.“ entstand im Rahmen einer Initiative des Weltwirtschaftsforums unter Mitwirkung von DXC Technology und der Boston Consulting Group. Der Report steht hier zum freien Download bereit.