Cybersicherheit erhält bei Führungskräften und Vorstandsmitgliedern einen immer höheren strategischen Stellenwert. Führungskräfte in Unternehmen dürfen sich nicht von IT-Spezialisten und Sicherheitsexperten verwirren lassen, nur weil sie Fachjargon sprechen. Es geht nicht nur um technische Fragen. Das anzunehmen, wäre ein großer Fehler: Bei Cybersicherheit geht es wie so oft vor allem um Risikomanagement.
„Sie können sich dafür oder dagegen entscheiden, die Cybersicherheit in die Risikomanagement-Heatmap Ihres Unternehmens aufzunehmen. Aber Sie sollten sich selbst gegenüber so ehrlich sein, ihr für die Zukunft einen Platz frei zu halten“, betonte Mark McLaughlin, CEO von Palo Alto Networks.„Als Geschäftsrisiko werden Cyberbedrohungen immer eine Rolle spielen.“
Gemeinsam mit dem weltweit tätigen Personalberatungsunternehmen Egon Zehnder wurde ein Roundtable mit Vorstandsmitgliedern veranstaltet. Das Ziel war es, Vorstandsmitglieder in die Lage zu versetzen, in ihren Unternehmen bei der Bekämpfung von Cyberbedrohungen und deren Auswirkungen eine geeignete Rolle einzunehmen.„Es sollte auf der höchsten Unternehmensebene diskutiert, geplant und Verantwortung übernommen werden, wenn es um das Thema Cybersecurity geht.“, so McLaughlin. “Ein Unternehmen, das sich weiterentwickeln möchte, muss Cybersicherheit als wichtiges Thema für das Risikomanagement ansehen. Sonst verliert es den Anschluss. Eine digitale Transformation ohne Sicherheit ist geradezu unmöglich.“
McLaughlin und die übrigen Ausrichter leiteten die Diskussion anhand von drei zentralen Fragen:
Wichtige Fragenund neue Kennzahlen
McLaughlin, der nicht nur CEO und Vorstandsmitglied von Palo Alto Networks, sondern auch Vorstandsmitglied von Qualcomm ist, forderte die Teilnehmer am Tisch auf, sich Fragen an ihre CISOs und mögliche neue Kennzahlen zu überlegen. Die folgenden Fragen wurden genannt:
Frage: Wie erhalten wir hochwertige Daten?
Antwort: Sie müssen laufend Testsdurchführen. Ihre Teams müssen regelmäßig Tests durchführen. Von Zeit zu Zeit sollten Sie auf Drittanbieter zurückgreifen, damit niemand im Unternehmen weiß, dass gerade ein Test stattfindet.
Frage: Wie erzielen Sie ein Gleichgewicht zwischen Agilität und Sicherheit?
Antwort: Wir können Innovationen schnell voran treiben, auch wenn wir die Sicherheit erhöhen. Oft führt dies zu einer gesunden Spannung, aber wir müssen sicherstellen, dass unser Fokus auf Innovation nicht zulasten angemessener Sicherheitsvorkehrungen geht. Innovation und Sicherheit dürfen sich nicht ausschließen.
Frage: Wie sollten sich die erhöhten Cybersicherheitsrisiken auf unsere Personalbeschaffung auswirken? Wie sollten wir das Thema Personalbeschaffung bei stetig steigenden Sicherheitsrisiken betrachten?
Antwort: Sie müssen bemüht sein, die meisten Angriffe von Automatismen abwehren zu lassen, so dass sich Ihre Mitarbeiter um den Rest kümmern können. Sie kämpfen gegen Software. Dabei ist Automatisierung unerlässlich.
Frage: Welche Fragen muss unser CISO beantworten können?
Antwort: Er muss wissen, mit wie vielen Angriffen und mit welchen Formen von Angriffen er es zu tun hat. Er muss auch quantifizieren können, mit welcher Wahrscheinlichkeit er diese Angriffe erkennen und abwehren kann. Zudem muss er die aktuellen Trends kennen, da sich die Angriffsvektoren laufend ändern. Zudem muss er die Anzahl der Mitarbeiter, die sich mit diesen Risiken beschäftigen, im Griff haben: Wenn sich diese Zahl nicht verringert, hat der CISO das Problem nicht erkannt und weiß auch nicht, wie er es lösen kann.
Typische Stolperfallen für Vorstandsmitglieder
Mit am wichtigsten für Vorstandsmitglieder ist es, die Unsicherheit zu überwinden, die sie angesichts ihres mangelnden Expertenwissens und ihrer geringen Erfahrung mit Cybersicherheit möglicherweise empfinden. Das heißt, dass sie bereit sein müssen, von technischen Führungskräften zu verlangen, dass sie Probleme in einem geschäftlichen Kontext besprechen. „Wenn Ihr CISO in der Vorstandssitzung über technische Details redet, sollten Sie ihn entlassen“, meinte McLaughlin. „Ihr CFO wird mit Ihnen ja auch nicht über die Details seines Finanzmodells reden.“
Vorstandsmitglieder sollten auch die Geschäftsprozesse des Unternehmens in Augenschein nehmen. Zu sehr ins Detail gehen können sie natürlich nicht, aber sie sollten sich vergewissern, dass diese Prozesse keine neuen Risiken mit sich bringen. „Es reicht nicht, wenn die Planung stimmt“, stellte McLaughlin fest. „Wenn die entsprechenden Prozesse fehlen, hilft Ihnen die beste Technologie nicht weiter. Stellen Sie sich vor, ein CFO erhält eine Nachricht vom CEO, dass er Geld überweisen soll. Wenn es keinen Prozess gibt, um zu überprüfen, in welchem Kontext die Anforderung gestellt wird, und um sicherzustellen, dass Standards und rechtliche Bestimmungen eingehalten werden, wird der Betrag möglicherweise einfach überwiesen.“
Profil eines visionären Vorstands von heute
Einige Unternehmen überlegen sich, ob ein Experte für Cybersicherheit fester Bestandteil des Vorstands sein sollte. Jon Carter, Senior Partner bei Technology & Communications von Egon Zehnder, brachte diesen Punkt gegenüber den Vorstandsmitgliedern zur Sprache und fügte an, dass alternativ auch externe Berater den Vorstand bei Fragen der Cybersicherheit unterstützen könnten.
McLaughlin und andere meinten jedoch, dass ein derartiges Spezialwissen nicht benötigt werde, solange zumindest einige der Vorstandsmitglieder technologisch versiert seien und wenigstens über grundlegendes Wissen in Sachen Cybersicherheit verfügten. „Wenn ein Technologe dem Vorstand angehört, müsste das genügen“, so McLaughlin.
Wie McLaughlin und die Berater von Egon Zehnder hervorhoben, haben besonders fortschrittliche Vorstände stattdessen einen separaten Ausschuss für Cybersicherheit eingerichtet, der unabhängig vom Prüfungsausschuss fungiert. Darüber hinaus sei es wichtig, die verschiedensten Leute in diesen Ausschuss zu berufen, um unterschiedliche Blickwinkel aus verschiedenen Kompetenzbereichen zu erhalten. Nicht nur von der IT.
Innovative Vorstände müssen sich auch überlegen, wie sie die Kluft zwischen den Anforderungen des Vorstands und den erhaltenen Informationen von den Cybersicherheits-Fachleuten überbrücken können. „Seit Jahren bekommen wir zu hören, dass alles in Ordnung ist. Mit dieser Antwort dürfen wir uns nicht mehr abspeisen lassen“, äußerte ein Vorstandsmitglied. „Wir stellen immer bessere Fragen, aber die Antworten werden nicht besser.“
Fazit: Aus der Perspektive eines Vorstandsmitglieds muss Cybersicherheit im Rahmen des Risikomanagements betrachtet werden, genau wie herkömmliche Geschäftsrisiken. „Sie sollten sich selbst gegenüber ehrlich sein und sicherstellen, dass Cyberbedrohungen an prominenter Stelle auf der Risikomanagement-Agenda erscheinen“, hielt McLaughlin fest. „Als Geschäftsrisiko werden Cyberbedrohungen immer eine Rolle spielen.“
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.