Das Managen von IT-Risiken ist längst nicht mehr eine rein technische Angelegenheit, sondern eine strategische Priorität, die auf höchster Unternehmensebene angesiedelt sein muss. Risiken müssen angemessen identifiziert, bewertet und gemanagt werden. Weshalb der Verwaltungsrat dabei eine zentrale Rolle spielt, erfahren Sie in diesem Blog.
Seit über 13 Jahren bin ich in der SmartIT Services AG als Key Account Manager im Bereich IT-Infrastruktur tätig und berate täglich Kundinnen und Kunden. In dieser Zeit wurde die Rolle des Verwaltungsrats bei Themen, welche die IT Security betreffen, immer zentraler. Von der Einhaltung regulatorischer Anforderungen und Gesetzen bis hin zum Schutz vor Cyberbedrohungen – die Verantwortung des Verwaltungsrats in diesem Bereich ist vielfältig und entscheidend für den langfristigen Erfolg und die Sicherheit des Unternehmens.
Im Zuge meiner Weiterbildung CAS Cybersecurity und Information Risk Management stellten sich mir folgende Fragen:
Warum ist das IT-Risk Management eine Aufgabe des Verwaltungsrats?
Christoph von Siebenthal: «Weil die Digitalisierung in allen Bereichen von Unternehmungen eine immer grössere Rolle spielt. Cyberangriffe, Datenschutzverletzungen und IT-Sicherheitslücken können erhebliche wirtschaftliche Schäden verursachen. Der Verwaltungsrat trägt die Verantwortung, sicherzustellen, dass das Unternehmen gegen solche Risiken gut geschützt ist.»
Gibt es spezifische Rechte und Pflichten, welche ein Verwaltungsrat im Umgang mit IT-Risiken hat?
«Der Verwaltungsrat hat laut rechtlicher Grundlage eine strategische Führungsrolle und unterliegt Sorgfaltspflichten, die sich über vier zentrale Bereiche erstrecken:
- Evaluieren: Er muss sicherstellen, dass IT-Investitionen sorgfältig geprüft und vertrauenswürdige Dienstleister: innen ausgewählt werden.
- Überwachen: Die Einhaltung von Standards und rechtlichen Vorgaben, wie beispielsweise das Datenschutzgesetz (DSG) oder die Vorgaben zur Cybersicherheit, muss kontrolliert werden.
- Kommandieren: Strategien und Weisungen müssen klar formuliert und kommuniziert werden.
- Korrigieren: Bei erkannten Schwachstellen sind Anpassungen vorzunehmen, um Risiken zu minimieren.»
Welche konkreten Aufgaben hat ein Veraltungsrat im Bereich IT-Risk Management?
«Der Verwaltungsrat muss sicherstellen, dass es eine klare Strategie und Richtlinien für das IT-Risk Management gibt. Dazu gehört die Überwachung der Implementierung von Sicherheitsmassnahmen, die regelmässige Überprüfung der IT-Infrastruktur und die Sicherstellung, dass alle Mitarbeiter entsprechend geschult sind. Ausserdem sollte der Verwaltungsrat sicherstellen, dass es einen Notfallplan (Incident Management) gibt, um im Falle eines Cyberangriffs schnell reagieren zu können. Darüber hinaus liegt die Verantwortung beim Verwaltungsrat, dass angemessene technische und organisatorische Massnahmen (TOMs) getroffen werden, um die Sicherheit personenbezogener Daten zu gewährleisten.»
Welche rechtlichen Vorgaben müssen, eingehalten werden?
«Das Gremium muss sich selbstverständlich an alle schweizerischen Gesetzte halten. Im Obligationenrecht OR sind die Pflichten des Verwaltungsrates genau definiert. Ich zitiere den OR Artikel 716 a Absatz 1 ‘Der Verwaltungsrat hat folgende unübertragbare und unentziehbare Aufgaben: 1. die Oberleitung der Gesellschaft und die Erteilung der nötigen Weisungen; …’
Diese Aufgabe schliesst die Pflicht ein, Risiken zu identifizieren, analysieren und bewerten. Der Verwaltungsrat muss sicherstellen, dass das Unternehmen die gesetzlichen Anforderungen an den Datenschutz und die IT-Sicherheit erfüllt. Die Konsequenzen bei Verletzungen der Sorgfaltspflicht können zivil- und strafrechtliche Folgen haben. Zudem muss mit einem Reputationsschaden gerechnet werden.»
Kannst du ein Beispiel geben, wie ein Veraltungsrat IT-Risiken strategisch adressieren kann?
«Ein Beispiel ist die Einführung eines umfassenden Informationssicherheitsmanagementsystems, kurz: ISMS, etwa nach ISO 27001. Dies stellt sicher, dass Prozesse und Massnahmen zur IT-Sicherheit dokumentiert und überprüfbar sind. Zudem sollten regelmässige Audits durchgeführt werden, um Schwachstellen zu identifizieren und zu beheben.»
Wie sieht deine Empfehlung aus, um eine IT-Risk Management-Strategie effektiv umzusetzen?
«Ein gutes Beispiel ist die Implementierung eines Security Operations Centers, kurz: SOC. Ein SOC überwacht kontinuierlich die IT-Infrastruktur des Unternehmens, erkennt und analysiert Bedrohungen und leitet sofort Massnahmen ein, um diese zu beseitigen. Dies bietet einen proaktiven Schutz und hilft, potenzielle Bedrohungen frühzeitig zu erkennen und zu neutralisieren. Es ist ein unabdingbarer Schutzschild für Unternehmen.»
Oft spielt der Faktor Mensch bei der IT-Security eine zentrale Rolle – wie wichtig ist die Schulung der Mitarbeitenden im Umgang mit IT-Risiken?
«Die Schulung von Mitarbeitenden ist ein wesentlicher Bestandteil des IT-Risk Managements. Mitarbeitende müssen über die neuesten Bedrohungen und die besten Praktiken zur Vermeidung von Sicherheitsvorfällen informiert sein. Regelmässige Schulungen und Sensibilisierungsprogramme helfen, das Bewusstsein für IT-Sicherheit zu schärfen und das Risiko menschlicher Fehler zu minimieren. Die SmartIT unterstützt Kundinnen und Kunden bei der Schulung ihrer Mitarbeiter. Im Rahmen des IT Security Checks ist ein Awareness Training ein wichtiger Bestandteil.»
Eine weitere Massnahme ist ein Chief Information Security Officer, kurz: CISO, zu ernennen. Welche Vorteile bringt es mit sich, wenn diese Rolle im Unternehmen definiert ist?
«Ein CISO ist verantwortlich für die Entwicklung und Umsetzung der IT-Sicherheitsstrategie des Unternehmens. Die Vorteile eines CISO umfassen:
- Fachwissen und Führung: Ein CISO bringt spezialisiertes Wissen und Erfahrung im Bereich IT-Sicherheit mit und kann das Unternehmen in Sicherheitsfragen strategisch führen.
- Risikomanagement: Ein CISO kann Risiken frühzeitig erkennen und geeignete Massnahmen ergreifen, um diese zu minimieren.
- Koordination und Kommunikation: Ein CISO fungiert als zentrale Anlaufstelle für alle IT-Sicherheitsfragen und koordiniert die Zusammenarbeit zwischen verschiedenen Abteilungen.
- Compliance: Ein CISO stellt sicher, dass das Unternehmen alle relevanten gesetzlichen und regulatorischen Anforderungen erfüllt.»
Kannst du ein Fazit ziehen, wie Verwaltungsräte Ihre IT-Risk Management Strategie verbessern können?
«Erstens sollte der Verwaltungsrat sicherstellen, dass klare Prozesse zur Überwachung und Berichterstattung etabliert sind. Zweitens sollte ein Notfallplan für Cybervorfälle vorhanden sein und getestet werden. Drittens ist es ratsam, regelmässige Audits durchzuführen und sich über aktuelle Bedrohungen sowie gesetzliche Änderungen zu informieren.
Meine Handlungsempfehlung sieht wie folgt aus:
- Einführung eines ISMS: Implementieren Sie ein Informationssicherheitsmanagementsystem, um IT-Sicherheitsprozesse zu dokumentieren und regelmässig zu überprüfen.
- Ernennung eines CISO: Benennen Sie einen Chief Information Security Officer, der die IT-Sicherheitsstrategie entwickelt und umsetzt sowie Risiken frühzeitig erkennt und minimiert.
- Notfallpläne Cybervorfäll: Ein Notfallplan für Cybervorfälle muss erstellt und regelmässig getestet werden.
- Regelmässige Schulungen: Stellen Sie sicher, dass alle Mitarbeitende regelmässig über Cyberbedrohungen und Sicherheitspraktiken geschult werden, um das Bewusstsein zu stärken und Sicherheitsvorfälle zu reduzieren.»
Benötigen Sie bei diesem oder anderen Themen in Ihrer IT-Infrastruktur Beratung? Zögern Sie nicht und kontaktieren Sie Christoph von Siebenthal noch heute.
Entdecken Sie ausserdem folgende Angebote im Bereich Security von uns:
Security Operations Center (SOC)
IT Security Check
Microsoft 365 Security Services
Das Beitrasbild in der Übersicht wurde mit KI generiert.
