Peter Fischer, Senior Managing Director, Head of Germany Cybersecurity, FTI Consulting Deutschland GmbH, Frankfurt a.M.; Dr. Frank Damm, Managing Director, Cyber, Forensic & Litigation Consulting, FTI Consulting Deutschland GmbH, Düsseldorf; Lidia Nduka, Consultant, Cyber, Forensic & Litigation Consulting, FTI Consulting Deutschland, Düsseldorf
Vorstände und Aufsichtsräte auf dem Prüfstand
Die zunehmende Digitalisierung und Vernetzung der Unternehmenssysteme erhöht das Risiko von Cybersecurity-Vorfällen, die inzwischen als größtes operationelles Risiko gelten (vgl. Allianz Risiko Barometer). Die seit Jahren kontinuierlich zunehmende Anzahl von schwerwiegenden Cybersecurity-Vorfällen zeigt, dass nicht nur die Angreifer immer professioneller vorgehen, sondern auch, dass die Schutzmaßnahmen in den Unternehmen dem Risiko nicht angemessen sind. Die Verantwortung für Cybersecurity und Datenschutz liegt daher bei der Unternehmensleitung, welche die operative Umsetzung für Schutzmaßnahmen in der Organisation anstoßen und permanent weiterentwickeln muss. In diesem Zusammenhang stellt sich die Frage, wie den Führungskräften ein stärkerer Anreiz gegeben werden kann, Cybersecurity Maßnahmen im Unternehmen auch wirklich zu etablieren. Dies ist auch im Hinblick auf die zunehmende Regulierung und den damit verbundenen, teilweise empfindlichen, Bußgeldandrohungen – NIS2 sieht bis zu 2 % des Weltjahresgesamtumsatzes als Strafe vor –, von elementarer oder gar existentieller Bedeutung für den Fortbestand der Unternehmen. Das Aufnehmen von Cybersecurity Kennzahlen in die Vergütung der Führungskräfte ist hierfür ein wirksames Werkzeug. Laut Gartner werden bis 2026 mindestens 50 % der Führungskräfte Cybersecurity Ziele in ihren Arbeitsverträgen haben. In den USA ist dies bereits bei 9 % der Fortune-100-Unternehmen eingeführt (vgl. Fortune).
Inhalt
I. Was ist Cybersecurity?
II. Bedeutung des Themas
1. Zunehmende Angriffsfläche
2. Angriffe und Schäden nehmen zu
3. Gesellschaftliche Konsequenzen
III. Motivation von Unternehmen und Organisationen
IV. Motivation der Unternehmensleitung
V. Möglichkeiten der Messung der Cybersecurity
1. Beispiele für Messungen zur Cybersecurity
2. Methodische Vorgehensweise bei Messungen
VI. Schritte zur Einführung einer Cybersecurity Messung
VII. Fazit (und Ausblick)
Den vollständigen Beitrag finden Sie im Archiv der BOARD 4/2024.
