Thought Leadership
Auf Geschäftsführer:innen, Vorständ:innen oder Aufsichtsrät:innen lastet ein immer größerer Verantwortungsdruck. Nachlässigkeiten bei der Aufsicht können für die Unternehmen und die Betroffenen selbst teuer und böse enden. Wie lässt sich angesichts der Flut an Regularien noch die Kontrolle wahren?
Cyberkriminalität bedroht die Unternehmen in Deutschland. Der jährliche Schaden durch den Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage liegt bei 203 Milliarden Euro, schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen Bitkom. Rund 84 Prozent der Unternehmen sind direkt betroffen. „Spätestens mit dem russischen Angriffskrieg gegen die Ukraine und einer hybriden Kriegsführung auch im digitalen Raum ist die Bedrohung durch Cyberattacken für die Wirtschaft in den Fokus von Unternehmen und Politik gerückt“, sagt Bitkom-Präsident Achim Berg. „IT-Sicherheitslage spitzt sich zu“, ist auch das Fazit des jüngsten Jahresberichts des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI.
Firmenlenker müssen angesichts der Risikolage umdenken
Vor dem Hintergrund der wachsenden Gefahren müssen Geschäftsführer:innen umdenken – und sie tun es auch. In den vergangenen Jahren ist das Bewusstsein für Cybersicherheit in Unternehmen deutlich gestiegen. Noch vor wenigen Jahren war Cybersicherheit ein Nischenthema für IT-Expert:innen. Mittlerweile ist praktisch jedem Unternehmen klar, dass es Opfer eines Cyberangriffs werden kann.
Unternehmen investieren mehr in IT-Sicherheit
Entsprechend steigt die Bereitschaft, Geld in die Hand zu nehmen: Viele Unternehmen machen Mittel frei für IT-Sicherheit. Geld heißt aber nicht automatisch auch mehr Sicherheit. Es geht darum, Prioritäten zu setzen. Grundlage ist ein funktionierendes Risikomanagement, das je nach Unternehmen und Branche individuell zugeschnitten sein muss. Während bei Banken Cybersicherheit ganz oben steht, ist das Thema bei Industrieunternehmen noch nicht im vergleichbaren Maß angekommen. Dabei können Cyberangriffe sehr folgenreich sein. Der Stillstand der Produktion, der Verlust von Kundendaten können hohe Schäden auch bei der Reputation zur Folge haben.
IT-Sicherheit ist Chefsache
Die Überwachung und Kontrolle sollte aber möglichst außerhalb der IT-Abteilung erfolgen. Sonst kommt es zu Zielkonflikten zwischen Sicherheit und Effizienz. Diese Aufgabe sollte die oder der Chief Information Officer (CFO) oder ein oder eine Informationssicherheitsbeauftragte:r übernehmen. Diese Position sollte direkt an der Geschäftsführung oder dem Vorstand angedockt sein und auch an den Aufsichtsrat berichten.
Mit anderen Worten: Bis zu einem gewissen Grad können die Entscheider:innen ganz oben an der Firmenspitze die Aufgaben delegieren. Doch letztlich obliegt ihnen das Risikomanagement. Sie stehen mit ihrem Posten und ihrem guten Namen dafür gerade, dass das Unternehmen sauber bleibt. Die Cybersicherheit ist dabei ein Thema von aktuell herausragender Bedeutung. Aber beileibe nicht das einzige.
Überblick behalten im Bermudadreieck „GRC“
Das Themenfeld „Governance, Risk and Compliance” – kurz GRC – ist vielschichtig, arg komplex und wird für Unternehmen immer existenzieller. „Governance“ beschreibt, wie Geschäftsführer:innen, Vorständ:innen, oberste Führungskräfte sowie Mitglieder in den Aufsichtsgremien ein Unternehmen führen. „Risikomanagement“ ist der Sammelbegriff für das kontrollierte Beherrschen vielfältiger Risiken – von finanziellen Risiken über Ausfälle bei Lieferketten oder Stromversorgung bis eben hin zu den gravierenden IT-Risiken im Zeitalter von Cloud-Computing und immer offeneren Netzwerken. „Compliance“ ist der Begriff für die Eigenschaft eines Unternehmens, sich streng an die geltenden Gesetze, Richtlinien und Regeln zu halten, die die Politik, aber auch die Unternehmen sich selbst auferlegen.
Klar, risikoreich war das Unternehmens- und Unternehmerleben schon immer. Aber Angriffe aus beispielsweise Russland auf die Netzwerke mittelständischer Firmen im Sauerland oder harte Sanktionen des deutschen Gesetzgebers bei intransparenten Lieferketten oder gravierenden Verstößen gegen die Arbeitssicherheit in fernen Ländern, wie es jetzt nach dem neuen Lieferkettensorgfaltspflichtengesetz in Deutschland möglich ist, das alles ist neu. Ein Laisser-faire beim Führen und Lenken kann sich niemand mehr leisten.
Kontrolle behalten mit übersichtlichen Dashboards
Leicht gesagt, angesichts gefüllter Terminkalender auf der einen Seite sowie quantitativ und qualitativ immens steigender Risikoquellen auf der anderen Seite. Wer soll da noch durchblicken? Genau hier könnten neue, smarte Tools sowie übersichtliche Dashboards eine Abhilfe bieten. Sie versprechen den C-Levels, die sie nutzen, genau den Überblick über die drei sensiblen Bereiche Governance, Risk und Compliance, der heute und in Zukunft nötig und gefordert ist.
Unter anderem ist eine solch digitalisierte Unternehmens- und Risikosteuerung mit „embedded GRC“, (kurz „eGRC“) des Rosenheimer Softwarehauses Goriscon GmbH möglich. Das Unternehmen ist Teil der M71 Group zu der auch das IT-Beratungshauses Neto Consulting gehört. Mit digitalen Lösungen ermöglicht Goriscon eine zielgerichtete und effiziente Umsetzung unterschiedlicher Standards in verschiedenen Bereichen. Durch eine zentrale Steuerung aller Richtlinien wird es Kunden ermöglicht die Qualität zu steigern, Risiken zu identifizieren und zu steuern. Goriscon unterstützt mit dem Programm auch zahlreiche Spezialanforderungen, unter anderem ISO 27001, DSGVO oder KRITIS. Außerdem können Kunden weitere eigene Anforderungen anpassen und hinzufügen.
