Warum Top-Down-Governance nicht optional ist
Warum Top-Down-Governance nicht optional ist
Cybersicherheit ist kein Technologieproblem, sondern ein Governance-Problem. Dieser erste Abschnitt erläutert, warum der Vorstand rechtlich verantwortlich ist – und was das in der Praxis bedeutet.
1.1 Der systemische Charakter der Cybersicherheit
Eine Firewall entscheidet nicht über die Höhe der Sicherheitsausgaben. Ein SIEM-System entscheidet nicht über Investitionen in Mitarbeiterschulungen. Ein Patch-Management-System entscheidet nicht über die Ablösung veralteter OT-Systeme. Dies sind Entscheidungen der Unternehmensführung – getroffen vom Vorstand. Und der Vorstand trägt nun die rechtliche Verantwortung dafür.
Der Vorstand legt die Risikobereitschaft fest. Wurde der Vorstand nicht ausreichend über Cyberrisiken informiert – in einer für ihn verständlichen und handlungsfähigen Weise –, so ist seine Risikobereitschaft unzureichend begründet. Eine unzureichend begründete Risikobereitschaft ist keine Entschuldigung, sondern ein Versagen der Unternehmensführung.
Die drei Versagensarten der Cyber-Governance von Aufsichtsräten
Delegation ohne Rechenschaftspflicht
„Wir haben einen CISO – das ist seine Aufgabe.“ Der CISO setzt das Programm um; der Vorstand definiert die Risikobereitschaft, genehmigt das Programm, überprüft dessen Wirksamkeit und macht den CISO verantwortlich.
Budget ohne Verständnis
Die Genehmigung eines Cybersicherheitsbudgets ohne zu verstehen, was damit angeschafft wird und welche Risiken bestehen bleiben, ist keine gute Unternehmensführung – es ist ein Blankoscheck, der Haftung ohne Sicherheit schafft.
Richtlinie ohne Nachweis
Hervorragende Richtlinien auf dem Papier, die nie überprüft werden. Eine Richtlinie, die besagt, dass „alle Daten verschlüsselt sind“, ist wertlos, wenn niemand überprüft hat, ob sie tatsächlich verschlüsselt sind.