Cybersecurity im Verwaltungsrat

Cybersecurity im Verwaltungsrat

Cybersecurity ist zweifellos eines der wichtigsten Themen. Angesichts der steigenden Bedrohungen im digitalen Raum müssen Unternehmen sicherstellen, dass sie angemessen geschützt sind. Doch wie tief sollte dieses Thema im Verwaltungsrat verankert sein?

Unseres Erachtens liegt die Hauptverantwortung klar bei der operativen Geschäftsführung. Der Verwaltungsrat hat jedoch die Aufgabe, die Arbeit der Geschäftsführung zu kontrollieren. Wenn die Geschäftsführung umfassende Informationen und plausible Auskünfte über ihre Bemühungen im Bereich Cybersecurity bereitstellt, zeigt dies, dass sie die Bedeutung des Themas erkannt hat und ein Bewusstsein für Cybersecurity im Unternehmen vorhanden ist. Der Verwaltungsrat hat die Aufgabe, die Arbeit der Geschäftsführung zu kontrollieren. Doch in vielen Verwaltungsräten herrscht leider kein genügendes Wissen um diese Informationen zu plausibilisieren. Eine Zweitmeinung könnte man bspw. von einem Digital Beirat einfordern.

Digital Beirat

Dieser Beirat bringt nicht nur technisches Wissen mit, sondern auch ein tiefes Verständnis für die geschäftlichen Auswirkungen von Cyberbedrohungen und digitalen Technologien. Die Einrichtung eines solchen Gremiums kann entscheidend dazu beitragen, die digitale Resilienz eines Unternehmens zu stärken. Angesichts der ständig wachsenden Bedrohungen im Cyberspace sollten moderne KMU ernsthaft in Erwägung ziehen, einen solchen Beirat zu etablieren, um ihre digitale Resilienz zu erhöhen und ihr Geschäft vor schwerwiegenden Cyberangriffen zu schützen.

Cybersecurity Ausschuss

In einigen Fällen kann es auch sinnvoll sein, Cybersecurity einem eigenen Ausschuss des Verwaltungsrats zu übertragen. Dies könnte der Fall sein, wenn das Unternehmen erhebliche digitale Risiken hat oder wenn es im Verwaltungsrat Mitglieder mit umfangreicher Erfahrung in Cybersecurity-Fragen gibt. Ergänzend mit einem Beirat kann sich ein solcher Ausschuss gezielt mit diesen Herausforderungen befassen und sicherstellen, dass angemessene Massnahmen ergriffen werden.

Im Verwaltungsratsgremium empfiehlt es sich bestimmte Fragen rund um Cybersecurity regelmässig zu stellen und die Effektivität der Sicherheitsmassnahmen zu bewerten. Diese Fragen (nicht abschliessend!) helfen dem Verwaltungsrat, die Sicherheitslage des Unternehmens zu verstehen und sicherzustellen, dass angemessene Schutzmassnahmen getroffen werden:

  • Gibt es eine umfassende Risiko- und Sicherheitsanalyse, die digitale und analoge Risiken abdeckt?
  • Wie detailliert und aktuell ist diese Analyse?
  • Entsprechen die definierten präventiven und detektiven Kontrollen den Risiko- und Sicherheitsanalysen?
  • Werden Kontrollen und Massnahmen regelmässig auf Wirksamkeit überprüft und aktualisiert?
  • Holt sich das Unternehmen Impulse von aussen?
  • Ist das Bewusstsein für Cybersecurity in der gesamten Belegschaft verankert, unabhängig von ihrer Position?

Schwachstelle Verwaltungsrat?

Wichtig ist, dass auch die Verwaltungsräte ein entsprechendes Bewusstsein entwickeln und dies nicht nur einfordern. Insbesondere Multi-Verwaltungräte können unbewusst ein grösseres Risiko darstellen als Mitarbeiter. Dabei geht es nicht nur um den Zugriff eines Verwaltungsrats auf Unternehmensdaten, sondern auch um moderne Arbeitsweisen wie das Arbeiten im Homeoffice und den entfernten Zugriff auf Daten. Es kann bspw. soweit gehen, dass ein Verwaltungsrat nur mit speziellen Geräten Zugriff auf ein Unternehmensnetzwerk erhält oder auch Sitzungen und Gespräche ohne Mobiltelefon abgehalten werden dürfen. Entsprechend gilt es auch im Verwaltungsrats-Gremium Regeln zu entwickeln. Schliesslich ist zu bedenken, dass der Mensch, z.B. durch Social Engineering, eine der grössten Risiken in der Cybersecurity darstellt. Somit ist es von entscheidender Bedeutung, diesem Aspekt besondere Aufmerksamkeit zu schenken.

Das nachfolgende Video zeigt auf, dass die Bedrohungen aus unterschiedlichen Bereichen kommen können. Entsprechend gilt es dies umfassend zu betrachten:

 

Kevin D. Klak

Kevin unterstützt Ihr Unternehmen im Spannungsfeld der Digitalisierung. Sei es als unabhängiger Beirat für Geschäftsleitung und Verwaltungsrat oder ad Interim in der Umsetzung von strategischen Projekten.