Die Rolle des Aufsichtsrats beim Thema Cybersecurity

Von Alexander Danzeisen am 03. Dezember 2019

Rolle des AR beim Thema Cybersecurity_750x250

87.106 Fälle von Cybercrime und 60,7 Millionen Euro Schaden – das sprechen die aktuellen Zahlen beim Thema Cyberkriminalität laut dem Bundeslagebild Cybercrime 2018 des BKA. Die Dunkelziffer der Vorfälle und Schäden dürfte allerdings noch weitaus höher sein. Das zeigt einmal mehr: Deutschland ist ein beliebtes Ziel für Hacker und Unternehmen tun gut darin, ihre Sicherheitsvorkehrungen anzupassen und strengere Standards zu etablieren. Hier spielt der Aufsichtsrat eine zentrale Rolle – nicht nur als Kontrollgremium.

Cybersecurity als Teil des Risikomanagements

Datenlecks, Sicherheitslücken und Cyberangriffe stellen Risiken für den Erfolg und die Wettbewerbsfähigkeit eines Unternehmens dar. Dementsprechend steht das Thema Cybersecurity auch auf der Agenda des Aufsichtsrats. Doch die Einbindung des Aufsichtsrats ist nicht nur im Rahmen des Risikomanagements notwendig. Auch Regulierungsbehörden stellen mittlerweile höhere Anforderungen. So verpflichtet beispielsweise das IT-Sicherheitsgesetz Unternehmen in Deutschland zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit der kritischen Infrastruktur. Das Geschäftsgeheimnisgesetz verlangt außerdem angemessene Geheimhaltungsmaßnahmen für Geschäftsgeheimnisse und Know-how und die DSGVO schreibt den Stand der Technik und Verschlüsselungsmaßnahmen vor. Daran müssen Unternehmen ihre Sicherheitsmaßnahmen ausrichten.

Doch obwohl Aufsichtsräte für die Kontrolle dieser Sicherheitsmaßnahmen und -standards zuständig sind, wird oftmals ein kritisches Glied in der Sicherheitskette vernachlässigt: die eigene Rolle als Verwahrer sensibler Informationen über das Unternehmen. Schließlich werden vom Aufsichtsrat regelmäßig vertrauliche Finanz- und Vertriebsdaten sowie geheime Strategiepläne, Details zur Vorstandsvergütung und andere privilegierte Informationen bearbeitet, gespeichert und übermittelt. Der unbefugte Zugriff auf jede dieser Informationen kann schwerwiegende Konsequenzen haben.

Abwägung zwischen Benutzerfreundlichkeit und Sicherheit

Das Problem: Aufsichtsratsmitglieder sind durch ihre übergeordnete Stellung normalerweise nicht in die unternehmenseigenen Prozesse involviert und haben von außen daher auch keinen Zugriff auf die gesicherten Unternehmensnetzwerke. Und auch wenn viele CIOs und Sicherheitsverantwortliche die Schnittstelle zum Aufsichtsrat bereits auf dem Radar haben, lässt sich nicht leugnen, dass bei den verschiedenen möglichen Maßnahmen im Bereich der Cybersecurity stets zwischen Benutzerfreundlichkeit und notwendiger Sicherheit abgewogen werden muss. Aufgrund der gehobenen Position von Aufsichtsräten herrscht eine natürliche Neigung, jegliche Unannehmlichkeiten für diese Gruppe möglichst gering zu halten.

Die Folge dieser „Einschränkungsfreiheiten“: Die Mitglieder der Führungsgremien wählen verständlicherweise oft altbekannte Wege, um an ihre Informationen zu kommen, diese zu speichern und weiterzugeben. Dazu zählt das Verschicken von Geschäftsführungs-, Vorstands- und Aufsichtsratsunterlagen per Post oder das Senden von PDFs als E-Mail-Anhang.

Weitere Zugeständnisse werden häufig bei den Kennwörtern gemacht. Anstatt sichere Kennwörter vorzuschreiben, die entsprechende Längen erfordern und aus unterschiedlichen Zeichenarten bestehen, werden auch einfache Kennwörter gestattet. Wenngleich diese Vorgehensweisen oft keine systematische Praxis, sondern das Ergebnis von Ad-hoc-Entscheidungen darstellen, werden sie nur selten infrage gestellt. Hier gilt es, die Akzeptanz für ein besseres Sicherheitsbewusstsein – mit allem was dazu gehört – durchzusetzen.

Von der Aufsicht zum Vorbild

Denn angesichts der gestiegenen Bedrohungslage wird vom Aufsichtsrat mehr verlangt als nur die Kontrolle der Cybersecurity eines Unternehmens. Vielmehr sollten sie mit gutem Beispiel vorangehen und von oberster Stelle ein Zeichen für den sorgsamen Umgang mit Sicherheitsprozessen setzen.

Welche Praktiken des Aufsichtsrats in Bezug auf die Sicherheit hinterfragt werden sollten und wie ein beispielhaftes Sicherheitsbewusstsein aussehen kann inkl. hilfreicher Checkliste zur IT-Sicherheit im Aufsichtsrat, lesen Sie in unserem aktuellen E-Book:

E-Book Cybersecurity in den Führungsgremien - Jetzt downloaden!

Board
Kostenlose Brainloop Demo: Jetzt Demo vereinbaren!

Das könnte Sie auch interessieren:

Der Weg zum Aufsichtsratsmandat
Der Weg zum Aufsichtsratsmandat

Aufsichtsrat ist kein Ausbildungsberuf. Darum bringt ein praxisorientierter Ratgeber nun die Anforderungen auf den Punkt – inklusive persönlichem..

Weiterlesen
Aufsichtsratsagenda 2018: Das sind die Top-Prioritäten
Aufsichtsratsagenda 2018: Das sind die Top-Prioritäten

Die Aufsichtsratsagenda 2018 ist geprägt von Disruption in vielfältiger Form. Aufsichtsräte setzen deshalb ihre Prioritäten neu.

Weiterlesen
Ehrbarkeit und Tugenden eines Aufsichtsrats
Ehrbarkeit und Tugenden eines Aufsichtsrats

Der ehrbare Aufsichtsrat macht CSR und Nachhaltigkeit zu seiner eigenen, persönlichen Angelegenheit.

Weiterlesen
Von der Verschwiegenheitspflicht der Aufsichtsräte
Von der Verschwiegenheitspflicht der Aufsichtsräte

Aufsichtsräte sind per Gesetz zur Verschwiegenheit verpflichtet – das ist wichtig und richtig. Die digitale Transformation brauchte eine Kultur der..

Weiterlesen

Ihre Meinung zum Thema:

Brainloop Blog: Jetzt abonnieren
New call-to-action