Corporate Governance Inside

Digitale Transformation

Cybersicherheit im Aufsichtsrat

Gastbeitrag von Herrn Ralf Landmann

Vorausschauende Aufsichtsräte bauen ihre Expertise im Bereich Cybersicherheit aus

Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat die Bedrohung der Cybersicherheit in Deutschland im Jahr 2022 ein bisher nie dagewesenes Ausmaß erreicht. Laut dem Digitalverband Bitkom entsteht deutschen Unternehmen durch digitalen Datendiebstahl, Cybersabotage und -spionage jährlich ein Schaden von rund 223 Milliarden Euro. Die Cyberkriminalität nimmt weiter zu, Hacker agieren immer professioneller und vernetzen sich untereinander. Das Problem: Es ist einfacher, Cyberangriffe erfolgreich durchzuführen als sie durch präventive Maßnahmen zu verhindern.

Damit hat das Thema Cybersicherheit massiv an Bedeutung für die Aufsichtsräte gewonnen. Im Rahmen ihrer Beratungs- und Überwachungsfunktion spielen sie eine maßgebliche Rolle dabei, dass das Management in den relevanten Kernbereichen geeignete Maßnahmen zur Stärkung der Cyberresilienz innerhalb des Unternehmens ergreift – und den Aufsichtsrat darüber informiert.

Aber nicht nur der Aufsichtsrat, sondern auch die Investoren erwarten umfassende Informationen zu diesem Thema. Für sie ist die Cyberresilienz ein wesentlicher Faktor für die finanzielle Sicherheit, die operative Stabilität und die Reputation des Unternehmens. Über den Umgang mit Cyberrisiken und Sicherheitsvorfällen wird inzwischen regelmäßig in den Jahresabschlüssen berichtet.

Hinzu kommt weiterer regulatorischer Druck – etwa in den USA, wo die Securities and Exchange Commission (SEC) plant, Unternehmen dazu zu verpflichten, ihre Kontrollmaßnahmen sowie die Kompetenz ihrer Gremienmitglieder in Sachen Cybersicherheit offenzulegen.

Um als Aufsichtsrat seiner Beratungs- und Überwachungsaufgabe gegenüber dem Vorstand im Themenfeld Cyberrisiken wirklich gerecht zu werden und nicht Gefahr zu laufen, nur oberflächlich informiert zu werden, bedarf es eines regelmäßig aufgefrischten(!) Basiswissens in den Bereichen IT und Cyber-Security. Im Kern geht es dabei um die Frage nach den richtigen Prozessen, Systemen und Infrastrukturen.

Nicht alle Mitglieder des Gremiums müssen dabei über den gleichen Wissensstand verfügen – unternehmensinterne oder externe Experten können Wissenslücken ausgleichen. Dennoch gilt: Je breiter das Grundverständnis für die Bedeutung und vor allem die Dynamik des Themas im Aufsichtsrat verankert ist, desto besser.

Vorausschauende Aufsichtsräte sind dabei, ihre Expertise im Bereich Cybersicherheit auszubauen. Sie überlegen, wie sie ihre Governance-Rolle beim Umgang mit Cyberrisiken in ihrem Unternehmen effektiver ausüben können. Einige versuchen in diesem Zusammenhang, ihre Position über neue Mitglieder mit einschlägigen Erfahrungen im Bereich Cybersicherheit zu stärken. Dieser Themenbereich wird inzwischen auch bei vielen Unternehmen explizit als erforderliche Kompetenz in der Qualifikationsmatrix für den Aufsichtsrat gefordert.

Aber wie wird diese Forderung umgesetzt? Und wie genau sieht die „richtige“ Expertise aus?

Ein Blick in die USA zeigt die Herausforderungen auf, die uns in Europa mindestens genauso stark, wenn nicht stärker betreffen: Daten vom jüngsten U.S. Spencer Stuart Board Index weisen auf einen allgemeinen Mangel echter Technologie-Expertise bei neu berufenen Mitgliedern von Kontrollgremien im S&P 500 hin – von spezifischer Expertise in Cybersicherheit ganz zu schweigen. Von den 456 neuen unabhängigen Mitgliedern, die im Jahr 2021 in S&P-500-Aufsichtsgremien berufen wurden, haben nur 18 (knapp 4%) Erfahrung in der Leitung von Funktionen wie Cybersicherheit, IT, Software-Engineering oder Daten und Analytik. Der Großteil dieser neuen Mitglieder wurde entweder von Technologie-Unternehmen an Bord geholt oder von Unternehmen, zu deren Tagesgeschäft der Umgang mit streng vertraulichen Informationen gehört – wie Banken, Versicherungen und Unternehmen im Gesundheitswesen oder der kritischen Infrastruktur – und die deswegen verstärkten aufsichtsrechtlichen Prüfungen unterliegen oder einem außergewöhnlich hohen Sicherheitsrisiko ausgesetzt sind.

Diese allgemeinen Hinweise sollten jedoch ergänzt werden um eine unternehmensspezifische Sicht, um genau zu verstehen, welche Erfahrungshintergründe und Qualifikationen bei der Bestellung neuer Aufsichtsratsmitglieder mit Cyberkompetenz am wichtigsten sind.

Fachliche Kompetenz: Ein fundiertes Technologieverständnis und ein entsprechender Erfahrungshintergrund – wie im Bereich Digital, Technologietransformation oder Innovation – sind sicherlich entscheidend. Kandidatinnen und Kandidaten sollten über den fachlichen Tiefgang verfügen, um dem Chief Information Security Officer (CISO) die richtigen Fragen zur tatsächlichen Cyberresilienz der Organisation stellen zu können und herauszufinden, auf welchen Bereich Ressourcen konzentriert werden sollten. Diese Eigenschaften finden sich üblicherweise bei Top-Managern, die als Chief Information Officer, Information Security Officer oder Technology Officer gearbeitet haben – oder z.B. bei ehemaligen Vorständen aus dem IT-Umfeld.

Die Fähigkeit, das Gesamtbild zu betrachten: Da Cyberrisiken noch nicht sehr lange ins volle Augenmerk von Aufsichtsgremien gerückt sind, mangelt es vielen Technologie- und Cybersicherheitsexperten häufig an Erfahrung in dieser Art der Gremienarbeit. Insofern ist es entscheidend, dass diese potenziellen Mitglieder ohne Aufsichtsratsvorerfahrung sich von kleinteiligen technischen Detailfragen lösen und die übergeordnete Unternehmenssicht einnehmen können. Insofern waren sie im Idealfall bereits Mitglied des Top-Führungsteams eines Unternehmens und erhalten ein gezieltes Aufsichtsrats-Onboarding.

Mehr zu bieten: Die Bedeutung von Cybersicherheit spiegelt sich in der erhöhten Sichtbarkeit von CIOs und CISOs vor Aufsichtsgremien wider. Aber im Gremium selbst geht es um mehr als Cybersicherheit – sondern neben der vorausschauenden Risikoabwehr auch zum Beispiel um die Optimierung der Geschäftsprozesse des Unternehmens, die in nahezu allen Bereichen durch IT-Komponenten unterstützt werden. Darüber hinaus können diese Experten auch bei anderen Fragestellungen wertvolle Beiträge leisten.

Bei unserer Arbeit mit Aufsichtsgremien zum Ausbau ihrer Cybersicherheitskompetenzen hat sich gezeigt, dass sich die richtigen Kandidatinnen und Kandidaten durch sorgfältiges Abwägen aller Aspekte unter Berücksichtigung der individuellen Situation des Unternehmens finden lassen:

  • Ein Chief Information Security Officer (CISO) – eine Rolle, die in Deutschland seit mehr als zehn Jahren in Unternehmen etabliert ist – hat höchstwahrscheinlich den notwendigen technischen Tiefgang, verfügt aber vielleicht bisher nur über begrenzte Erfahrung in der Aufsichtsratsarbeit und den relevanten Ausschüssen (z.B. Prüfungsausschuss).
  • Ein CEO eines Technologieunternehmens oder Anbieters von Cybersicherheitslösungen hat möglicherweise Technologie-Führungserfahrung und ist mit der Arbeitsweise eines Aufsichtsrates vertraut, bietet aber vielleicht weniger praktischen technischen Sachverstand.
  • Führungskräfte aus dem öffentlichen Sektor haben möglicherweise ein sehr gutes Netzwerk in Regierungskreise und zu den Strafverfolgungsbehörden, verfügen aber über weniger Erfahrungen im privatwirtschaftlichen Raum.

Abwägungen im Kandidatenpool

Cybersicherheit ist für Unternehmen sektorübergreifend zu einem Schwerpunktthema geworden. Aufsichtsgremien können es sich nicht leisten, hier eine passive Rolle einzunehmen. Deshalb bauen sie ihre Expertise im Bereich Cybersicherheit aus. Bei der Suche nach und der erfolgreichen Platzierung von Kandidatinnen und Kandidaten ist es besonders wichtig, die Fähigkeiten, auf die es im speziellen Kontext des Unternehmens in Zukunft wirklich ankommen wird, klar zu formulieren und aktiv einzufordern. Erfolgreiche Aufsichtsräte achten dabei darauf, Potenzial und Erfahrung auszubalancieren und in Konstellationen denken; der Aufsichtsrat in seiner Gesamtheit muss ein breites Erfahrungs- und Kompetenzspektrum bei Cybersicherheit abdecken.

Ralf Landmann Partner | Spencer Stuart & Associates

Ralf Landmann

Mit 30 Jahren Industrie- und Beratungserfahrung berät Ralf Landmann Familienunternehmen, börsennotierte Konzerne sowie Private-Equity-Firmen bei der Besetzung von Top-Führungspositionen. Darüber hinaus unterstützt er Aufsichts- und Beiräte bei Nachfolge- und Transformationsprozessen und in der Potenzialanalyse durch Executive Assessments. Er leitet die Boards und CEO Succession Practice in Deutschland und Automotive Europe. Zusätzlich ist er Mitglied im Core Leadership Team für EMEA. Zuvor hat er als Geschäftsführer Spencer Stuart Deutschland geführt.

Spencer Stuart

Spencer Stuart ist seit der Gründung 1956 prägender Vordenker der Top-Executive-Search-Beratung. Als einer der weltweit und in Deutschland größten Anbieter berät die im Besitz der Berater und Beraterinnen stehende Partnerschaft führende Unternehmen und Organisationen dabei, Schlüsselpositionen mit geeigneten Persönlichkeiten zu besetzen. Spencer Stuart unterstützt Klienten zudem mit Dienstleistungen im Bereich Leadership Advisory bei der Potenzial- und Talententwicklung, bei Kulturfragen sowie bei Aufbau und Weiterentwicklung von Aufsichtsgremien. Besondere Expertise hat Spencer Stuart bei der Begleitung unternehmenskritischer Entscheidungen auf höchster Ebene, in Nachfolge- und Übernahmesituationen sowie bei strategischen Prozessen und Veränderungsphasen. Das Unternehmen ist weltweit mit mehr als 70 Büros in über 30 Ländern vertreten und deckt mehr als 50 Practices ab.

Hier können Sie das gesamte Magazin als PDF herunterladen:

Download

Teilen Sie diesen Artikel:

<< Zurück zum Inhaltsverzeichnis

Erfahren Sie mehr zu unserem Programm