Die US-amerikanischen Internet Security Alliance hat das überarbeitete Handbuch „Management von Cyber-Risiken“ jetzt für den deutschen Markt freigegeben. Zielgruppe ist die Unternehmensführung. Damit Cyber-Sicherheit zur Chefinnen- und Chefsache werden kann, ist auch hier ein Grundverständnis für die Risiken im Bereich Informationssicherheit gefordert. Nur so können diese die potenziellen wirtschaftlichen Schäden durch Cyber-Vorfälle informiert bewerten und über die Validität von IT-Sicherheitsstrategien entscheiden.
In dem 52-seitigen Handbuch werden fünf grundlegende Prinzipien formuliert, die die Unternehmensführung bei der Betrachtung von Cyber-Risiken unterstützen, ergänzt durch mehrere Anhänge unter anderem mit Ressourcen des BSI für die Wirtschaft. Die Inhalte sind dabei nicht allein für börsennotierte Unternehmen relevant. Auch mittelständische Unternehmen können die dargestellten Grundprinzipien als Leitfaden für die Bewertung von Cyber-Risiken und dem verantwortungsvollen Umgang mit diesen nutzen.
Das Handbuch basiert auf dem „Cyber Risk Oversight Handbook“, das von der US-amerikanischen Internet Security Alliance (ISA) im Auftrag der National Association of Corporate Directors (NACD) entwickelt wurde. In Workshops und in enger Zusammenarbeit aller Beteiligten, darunter die Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Versicherer AIG, wurde das Handbuch in der vorliegenden Version erstmals ins Deutsche übertragen und an deutsche bzw. europäische Rahmenbedingungen angepasst. Dort werden folgende Themen aufgegriffen:
• Prinzip 1: Cyber-Sicherheit als Thema des unternehmensweiten Risiko-Managements verstehen
• Prinzip 2: Rechtliche Auswirkungen von Cyber-Risiken verstehen
• Prinzip 3: Grundlegende Cyber-Sicherheits-Expertise erwerben
• Prinzip 4: Umsetzung geeigneter Rahmenbedingungen sowie Ressourcen für das Cyber-Risiko-Management sicherstellen
• Prinzip 5: Risikobereitschaft in Abhängigkeit von Geschäftszielen und -strategien definieren
• 8 Anhänge mit Fragenkatalogen und weiterführenden Ressourcen
Management von Cyber-Risiken – Handbuch für Unternehmensvorstände und Aufsichtsräte