19 May Cyber-Verantwortung im Aufsichtsrat – ein strategischer Imperativ
Last Updated on 2024-05-21
Brigitta Schwarzer
In einer zunehmend vernetzten und digitalisierten Weltwirtschaft gewinnt das Thema Cybersicherheit immer mehr an Bedeutung. Diese Entwicklung macht es notwendig, dass Aufsichtsräte sich in Fragen der Cybersicherheit nicht auf ihre Überwachungsfunktion beschränken, sondern auch eine gestaltende Rolle einnehmen. Ihre Verantwortung geht dabei weit über die bloße Kontrolle der operativen Tätigkeit des Managements hinaus. Vielmehr sind sie gefordert, das Management als Sparringpartner strategisch zu begleiten und wenn nötig auch herauszufordern.
Sparringpartner des Managements
Die Bedeutung einer durchdachten Cyber-Strategie kann nicht hoch genug eingeschätzt werden. Aufsichtsräte müssen sicherstellen, dass das Management nicht nur reaktiv handelt, sondern vielmehr eine proaktive und umfassende Cyber-Strategie verfolgt. Das setzt voraus, dass im Aufsichtsrat fundiertes Wissen zu Cyber-Risiken vorhanden ist und zumindest einzelne Mitglieder des Gremiums in der Lage sind, dem Management kritische und sachkundige Fragen zu stellen. Es ist von entscheidender Bedeutung, dass die Aufsichtsratsmitglieder die Ernsthaftigkeit und Nachhaltigkeit von Cyber-Sicherheitsmaß-nahmen kontinuierlich einfordern.
Vorbildwirkung und Risikomanagement
Aufsichtsräte haben eine Vorbildfunktion und sind angehalten, „den Ton anzugeben“ (tone from the top), indem sie selbst sichere Praktiken wie die Verwendung sicherer Passwörter und die Vermeidung unsicherer Websites vorleben. Das erhöht ihre Glaubwürdigkeit sowohl gegenüber dem Management als auch gegenüber den Mitarbeitenden. Zu ihren Aufgaben gehört es weiters, nicht nur Investitionen in Cybersicherheitsmaßnahmen zu genehmigen, sondern auch sicherzustellen, dass das Unternehmen über ein Risikomanagementsystem und ein wirksames internes Kontrollsystem – auch im Hinblick auf Cyberrisiken – verfügt.
Schulung und Awareness
Schulung und Sensibilisierung aller Mitarbeiterinnen und Mitarbeiter für Cyber-Themen sind weitere wesentliche Aspekte. Der Aufsichtsrat muss sicherstellen, dass das Unternehmen wirksame Schulungsprogramme durchführt und diese periodisch wiederholt, um die Awareness der Mitarbeiterinnen und Mitarbeiter für Cyber-Themen zu gewährleisten und sie über die Risken von Cyber-Angriffen und die angemessenen Reaktionen darauf zu informieren. Auch der richtige Umgang mit externen Stakeholdern wie Lieferanten und Kunden ist entscheidend, um das Risiko von Cyber-Angriffen zu minimieren und die Reputation des Unternehmens zu schützen.
Notfallplan
Ein gut strukturierter und aktuell gehaltener Notfallplan ist ebenfalls wichtig. Für den Fall eines Cyber-Angriffs müssen klare Rollen und Verantwortlichkeiten definiert werden: intern, gegenüber Kunden, Lieferanten, Banken etc. sowie gegenüber den Medien. Die Einbindung externer Dienstleister mit umfangreicher Erfahrung im Schadenmanagement kann entscheidend sein, eine Krisensituation möglichst schnell in den Griff zu bekommen. Das gilt besonders dann, wenn die Auswirkungen des Angriffs weitreichend sind und von Erpressern Zahlungen gefordert werden, damit verschlüsselte Daten wieder freigegeben werden.
Cyber-Versicherung
Aufsichtsräte sollten gegebenenfalls darauf hinwirken, dass das Management zusammen mit erfahrenen Beratern den Abschluss einer Cyber-Versicherung prüft. Eine solche Versicherung bietet nicht nur finanziellen Schutz bei Betriebsunterbrechung und Datenwiederherstellung, sondern signalisiert auch, dass das Unternehmen das Thema Cybersicherheit ernst nimmt.
Aufsichtsräte sollten weiters darauf bestehen, dass das Management vor Abschluss der Versicherung alle vom Versicherungsunternehmen geforderten präventiven Sicherheitsmaßnahmen umsetzt, um die Deckung im Schadenfall zu gewährleisten. Auch wenn sich einige Versicherer mit der Beantwortung eines Cyber-Fragebogens zufriedengeben: Stellt sich im Schadenfall heraus, dass die Fragen nicht wahrheitsgemäß beantwortet wurden, bleibt das Unternehmen nicht nur auf dem Cyber-Schaden sitzen, sondern das Management bekommt auch ein persönliches Haftungsproblem.
Resümee
Die Rolle des Aufsichtsrats in Fragen der Cyber-Sicherheit ist vielschichtig und erfordert ein intensives Verständnis der Materie sowie eine proaktive und strategische Führung. Angesichts der zunehmenden Cyber-Bedrohungen ist ein engagierter und gut informierter Aufsichtsrat für die Cyber-Resilienz eines Unternehmens von großer Bedeutung.