Neues aus der Wirtschaft

Ganz praktisch: Ein Pflichtenkatalog für die Führungsebene
„Management von Cyber-Risiken: Handbuch für Unternehmensvorstände und Aufsichtsräte“. Hinter diesem verheißungsvollen Titel verbirgt sich ein aktuelles Handbuch der Allianz für Cyber-Sicherheit. Was es verspricht? Wir haben reingelesen.

Die Allianz für Cyber-Sicherheit, eine Initiative des Bundesamts für Sicherheit in der Informationsverarbeitung (BSI), hat sich zum Ziel gesetzt, Unternehmensleitern und Aufsichtsräten Richtlinien zur richtigen Herangehensweise an das Management mit Cyber-Risiken an die Hand zu geben. Tatsächlich liegt damit erstmals ein halb-offizielles „good government“ im Umgang mit Cyber-Risiken für den deutschsprachigen Raum vor. Unternehmenspflichten werden klar und verständlich auf den Punkt gebracht und die Performance der Unternehmensführung in Sachen Cyber-Security auf fünf Prinzipien runtergebrochen. Ein wichtiger Schritt. Denn nur wenn Entscheider ein Grundverständnis für die Risiken im Bereich Informationssicherheit mitbringen, können sie die potenziellen wirtschaftlichen Schäden durch einen Cyber-Vorfall sowie die vorhandene IT-Sicherheitsstrategie bewerten.

„Cyber-Security ist eines der wichtigsten Themen, mit denen sich ein Unternehmensvorstand beziehungsweise Aufsichtsrat auseinandersetzen muss. Dieses Handbuch bietet einen kohärenten Satz von Prinzipien, die deutsche Vorstände und Aufsichtsräte bei der Betrachtung von Cyber-Risiken befolgen können, sowie eine Reihe von pragmatischen Fragen, die Vorstandsmitglieder in Verbindung mit dem Senior Management verwenden können“, erläutert Arne Schönbohm, BSI-Präsident, den Umgang mit der Publikation. Unterstützt wurde die Erstellung der deutschen Version durch die Allianz für Cyber-Sicherheit (ACS) und den ACS-Partner AIG.

Wie gut ist Cyber-Security im Unternehmen etabliert? Die Prinzipien

Prinzip 1: Die Unternehmensleitung (d. h. Vorstand und Aufsichtsrat) versteht und adressiert Cyber-Sicherheit als unternehmensweites Risiko-Management-Thema – und nicht als reines IT-Problem.

Prinzip 2: Die Unternehmensleitung versteht die rechtlichen Auswirkungen von Cyber-Risiken in Bezug auf die individuellen Anforderungen ihres Unternehmens.

Prinzip 3: Die Unternehmensleitung hat angemessenen Zugang zur Cyber-Sicherheits-Expertise, Diskussionen rund um das Cyber-Risiko-Management stehen regelmäßig und in angemessenem Zeitumfang auf der Tagesordnung der Vorstandssitzungen.

Prinzip 4: Die Unternehmensleitung formuliert die Erwartung, dass das Management einen unternehmensweiten Rahmen für das Cyber-Risiko-Management mit adäquater Personalausstattung und angemessenem Budget schafft.

Prinzip 5: In der Diskussion der Unternehmensleitung über Cyber-Risiken wird geklärt, welche Risiken vermieden, welche akzeptiert und welche über Versicherungen gemindert oder verteilt werden können – und welche spezifischen Maßnahmen mit jeder dieser Varianten einhergeht. Auch wird die Überprüfung der zur Verfügung stehenden Optionen zur Übertragung beziehungsweise Versicherung bestimmter Cyber-Risiken betont.

Wie steht es um die Risikobereitschaft im Unternehmen?

Bevor Maßnahmen im Rahmen der Cyber-Security umgesetzt werden, sollte die Risikobereitschaft, sprich die Höhe des Risikos, die ein Unternehmen bei der Verfolgung seiner strategischen Ziele einzugehen bereit ist, abgesteckt werden. Orientierung gibt ein Risiko-Schwellenwert, der definiert, welche Maßnahmen zur Reduzierung des Risikos auf ein erträgliches Maß ergriffen werden müssen. Sobald die Risikobereitschaft formuliert und kommuniziert ist, bestimmt sie den Verhaltenskodex der entsprechenden Organisation. Das umfasst klare Grenzen für Geschäftspraktiken sowie die Nutzung von Marktchancen.

Die Risikobereitschaft eingrenzen

„Die Risikobereitschaft ist eine Frage der Beurteilung, die auf den spezifischen Gegebenheiten und Zielen des jeweiligen Unternehmens basiert. Es gibt keine Einheitslösung.“ (Quelle: PwC, Board oversight of risk: Defining risk appetite in plain English (New York, NY: PwC, 2014), Seite 3.) Zur Eingrenzung der Risikobereitschaft ist die Beantwortung folgender Fragen hilfreich:

  1. Unternehmenswerte: Welche Risiken gehen wir nicht ein?
  2. Strategie: Welche Risiken müssen wir eingehen?
  3. Stakeholder: Welche Risiken sind wir zu tragen bereit und auf welcher Ebene?
  4. Kapazität: Welche Ressourcen werden benötigt, um diese Risiken zu managen und gegebenenfalls zu übertragen beziehungsweise zu versichern?

Weiterführende Informationen und alle Details lesen Sie hier.

Unsere Webseite verwendet Cookies. Mehr erfahren

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen