Handbuch für Vorstände zur Cyber-Sicherheit
CyberRisk, Markteintrittsbarrieren, öffentliche Meinung. Nur 3 von vielen Risiken, die Unternehmen heute weit mehr beschäftigen, als die klassischen Konjunkturprognosen und die daraus resultierende Einschätzung auf die wirtschaftlichen und finanziellen Auswirkungen eines Unternehmens.
Damit Cyber-Sicherheit zur Chefsache werden kann, ist auch bei der Unternehmensleitung ein Grundverständnis für die Risiken im Bereich Informationssicherheit gefordert. Nur so kann diese die potenziellen wirtschaftlichen Schäden durch Cyber-Vorfälle informiert bewerten und über die Validität von IT-Sicherheitsstrategien entscheiden. Dafür hat das Bundesamt für Sicherheit und Informationstechnik (BSI) ein internationales Handbuch für den deutschen Markt überarbeitet „Management von Cyber-Risiken“.
Die Art, den Wert eines Unternehmens zu berechnen, hat sich in den letzten 25 Jahren signifikant verändert: Betrachtete man früher überwiegend physische Werte, sind heute für die Berechnung immer häufiger auch virtuelle Werte ausschlaggebend. Nahezu 90 Prozent des Gesamtwertes der Fortune-500-Unternehmen bestehen heute aus geistigem Eigentum (IP) und anderen immateriellen Vermögenswerten. Mit der rasant wachsenden „Digitalisierung“ der Unternehmenswerte ist auch eine entsprechende Digitalisierung der Unternehmensrisiken verbunden. Dementsprechend sind politische Entscheidungsträger, Regulierungsbehörden, Aktionäre und die Öffentlichkeit mehr denn je für die Risiken der Cyber-Sicherheit von Unternehmen sensibilisiert. Der Verlust von geistigem Eigentum und Handelsalgorithmen, vernichtete oder manipulierte Daten, schwindendes öffentliches Vertrauen, Ausfälle kritischer Infrastrukturen und sich entwickelnde regulatorische Sanktionen gefährden Unternehmen. Jedes dieser Risiken kann die Wettbewerbsposition, den Aktienkurs und den Unternehmenswert negativ beeinflussen.
In dem Handbuch werden fünf grundlegende Prinzipien formuliert, die Vorstände und Aufsichtsräte bei der Betrachtung von Cyber-Risiken unterstützen, ergänzt durch mehrere Anhänge u.a. mit Ressourcen des BSI für die Wirtschaft. Die Inhalte sind dabei nicht allein für börsennotierte Unternehmen relevant. Auch mittelständische Unternehmen können die dargestellten Grundprinzipien als Leitfaden für die Bewertung von Cyber-Risiken und den verantwortlichen Umgang mit diesen nutzen.
Eine weitere Leseempfehlung hierzu ist das neue Buch von Prof. Gleißner „Der Vorstand und sein Risikomanager“. Er befasst sich darin mit strategischen und operativen Aspekten des Risikomanagements und beleuchtet sehr plakativ in einem fiktiven Dialog zwischen dem Vorstand und dem Risikomanager eines Unternehmens in einem Zeitraum von mehr als zwei Jahren die prinzipiell vorhandenen Möglichkeiten und die praktischen Umsetzungshemmnisse einer wert- und risikoorientierten Unternehmensführung, die auch durch unternehmensinterne Konflikte beeinflusst werden.