Ein IT-Sicherheitsexperte im Verwaltungsrat?

In der letzten Zeit wurde vermehrt über Hackerangriffe in der Schweiz berichtet (März 2016). In diesem Zusammenhang kommt erstmals die Diskussion auf, ob man nicht Sicherheitsexperten in den Verwaltungsrat entsenden sollte. Die Frage ist also: Macht es Sinn, einem Verwaltungsrat eine hochspezialisierte Tätigkeit zu übertragen, die mit dem Kerngeschäft des Unternehmens in der Regel nur wenig zu tun hat?

Meines Erachtens lohnt sich dieses Vorgehen nur, wenn das Unternehmen Informationsbearbeitung als Kerngeschäft versteht. Ein Beispiel, in welchem diese sicher angebracht wäre, wäre bei reinen Online-Händlern. Solche Unternehmen sollten sich durchaus Gedanken machen, ob es nicht sinnvoll wäre, eine Verwaltungsrat mit einem Hintergrund in der Informationssicherheit an Bord zu nehmen. Andererseits muss das Anforderungsprofil des Verwaltungsrates so gestaltet sein, dass Sicherheit nur eine Teilaufgabe ist. Man muss davon ausgehen können, dass der Verwaltungsrat ein aktives Mitglied ist und sich auch um andere. z.B. strategische Fragen kümmern kann. Reine Sicherheitsexperten bringen diese Kompetenz normalerweise nicht mit, ausser sie sind oder waren als Unternehmer aktiv. Sind beide Voraussetzungen nicht gegeben, dann ist es viel sinnvoller, die Sicherheitsaufgaben auf die operative Ebene zu verlagern. Die Vorgaben des Verwaltungsrates zum Thema Risiko können auch anders erfüllt werden. Der Verwaltungsrat kann sich dabei sowohl von aussen wie auch von innen beraten lassen. Im Sinne der Gewaltentrennung bin ich jedoch der Ansicht, dass es sinnvoller wäre, dass sich der Verwaltungsrat einen Beirat bestellt, welcher ihn zu diesen Fragen beraten kann.

Nicht zu vergessen ist auch die Tatsache dass viele Sicherheitsexperten aus dem technischen Umfeld stammen. Einem Verwaltungsrat nützt es wenig, wenn er mit einem ehemaligen Systemprogrammierer diskutiert, welche sich ausschliesslich auf der Ebene der Bits und Bytes bewegt hat. Dies mag dann von Nutzen sein, wenn es darum geht, Aufträge an  hochspezialisierte Sicherheitsfirmen zu vergeben. Der Verwaltungsrat sollte sich um die Risikolandschaft kümmern und beurteilen können, welche Risiken insgesamt mit der Informationsverarbeitung verknüpft sind. Und dabei stellen Hackangriffe nur einen sehr  kleinen Teil der realen Bedrohungen dar. Insofern sind auch ehemalige Militärs als VRs kaum geeignet.

Ein anderes Thema steht für mich jedoch im Vordergrund: DIE BEDEUTUNG VON HACKERANGRIFFEN WIRD MASSIV ÜBERBEWERTET (vgl. den Artikel zu den „Common misconceptions in Infosec„)!  Die meisten Unternehmen haben nämlich ihre IT nicht ausreichend im Griff. Die Mehrzahl der erfolgreichen Angriffe sind nur möglich, weil die IT nicht richtig geführt wird (Stichwort: IT – Governance).  Bevor  jemand einen Verwaltungsrat ausschliesslich für  Schutz und Sicherheit bestellt, müsste man davon ausgehen können, dass das Unternehmen seine IT, bzw. Informationsverarbeitung vollkommenen im Griff hat. Dies trifft jedoch für weniger als 5 % aller Unternehmen zu! In erster Linie gilt also der Grundsatz: Man bekomme zuerst die Informationsbearbeitung  und die IT in den Griff. Dazu gehört auch ein vernünftiges (IT)-Sicherheits- Management.

Als normatives Organ hat der Verwaltungsrat die Aufgabe, nicht nur die Risiken der neuen Technologien im Auge zu halten, sondern auch die Möglichkeiten zu ergründen und aktiv ins Unternehmen zu bringen. Eine Digitalisierungsstrategie sollte heute in fast jedem Unternehmen Teil der Verwaltungsratsagenda sein. Gleichzeitig hat der Verwaltungsrat auch die Pflicht, die Umsetzung dieser Initiativen zu verfolgen und zu kontrollieren. Heute ist es nicht mehr getan, diese Aufgaben an die Informatik zu delegieren oder der Geschäftsleitung zu überlassen. Aufgrund seines vollständigen Verantwortlichkeit tut der Verwaltungsrat gut daran, sich aktiv mit diesen Initiativen auseinanderzusetzen -> Information Governance.

Mit der Zunahme der Digitalisierung und der strategischen Bedeutung dieser Vorhaben kommt  dem Verwaltungsrat eine immer wichtigere Aufgabe zu. Waren früher die Themen der Informatik höchstens am Rand Agenda einer VR-Sitzung, so sind Digitalisierungsinitiativen heute überall präsent. Je nach Bedeutung der Information im Rahmen des Kerngeschäfts oder im Umgang mit regulatorischen Vorgaben muss sich der Verwaltungsrat  aktiv darum kümmern. Dies einerseits als Teil seiner Risikomanagementaktivitäten, andererseits als Aufgabe zur Förderung der strategischen Entwicklung.