Verantwortlichkeit bei DAX- und MDAX-Vorständen

IT und Cyber-Sicherheit in Deutschland noch kein Vorstandsthema

| Redakteur: Peter Schmitz

Sicherheit ist in deutschen Unternehmen anscheinend weder auf der CEO-Agenda noch die Aufgabe eines dafür spezifisch verantwortlichen Security-Spezialisten im Vorstand.
Sicherheit ist in deutschen Unternehmen anscheinend weder auf der CEO-Agenda noch die Aufgabe eines dafür spezifisch verantwortlichen Security-Spezialisten im Vorstand. (Bild: Archiv)

In keinem deutschen DAX- oder MDAX-Unternehmen findet sich ein Vorstandsmitglied, das ausschließlich für die Bereiche Informationstechnologie oder Sicherheit verantwortlich ist. Und das, obwohl Digitalisierung und Cyber-Kriminalität Themen sind, denen sich gerade internationale Konzerne heute nicht mehr verschließen können.

Gerade einmal die Hälfte der im DAX notierten Unternehmen weisen auf ihrer Internet-Seite das Thema IT einem Vorstandsmitglied mit einem anderen Hauptverantwortungsbereich zu, im MDAX sind dies noch weniger: 20 von 50 Firmen. Kaum Beachtung findet das Thema Sicherheit. Vier von 30 DAX-Konzernen benennen öffentlich einen Vorstand, der auch für das Thema Sicherheit verantwortlich ist, im MDAX machen dies gerade einmal sechs Prozent. Das sind drei von 50 Unternehmen.

"Firmenchefs kommen heute nahezu täglich in Kontakt mit der Digitalisierung der Prozesse und Produkte ihres Unternehmens und den sich damit eröffnenden Einfallstoren für Cyber-Piraten", sagt Jörg Asma, Managing Director von Comma Management Consulting für Sicherheit. "Umso erstaunlicher ist es, dass es diese mittlerweile den Alltag dominierenden Themen bisher nicht mit einem eigenen Ressort in den Vorstand geschafft haben - so wie es in den letzten Jahren zum Beispiel im Bereich Einkauf vor allem in der Automobilindustrie und in produzierenden Unternehmen geschehen ist. Oder es in Funktionen wie Vertrieb und Marketing in vielen Firmen lange Tradition hat."

Im Vorstand verantwortlich für das Thema IT ist in den meisten Fällen der Chief Financial Officer (CFO, in 21 der betrachteten Fälle), gefolgt vom Personalchef Chief Human Resources Officer (CHRO, 4x) und dem das Tagesgeschäft steuernden Chief Operating Officer (COO, 3x). In drei Fällen ist IT echte Chefsache, der CEO selbst übernimmt die Verantwortung dafür in seinem Unternehmen. Das zeigt eine aktuelle Studie der auf IT-Sicherheit spezialisierten Unternehmensberatung Comma Management Consulting.

"Für viele vielleicht überraschend: In der Realität sind häufig die Finanzchefs des Unternehmens finale Top-Entscheider für IT-Fragen", sagt Jörg Asma. "Der Chief Information Officer hat damit in den meisten Fällen einen sehr zahlengetriebenen Vorstand, der sich im Hauptberuf um Themen wie Liquidität, Controlling oder in einigen Fällen auch langfristige strategische Unternehmensentwicklung kümmert - aber eigentlich sehr selten wirklich um das operative Tagesgeschäft, Innovation und Produktentwicklung. Diese Struktur könnte auch ein Grund sein, warum deutsche Unternehmen in IT-Fragen der internationalen Konkurrenz, gerade aus den USA, immer wieder hinterher hängen."

Sicherheit ist keine Chefsache

Das Thema Sicherheit ist je zweimal dem CFO, CHRO und COO zugeordnet, einmal einem Vorstandsmitglied ohne spezifische Bezeichnung. Datenschutz, ein wichtiger Sicherheitsaspekt, haben drei DAX-Unternehmen zusätzlich als Vorstandsausgabe herausgehoben, je zweimal beim obersten Juristen des Unternehmens und einmal beim CFO. Asma sagt: "Sicherheit ist in deutschen Unternehmen anscheinend weder auf der CEO-Agenda noch die Aufgabe eines dafür spezifisch verantwortlichen Security-Spezialisten im Vorstand. Es ist zu konstatieren: Sicherheit ist heute trotz der ständig wachsenden Bedrohungslage durch Cyber-Kriminalität und -Spionage kein Chef-Thema."

IT- und Sicherheitschefs (Chief Security Officer, CSO) sind in den 80 DAX- und MDAX-Unternehmen damit frühestens auf der zweiten Führungsebene anzutreffen. "Alle sprechen ständig von Digitalisierung als dem entscheidenden Thema für die Zukunft", sagt Jörg Asma. "Auch die Zusammensetzung der obersten Entscheidergremien der deutschen Top-Konzerne sollte dem endlich Rechnung tragen. Und CIOs und CSOs dort positionieren, wo sie aufgrund ihrer Relevanz hingehören: mit an den Tisch, an dem die grundsätzlichen Entscheidungen getroffen werden."

Über die Studie

Untersucht wurden die Vorstellung der Vorstände aller DAX- und MDAX-Unternehmen auf den jeweiligen Internet-Seiten der Firmen im Februar 2015. Es wurde geprüft, wie sich die jeweiligen Vorstände laut dieser Information zusammensetzen und welche Zuständigkeiten öffentlich einsichtig zugeordnet worden sind. Es ist nicht auszuschließen, dass bei den Unternehmen, bei denen keine Zuordnung feststellbar war, grundsätzlich eine Verantwortung im Vorstandsressort angesiedelt ist. Die Autoren haben den Schluss gezogen, dass in diesen Fällen die Relevanz für eine Information der Öffentlichkeit nicht gegeben zu sein scheint und damit die Gesamtrelevanz von IT und Sicherheit als Vorstandsthema als fraglich zu definieren ist.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43266530 / Sicherheitsvorfälle)