Eine neue Studie zeigt, dass Cybersicherheit ein unternehmensweites Problem ist und dass eine stärkere Kontrolle durch den Vorstand zu einer besseren Cybersicherheitsleistung führt.

Ein neuer Bericht von Diligent und Bitsight hat ergeben, dass Unternehmen mit fortschrittlicher Leistung im Bereich Cybersicherheit im Durchschnitt 372 Prozent mehr Aktionärsrendite auszahlen können als Unternehmen mit einem einfachem Security Performance Score [1]. Der Bericht zeigt auch, dass besonders stark regulierte Branchen wie das Gesundheitswesen und der Finanzsektor im Ranking weit vorne liegen – sie haben die Gefahrenlage erkannt und entsprechende Maßnahmen ergriffen. Eine weitere Erkenntnis des Berichts ist, dass Unternehmen mit einem spezialisierten Risiko- bzw. Prüfungsausschuss ebenfalls einen besseren Security Performance Score erreichen (710) als solche ohne einen Ausschuss (650).

»Die Ergebnisse des Reports zeigen, dass Cybersicherheit nicht nur ein IT-Problem ist – es ist ein Unternehmensrisiko, das wesentliche Auswirkungen auf die kurzfristige Leistung und die langfristige Resilienz eines Unternehmens hat – und mit dem die Geschäftsleitung und der Vorstand vertraut sein müssen«, sagt Dottie Schindlinger, Executive Director des Diligent Institute. »Angesichts des zunehmenden Drucks der Aufsichtsbehörden auf Unternehmen, nachzuweisen, wie sie die Cybersicherheit überwachen, ist es jetzt an der Zeit, dass Vorstände und Führungskräfte ihre Kompetenz in Bezug auf Cyberrisiken ausbauen.«

»Bei der Cybersicherheit geht es nicht mehr nur um Risikominderung, sondern sie ist jetzt ein Schlüsselindikator für die finanzielle Leistung. Unternehmen müssen Cybersicherheit als einen Eckpfeiler ihrer Geschäftsstrategie behandeln, der von klaren, ehrgeizigen Maßstäben geleitet wird und die volle Unterstützung ihrer Vorstände genießt«, fügte Dr. Homaira Akbari, CEO von AKnowledge Partners, Mitglied des Verwaltungsrats von Banco Santander und Landstar System und Mitglied des Bitsight-Beirats, hinzu.

Für den Bericht »Cybersecurity, Audit and the Board« haben Diligent und Bitsight mehr als 4.000 mittelgroße bis große Unternehmen in öffentlichen Indizes auf der ganzen Welt analysiert.

Die wichtigsten Ergebnisse des Reports:

Deutschland hinkt anderen Ländern in Sachen Cybersicherheit hinterher:
- Obwohl Deutschland zu den drei Ländern mit den meisten Cybersecurity-Experten im Vorstand gehört (5 Prozent der Unternehmen haben einen Cyberexperten im Vorstand), haben deutsche Unternehmen mit 640 einen der niedrigsten Durchschnittswerte für Cybersecurity und liegen damit hinter Frankreich, dem Vereinigten Königreich, Australien, den USA und Kanada und gleichauf mit Japan.
- Dies könnte daran liegen, dass nur 17 Prozent der deutschen Unternehmen über spezielle Risikoausschüsse verfügen.
- Die Ergebnisse des Berichts deuten darauf hin, dass es nicht ausreicht, einen Experten für Cybersicherheit im Vorstand zu haben – diese Experten müssen direkt an der Cyberaufsicht beteiligt sein. Australien beispielsweise hat mit 700 Punkten eine der höchsten Sicherheitsbewertungen und 90 Prozent der im Bericht genannten Unternehmen verfügen über spezialisierte Risikoausschüsse.
Unternehmen mit einer messbar besseren Cybersicherheitsleistung erzielen eine höhere finanzielle Leistung als ihre Konkurrenten:
- Der durchschnittliche Total Shareholder Return (TSR) für Unternehmen mit fortgeschrittenen Sicherheitsratings über einen Fünf- bzw. Dreijahreszeitraum betrug 71 Prozent bzw. 67 Prozent während Unternehmen im Basis-Performancebereich im gleichen Zeitraum 37 Prozent bzw. 14 Prozent TSR erzielten.
- Unternehmen mit einer höheren Anzahl unabhängiger Direktoren haben mit größerer Wahrscheinlichkeit ein fortgeschrittenes Sicherheitsrating. Etwa 76 Prozent der Direktoren in den Vorständen dieser Unternehmen mit fortgeschrittenen Sicherheitsratings sind unabhängig, verglichen mit 66 Prozent in der Kategorie mit grundlegenden Sicherheitsratings.
Unternehmen mit einem spezialisierten Risiko- bzw. Prüfungsausschuss erreichen im Durchschnitt eine bessere Cybersicherheitsleistung als solche ohne einen Ausschuss:
- Der Median der Cybersicherheitsbewertung für Unternehmen mit spezialisierten Risikoausschüssen liegt bei 730, verglichen mit 720 für Unternehmen mit reinen Prüfungsausschüssen, was darauf hindeutet, dass es keinen signifikanten Unterschied in der Fähigkeit des Prüfungsausschusses zur Überwachung von Cyberrisiken im Vergleich zu einem spezialisierten Risikoausschuss gibt.
- Ein Cybersecurity-Experte im Vorstand reicht nicht aus – diese Experten müssen direkt an der Cyberaufsicht beteiligt sein. Unternehmen mit Cybersicherheitsexperten in den Prüfungs- oder speziellen Risikoausschüssen erreichen eine durchschnittliche Sicherheitsbewertung von 700, während Unternehmen mit Cybersicherheitsexperten im Vorstand, aber nicht in einem der beiden Ausschüsse, eine Sicherheitsbewertung von 580 erreichen.
Stark regulierte Branchen schneiden bei der Cybersicherheit besser ab als andere Branchen:
- Der Gesundheitssektor wies mit 730 die höchsten durchschnittlichen Sicherheitsbewertungen auf. Von den Unternehmen mit fortgeschrittenen Sicherheitsbewertungen stammten 33 Prozent aus dem Finanzdienstleistungssektor, mit einer durchschnittlichen Bewertung von 720.
- Im Vergleich dazu kamen 24 Prozent der Unternehmen mit grundlegenden Sicherheitsbewertungen aus dem Industriesektor, und der Sektor mit der niedrigsten Gesamtbewertung war der Kommunikationssektor mit 630.

»Die Studie zeigt, dass marktführende Unternehmen, die dem Cyber-Risikomanagement Priorität einräumen, besser abschneiden als ihre Konkurrenten«, so Derek Vadala, Chief Risk Officer bei Bitsight. »Dies kann nicht ohne ein gutes Verständnis der Cybersicherheitsleistung und klare Benchmarks erreicht werden, die von der Geschäftsleitung und dem Vorstand geteilt werden. Die Rolle des CISO hat sich gewandelt. Cyber-Risiko ist eine Schlüsselkomponente der Unternehmensleistung.«

[1] Der gesamte Report steht hier zum Download bereit.

Weitere Informationen zur Zusammenarbeit zwischen Diligent und Bitsight finden Sie hier. Erfahren Sie hier mehr darüber, wie Sie sich für die Überwachung von Cyberrisiken zertifizieren lassen können.

Methodik
Die Analyse umfasst 4.149 mittelgroße bis große Unternehmen in öffentlichen Indizes in Australien, Kanada, Frankreich, Deutschland, Japan, dem Vereinigten Königreich und den Vereinigten Staaten. Diligent korrelierte die Cyberaufsichtsstruktur jedes Unternehmens mit den entsprechenden Sicherheitsleistungsdaten, die von Bitsight bezogen wurden. Bei der Korrelationsmethode wurden die Bewertungen innerhalb jeder Kategorie gemittelt, um erkennbare Muster zu identifizieren. Bitsight erstellt Cybersicherheitsbewertungen, die auf extern beobachtbaren Messungen der Sicherheitslage eines Unternehmens basieren. Die vollständige Methodik des Berichts finden Sie hier.

510 Artikel zu „Cybersicherheit Vorstand“

NEWS | BUSINESS | IT-SECURITY | STRATEGIEN | TIPPS

Fünf Regeln zur Bewältigung einer Cybersicherheitskrise: Vorstände und Verantwortliche unter Druck

4. Februar 2020

Das aktuelle Allianz Risk Barometer 2020 – als weltweit größte Risikostudie – hat kritische Geschäftsunterbrechungen, die durch Cybersicherheitsverletzungen verursacht werden, als das größte Risiko für Unternehmen erkannt [1]. »Wann man von einer Cybersicherheitskrise betroffen sein wird, lässt sich nie vorhersagen. Unternehmen können aber Zeit gewinnen, indem sie einen gut einstudierten und effektiven Cyber-Resiliency-Plan aufstellen, der…