Cyberresilienz   Handlungsmaximen für Unternehmensleitungen

Cyberangriffe stellen ein wesentliches strategisches Risiko dar. Sie betreffen Liquidität, Reputation, Compliance und die persönliche Haftung der Geschäftsleitung.

Angestrebt werden muss eine Sicherstellung der unternehmerischen Handlungsfähigkeit auch bei schweren Cybervorfällen sowie Erfüllung der gesetzlichen Anforderungen nach NIS II. Geeignet sind dafür folgende Maßnahmen:

1. Governance und Verantwortung

• Klare Zuordnung der Gesamtverantwortung für Cyberrisiken im Vorstand
• Regelmäßige Befassung des Vorstands mit Cyberrisiken (z. B. Quartalsreporting)
• Nachweisbare Schulung der Geschäftsleitung zu Cyber- und Haftungsrisiken

2. Risikotransparenz schaffen

• Durchführung einer strukturierten Cyber-Risikoanalyse
• Definition der maximal tolerierbaren Ausfallzeiten kritischer Prozesse
• Regelmäßige Berichterstattung zu Risikolage, Schwachstellen und Maßnahmenstatus

3. Notfall- und Krisenfähigkeit sicherstellen

• Etablierung und Test eines belastbaren Notfall- und Wiederanlaufkonzepts
• Sicherstellung von Lohn- und Zahlungsfähigkeit auch bei IT-Ausfall
• Klare Krisenorganisation inklusive Entscheidungs- und Eskalationswegen

4. Gezielt in Prävention investieren

• Priorisierung von Investitionen nach Risikowirkung, nicht nach Techniktrends
• Vermeidung reiner „Papier-Compliance“
• Externe Prüfungen und unabhängige Bewertungen zur Wirksamkeit der Maßnahmen

5. Externe Abhängigkeiten absichern

• Digitale Entkopplung von Dienstleistern (z. B. Steuerberater, Wirtschaftsprüfer)
• Klare vertragliche und technische Regelungen zu Zugriffen und Notfällen
• Definierte Melde- und Reaktionsprozesse bei Sicherheitsvorfällen

Fazit

Cyberresilienz ist Führungsaufgabe. Der Vorstand muss Cyberrisiken aktiv steuern, nicht delegieren. Frühzeitige, strukturierte Maßnahmen reduzieren Haftungsrisiken und sichern die Zukunftsfähigkeit des Unternehmens.