Das US-amerikanische Department of Homeland Security (DHS) fordert von allen Unternehmensvorständen, IT-Sicherheit und Maßnahmen diesbezüglich zur Top-Priorität zu erklären. Somit unterstützt die Behörde eine Initiative des Privatsektors, auf Vorstandebene mehr Aufmerksamkeit auf das Thema zu lenken.

Die National Association of Corporate Directors (NACD) veröffentlichte jüngst ein „Handbuch zur Überwachung von Cyber-Risiken“. Das DHS bekräftigt die darin dargelegten Prinzipien nun. Die NACD hat mehr als 14.000 Mitglieder, die sich aus Managern von privaten, öffentlichen und Non-Profit-Organisationen zusammensetzen. Das DHS wird das NACD-Handbuch auf der US-CERT-Webseite als Informationsquelle für Unternehmen übernehmen. In jeder Organisation dient der Vorstand der Aufsicht über das allgemeine Management, inklusive der Performance des höheren Managements.

Andrew Ozment vom DHS sagte auf einer Konferenz in Washington, D.C:

„Die meisten Unternehmen sind potentielle Opfer von Spionage oder Schlimmerem.“

Auch Ken Daly von der NACD, Mark Carmillo von AIG in Amerika und Larry Clinton von der Internet Security Alliance nahmen an dieser Konferenz teil. Larry Clinton ist einer der Hauptautoren des NACD-Handbuchs.

Ozment zufolge sollten CEOs gut über Probleme und Cyber-Risiken informiert sein und auch den Standpunkt vertreten, dass der Vorstand über derartige Informationen verfügt. Heutzutage ist dies jedoch nicht immer der Fall. Vorstände haben meist einen betriebswirtschaftlichen, nicht-technischen Hintergrund und beschäftigen sich eher mit dem Wachstum der Firma oder neuen Produkten und Dienstleistungen. Zur Diskussion steht weiterhin, wie diese mit Cyber-Sicherheit effektiv umgehen können.

Durch die vielen Berichte über Cyber-Spionage und Datendiebstähle sind „sich die Manager über Cyber-Sicherheit schon bewusst“, so Daly. Aber sie wissen nicht genau, wie sie damit im Detail umgehen sollen.

Das Handbuch der NACD sieht sie dabei in größerer Verantwortung und legt fünf grundlegende Prinzipien dar. Zunächst sollten sie tiefgehendes Verständnis für das Thema erlangen, um dann ein „unternehmensweites Management-Framework für Cyber-Risiken“ zu implementieren. Auch eine Cyber-Versicherung sollte in Betracht gezogen werden, um sich gegen eventuelle Kosten durch einen Vorfall zu schützen.

Ozment vom DHS sagt zwar, dass das DHS weder eine Cyber-Versicherung fordert noch zu spezifischen Produkten rät, aber vor dem Hintergrund der rechtlichen Haftung sollten Unternehmen dies überdenken. Die NACD sieht vor allem das Problem, dass Vorstände hinsichtlich des Themas weiterhin verschiedene Standpunkte vertreten und nicht mit einer Stimme Stellung beziehen.

„Ein großer Teil von Vorständen überträgt die Mehrheit damit verbundener Aufgaben immer noch an Aufsichtsräte und Prüfkomitees“,

heißt es in dem Handbuch. Bisher konnte noch keine Einigung darüber erzielt werden, ob ein einzelnes Vorstandsmitglied oder der gesamte Vorstand für die Überwachung der Cybersicherheit verantwortlich sein sollte.

Larry Clinton ist der Meinung, dass Geschäftsführer, die sich auf Wachstum, Profit und Innovation konzentrieren, sicherstellen sollten, dass die Cybersicherheit dies nicht gefährdet.

Artikel von computerworld.com.au, 30.07.2014: Homeland Security wants corporate board of directors more involved in cyber-security