42 vorhanden; trotz der eindeutigen Zahlen und Fakten. Das Wirtschaftsmagazin Brand eins umschreibt es in seiner Lektüre „Cybersicherheit in Zahlen“ so: „Cybersicherheit ist (...) in der Vergangenheit nicht an zu wenig Informationen gescheitert. Was gemeinhin fehlt, ist das Gefühl für die Gefahren in der digitalen Welt – und die Bereitschaft, sich mit der Materie auseinanderzusetzen“. Das unterstreicht eine Umfrage von Sharp vom September 2023. Die kommt zu der Erkenntnis, dass zwei Drittel (66 Prozent) der kleinen und mittleren Unternehmen (KMU) „kein Vertrauen in den Umgang ihres Unternehmens mit Cyberrisiken“ haben. Doch genau dieses Vertrauen sollten Mitarbeiter haben und dafür muss das Unternehmen die notwendigen Schritte einleiten. Denn die bekannte Frage ist nicht, ob es einen Cyberangriff auf die eigene Organisation geben wird, sondern wann. In diesem Kontext kommt der Geschäftsleitung eine Führungsrolle zu. Für Marco Wolfrum ein klarer Handlungsauftrag an die Leitungsebene des jeweiligen Unternehmens. Konkret heißt das für ihn: „Die Geschäftsführung muss geeignete Maßnahmen ergreifen, um die Informationssicherheit in der eigenen Organisation sicherzustellen.“ Geschäftsführer als oberste Risikomanager Neben der Sorgfalts- und Legalitätspflicht sieht Risikomanagementexperte Wolfrum vor allem die Pflicht zur Einrichtung von Überwachungssystemen als einen zentralen Punkt an. So heißt es in § 91 Abs. 2 Aktiengesetz: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Weiterführend sind die gesetzlichen Pflichten für Vorstände börsennotierter Gesellschaften in Abs. 3 benannt. Darin wird die Einrichtung eines angemessenen und wirksamen internen Kontroll- und Risikomanagementsystems gefordert. Hinzu kommt das am 1. Januar 2021 in Kraft getretene Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (StaRUG). In diesem heißt es hinsichtlich der Krisenfrüherkennung und des Krisenmanagements bei haftungsbeschränkten Unternehmensträgern: „Die Mitglieder des zur Geschäftsführung berufenen Organs einer juristischen Person (Geschäftsleiter) wachen fortlaufend über Entwicklungen, welche den Fortbestand der juristischen Person gefährden können. Erkennen sie solche Entwicklungen, ergreifen sie geeignete Gegenmaßnahmen und erstatten den zur Überwachung der Geschäftsleitung berufenen Organen (Überwachungsorganen) unverzüglich Bericht.“ Damit sieht der Gesetzgeber die klare Handlungs- und Überwachungspflicht bei der jeweiligen Geschäftsleitung und fordert geeignete Maßnahmen bei bestandsgefährdenden Entwicklungen. Und zu denen gehören Cybergefahren – von Datendiebstählen über Sabotagen bis zu Erpressungen – mit all ihren unabsehbaren Folgen in puncto Kosten und Reputationsverlusten für Unternehmen. Daraus folgert Marco Wolfrum: „Im Grunde ist der Geschäftsführer damit der oberste Risikomanager eines Unternehmens und muss eine aktive Rolle im gesamten Krisenfrüherkennungs- und Risikomanagementprozess einnehmen.“ Ein Prozess, der nach Wolfrums Dafürhalten bis zur Überwachung der Wirksamkeit und möglichen Neujustierung der jeweiligen Maßnahmen im Cybersicherheitsumfeld reiche. Mensch und Wissensmanagement Bei allen technischen Entwicklungen, mit deren Hilfe die Cybersicherheit in Organisationen verbessert werden soll, kommt den Menschen vor Ort die entscheidende Rolle zu. Das heißt: Wir reden hier nicht vom „Faktor“ Mensch, sondern dem Mitarbeiter. Ohne ihn wird es keine umfassende Cybersicherheit geben. Leider haben das längst nicht alle handelnden Personen in den Führungsetagen deutscher Unternehmen verstanden. Und so herrscht nicht selten der Glaube vor, dass Organisationen die wichtigen IT-Security- und Risikomanagement-Funktionen und Unwägbarkeiten rein Software-getrieben lösen könnten. Das Ganze ähnelt einer Art modernem Ablasshandel und endet meist in einer Sackgasse. Denn in vielen Fällen werden damit Einzelrisiken betrachtet, ohne sich über die Gesamtrisikosituation im Unternehmen bewusst zu sein. Im Umkehrschluss heißt das für die Cybersicherheit einer Organisation: „Je mehr Wissen, desto mehr Risikobewusstsein“, wie es das Magazin „Cybersicherheit in Zahlen“ formuliert. Darin schwingt die Aufforderung mit, das Wissensmanagement in der eigenen Organisation zu forcieren. Das heißt, Mitarbeiter qualitativ besser im Umgang mit Cyberrisiken zu schulen und vor den Gefahren zu sensibilisieren. Für Marco Wolfrum muss die Geschäftsleitung solche Schulungs- und Awareness-Strukturen initiieren. Mehr noch: „Das Topmanagement tut gut daran, eine frühzeitige, klare und transparente Krisenkommunikation in der gesamten Organisation zu fördern“, erklärt Wolfrum. Und er resümiert: „Nur so lassen sich alle Mitarbeiter in den Prozess der Schulungs- und Awareness-Programme einbinden.“ Das hilft, die Cybersicherheit sowie die organisationsweite Resilienz zu stärken und letztendlich eine gemeinsame Risikomanagementkultur im Unternehmen aufzubauen. Wichtige Bausteine jeder Organisation. Denn die bekannte Frage ist nicht, ob es einen Cyberangriff auf die eigene Organisation geben wird, sondern wann. Cybersicherheit im Kontext des Krisen- und Risikomanagements Die RMA Risk Management & Rating Association bietet vielfältige Möglichkeiten, sich mit dem Thema Cybersicherheit im Kontext des Krisen- und Risikomanagements zu beschäftigen. Dank zahlreicher Arbeitskreise und deren Schnittstellen zum Cyberumfeld können Risikomanager neue Impulse und Ideen für die eigene Organisation mitnehmen. Hierzu zählen unter anderem die Arbeitskreise „Krisenmanagement“, „Information Risk Management“ und „Risikomanagement- Standards“. Hinzu kom- men die Weiterbildungsmöglichkeiten zum Enterprise Risk Manager (Univ.) und Fernstudienprogramme sowie ein umfassendes Seminar-, Webinar- und Konferenzangebot, wie beispielsweise der jährlich statt- findende Risk Management Congress. Weitere Informationen:
RkJQdWJsaXNoZXIy Mjc4MQ==