Security-Kompetenz im Vorstand: Was Top-Management wirklich wissen muss

Warum Cybersecurity Chefsache ist

Cyberangriffe sind längst kein Randphänomen mehr. Ransomware, Datenlecks, Social Engineering und systematische Industriespionage bedrohen nicht nur IT-Abteilungen, sondern ganze Unternehmensstrukturen. Während technische Schutzmaßnahmen wie Firewalls, Virenscanner und Zugriffsrichtlinien wichtige Rollen spielen, gerät ein entscheidender Faktor oft in den Hintergrund: die Kompetenz des Top-Managements im Umgang mit Sicherheitsrisiken.

Die Realität zeigt: Viele sicherheitsrelevante Entscheidungen werden auf Vorstandsebene getroffen – ohne ausreichendes Verständnis der Bedrohungslage. Investitionen in Sicherheitsmaßnahmen, Priorisierung von Projekten oder die Bewertung von Business-Continuity-Plänen benötigen eine informierte Führungsriege. Fehlentscheidungen können teuer werden – finanziell, rechtlich und reputativ.

Verantwortung liegt an der Spitze

Juristisch betrachtet liegt die Verantwortung für Informationssicherheit beim Vorstand bzw. der Geschäftsführung. Gemäß § 91 AktG ist das Management verpflichtet, ein Frühwarnsystem für existenzbedrohende Risiken zu etablieren – darunter auch IT-Risiken. Verstöße können zu zivil- und strafrechtlichen Konsequenzen führen.

Zudem fordern viele Normen und Gesetze, dass die Unternehmensleitung die Informationssicherheit aktiv unterstützt:

• ISO 27001: Die Führung muss eine Sicherheitsstrategie definieren, Ressourcen bereitstellen und das ISMS kontinuierlich verbessern.
• NIS2: Für Betreiber kritischer Infrastrukturen wird die persönliche Haftung von Vorständen bei Pflichtverstößen verschärft.
• DSGVO: Datenschutzverstöße – etwa durch unsichere Systeme – führen nicht nur zu Bußgeldern, sondern auch zur Haftung des Managements bei Fahrlässigkeit.

Kurzum: Informationssicherheit ist kein IT-Thema – sondern Unternehmensführung.

Typische Defizite in Vorständen

Auch wenn das Bewusstsein für Cybersicherheit gestiegen ist, bleiben Wissens- und Handlungslücken auf Vorstandsebene ein kritisches Problem. Zu den häufigsten Schwachstellen zählen:

• Fehlendes Grundverständnis für technische Risiken und Bedrohungsarten
• Unterschätzung der wirtschaftlichen Folgen von Sicherheitsvorfällen
• Fehlende Integration von IT-Risiken in die Unternehmensstrategie
• Mangelhafte Governance-Strukturen und Rollenunklarheit
• Übermäßiges Vertrauen auf externe IT-Dienstleister ohne Kontrolle

Diese Defizite führen nicht nur zu falschen Prioritäten bei Budgetentscheidungen, sondern auch zu unklarer Kommunikation im Krisenfall.

Was Führungskräfte wirklich wissen müssen

Niemand erwartet vom Vorstand, Firewalls zu konfigurieren oder komplexe Quelltexte zu lesen. Aber: Ein solides Grundverständnis der Sicherheitslage ist Pflicht. Dazu gehören:

1. Schutzbedarf und Risikolage

Führungskräfte müssen wissen, welche Geschäftsprozesse und Daten kritisch sind und welche Folgen ein Ausfall oder Datenverlust hätte. Dazu gehören Fragen wie:

• Was sind unsere Kronjuwelen (z. B. Produktdesigns, Kundendaten, Forschungsprojekte)?
• Wie sieht unser aktueller Risikobericht aus?
• Welche Angriffsvektoren sind für uns besonders relevant?

2. Aufbau eines ISMS

Ein funktionierendes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bildet die Basis jeder strukturierten Sicherheitsstrategie. Vorstände sollten dessen Elemente kennen:

• Sicherheitsleitlinie und -ziele
• Risikoanalyse und -bewertung
• Maßnahmenkatalog (Annex A)
• Dokumentation und Kontrollen
• Management-Review und kontinuierliche Verbesserung

3. Rollen und Zuständigkeiten

Transparente Verantwortlichkeiten sind entscheidend. Wer ist CISO, wer DPO? Gibt es einen Krisenstab? Wer spricht im Ernstfall mit der Presse? Vorstand und IT müssen Hand in Hand arbeiten – mit klaren Zuständigkeiten.

4. Regulatorische Anforderungen

Neben ISO 27001 sind u. a. folgende Regelwerke für Führungskräfte wichtig:

• NIS2-Richtlinie für KRITIS-Betreiber
• DSGVO für alle datenverarbeitenden Unternehmen
• TISAX im Automobilsektor
• IT-Sicherheitsgesetz 2.0 in Deutschland
• Branchenspezifische Anforderungen (z. B. BSI-Grundschutz, IEC 62443)

Führungskräfte müssen die Relevanz und Reichweite dieser Vorschriften verstehen und deren Umsetzung überwachen.

5. Business Continuity und Incident Response

IT-Sicherheit bedeutet auch: vorbereitet sein. Der Vorstand muss wissen:

• Gibt es ein getestetes Notfallkonzept?
• Sind Verantwortlichkeiten im Ernstfall geklärt?
• Wie lange kann ein Geschäftsprozess ausfallen?
• Welche Meldepflichten gelten im Vorfall?

Ein dokumentierter und getesteter Incident Response Plan ist Pflicht – und das Management muss ihn kennen.

Sicherheitsstrategie als Führungsinstrument

Informationssicherheit ist mehr als Gefahrenabwehr. Richtig gedacht, wird sie zum Wettbewerbsvorteil:

• Vertrauen stärken: Kunden, Partner und Investoren honorieren nachweislich sichere Prozesse.
• Marktzugang sichern: Immer mehr Aufträge setzen ISO 27001 voraus.
• Reputation schützen: Cybervorfälle führen zu Medienrummel, Vertrauensverlust und Kundenabwanderung.
• Innovation ermöglichen: Sichere IT-Infrastrukturen schaffen die Grundlage für Digitalisierung und neue Geschäftsmodelle.

Ein proaktiver Umgang mit Cybersecurity ist Ausdruck moderner Unternehmensführung.

Erfolgsfaktoren für Security-Kompetenz im Vorstand

Wie können Unternehmen sicherstellen, dass ihre Führung auf der Höhe der Zeit ist? Diese Faktoren sind entscheidend:

1. Schulungen für Entscheider: Maßgeschneiderte Seminare ohne Technikjargon vermitteln relevantes Know-how.
2. Sicherheitsbeauftragte mit direkter Berichtslinie: CISOs sollten regelmäßig dem Vorstand berichten.
3. Verankerung in Strategie und Zielsystemen: Sicherheit muss in KPIs, OKRs oder Jahreszielen des Managements auftauchen.
4. Sicherheitskultur vorleben: Vorstand und Geschäftsführung müssen bewusst sicherheitsrelevantes Verhalten fördern.
5. Externe Audits und Benchmarks: Externe Bewertungen schaffen Orientierung und helfen, blinde Flecken zu erkennen.

Praxisbeispiele: Was schiefgehen kann – und wie es besser läuft

Fall 1: Ignorierte Warnung

Ein mittelständischer Hersteller wurde wiederholt auf unsichere VPN-Zugänge hingewiesen – ohne Reaktion der Führung. Erst nach einem erfolgreichen Angriff, der das Produktionsnetzwerk lahmlegte, wurde investiert. Der Schaden lag bei über 800.000 Euro.

Fall 2: Gute Governance

Ein internationales Pharmaunternehmen etablierte eine strukturierte Sicherheitsstrategie, eingebettet in die Unternehmensplanung. Sicherheitsziele wurden in die Bonusziele des Managements aufgenommen. Ergebnis: deutlich schnellere Reaktion auf Schwachstellen, bessere Audit-Ergebnisse und gestiegene Kundenzufriedenheit.

Fall 3: Vom Audit zur Transformation

Ein Großhändler erhielt in einem ISO 27001-Audit mehrere Nebenabweichungen. Die Geschäftsleitung nahm das Thema ernst, etablierte ein CISO-Ressort und startete ein internes Schulungsprogramm für Führungskräfte. Ergebnis: Re-Zertifizierung mit Bestnote und Nutzung der Sicherheitsstrategie als Vertriebsargument.

Fazit: Leadership entscheidet

Cybersecurity beginnt an der Spitze. Wer als Vorstand oder Geschäftsführung Verantwortung trägt, muss sich auch mit den Grundprinzipien der Informationssicherheit auskennen. Nicht im Detail, aber im Überblick und mit einem klaren Willen zur Umsetzung.

Unternehmen, die diese Kompetenz gezielt aufbauen, vermeiden nicht nur Risiken, sondern stärken ihre Wettbewerbsfähigkeit und Glaubwürdigkeit. Sicherheit ist kein Hindernis für Innovation – sie ist deren Voraussetzung.

Adinger begleitet Vorstände, Aufsichtsräte und Geschäftsführungen dabei, ihre Sicherheitsstrategie zu entwickeln, umzusetzen und wirksam zu verankern – verständlich, kompakt und normkonform.