Cyberangriffe sind längst Teil des Geschäftsalltags. Verwaltungsräte tragen Verantwortung dafür, Risiken zu erkennen und kritisch zu hinterfragen, wie gut das Unternehmen vorbereitet ist. Besonders wichtig: funktionierende Notfallpläne und das regelmässige Üben der Abläufe.
Von Nicolas Germiquet, Cyber Security Advisory & Digital Forensic bei BDO Schweiz
Die folgenden zehn Leitfragen und Antworten geben konkrete Orientierung.
Wie ist Cybersecurity strategisch im Unternehmen verankert und wird das Thema regelmässig auf Vorstandsebene behandelt?
Cybersecurity ist heute ein strategischer Führungsaspekt. Sie muss fest in Zielen, Prozessen und der Unternehmenskultur verankert sein. Jede Vorstandssitzung sollte sie auf der Agenda haben. Ein jährliches Update der Cyberstrategie stellt sicher, dass neue Gefahren berücksichtigt werden. Governance, transparente Berichterstattung und eine klare Ressourcenplanung zeigen, dass das Thema ernst genommen wird.
Wie werden Cyberrisiken ins unternehmensweite Risikomanagement integriert und priorisiert?
Cyberrisiken gehören systematisch erfasst, bewertet und im Vergleich zu anderen Risiken eingeordnet. Ein modernes Risikomanagement führt Cybergefahren als eigene Kategorie und quantifiziert sie. Priorisiert wird nach Geschäftsrelevanz, z.B. durch Szenarienanalysen oder regelmässige Risiko-Reports an den Verwaltungsrat. Dieser stellt sicher, dass die identifizierten Restrisiken verstanden, akzeptiert und in der Gesamtverantwortung des Gremiums angemessen abgenommen werden.
Wie wird sichergestellt, dass neue Technologien keine unkontrollierten Risiken einführen?
Digitale Transformation erfordert begleitende Risikoanalysen. Vor jeder Einführung neuer Systeme gilt es, Schwachstellen zu identifizieren und Schutzmassnahmen festzulegen. Wichtig ist, dass IT- und Sicherheitsverantwortliche früh eingebunden werden. Regelmässige Reviews garantieren, dass Sicherheitsstandards eingehalten bleiben.
Werden regulatorische und branchenspezifische Vorgaben aktiv überwacht und umgesetzt?
Verwaltungsräte müssen sicherstellen, dass alle relevanten Gesetze und Standards beachtet werden – vom Datenschutzrecht (DSG, DSGVO) bis hin zu branchenspezifischen Vorgaben. Compliance-Audits und kontinuierliche Updates sind der beste Schutz vor rechtlichen Risiken.
Wie oft werden unabhängige externe Audits und Risikoanalysen durchgeführt?
Mindestens jährlich sollten externe Prüfungen erfolgen, etwa Schwachstellen-Checks, Penetrationstests, Ransomware-Checks oder Resilience-Audits. Diese liefern eine objektive Sicht auf das eigene Risikoniveau. Die Resultate gehören transparent auf den Tisch des Verwaltungsrats und dienen als Grundlage für Verbesserungen. Externe Spezialisten helfen, blinde Flecken zu erkennen.
Fördert der Verwaltungsrat eine Sicherheitskultur bei Geschäftsleitung und Mitarbeitenden?
Kultur prägt Verhalten. Wenn Führungskräfte offen über Risiken sprechen, klare Standards kommunizieren und Anreize setzen, stärkt das das Bewusstsein für Sicherheit. Regelmässige Schulungen, interne Kampagnen und Vorbildfunktion sorgen dafür, dass Cybersecurity nicht als Nebenthema abgetan wird.
Welche kritischen Geschäftsprozesse und Werte sind besonders schützenswert und wie werden sie abgesichert?
Eine aktuelle Inventarliste ist Pflicht: Welche Daten, Applikationen und Prozesse sind entscheidend fürs Geschäft? Der Schutz reicht von Zugriffskontrollen und Verschlüsselung über Monitoring bis zu Backup-Konzepten und Redundanzen. Verwaltungsräte sollten sich regelmässig detaillierte Berichte dazu geben lassen.
Sind die wichtigsten Lieferanten und IT-Dienstleister ins Sicherheitskonzept eingebunden?
Externe Partner sind Teil der Verteidigung. Kritische Dienstleister müssen vertraglich zu Mindeststandards verpflichtet sein und klare Kommunikationswege im Notfall haben. Das gemeinsame Durchspielen von Szenarien stärkt die Resilienz und deckt Schnittstellenprobleme auf.
Gibt es einen aktuellen und getesteten Notfallplan für Cybervorfälle?
Ein Notfallplan ist Pflicht. Er legt fest, wer welche Rolle übernimmt, wie kommuniziert wird, welche externen Fachleute eingebunden sind und wie kritische Systeme wiederhergestellt werden. Auch Dokumentation und Nachbereitung gehören dazu.
Doch ein Plan ist nur so gut wie seine Umsetzung. Der beste Notfallplan nützt nichts, wenn er nicht regelmässig getestet wird. Ein bewährtes Instrument dafür sind sogenannte Tabletop-Übungen. Dabei spielen alle relevanten Entscheidungsträgerinnen und -träger ein realistisches Szenario am Tisch durch – etwa einen Ransomware-Angriff, ein Datenleck oder den Ausfall kritischer Systeme. Die IT-Systeme bleiben dabei unangetastet. Stattdessen werden Massnahmen diskutiert, Entscheidungen getroffen und die Zusammenarbeit zwischen IT, Geschäftsleitung, Kommunikation, Recht und weiteren Abteilungen praktisch erprobt.
Der Verwaltungsrat sollte sich regelmässig berichten lassen, ob solche Tests stattgefunden haben, welche Erkenntnisse gewonnen wurden und wie diese in den Plan eingeflossen sind. Nur so wird der Notfallplan zu einem erprobten Instrument – und nicht zu einem Dokument, das im Regal verstaubt.
Wie werden Führungskräfte und Mitarbeitende auf Vorfälle vorbereitet?
Awareness und Praxis sind der Schlüssel. Jede Führungskraft und jeder Mitarbeitende – ob im Vorstand, in der Administration oder in der IT – sollte regelmässig an zielgruppenspezifischen Trainings teilnehmen. Phishing-Simulationen und realistische Übungen auf Basis des Notfallplans geben Sicherheit und stärken das Selbstvertrauen im Ernstfall.
| Nicolas Germiquet leitet den Bereich Cyber Security Advisory & Digital Forensic bei BDO Schweiz. BDO begleitet KMU in allen Fragen der Cybersicherheit – auf Augenhöhe, praxisnah und mit Fokus auf umsetzbare Lösungen. www.bdo.ch/cyber |