Im Bereich der Cybersicherheit war die Rolle des Vorstands noch nie so entscheidend wie heute. Vorstandsmitglieder können Cybersicherheit nicht länger nur als IT-Thema betrachten. Ein Vorstand, der auf Sicherheitsvorfälle vorbereitet ist, kann dazu beitragen, dass eine Organisation nicht nur einen Vorfall übersteht, sondern gestärkt daraus hervorgeht. Um dies zu erreichen, müssen Vorstände eine proaktive Haltung einnehmen und Cyber-Resilienz in Governance, Kultur und Entscheidungsfindung verankern. 

Cyberrisiken als Geschäftsrisiken verstehen 

Ein Sicherheitsvorfall kann finanzielle Schäden, operative Unterbrechungen, regulatorische Strafen und Vertrauensverluste verursachen. Diese Auswirkungen bedrohen die Lebensfähigkeit einer Organisation. Vorstände müssen verstehen, dass Cybersicherheit untrennbar mit dem unternehmensweiten Risikomanagement verbunden ist. Das bedeutet, dass Cyberthemen auf derselben Ebene diskutiert werden müssen wie finanzielle Risiken, Stabilität der Lieferkette oder Marktveränderungen. Wenn Vorstände Cyberbedrohungen als Geschäftsrisiken behandeln, können sie fundierte Entscheidungen über Investitionen, Risikobereitschaft und langfristige Resilienz treffen. 

 

Den Ton von oben setzen 

Vorstände haben die einzigartige Möglichkeit, die Unternehmenskultur zu prägen. Eine organisation, die auf Sicherheitsvorfälle vorbereitet ist, hat Sicherheit in den täglichen Betrieb integriert und betrachtet sie nicht als nachträgliche Ergänzung. Wenn Vorstandsmitglieder die richtigen Fragen stellen, regelmäßige Updates einfordern und die Bedeutung der Resilienz hervorheben, senden sie eine klare Botschaft: Sicherheit ist eine gemeinsame Verantwortung. Dieses Engagement von oben nach unten trägt dazu bei, Silos aufzubrechen und sicherzustellen, dass Mitarbeitende auf allen Ebenen ihre Rolle beim Schutz der Organisation erkennen. 

Vorschriften, die Verantwortung vom Vorstand verlangen 

Immer häufiger verlagern Aufsichtsbehörden die Verantwortung für Cyber-Resilienz direkt auf den Vorstand. Im Vereinigten Königreich verlangen die NIS-Vorschriften (und die NIS2-Richtlinie in der EU), dass Vorstände die Planung der Incident Response, das Risikomanagement und die Meldepflichten überwachen – mit möglichen Bußgeldern bei Nichteinhaltung. Die DSGVO verpflichtet die Unternehmensleitung seit langem zum Schutz personenbezogener Daten, mit strengen Strafen bei Verstößen. Im Finanzsektor verlangt der DORA (Digital Operational Resilience Act) inzwischen, dass Vorstände robuste digitale Betriebsabläufe sicherstellen, wobei die Mitglieder persönlich haftbar sind, wenn Resilienzpflichten vernachlässigt werden. Diese Rahmenbedingungen machen deutlich, dass das Engagement des Vorstands nicht mehr optional ist – es ist eine regulatorische Anforderung. 

CRA CTA GER

Klare Berichterstattung sicherstellen 

Eine der größten Hürden für das Engagement des Vorstands ist die Kommunikationslücke zwischen technischen Führungskräften und nicht-technischen Vorstandsmitgliedern. Cyberbedrohungen werden oft in Fachjargon erklärt, was es dem Vorstand erschwert, das tatsächliche Ausmaß der Gefährdung einzuschätzen. Vorstände sollten auf klare, geschäftsorientierte Berichte bestehen, die technische Risiken in messbare Auswirkungen übersetzen – etwa potenzielle finanzielle Verluste, Ausfallzeiten oder regulatorische Verstöße. Wenn Risiken in einer Sprache dargestellt werden, die der Vorstand versteht, können sie zusammen mit anderen strategischen Fragen bewertet und priorisiert werden. 

Datenbasierte Bewertungen verlangen 

Vorstände sollten sich nicht auf Anekdoten oder einmalige Berichte verlassen, wenn sie die Sicherheitslage einschätzen. Stattdessen sollten sie evidenzbasierte Bewertungen fordern, die über die Zeit verfolgt werden können. Unabhängige Audits, Reifegradanalysen und Benchmarking anhand von Branchenstandards bieten ein klares Bild von Stärken und Schwächen. So können Vorstände sehen, ob Investitionen Ergebnisse bringen, wo die größten Lücken bestehen und wie sich ihre Organisation im Vergleich zu Mitbewerbern positioniert. Dies schafft Verantwortlichkeit und unterstützt bessere Entscheidungsfindung. 

CST GER CTA

 

Szenarioplanung und Krisensimulation 

Auf Sicherheitsvorfälle vorbereitet zu sein bedeutet, sich auf den Tag vorzubereiten, an dem Prävention versagt. Vorstände müssen sicherstellen, dass die Organisation über einen Incident-Response-Plan verfügt, der praxisnah, getestet und im gesamten Unternehmen bekannt ist. Vorstandsmitglieder sollten an Szenarioplanungen und Krisensimulationen teilnehmen. Diese Übungen decken Kommunikationslücken auf, klären Eskalationswege und zeigen, ob die Organisation regulatorische oder vertragliche Verpflichtungen auch unter Druck erfüllen kann. So wie Stresstests im Finanzwesen entscheidend für Resilienz sind, sind Cyber-Stresstests entscheidend für die Vorbereitung auf Vorfälle. 

Budgets an Risiken ausrichten 

Eines der stärksten Instrumente des Vorstands ist die Budgetfreigabe. Allzu oft sind Cybersicherheitsinitiativen unterfinanziert, weil sie nur als Kosten betrachtet werden. Vorstände müssen dieses Denken überwinden und Sicherheitsausgaben als Investition in Resilienz, Kontinuität und Vertrauen sehen. Die Ressourcenverteilung sollte durch Risikobewertungen gesteuert werden, nicht durch willkürliche Prozentsätze der IT-Ausgaben. Durch die Ausrichtung der Budgets auf die bedeutendsten Risiken können Vorstände sicherstellen, dass Mittel dort eingesetzt werden, wo sie den größten Einfluss haben. 

Kontinuierliche Aufsicht statt vierteljährlicher Updates 

Cyberbedrohungen entwickeln sich schneller als die meisten Vorstandssitzungszyklen. Das Warten auf vierteljährliche Updates birgt das Risiko, dass Vorstände neue Bedrohungen nicht rechtzeitig erkennen. Vorstände sollten auf kontinuierliche Transparenz drängen, mit Dashboards, die Schlüsselkennzahlen wie die Zeit bis zur Erkennung von Vorfällen, die Behebungsdauer, Phishing-Resilienz oder Patchraten verfolgen. Kontinuierliche Aufsicht ermöglicht es dem Vorstand, nahezu in Echtzeit auf Risiken zu reagieren und Strategien schnell anzupassen. 

Verantwortung in die Governance integrieren 

Um wirklich auf Vorfälle vorbereitet zu sein, müssen Vorstände Verantwortung in ihre Governance-Strukturen einbetten. Dies kann bedeuten, Leistungskennzahlen von Führungskräften an Verbesserungen der Sicherheitslage zu knüpfen, ein Vorstandsmitglied mit spezieller Cyber-Überwachung zu benennen oder sicherzustellen, dass Ausschüsse Cyberrisiken regelmäßig überprüfen. Wenn Verantwortung geteilt und sichtbar ist, sind Organisationen besser in der Lage, effektiv auf Vorfälle zu reagieren. 

Beziehungen zu Sicherheitsverantwortlichen stärken 

Vorstände, die auf Sicherheitsvorfälle vorbereitet sind, pflegen eine kooperative Beziehung zu CISOs und anderen Sicherheitsverantwortlichen. Das bedeutet, über oberflächliche Updates hinauszugehen und einen konstruktiven Dialog über Prioritäten, Risiken und Strategien zu führen. Vorstandsmitglieder sollten Transparenz fördern und Ehrlichkeit über Herausforderungen belohnen, anstatt sie zu bestrafen. Durch den Aufbau von Vertrauen ermöglichen Vorstände es Sicherheitsverantwortlichen, schwierige Themen anzusprechen und die Unterstützung zu erhalten, die sie zur Stärkung der Resilienz benötigen. 

Incident Response als Vorstands-Priorität 

Incident Response (IR) ist der strukturierte Prozess zur Erkennung, Bewältigung und Wiederherstellung nach einem Cybervorfall. Auch wenn die operative Umsetzung bei den Sicherheitsteams liegt, trägt der Vorstand die letztendliche Verantwortung dafür, dass die IR-Fähigkeiten robust, getestet und im Einklang mit den regulatorischen Erwartungen sind. 

Vorstände sollten daher verlangen, dass Incident-Response-Pläne: 

  • Dokumentiert und regelmäßig aktualisiert werden, um das sich verändernde Bedrohungsumfeld und organisatorische Veränderungen widerzuspiegeln. 
  • Durch Übungen getestet werden, die reale Vorfälle simulieren, einschließlich Ransomware und Insider-Bedrohungen. 
  • Mit der Geschäftsfortführungsplanung integriert werden, um sicherzustellen, dass der Betrieb auch während eines Vorfalls weitergehen kann. 
  • Mit Kommunikationsstrategien abgestimmt sind, damit Stakeholder, Aufsichtsbehörden und Kunden angemessen informiert werden. 

IR GER CTA

Wenn Sie mehr darüber erfahren möchten, wie Integrity360 Ihrem Unternehmen helfen kann, auf Sicherheitsvorfälle vorbereitet zu sein, wenden Sie sich an unsere Experten.