Welche Fragen der Vorstand zu Cyber-Resilience stellen sollte

Der Vorstand muss Fragen stellen, um die Widerstandsfähigkeit zu verbessern
Die Sicherstellung der Cyber-Resilience ist eine Aufgabe, die auf Vorstandsebene verankert gehört. In einem Papier des Weltwirtschaftsforums geben Experten den Vorständen konkrete Hilfestellungen, wie sie Widerstandsfähigkeit des Unternehmens gegen Gefahren aus dem Internet verbessern können.

Die Widerstandsfähigkeit eines Unternehmens gegen Angriffe aus dem Internet, die Cyber-Resilience, hängt einerseits von den installierten Sicherheitslösungen ab, andererseits vom Management und dem strategischen Umgang mit dem Security-Thema. Im Leitfaden „Advancing Cyber Resilience: Principles and Tools for Boards“, der auf Initiative des Weltwirtschaftsforums unter Mitwirkung von DXC Technology und der Boston Consulting Group entstand, führen Experten zehn Grundsätze an, die der Unternehmensvorstand beim Thema Cyber-Resilience beachten soll. Aber kann die Geschäftsführung die Sicherheit überhaupt langfristig sicherstellen? Verfügt sie über ausreichend Kompetenzen, um die Cyber-Relience-Strategie festzulegen? Die Security-Experten geben im Leitfaden den Mitgliedern des Vorstands Hilfestellung und formulieren Fragen, deren Beantwortung den Weg zur Verankerung der Cyber-Resilience im Unternehmen weist. Dieser Beitrag greift die zehn Grundprinzipien auf, die in einem Beitrag bereits zusammengefasst wurden und formuliert einige der Fragen, die sich der Vorstand stellen muss. Zum Beitrag über die Grundsätze geht’s hier.

Fragen zu Grundsatz 1: Verantwortung für Cyber-Resilience übernehmen
Um zu klären, ob der Vorstand, der die Gesamtverantwortung für die Cyber-Risiken trägt, die Aufsicht selbst übernehmen kann oder sie delegieren sollte, muss er überlegen, ob er überhaupt den Zeitaufwand für die Aufgabe stemmen könnte. Falls er zum Schluss kommt, dass er der Aufsichtstätigkeit nur in größeren Zeitabständen nachkommen kann, sollte er die Aufgabe delegieren. Auch wenn das Thema öfter im Management debattiert werden soll, ist eine Auslagerung ratsam.

Kommt es zur Übergabe der Kontrolltätigkeit an ein anderes Komitee, muss man entscheiden, welches Gremium überhaupt in Frage kommt. Gibt es existierende Ausschüsse, die über ein entsprechendes Zeitbudget und die notwendige Kompetenz verfügen? Gibt es Richtlinien, die die Übergabe erleichtern? Gibt es Vorstandsmitglieder, die geeignet sind, im Gremium mitzuarbeiten? Welche Kenntnisse sind dafür überhaupt notwendig?

Fragen zu Grundsatz 2: Über das Thema informiert bleiben
Um die Reports über Cyber-Resilience zu verstehen, brauchen die Vorstandsmitglieder zumindest Grundkenntnisse zum Thema. Wie kann sichergestellt werden, dass neue Mitglieder im Vorstand eine Einweisung bekommen? Wie ermöglicht man eine regelmäßige Unterrichtung des Vorstands über generelle, neue Entwicklungen beim Thema Cyber-Resilience und Cyber-Security? Wie bindet man externe Experten ein, damit diese die Security-Aktivitäten des Unternehmens bewerten und den Vorstand unabhängig informieren?

Fragen zu Grundsatz 3: Verantwortlichen Manager bestimmen
Der Vorstand sollte einen leitenden Angestellten bestimmen, der dem Vorstand zur Cyber-Resilience im Unternehmen Bericht erstattet. Dafür sollte er zuallererst die Aufgabe und die Verantwortung des Mitarbeiters definieren. Ist der vorgesehen oder bereits ernannte leitende Angestellte unabhängig von der IT, um neutral berichten zu können? Verfügt der Verantwortliche über ausreichende Autorität und Einfluss, um beispielsweise die Unternehmens- und IT-Kultur entsprechend beeinflussen zu können? Wer trifft die Entscheidung über die notwendige Ausstattung und Vorgehensweise? Welche Budgets können Beiträge zur Finanzierung leisten?

Fragen zu Grundsatz 4: Integration der Cyber-Resilience vorantreiben
Der Vorstand stellt sicher, dass das Management die Themen Cyber-Resilience und Cyber-Risikobewertung in die allgemeine Geschäftsstrategie und in das unternehmensweite Risikomanagement integrieren. Gibt es überhaupt ein ausreichendes Risikomanagement im Unternehmen, das Cyberrisiken berücksichtigt? Wie tief ist der Vorstand mit dem Thema Cyber-Resilience befasst und wird er ausreichend informiert? Ist die Widerstandsfähigkeit gegen Angriffe aus dem Internet auf allen Ebenen des Unternehmens verankert? Falls nicht, wie kann man die notwendigen Ressourcen zuweisen, damit die Integration voranschreitet?

Fragen zu Grundsatz 5: Risikobereitschaft definieren

Der Vorstand lässt sich sowohl zur momentanen und künftigen Risikoexposition als auch zu regulatorischen Vorgaben und industriellen/gesellschaftlichen Benchmarks bei der Risikobereitschaft unterrichten. Hat der Vorstand den Überblick darüber, wie die Risikobereitschaft bei Unternehmensentscheidungen berücksichtigt wird? Wird das Risiko für jeden Fall separat festgestellt oder gibt es eine Bewertung für Geschäftsfelder? Wie werden die einzelnen Bewertungen in eine Gesamtbewertung überführt? Versteht der Vorstand die tatsächlichen Auswirkungen von Onlinerisiken auf das Business inklusive der Disruption und die Auswirkung auf Produkt- und Dienstleistungsqualität oder die Reputation? Informiert der verantwortliche leitende Angestellte den Vorstand ausreichend über Vorfälle, Wechsel bei Zuständigkeiten oder regulatorischen Änderungen?

Fragen zu Grundsatz 6: Risikobewertung und Reporting installieren
Der Vorstand nimmt das Management in die Verantwortung, einen Bericht mit einer quantifizierten und verständlichen Bewertung des Cyber-Risikos, zu Bedrohungen und Vorfällen zu erstellen. Sind die Berichte umfassend genug? Stellen sie auch dar, welche strategischen oder operativen Maßnahmen nicht ergriffen wurden, weil sie außerhalb der Risikotoleranz des Unternehmens gewesen wären? Wird die Security-Kultur und das Bewusstsein der Mitarbeiter für das Thema evaluiert und werden die ergriffenen Maßnahmen dem Vorstand erläutert? Wird der Vorstand über generelle, branchenspezifische Bedrohungen unterrichtet?

Fragen zu Grundsatz 7: Resilienzpläne erstellen
Cyber-Resilience-Pläne müssen entworfen, implementiert, getestet und ständig weiterentwickelt werden. Sind solche Pläne tatsächlich vorhanden und werden sie angewendet? Sind die Pläne funktions- und abteilungsübergreifend, damit sichergestellt ist, dass alle wichtigen Sichtweisen und Bedürfnisse berücksichtigt werden? Werden die Pläne ausreichend angepasst und der Vorstand darüber informiert? Ist der Vorstand mit der Reaktion auf aktuelle Vorfälle zufrieden und wurden Erkenntnisse aus den Vorfällen entsprechend in den Plänen berücksichtigt? Wurden KPIs definiert, um die Effizienz der Sicherheitsvorkehrungen und deren Verbesserungen zu messen?

Fragen zu Grundsatz 8: Einbeziehung der Community
Der Vorstand ermutigt das Management mit anderen Stakeholdern zusammenzuarbeiten, soweit wichtig und angemessen, um eine systematische Cyber-Resilience sicherzustellen. Wurden vom verantwortlichen Mitarbeiter die Unternehmen identifiziert, mit denen eine Zusammenarbeit bei der Cyber-Resilience erfolgen soll? Wie wurde die Auswahl getroffen und wie stellt das Management sicher, dass bei der Zusammenarbeit mit Partnern mit vertraulichen Informationen angemessen umgegangen wird? Hat der zuständige Mitarbeiter einen Überblick, wie in anderen Unternehmen in der Branche zusammenarbeiten? Sind mögliche Haftungsfragen, die aus einer solchen Zusammenarbeit entstehen können, geklärt?

Fragen zu Grundsatz 9: Berichterstattung installieren
Der Vorstand stellt sicher, dass jährlich eine formelle, unabhängige Bewertung der Cyber-Resilience des Unternehmens stattfindet. Hier muss der Vorstand wissen, wie der externe Gutachter ausgewählt wurde. Wurde das Gutachten vom verantwortlichen für Cyber-Resilience zusammen mit dem CISO und dem Technik-Chef gründlich analysiert? Gibt es einen Prozess, der die Resultate des Reviews aufgreift und entsprechend umsetzt?

Grundsatz 10: Effektivität
Der Vorstand bewertet regelmäßig seine eigene Performance bezüglich der Implementierung dieser Grundsätze oder sucht nach unabhängiger Beratung für eine kontinuierliche Verbesserung. Findet eine solche Überprüfung statt und hat der Vorstand das notwendige Know-how für die Beurteilung? Falls die Verantwortung für die Cyber-Resilience an andere delegiert wurde, wird der Prozess, wie die Verantwortung delegiert wird, Teil der Prüfung? Wird kontrolliert, ob die Unabhängigkeit der Cyber-Resilience-Prozesse gewährleistet ist und dass die Geschäftsstrategie ausreichend berücksichtig ist?

Die Beantwortung solcher Fragen hilft dem Vorstandsgremium, die Cyber-Resilience-Strategie des eigenen Unternehmens sinnvoll zu planen, umzusetzen, weiterzuentwickeln und zu kontrollieren. Der Leitfaden „Advancing Cyber Resilience: Principles and Tools for Boards.“ enthält noch eine Vielzahl weiterer Fragen und Aspekte, die die Geschäftsleitung beim Thema Cyber-Resilience in Betracht ziehen sollte. Er entstand im Rahmen einer Initiative des Weltwirtschaftsforums unter Mitwirkung von DXC Technology und der Boston Consulting Group. Der Report steht hier zum freien Download bereit.