Nur drei von 80 DAX/MDAX-Unternehmen machen Sicherheit öffentlich zum CEO-Thema

Mareike Stamm 25. Dezember 2018 Experten, Management, Top
Nur drei von 80 DAX/MDAX-Unternehmen machen Sicherheit öffentlich zum CEO-Thema

Wachsende Volkswirtschaften stehen heute häufig vor anderen Herausforderungen, die sie als dringender einschätzen. Aber gerade in der wirtschaftlich führenden westlichen Welt bedrohen Cyber-Angriffe Firmen unmittelbar. Bild: Handwerkskammer Magdeburg

Obwohl nach dem 21st Annual Global CEO Survey mit 1.293 befragten CEOs weltweit das Szenario eines Cyber-Angriffs heute auf Platz drei der größten Sorgen von Firmenchefs liegt, machen die wenigsten Unternehmen das Thema Sicherheit öffentlich zum CEO-Thema. Das geht aus einer Analyse der Internetseiten von DAX/MDAX-Unternehmen durch PwC hervor. Zudem benennt nur eins von 80 Unternehmen einen Chief Information Officer im Vorstand. Knapp die Hälfte der Unternehmen hat das Thema IT öffentlich einsehbar einem Vorstand zugeordnet.

„Nur Überregulierung und Terrorismus fürchten CEOs heute mehr als die Cyber-Bedrohung, die sie vom Gefahrenpotenzial her gleichsetzen mit geopolitischen Risiken“, erklärt Jörg Asma, Senior Partner und Cyber Security Leader Europe von PwC. In Nordamerika sehen CEOs das Thema als das Risiko Nummer eins an, in Westeuropa und Asien-Pazifik haben die Firmenchefs Cyber-Bedrohungen auf Platz vier gewählt. In Lateinamerika und Osteuropa wird es als Risiko dagegen bisher nicht erkannt, in Afrika mit geringerer Bedeutung.

„Wachsende Volkswirtschaften stehen heute häufig vor anderen Herausforderungen, die sie als dringender einschätzen. Aber gerade in der wirtschaftlich führenden westlichen Welt bedrohen Cyber-Angriffe Firmen unmittelbar. Die daraus entstehenden Kosten lassen sich kaum abschätzen, wie prominente Fälle der letzten Monate zeigen. Darum überrascht es, dass öffentlich nicht deutlich mehr Unternehmen das Thema eindeutig erkennbar im Vorstand verankert haben“, so Asma weiter.

 

Trotz intensivem öffentlichen Diskurs kaum Veränderung in den Vorständen festzustellen

Bei der Analyse der Vorstandspräsentationen auf den Internetseiten der DAX- und MDAX-Unternehmen haben zwei Unternehmen das Thema Sicherheit direkt ihrem CEO zugeordnet, einmal spezifisch „Information Security“. Bei einem MDAX-Konzern verantwortet der Stellvertreter des Vorstandsvorsitzenden die Sicherheit. Ansonsten haben bisher sechs der untersuchten Unternehmen das Thema öffentlich einsehbar direkt einem Vorstandsmitglied zugeordnet. Beim Datenschutz ist dies bei sieben Unternehmen der Fall.

„Trotz dem deutlich zugenommenen Bedrohungspotenzial, der in der Öffentlichkeit bekannt gewordenen Fälle und der Einschätzung der CEOs hat sich in den letzten fünf Jahren hier auf Vorstands- und Aufsichtsratsebene noch nicht genug bewegt“, erläutert Jörg Asma. „Wir erleben es in unserem Beratungsalltag, dass trotz der großen Relevanz Cyber-Sicherheit häufig beim Chief Information Officer, also dem IT-Chef aufgehängt ist. Dieser genießt jedoch in deutschen DAX- und MDAX-Unternehmen bis heute keinen Vorstandsrang. Entscheidungen des Top-Gremiums haben in vielen Fällen weitreichende Auswirkungen auf IT- und damit auch Sicherheits-Infrastruktur. Diejenigen mit dem meisten Know-how in dem Bereich können aber auf der Ebene nicht mitentscheiden.“

 

Der CIO schafft es in einem von 80 Fällen in den Vorstand

Insgesamt verfügt nur eines der 80 Unternehmen über ein Vorstandsmitglied, das sich als Chief Information Officer tituliert. Insgesamt hat knapp die Hälfte der Unternehmen (48 Prozent) ein Vorstandsmitglied als IT-Verantwortlichen benannt. In 19 Fällen ist das der Chief Financial Officer (CFO), sechs Mal der CEO, fünf Mal der Chief Operations Officer (COO) und acht Mal Vorstandsmitglieder mit unterschiedlichen Ressortzuständigkeiten.

„IT ist bis heute kein integraler Bestandteil von Top-Management-Gremien“, kommentiert Jörg Asma. „Daraus folgt: Cyber-Sicherheit ist als wichtiges Thema erkannt, findet aber vor allem auf der Arbeitsebene statt.“ Das belegen auch Zahlen der PwC-Analyse „The Global State of Information Security Survey 2018“ von 9.500 internationalen Unternehmen.

 

Sicherheits- und Datenschutzrisiken

31 Prozent der hier befragten Unternehmen haben angegeben, dass ihre Boards sich direkt an einer Untersuchung der aktuellen Sicherheits- und Datenschutzrisiken beteiligen. Bei Unternehmen mit mehr als 25 Milliarden US-Dollar Jahresumsatz waren es immerhin 36 Prozent. „Da verwundert es nicht, dass nur jedes zweite Unternehmen (56 Prozent) von sich sagt, über eine umfassende IT-Sicherheitsstrategie zu verfügen“, beschreibt Jörg Asma.

Weiter führt er aus: „Es lässt sich leidenschaftlich darüber streiten, welche Ressorts wie und in welchem Zuschnitt im Vorstand vertreten sein müssen. Da tickt jedes Unternehmen anders. Mein Appell ist: Wie auch immer es geregelt sein mag – Sicherheits- und Datenschutzthemen müssen Chefsache sein. Denn nur wenn bereits zum frühestmöglichen Zeitpunkt in einem Entscheidungsvorgang berücksichtigt wird, welche Auswirkungen dies auf Sicherheit und Datenschutz hat, lassen sich schwere Fehler vermeiden. Unternehmen minimieren nicht nur das Schadensrisiko, sondern senken auch die Implementierungskosten von Sicherheitsmaßnahmen deutlich. Darum müssen IT- und Sicherheitschef mit an den Entscheidertisch.“ (ig)