Cyber-Governance, Risikomanagement und Compliance (GRC): Cyber-Risiken als strategischen Hebel nutzen

Warum Cyber-Governance ein Thema für den Aufsichtsrat ist

Je mehr Organisationen ihre Kernprozesse digitalisieren, desto mehr rückt Cyber-Governance als prioritäres Thema in den Vordergrund.

Aufsichtsräte müssen anerkennen, dass die digitale Abhängigkeit systemische Risiken einführt, die die Geschäftskontinuität gefährden, das Vertrauen der Stakeholder untergraben und erhebliche finanzielle Verluste verursachen können. Die Integrität von Daten, Technologien und Betriebsabläufen beeinflusst heute unmittelbar den Ruf des Unternehmens, das Investorenvertrauen und seinen langfristigen Wert.

Die Aufsicht über Cyber-Risiken ist eine treuhänderische Verantwortung des Aufsichtsrats. Die Verwaltungsratsmitglieder müssen sicherstellen, dass die Geschäftsführung Cybersicherheit in die unternehmensweiten Risikomanagement-Rahmenwerke integriert und dass die Risikoposition der Organisation ihre strategischen Ziele widerspiegelt. Wird dies versäumt, können finanzielle und reputationsbezogene Schäden sowie rechtliche und regulatorische Sanktionen die Folge sein.

Cyber-Aufsicht: ein neues Governance-Gebot

Laut einem 2023 von PwC veröffentlichten Bericht — Overseeing Cyber Risk: The Board's Role — identifizieren 49 % der Verwaltungsratsmitglieder Cybersicherheit als eine der größten Aufsichtsherausforderungen, was die zunehmende Komplexität des digitalen Risikomanagements unterstreicht. Aufsichtsräte müssen die Kluft zwischen technischen Abläufen und strategischer Entscheidungsfindung überbrücken, damit Cybersicherheit über bloße Compliance hinausgeht und als echter Wertschöpfungshebel betrachtet wird. Durch einen daten- und risikobasierten Ansatz können Aufsichtsratsmitglieder fundierte Entscheidungen treffen, die Innovation, Risikoappetit und Resilienz in Einklang bringen.

Wie der CrowdStrike-Vorfall 2024 die Schwachstellen des GRC offenbarte

Im Juli 2024 löste ein fehlerhaftes Software-Update des Cybersicherheitsanbieters CrowdStrike einen weltweiten IT-Ausfall aus. Delta Air Lines gehörte zu den am stärksten betroffenen Unternehmen: Die Airline musste mehr als 7.000 Flüge annullieren und erlitt Verluste von über 500 Millionen Dollar. Obwohl die Ursache technischer Natur war, offenbarten die Folgen tiefergehende Governance-Mängel: übermäßige Abhängigkeit von einem einzigen Anbieter, veraltete Infrastruktur und unzureichende Krisenreaktionspläne.

Der Vorfall stürzte mehr als acht Millionen Computer in eine „Neustart-Spirale" und störte kritische Sektoren wie Luftfahrt, Gesundheitswesen und Finanzdienstleistungen. Mit geschätzten Schäden von über 10 Milliarden Dollar verdeutlicht das Ereignis, wie nicht-böswillige Cyber-Vorfälle zu systemischen Krisen eskalieren können.

Als Delta CrowdStrike verklagte, um einen Teil seiner Verluste zurückzufordern, brachte der Rechtsstreit eine unbequeme Wahrheit ans Licht: Resilienz-Versagen können ebenso aus Governance-Lücken wie aus technischen Schwachstellen entstehen. Delta warf CrowdStrike vor, dass der fehlerhafte Software-Rollout dem Unternehmen „katastrophale" Schäden verursacht habe. CrowdStrike hingegen entgegnete, dass Deltas Unfähigkeit, den Normalbetrieb wiederherzustellen, auf eigene Reaktionsmängel und eine veraltete IT-Infrastruktur zurückzuführen sei.

Was nun?

Dieser Vorfall verdeutlicht eine unausweichliche Realität: Cyber-Risiko ist ein Unternehmensrisiko, das erhebliche operative und finanzielle Schäden verursachen kann. Um dem zu begegnen, müssen Führungskräfte Governance, Risikomanagement und Compliance in der Cybersicherheit (GRC) als strategische Priorität verankern – eingebettet in die Aufsicht des Aufsichtsrats – und nicht länger als rein technische Funktion betrachten.

Was ist Cyber-Governance?

Cyber-Governance strukturiert die Entscheidungsfindung, definiert Verantwortlichkeiten und steuert das Cyber-Risikomanagement in der gesamten Organisation. Die amerikanische Cybersicherheitsbehörde CISA definiert Cyber-Governance als eine umfassende Cybersicherheitsstrategie, die in die organisatorischen Abläufe integriert ist und Betriebsunterbrechungen durch Cyber-Bedrohungen oder -Angriffe verhindert.

Zu den Merkmalen der Cyber-Governance gehören:

• Verantwortlichkeits-Rahmenwerke
• Entscheidungshierarchien
• In Bezug auf das Geschäft definierte Risiken
• Minderungspläne und -strategien
• Aufsichtsprozesse und -verfahren

Damit Cyber-Governance wirksam ist, erfordert sie klare Verantwortlichkeit, risikobasierte Entscheidungsfindung und Integration in die grundlegenden Geschäftsabläufe.

Risikobasierte Entscheidungsfindung ist ein multimodaler, datengetriebener Prozess, der Analyse, Planung, Überwachung und Überprüfung umfasst und dabei die potenziellen Auswirkungen des Risikos auf die Unternehmensziele berücksichtigt. Der datengetriebene Prozess ist wesentlich für eine vertretbare Governance.

Cybersicherheitsaufsicht: wachsende Verantwortung des Aufsichtsrats und Erwartungen der Stakeholder

Obwohl Führungskräfte und Verwaltungsratsmitglieder stets die endgültige Verantwortung für Unternehmensrisiken – einschließlich Cybersicherheit – getragen haben, erfordert der aktuelle Kontext nun ein echtes und nicht mehr nur symbolisches Engagement. Hochgradig wirkungsvolle Vorfälle wie der CrowdStrike-Ausfall haben den Bedarf an einer aktiven, fundierten und dokumentierten Cyber-Risikogovernance auf Vorstandsebene verdeutlicht.

Cyber-Expertise der Aufsichtsratsmitglieder

Im Jahr 2023 prüfte die SEC die Einführung einer Regel, die börsennotierte Unternehmen zur Offenlegung verpflichten würde, ob Cybersicherheitsexperten in ihrem Aufsichtsrat vertreten sind. Obwohl die Regel nicht verabschiedet wurde, betonte die Behörde die Bedeutung transparenter Berichterstattung darüber, wie Unternehmen Cyber-Risiken überwachen und managen. Die endgültigen SEC-Vorschriften verpflichten Unternehmen dazu:

• Die Aufsicht des Vorstands zu beschreiben: Unternehmen müssen die Aufsicht des Aufsichtsrats über Cyber-Risiken darlegen, einschließlich etwaiger zuständiger Ausschüsse.
• Die Rolle der Geschäftsführung zu detaillieren: Unternehmen müssen die Rolle und Expertise der Führungsebene bei der Bewertung und dem Management materieller Cybersicherheitsrisiken beschreiben.

Haftung der Aufsichtsratsmitglieder für Cyber-Risiken

In der Europäischen Union haben sich die regulatorischen Erwartungen an die Cybersicherheitsaufsicht auf Vorstandsebene erheblich verschärft. Der Digital Operational Resilience Act (DORA) formalisiert diese Entwicklung, indem er der Geschäftsleitung eine direkte Verantwortung zuweist. Im Rahmen von DORA können Vorstandsmitglieder von Finanzinstituten persönlich haftbar gemacht werden – einschließlich strafrechtlicher Sanktionen – bei schwerwiegenden Mängeln in der digitalen Risiko-Governance.

Führungskräftevergütung gekoppelt an Cybersicherheitsleistung

Cybersicherheitsleistung hatte lange Zeit keinen Einfluss auf die Vergütung von Führungskräften. Diese Zeit ist vorbei. Nach zwei hochkarätigen staatlich gesponserten Cyberangriffen – Storm-0558 (China) und Midnight Blizzard (Russland) – entschied Microsoft, die Vergütung seiner Führungskräfte an ihre Cybersicherheitsergebnisse zu knüpfen. Diese Korrelation zwischen Vergütung und Cyber-Resilienz signalisiert Stakeholdern, dass Governance von der Spitze ausgeht.

Grundlagen einer effektiven Cyber-GRC

Compliance allein reicht nicht mehr aus. Die aktuelle Bedrohungslage erfordert eine proaktive, strategische und in die Unternehmensziele integrierte Cyber-Governance. Anfang 2024 veröffentlichte das NIST eine Aktualisierung seines Cybersicherheits-Rahmenwerks (CSF 2.0), das die neue Funktion „Govern" in den Mittelpunkt der fünf anderen Funktionen stellt: Identify, Protect, Detect, Respond und Recover.

Effektive Cyber-Governance ist:

• Risikobasiert – Priorisiert Kontrollen und Investitionen nach potenzieller Geschäftsauswirkung
• Bereichsübergreifend – Bindet Geschäftsführung, Recht, Risiko, Finanzen und operative Führungskräfte ein
• Transparent – Etabliert klare Rollen, Prozesse, Richtlinien und Reporting-Mechanismen
• Dynamisch – Entwickelt sich mit dem Unternehmens-, Regulierungs- und Bedrohungskontext weiter
• Ergebnisorientiert – Verknüpft Cyber-Maßnahmen mit messbaren Ergebnissen: Risikoreduktion, Resilienz und Vertrauen

Cybersicherheits-Rahmenwerke

Cybersicherheits-Rahmenwerke entwickeln sich weiter, um der wachsenden Bedeutung strategischer Entscheidungsfindung und Governance Rechnung zu tragen. Die wichtigsten Rahmenwerke und Regulierungen konvergieren um ein gemeinsames Prinzip: Cybersicherheit muss risikobasiert, unabhängig und auf die Unternehmensziele ausgerichtet sein.

Strategischer Aufstieg der Cyber-Governance-Rahmenwerke

Das NIST Cybersecurity Framework (CSF) 2.0 hat eine neue Funktion „Govern" eingeführt, die im Mittelpunkt der ursprünglichen Funktionen steht und explizit fordert, dass Cyber-Governance mit dem unternehmensweiten Risikomanagement abgestimmt wird. Die Govern-Funktion unterstreicht die Bedeutung des Verständnisses des organisatorischen Kontexts bei der Entwicklung einer Cybersicherheitsstrategie und des Cyber-Supply-Chain-Risikomanagements.

Das Control Objectives for Information Technology (COBIT) der ISACA ist ein seit langem etabliertes IT-Governance-Rahmenwerk für Unternehmen. Es umfasst 6 Schlüsselkonzepte für ein IT-Governance-System:

1. Mehrwert für Stakeholder schaffen
2. Ganzheitlicher Ansatz
3. Dynamisches Governance-System
4. Governance getrennt vom Management
5. Auf die Unternehmensbedürfnisse zugeschnitten
6. End-to-End-Governance-System

Die ISO-27000-Familie veröffentlichte 2020 eine Aktualisierung der ISO 27014, um Leitlinien zu den Zielen und Prozessen der Informationssicherheits-Governance bereitzustellen. Governance-Organe und die Geschäftsführung sind verantwortlich für:

• Bewerten
• Steuern
• Überwachen
• Kommunizieren

Für jeden dieser Pfeiler wird die Rolle bzw. der Prozess des Governance-Organs oder der Geschäftsführung detailliert beschrieben. Unter „Steuern" sollte das Governance-Organ beispielsweise „den Risikoappetit der Organisation festlegen", während die Geschäftsführung „die Informationssicherheitsziele mit den Unternehmenszielen abstimmen" sollte.

Das Drei-Linien-Modell der Cyber-Governance

Das Drei-Linien-Modell, auch bekannt als Drei-Linien-Verteidigungsmodell, ist ein Governance-Modell, das die Verantwortlichkeiten des organisatorischen Risikomanagements in drei „Linien" aufteilt. Das aktualisierte Rahmenwerk unterstreicht die Bedeutung des Governance-Organs bei der Steuerung des Cyber-Risikos innerhalb eines Unternehmens.

• Governance-Organ: verantwortlich für die Governance und die Einrichtung geeigneter Strukturen und Prozesse, um die Erreichung der Unternehmensziele zu ermöglichen
• Erste Linie – Operatives Management: verantwortlich für die Durchführung von Kontrollen und Sicherheitsmaßnahmen im Tagesgeschäft
• Zweite Linie – Risikomanagement und Compliance: verantwortlich für die Überwachung aufkommender Risiken und stellt sicher, dass die Organisation relevante Gesetze, Vorschriften und Standards einhält
• Dritte Linie – Interne Revision: liefert objektive und unabhängige Gewähr über die Wirksamkeit und Integrität der Risikomanagementprozesse und -kontrollen der Organisation

Diese Rahmenwerke unterstreichen alle die Bedeutung von Governance bei der Festlegung von Prozessen und Zielen. Aufsichtsräte tragen Verantwortung gegenüber ihren Mitarbeitenden, Aktionären und Regulierungsbehörden. Die Fähigkeit, auf Krisensituationen zu reagieren, ist dabei grundlegend.

Rechtliche Rahmenwerke für Cyber-Governance

Die europäische DORA-Verordnung (Digital Operational Resilience Act), die am 17. Januar 2025 in Kraft getreten ist, zielt darauf ab, die digitale Resilienz von Finanzinstituten zu stärken. Sie verpflichtet Leitungsorgane dazu, ihre Geschäftsstrategien mit dem IKT-Risikomanagement abzustimmen, und legt fest, dass sie „eine zentrale und aktive Rolle bei der Steuerung und Anpassung des IKT-Risikomanagement-Rahmenwerks und der gesamten digitalen operativen Resilienzstrategie" übernehmen müssen. Parallel dazu verpflichtet die NIS2-Richtlinie Führungskräfte und ihre Teams zu regelmäßigen Schulungen, um Cyber-Risiken und -Praktiken wirksam bewerten zu können.

Rollen und Verantwortlichkeiten in der Cyber-Governance

Ein reifes Governance-System erfordert klar definierte Rollen, die sowohl mit der Unternehmensstrategie als auch mit der Cyber-Risikoexposition abgestimmt sind. Die Schlüsselakteure umfassen:

• Aufsichtsrat: Stellt die Aufsicht sicher, definiert den Risikoappetit und gewährleistet Verantwortlichkeit auf höchster Ebene
• Geschäftsführung (CEO, CFO, COO, CRO): Integriert Cybersicherheit in die Unternehmensstrategie und das unternehmensweite Risikomanagement
• CISO: Leitet die Strategieentwicklung und Risikominderungsmaßnahmen, übersetzt Cyber-Risiken in unternehmensrelevante Begriffe mithilfe konsistenter Methoden wie FAIR
• Recht und Compliance: Stimmt Cyber-Maßnahmen mit regulatorischen Verpflichtungen ab und verwaltet die Haftung
• Geschäftsbereichsleiter: Tragen und managen das Risiko auf operativer Ebene und stellen sicher, dass Cyber-Risiken in Geschäftsentscheidungen berücksichtigt werden
• IT- und Sicherheitsbetrieb: Implementiert Kontrollen, überwacht Systeme und reagiert auf Vorfälle
• Dritte: Erweitern die Angriffsfläche der Organisation und müssen entsprechend bewertet und gesteuert werden

Bereichsübergreifende Zusammenarbeit für bessere Governance

Effektive bereichsübergreifende Koordination beruht auf strukturierten Mechanismen und einer kollaborativen Kultur. Der Aufsichtsrat muss klare Prozesse etablieren – insbesondere bereichsübergreifende Ausschüsse oder dedizierte Teams für das Cyber-Risikomanagement, die IT, Recht, Compliance, Risikomanagement und Geschäftsbereiche zusammenbringen. Darüber hinaus sollten Organisationen gemeinsame Leistungsindikatoren teilen – Risikoreduktionsziele, Reaktionszeiten, Resilienzlevels – um gegenseitige Transparenz zu schaffen und die individuelle Verantwortlichkeit zu stärken.

• Bereichsübergreifende Zusammenarbeit formalisieren durch die Benennung von Risikoverantwortlichen, die als Bindeglied zwischen IT, Recht, Compliance und Geschäftsführung fungieren
• Methoden wie FAIR einsetzen, um eine gemeinsame Risikosprache zu schaffen, die für alle Geschäftsbereiche verständlich ist
• Ein Dashboard mit Schlüsselindikatoren einführen, um Transparenz und Verantwortlichkeit zu gewährleisten
• Cyber-Posture und Governance regelmäßig überprüfen, um Prozesse kontinuierlich zu optimieren

Von der Aufsicht zum Verständnis

Der CrowdStrike-Vorfall zeigt, dass Cyber-Resilienz und Unternehmensresilienz untrennbar miteinander verbunden sind. Organisationen mit reifer Cyber-Governance verwandeln Risikomanagement von einem Kostenfaktor in einen strategischen Vorteil. Der Weg nach vorne erfordert:

• Einen Aufsichtsrat, der Cyber-Risiko als Unternehmensrisiko begreift
• Führungskräfte, die Cybersicherheit in ihre Strategie integrieren
• Eine daten- und risikoanalysebasierte Governance
• Eine Kultur gemeinsamer Cyber-Verantwortung

C-Risk begleitet Unternehmen über die bloße Compliance hinaus und gibt Aufsichtsräten und Führungskräften die Mittel, Cyber-Risiken auf Basis objektiver Daten zu steuern – mit der Disziplin, die sie bereits für andere Unternehmensrisiken beherrschen.