Cyber-Risiken sind Chefsache
Unternehmerische Tätigkeiten sind mit Risiken und Chancen verbunden. Mögliche Gefahren für die Unternehmung muss der Verwaltungsrat als oberstes Führungsorgan identifizieren und minimieren. Die Durchführung einer gesetzlichen Risikobeurteilung und der Aufbau eines internen Kontrollsystems zählen zu seinen Aufgaben (Art. 663b Ziff. 12 OR).
Proaktiv handeln und Risiken minimieren
Es gibt keinen hundertprozentigen Schutz vor Cyberangriffen, aber die Risiken können identifiziert und minimiert werden. Das lässt sich in einem laufenden Prozess sicherstellen. Eine dauerhafte Überprüfung ist ausschlaggebend für die Erhöhung des Reifegrads von Cyber-Sicherheitsprogrammen.
Welche Investitionen in die Cybersicherheit sind nötig?
Wer glaubt, sich Cybersicherheit nicht leisten zu können, muss es sich leisten können, die Kosten der Risiken zu tragen. Die Investitionen in Cybersecurity gliedern sich in zwei Teile. Sie umfassen einerseits den technischen Grundschutz wie beispielsweise die Inventarisierung der Hardware, Software, Daten, Services sowie deren Risikobewertung. Dazu zählt auch der Aufbau eines Notfall-Managements, einer Notfallwiederherstellung und weitere Checklisten. Der zweite Teil beinhaltet das Cybersecurity-Budget, das risikobasierte Investitionen in technische Lösungen abbildet. Es kann je nach Geschäftstätigkeit sehr unterschiedlich ausgestaltet sein.