In der letzten Zeit wurde vermehrt \u00fcber Hackerangriffe in der Schweiz berichtet (M\u00e4rz 2016). In diesem Zusammenhang kommt erstmals die Diskussion auf, ob man nicht Sicherheitsexperten in den Verwaltungsrat entsenden sollte. Die Frage ist also: Macht es Sinn, einem Verwaltungsrat eine hochspezialisierte T\u00e4tigkeit zu \u00fcbertragen, die mit dem Kerngesch\u00e4ft des Unternehmens in der Regel nur wenig zu tun hat?<\/p>\n
Meines Erachtens lohnt sich dieses Vorgehen nur, wenn das Unternehmen Informationsbearbeitung als Kerngesch\u00e4ft versteht. Ein Beispiel, in welchem diese sicher angebracht w\u00e4re, w\u00e4re bei reinen Online-H\u00e4ndlern. Solche Unternehmen sollten sich durchaus Gedanken machen, ob es nicht sinnvoll w\u00e4re, eine Verwaltungsrat mit einem Hintergrund in der Informationssicherheit an Bord zu nehmen. Andererseits muss das Anforderungsprofil des Verwaltungsrates so gestaltet sein, dass Sicherheit nur eine Teilaufgabe ist. Man muss davon ausgehen k\u00f6nnen, dass der Verwaltungsrat ein aktives Mitglied ist und sich auch um andere. z.B. strategische Fragen k\u00fcmmern kann. Reine Sicherheitsexperten bringen diese Kompetenz normalerweise nicht mit, ausser sie sind oder waren als Unternehmer aktiv. Sind beide Voraussetzungen nicht gegeben, dann ist es viel sinnvoller, die Sicherheitsaufgaben auf die operative Ebene zu verlagern. Die Vorgaben des Verwaltungsrates zum Thema Risiko k\u00f6nnen auch anders erf\u00fcllt werden. Der Verwaltungsrat kann sich dabei sowohl von aussen wie auch von innen beraten lassen. Im Sinne der Gewaltentrennung bin ich jedoch der Ansicht, dass es sinnvoller w\u00e4re, dass sich der Verwaltungsrat einen Beirat bestellt, welcher ihn zu diesen Fragen beraten kann.<\/p>\n
Nicht zu vergessen ist auch die Tatsache dass viele Sicherheitsexperten aus dem technischen Umfeld stammen. Einem Verwaltungsrat n\u00fctzt es wenig, wenn er mit einem ehemaligen Systemprogrammierer diskutiert, welche sich ausschliesslich auf der Ebene der Bits und Bytes bewegt hat. Dies mag dann von Nutzen sein, wenn es darum geht, Auftr\u00e4ge an hochspezialisierte Sicherheitsfirmen zu vergeben. Der Verwaltungsrat sollte sich um die Risikolandschaft k\u00fcmmern und beurteilen k\u00f6nnen, welche Risiken insgesamt mit der Informationsverarbeitung verkn\u00fcpft sind. Und dabei stellen Hackangriffe nur einen sehr kleinen Teil der realen Bedrohungen dar. Insofern sind auch ehemalige Milit\u00e4rs als VRs kaum geeignet.<\/p>\n
Ein anderes Thema steht f\u00fcr mich jedoch im Vordergrund: DIE BEDEUTUNG VON HACKERANGRIFFEN WIRD MASSIV \u00dcBERBEWERTET (vgl. den Artikel zu den „Common misconceptions in Infosec<\/a>„)! Die meisten Unternehmen haben n\u00e4mlich ihre IT nicht ausreichend im Griff. Die Mehrzahl der erfolgreichen Angriffe sind nur m\u00f6glich, weil die IT nicht richtig gef\u00fchrt wird (Stichwort: IT – Governance). Bevor jemand einen Verwaltungsrat ausschliesslich f\u00fcr Schutz und Sicherheit bestellt, m\u00fcsste man davon ausgehen k\u00f6nnen, dass das Unternehmen seine IT, bzw. Informationsverarbeitung vollkommenen im Griff hat. Dies trifft jedoch f\u00fcr weniger als 5 % aller Unternehmen zu! In erster Linie gilt also der Grundsatz: Man bekomme zuerst die Informationsbearbeitung und die IT in den Griff. Dazu geh\u00f6rt auch ein vern\u00fcnftiges (IT)-Sicherheits- Management.<\/p>\n Als normatives Organ hat der Verwaltungsrat die Aufgabe, nicht nur die Risiken der neuen Technologien im Auge zu halten, sondern auch die M\u00f6glichkeiten zu ergr\u00fcnden und aktiv ins Unternehmen zu bringen. Eine Digitalisierungsstrategie<\/a> sollte heute in fast jedem Unternehmen Teil der Verwaltungsratsagenda sein. Gleichzeitig hat der Verwaltungsrat auch die Pflicht, die Umsetzung dieser Initiativen zu verfolgen und zu kontrollieren. Heute ist es nicht mehr getan, diese Aufgaben an die Informatik zu delegieren oder der Gesch\u00e4ftsleitung zu \u00fcberlassen. Aufgrund seines vollst\u00e4ndigen Verantwortlichkeit tut der Verwaltungsrat gut daran, sich aktiv mit diesen Initiativen auseinanderzusetzen -> Information Governance<\/a>.<\/p>\n Mit der Zunahme der Digitalisierung und der strategischen Bedeutung dieser Vorhaben kommt dem Verwaltungsrat eine immer wichtigere Aufgabe zu. Waren fr\u00fcher die Themen der Informatik h\u00f6chstens am Rand Agenda einer VR-Sitzung, so sind Digitalisierungsinitiativen heute \u00fcberall pr\u00e4sent. Je nach Bedeutung der Information im Rahmen des Kerngesch\u00e4fts oder im Umgang mit regulatorischen Vorgaben muss sich der Verwaltungsrat aktiv darum k\u00fcmmern. Dies einerseits als Teil seiner Risikomanagementaktivit\u00e4ten, andererseits als Aufgabe zur F\u00f6rderung der strategischen Entwicklung.<\/p>\n","protected":false},"excerpt":{"rendered":" In der letzten Zeit wurde vermehrt \u00fcber Hackerangriffe in der Schweiz berichtet (M\u00e4rz 2016). In diesem Zusammenhang kommt erstmals die …