Cyber-Risiken sind Chefsache - was das für VR und GL konkret heisst

Cyber-Sicherheit ist kein Sprint, sondern ein Marathon. Weder ein Produkt noch ein Zustand, sondern ein fortlaufender Prozess, den es in einem Unternehmen strategisch und vom Management – Stufe Verwaltungsrat und Geschäftsleitung – zu etablieren gilt. Warum? Cyber-Risiken werden heutzutage als die grösste Bedrohung für Unternehmen eingestuft und sind ein wesentlicher Bestandteil der Geschäftsrisiken. Sie lassen sich längst nicht mehr alleine an die IT delegieren. Cyber Resilience gehört deshalb zwingend auf die Agenda der Unternehmensführung. Dem Verwaltungsrat und der Geschäftsleitung kommt eine tragende, nicht zu unterschätzende Rolle zu. Welche und wie Sie diese erfolgreich meistern, erfahren Sie in unserem Cyber-Resilience-Leitfaden.

Unternehmen stehen wieder verstärkt im Fokus von Cyber-Kriminellen. Die Meldungen in der Presse und auf den Social-Media-Kanälen überschlagen sich. Und ein Ende dieses Negativtrends ist nicht in Sicht – im Gegenteil. Aktuellen Studien zufolge wurden alleine im letzten Jahr über 60 % der Schweizer Unternehmen Opfer eines Ransomware-Angriffs. Im DACH-Vergleich kommt die Schweiz noch beinahe glimpflich davon. In Deutschland wurden 67 % und in Österreich 84 % der Unternehmen Opfer eine Cyber-Attacke. Hinzu kommt, dass die Dunkelziffer noch um einiges höher sein dürfte. Besonders beunruhigend ist die Tatsache, dass die Unternehmensgrösse dabei unserer Erfahrung nach keine Rolle (mehr) spielt. Es kann also auch Sie und Ihr Unternehmen jederzeit treffen.

Cyber Resilience gehört auf die Agenda vom Top-Management

Cyber Security ist ein zentrales Thema und ausschlaggebend für den Geschäftserfolg einer Firma. Die Auswirkungen von Cyber-Attacken sind schwerwiegend, nicht selten sogar existenzgefährdend. Es erstaunt deshalb nicht, dass schon zahlreiche betroffene Unternehmen Konkurs anmelden mussten. Besonders KMU leben diesbezüglich nicht ungefährlich. Nebst finanziellen Auswirkungen können Cyber-Angriffe noch weitere, ganz unterschiedliche Folgen verursachen:

• Reputationsschäden
• Verlust von Kunden- und Lieferantenvertrauen
• Hohe Summen für Bussen und Rechtskosten
• Schadenersatz- und Kompensationszahlungen
• Zeitverlust
• Umsatzeinbussen, Wiederherstellungskosten
• Konkurs

Nur schon wegen dieser heiklen Risikolage versteht sich von selbst, weshalb Cyber Resilience zwingend auf die Traktandenliste von Verwaltungsrat und Geschäftsleitung eines jeden Unternehmens gehört. Doch was bedeutet eigentlich Cyber Resilience? Nun, wir verstehen darunter die Verschmelzung von Cyber Security, Risikomanagement, Geschäftskontinuität und Resilienz-Praktiken, die die Fähigkeit eines Unternehmens fördern, einem Cyber-Angriff standzuhalten und sich davon wieder zu erholen.

Konkrete Aufgaben und Verantwortung von VR und GL

Als Verwaltungsrats- und Geschäftsleitungsmitglied kommt Ihnen - gemäss Schweizer Obligationenrecht (OR) - eine besonders entscheidende und verantwortungsvolle Rolle zu: Nämlich ein integrales Risikomanagement auszuarbeiten, es im Unternehmen erfolgreich zu implementieren und zu überwachen. Nun die Frage an Sie: Wie steht es diesbezüglich in Ihrem Unternehmen?

Keine Bange, sollten Sie keine klare Antwort parat haben. Wir unterstützen Sie dabei. In diesem Artikel widmen wir uns der Fragestellung und Herausforderung, was Sie als VR- oder GL-Mitglied vor einem Sicherheitsvorfall unternehmen müssen. Voller Fokus also auf die präventive Sichtweise. In unserem eigens für Verwaltungsrat und Geschäftsleitung erarbeiteten Cyber-Resilience-Leitfaden erfahren Sie den kompletten Rundum-Schutz bzw. fokussieren wir uns auf Ihr komplettes Aufgabengebiet bezüglich Cyber-Sicherheit. Das bedeutet, was Sie vor, bei und nach einem Sicherheitsvorfall zwingend unternehmen müssen. Unser Ziel und Anspruch ist es, dass Sie ein hohes Level an Cyber Resilience in Ihrem Unternehmen erreichen.

Cyber Resilience als strategische Chance für Ihr Unternehmen - und die Wichtigkeit eines Partners

Zugegeben, die Ansprüche sind ebenso hoch wie Ihre Verantwortung. Es versteht sich jedoch von selbst, dass es auf operativer Stufe nicht Ihre Aufgabe ist, dies alles umzusetzen oder mit den neuesten Technologien vertraut zu sein. Hierfür können Sie sich im Idealfall auf Ihr Expertenteam rund um Ihren CIO und CISO verlassen. Entscheidend ist, dass Sie in der Lage sind, von Ihren IT- und Sicherheitsverantwortlichen durch gezielte Fragen die Informationen zu erhalten, anhand derer Sie beurteilen können, wie widerstandsfähig und effektiv Ihr Unternehmen gegen Cyber-Bedrohungen ist; oder wo Sie gegebenenfalls intervenieren und reagieren müssen. Cyber Resilience ist somit auch eine tolle und strategische Chance für Ihr Unternehmen, um sich von Ihren Mitbewerbern abzuheben sowie das Vertrauen Ihrer Kunden, Lieferanten, Partner, Investoren, Mitarbeitenden und weiteren Stakeholdern zu stärken, wenn Sie einen Cyber-Vorfall professionell gemanagt haben. Es reicht aber bei Weitem nicht aus, sich alleine auf die Abwehr zu konzentrieren. Viel entscheidender ist die Widerstandsfähigkeit gesamthaft zu stärken, Angriffe schnell zu erkennen und noch schneller zu reagieren. Unsere dringende Empfehlung an Sie: Holen Sie einen erfahrenen und kompetenten Partner an Board, der Sie genau in solchen Situationen professionell unterstützen kann. Oder wie es Dr. Stephan Wartmann, CEO der BRUGG GROUP AG, formuliert:

Die drei Erfolgsfaktoren für Ihre Cyber-Resilience-Strategie

Es lohnt sich definitiv, Ihre Cyber-Strategie auf Resilienz auszurichten. Damit Sie Ihrer Aufgabe im Verwaltungsrat und in der Geschäftsleitung vollends gerecht werden können, empfehlen wir Ihnen folgende Vorgehensweise:

1. Nehmen Sie Cyber Resilience auf oberster Unternehmensebene wahr: Delegieren Sie die Handlungsverantwortung an ein Gremium oder an ein spezifisches Cyber-Resilience-Expertenteam. Nehmen Sie dagegen Führungsverantwortung wahr. Dies darf unter keinen Umständen delegiert werden.
   
2. Beziehen Sie Cyber Resilience in die unternehmensweite Risikobetrachtung ein: Stellen Sie sicher, dass das Management die Cyber Resilience und Cyber-Risikobewertung in die Geschäftsstrategie und das unternehmensweite Risikomanagement sowie die Budgetierung und Ressourcenallokation integriert hat.
   
3. Bauen Sie geeignete Cyber-Resilience-Massnahmen auf und kontrollieren Sie die Umsetzung: Eine moderne und effektive Strategie ist darauf ausgelegt, Cyber-Attacken zeitnah zu erkennen, Hacker daran zu hindern, Schäden anzurichten, sowie die Widerstandsfähigkeit eines Unternehmens gegenüber Cyber-Attacken zu erhöhen. Entsprechend dieser Strategie empfehlen wir Ihnen anhand des weltweit renommierten «NIST Cyber-Framework» vorzugehen, welches Cyber-Massnahmen in der Schweiz als IKT-Minimalstandard in fünf Bereiche einteilt: Identify, Protect, Detect, Respond, Recover.

Checkliste zur Einschätzung Ihrer Cyber Resilience

Im Leitfaden haben wir für Sie diese drei Erfolgsfaktoren detailliert ausgeführt. Nun gehen wir noch einen Schritt weiter. Eine Checkliste soll Sie dabei unterstützen, selbst einschätzen zu können, wie es um die Resilienz in Ihrem Unternehmen steht. Die nachfolgenden Fragen müssten Sie demnach im Idealfall allesamt mit einem klaren «Ja» beantworten können. Hier unsere «Top 6»:

1. Werden Sie regelmässig über Themen der Cyber Resilience informiert und können Sie die Auswirkungen auf das eigene Unternehmen abschätzen?
2. Haben Sie die Handlungsverantwortung festgelegt? Wer trägt diese?
3. Sind Ihre wichtigsten Informationswerte identifiziert und die Anfälligkeit für Cyber-Angriffe gründlich bewertet?
4. Haben Sie eine Risikobewertung für die Cyber-Sicherheit durchgeführt? Und wird diese regelmässig überprüft?
5. Kennen Sie Ihre aktuelle Risikolage, Schwachstellen und die Auswirkungen auf Ihre Cyber Resilience?
6. Haben Sie im Falle eines Cyber-Vorfalls einen Notfallplan? Wird der Notfallplan regelmässig geprobt? Und sind Backups und Offline-Backups der relevanten Assets zeitnah verfügbar?

Hand aufs Herz: Wie schätzen Sie die Cyber Resilience in Ihrem Unternehmen ein? Die komplette Checkliste zur Selbsteinschätzung entnehmen Sie unserem Cyber-Resilience-Leitfaden.

Wir laden Sie ein zu einem Round-Table-Gespräch

Cyber-Risiken sind Chefsache. Gerne unterstützen wir Sie bei Ihrer verantwortungsvolle Aufgabe, eine effektive Sicherheitsstrategie zu etablieren und eine bestmögliche Cyber Resilience zu erzielen. Unsere Erfahrung, und insbesondere die positiven Rückmeldungen unserer Kunden, haben gezeigt, dass dabei ein persönlicher Austausch auf Augenhöhe am zielführendsten ist. Ein Erfahrungsaustausch zeigt eindrücklich auf, wo und was die grössten Herausforderungen und Bedrohungen im Cyber-Security-Ökosystem sind. Vereinbaren Sie jetzt Ihren Wunschtermin. Wir freuen uns auf den Austausch!