Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Zusammenarbeit mit der Internet Security Alliance (ISA) ein umfangreichendes Update von „Management von Cyber-Risiken“ veröffentlicht. Das Handbuch widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Betriebe erhöht, und richtet sich an die Unternehmensleitung. Denn Cyber-Sicherheit ist Chefsache: IT-Sicherheitsverantwortliche benötigen den notwendigen Rückhalt und das richtige Verständnis seitens der Unternehmensleitung. Dafür ist die ganzheitliche Betrachtung von Cyber-Risiken notwendig.
In Workshops und in enger Zusammenarbeit von Experten aus der Wirtschaft, IT-Sicherheitsforschung und Staat wurde das Handbuch dem BSI zufolge in der vorliegenden, aktualisierten Version ins Deutsche übertragen und an deutsche beziehungsweise europäische Rahmenbedingungen angepasst. Darin werden unter anderen sechs grundlegende Prinzipien formuliert, die Vorstände sowie Aufsichtsrätinnen und Aufsichtsräte bei der Betrachtung von Cyber-Risiken unterstützen:
- Prinzip 1: Cyber-Sicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen.
- Prinzip 2: Rechtliche Auswirkungen von Cyber-Risiken verstehen und genau untersuchen.
- Prinzip 3: Zugang zu Cyber-Sicherheitsexpertise sowie regelmäßigen Austausch sicherstellen.
- Prinzip 4: Umsetzung geeigneter Rahmenbedingungen sowie Ressourcen für das Cyber-Risikomanagement sicherstellen.
- Prinzip 5: Risikoanalyse erstellen sowie Definition von Risikobereitschaft in Abhängigkeit von Geschäftszielen und -strategien formulieren.
- Prinzip 6: Unternehmensweite Zusammenarbeit und den Austausch von Best-Practice fördern.
Wie das BSI weiter mitteilt, wird das Handbuch durch eine Toolbox ergänzt. Darin werden die sechs Cyber-Sicherheitsprinzipien mit konkreten Handlungsempfehlungen untermauert und ausführlich erläutert. Die Inhalte des Handbuchs und der Toolbox sind demnach nicht ausschließlich für börsennotierte Unternehmen relevant. Auch mittelständische Unternehmen sowie andere Organisationen wie Vereine, Kammern etc. können die dargestellten Grundprinzipien als Leitfaden für die Bewertung von Cyber-Risiken und dem verantwortungsvollen Umgang mit diesen nutzen.