Suchen

Risikomanagement Sicherheitsthemen sind Vorstandssache

| Autor / Redakteur: Frank Kölmel* / Stephan Augsten

Auf den ersten Blick haben Naturkatastrophen und Cyber-Attacken nicht viel gemein. Doch beide können tiefgreifende Schäden hinterlassen. Und sie kommen stets unerwartet. Unternehmen müssen auf solche Ernstfälle vorbereitet und Vorstände sich der damit verbundenen Gefahren bewusst sein.

Firmen zum Thema

Bei der Vorstandssitzung wird IT-Sicherheit nur dann thematisiert, wenn dem Management die Risiken wirklich bewusst sind.
Bei der Vorstandssitzung wird IT-Sicherheit nur dann thematisiert, wenn dem Management die Risiken wirklich bewusst sind.
(Bild: Archiv)

In der Mehrheit der Unternehmen ist die Geschäftsführung nicht in Entscheidungen zur Sicherheitsstrategie für die eigenen IT-Systeme eingebunden. Im Regelfall obliegen derartige Entscheidungen alleine dem CIO, denn sie gelten vielen anderen Vorständen als zu technisch.

Doch damit überlässt die Führungsebene auch das Handling wichtiger weiterer Risiken für das gesamte Unternehmen in die Hände des IT-Fachmanns – im Glauben, alle Probleme und Risiken ließen sich mit den richtigen Tools abwenden. Diese Kompetenzverteilung ist auch in deutschen Unternehmen zwar weit verbreitet, kann im Fall der Fälle aber ungeahnte Folgen haben.

Cyber-Sicherheit ist ein Thema, das weit über den bloßen Malware-Befall einzelner Rechner hinausgeht, ganze Produktionsanlagen lahmlegen kann und häufig immensen Reputations- und Vertrauensverlust bedeutet. Damit sind Fragen der Cybersicherheit weit entfernt von reinen Technik-Angelegenheiten.

Eine Sisyphosaufgabe für CIOs

Bei einem gezielten Angriff können sich Cyber-Kriminelle im Schnitt 205 Tage unbemerkt in einem Netzwerk bewegen, bevor die Sicherheitsverletzung bemerkt wird. In dieser viel zu langen Zeit ist es professionellen Angreifern oft möglich, ein Netzwerk komplett durchleuchten und so viele Daten entwenden, wie es ihnen beliebt.

In gravierenden Fällen könnten Wettbewerber innerhalb kürzester Zeit sämtliche Unternehmensgeheimnisse in Erfahrung bringen oder Informationen aus der Produktentwicklung für die eigene Produktion kopieren. Dennoch stellt es für viele CIOs noch immer eine schier unlösbare Aufgabe dar, IT-Themen auf die Vorstandsagenda zu bekommen.

Um den Vorstandsvorsitzenden vom Stellenwert eines durchdachten und vom Vorstand mitgetragenen Sicherheitskonzepts zu überzeugen, bedarf es einer Strategie. Nur so kann sichergestellt werden, dass die Investment-Planungen und die Sicherheitsstrategie des Unternehmens langfristig auf das gleiche Ziel hinarbeiten: die Minimierung von Risiken.

(ID:43639856)