Vor fast vier Jahren habe ich an dieser Stelle bereits dazu aufgerufen, Cybersicherheit endlich zur Chefsache zu machen. Passiert ist augenscheinlich leider wenig. Waren es damals sieben der 80 größten an der Börse gelisteten Unternehmen, sind es heute gerade einmal zwei mehr, die das Thema Sicherheit öffentlich erkennbar einem Vorstandsmitglied zugeordnet haben. Ein Sicherheitschef findet sich damals wie heute in keinem einzigen Chefgremium. Das ist da Ergebnis einer aktuellen Untersuchung von PwC.
Immerhin: In zwei Fällen ist der CEO direkt für die Unternehmenssicherheit verantwortlich, einmal ist es sein Stellvertreter. Ansonsten koordinieren das Thema Finanzchef (CFO), der Chief Operating Officer (COO) oder für andere Ressorts Verantwortliche.
In der Zwischenzeit: Zahlreiche Cyber-Einbrüche in Firmen. CEO-Fraud als täglich grüßendes Murmeltier. Bundestags-Hack. Brexit. Trump. Öffentlich einsehbare Chats von Spitzenpolitikern mit ihren Familien. Ebenso hat es in der Zeit der erste ausschließliche Chief Digital Officer in ein MDAX-Unternehmen geschafft.
Die analytische Erhebung spiegelt das, was wir bei vielen Kunden vor Ort feststellen: Trotz der großen Relevanz des Themas Cyber-Sicherheit ist dies häufig beim Chief Information Officer, also dem IT-Chef aufgehängt. Entscheidungen des Top-Gremiums haben in vielen Fällen weitreichende Auswirkungen auf IT- und damit auch Sicherheitsinfrastruktur. Diejenigen mit dem meisten Know-how in dem Bereich können aber auf der Ebene nicht immer mitentscheiden.
IT bis heute kein integraler Bestandteil von Top-Management-Gremien
Insgesamt verfügt nur eins der 80 Unternehmen über ein Vorstandsmitglied, das sich als Chief Information Officer tituliert. Insgesamt hat knapp die Hälfte der Unternehmen (48 Prozent) ein Vorstandsmitglied als IT-Verantwortlichen benannt. In 19 Fällen ist das der Chief Financial Officer (CFO), sechs Mal der CEO, fünf Mal der Chief Operations Officer (COO) und acht Mal Vorstandsmitglieder mit unterschiedlichen Ressort-Zuständigkeiten.
Daraus folgt: Cyber-Sicherheit ist als wichtiges Thema erkannt, findet aber vor allem auf der Arbeitsebene statt. Das belegen auch Zahlen in einer Analyse von 9.500 internationalen Unternehmen in der PwC-Studie: The Global State of Information Security Survey. Insgesamt 31 Prozent der befragten Unternehmen haben angegeben, dass ihre Boards sich direkt an einer Untersuchung der aktuellen Sicherheits- und Datenschutzrisiken beteiligen. Bei Unternehmen mit mehr als 25 Mrd. US-Dollar Jahresumsatz waren es immerhin 36 Prozent. Da verwundert es nicht, dass nur jedes zweite Unternehmen (56 Prozent) von sich sagt, über eine umfassende IT-Sicherheitsstrategie zu verfügen.
Es lässt sich leidenschaftlich darüber streiten, welche Ressorts wie und in welchem Zuschnitt im Vorstand vertreten sein müssen. Da tickt jedes Unternehmen anders. Mein Apell bleibt jedoch bestehen: Wie auch immer es geregelt sein mag - Sicherheits- und Datenschutzthemen müssen Chefsache sein. Denn nur wenn bereits zum frühestmöglichen Zeitpunkt in einem Entscheidungsvorgang berücksichtigt wird, welche Auswirkungen dies auf Sicherheit und Datenschutz hat, lassen sich schwere Fehler vermeiden. Unternehmen minimieren nicht nur das Schadensrisiko, sondern senken auch die Implementierungskosten von Sicherheitsmaßnahmen deutlich. Darum müssen IT- und Sicherheitschef mit an den Entscheidertisch