{"id":8962,"date":"2023-04-24T09:46:39","date_gmt":"2023-04-24T07:46:39","guid":{"rendered":"https:\/\/hub.hslu.ch\/financialmanagement\/?p=8962"},"modified":"2026-02-11T14:53:50","modified_gmt":"2026-02-11T13:53:50","slug":"cyber-risk-reporting-fuer-den-verwaltungsrat-alles-im-gruenen-bereich","status":"publish","type":"post","link":"https:\/\/hub.hslu.ch\/financialmanagement\/2023\/04\/24\/cyber-risk-reporting-fuer-den-verwaltungsrat-alles-im-gruenen-bereich\/","title":{"rendered":"Cyber Risk Reporting f\u00fcr den Verwaltungsrat – Alles im \u00abgr\u00fcnen Bereich\u00bb?<\/strong>"},"content":{"rendered":"\n

Von<\/em> Prof. Dr. Stefan Hunziker<\/a>, Professor f\u00fcr Risk Management, Institut f\u00fcr Finanzdienstleistungen Zug IFZ und <\/em>Sascha Hostettler<\/em><\/a>, Transformation- und Cyber-Management Experte, Leader im Bereich Digitalisierung von Finanzdienstleistungen<\/em><\/p>\n\n\n\n

Risikoberichterstattung als entscheidungsrelevantes Instrument<\/em><\/h2>\n\n\n\n

Der Verwaltungsrat muss zus\u00e4tzlich zu den Einzelrisiken eine Gesamtsicht auf das Risikoportfolio des Unternehmens erhalten, wobei Abh\u00e4ngigkeiten zwischen einzelnen Risiken erkennbar sein m\u00fcssen. Oft sind es n\u00e4mlich nicht einzelne Risiken, die ein Unternehmen in eine Schieflage bringen, sondern die Kombination von mehreren, sich gegenseitig verst\u00e4rkenden Risikoszenarien (vgl. z. B. Credit Suisse). Wichtig ist zudem, dass sich der Verwaltungsrat bewusst ist, dass mit seinen Entscheidungen das Risikogef\u00fcge im Unternehmen massgeblich ver\u00e4ndert werden kann. Ein regelm\u00e4ssiger Abgleich mit dem definierten Risikoappetit, d.h. mit dem maximal akzeptierbaren Risikoumfang, dr\u00e4ngt sich deshalb auf. Da der Verwaltungsrat f\u00fcr die strategische Unternehmensf\u00fchrung verantwortlich ist, muss ein Risikobericht auch immer die Bez\u00fcge zu den Unternehmenszielen schaffen: Es muss klar sein, welche Risiken bestimmte Unternehmensziele in welchem Ausmass beeinflussen k\u00f6nnen. In der Praxis sind viele Risikoberichte nicht mit den Unternehmenszielen abgestimmt bzw. damit verbunden.<\/p>\n\n\n\n

Auf den Punkt gebracht: Die Risikoberichterstattung stellt eines der wichtigsten Ergebnisse des Risk Management-Systems dar. Risikoberichte enthalten entscheidungsrelevante Informationen und geben Auskunft \u00fcber die Schl\u00fcsselrisiken der Unternehmen und ihrer organisatorischen Einheiten. Wie aber kommt der Verwaltungsrat an die risikorelevanten Informationen, welche er f\u00fcr seine Entscheide ben\u00f6tigt? Welche Informationen ben\u00f6tigt er hierzu zwingenderweise vom Risk Manager, um sorgf\u00e4ltige Entscheidungen treffen zu k\u00f6nnen?<\/p>\n\n\n\n

Cyber Risiken in der Risikoberichterstattung: Eine erhebliche Herausforderung<\/em><\/h2>\n\n\n\n

Es ist \u00fcberfl\u00fcssig zu erw\u00e4hnen, dass Cyber Risiken heute f\u00fcr die meisten Unternehmen einen beachtlichen Teil der \u00abwesentlichen Risiken\u00bb ausmachen. Entsprechend m\u00fcssten sie mittlerweile gut in das unternehmensweite Risk Management eingebettet sein und einen hohen Stellenwert in der Risikoberichterstattung aufweisen. Allerdings stellen sich einige grundlegende praktische Herausforderungen, die es vielen Unternehmen schwer machen, Cyber Risiken ad\u00e4quat und adressatengerecht in der Risikoberichterstattung auszuweisen. Nicht selten werden sie (zu) simpel als \u00abCyber-Risikoaggregat\u00bb, repr\u00e4sentiert als einzelner Punkt auf der Risikolandkarte (\u00abRisk Map\u00bb) dargestellt.<\/p>\n\n\n\n

Die Herausforderungen beginnen jedoch nicht erst in der Risikoberichterstattung, sondern in der Regel im zugrundeliegenden (Cyber) Risk Management-Prozess und der vorherrschenden Risk Governance. So zeigte u.a. eine Studie der Hochschule Luzern, dass die Definition von Cyber Risikoappetit (Risikobereitschaft), die Beurteilung von Cyber Risiken in Form von Szenarien, die Integration von Cyber Risiken in das Corporate Risk Management sowie die Zusammenarbeit zwischen CISO und Risk Management\u2010Verantwortlichen oft M\u00fche bereitet. Was die Cyber Risiken angeht, so ist die g\u00e4ngige Praxis in der Branche weniger ausgereift als bei anderen Risiken. H\u00e4ufig f\u00fchlen sich die Verwaltungsr\u00e4te nicht gen\u00fcgend kompetent, um Cyber Risiken zu verstehen, weil sie diese f\u00fcr zu technisch und abstrakt halten und delegieren dieses Risiko lieber an die \u00abIT\u00bb. Klar ist jedoch, dass die Herausforderungen der Cybersicherheit im Rahmen des unternehmensweiten Risikomanagements angegangen werden m\u00fcsste. Cybersicherheit ist ein integraler Bestandteil der Managementsysteme und kein isolierter Fremdk\u00f6rper (\u00abSilo\u00bb).<\/p>\n\n\n\n

Cyber Risiken sind Risiken, die durchaus strategische Relevanz aufweisen, n\u00e4mlich dann, falls sie Unternehmensziele (Finanzen, Reputation, etc.) negativ beeinflussen k\u00f6nnen. Insofern gibt es keinen Grund, sie anders zu behandeln als andere, vermeintlich intuitiver zug\u00e4ngliche Risikobereiche wie z. B. finanzielle Risiken. Cyber Risiken weisen tats\u00e4chlich einige spezifische Eigenschaften auf, welche den Umgang mit ihnen und die Berichterstattung \u00fcber sie erschweren. So z\u00e4hlen sie zu den neuartigen, zukunftsbezogenen Risiken, die sich dynamisch entwickeln (\u00abEmerging Risks\u00bb). Mit traditionellen Risk Management-Prozessen lassen sie sich gar nicht mehr ad\u00e4quat erfassen und steuern. Weiter fokussiert die Risikobeurteilung von Cyber Risiken traditionell eher die technischen Aspekte, da sie oft in den \u00abtechnischen Silos\u00bb auf Systemebene beurteilt werden und sich technischen Standards bedienen. Dies ist grunds\u00e4tzlich korrekt und auch sehr wichtig. Allerdings fehlen dann oft die betriebswirtschaftlichen Verbindungen zu den n\u00e4chsten Organisationsebene und in die oberste Unternehmensf\u00fchrung, was eine adressatengerechte Berichterstattung erschwert oder gar verunm\u00f6glicht.<\/p>\n\n\n\n

Eine Szenarioanalyse von Cyber Risiken, die auch Folgerisiken bez\u00fcglich Reputation, Finanzen, Strategie und Unternehmensziele einbezieht und den potenziellen finanziellen Schaden aufzeigt, bleibt in der Risikoberichterstattung meist noch aussen vor. Ein Grund liegt sicherlich darin, dass die Bewertung der Cyber Risiken einer anderen methodischen Vorgehensweise als bei bereits rapportierten Risikokategorien folgt. Sie sind oft nicht (vollst\u00e4ndig) quantifiziert, ber\u00fccksichtigen nur das negative Risiko, weisen eine schwache (oder gar keine) Datengrundlage auf, sind hochdynamisch und lassen sich kaum \u00fcber Erwartungswerte (Eintrittswahrscheinlichkeit x Schadenausmass) sinnvoll bewerten.<\/p>\n\n\n\n

In vielen Branchen ist es \u00fcblich, dass dem Verwaltungsrat wichtige Risikoinformationen nur einmal j\u00e4hrlich oder in einem anderen, immer gleichen Zeitintervall zur Verf\u00fcgung gestellt werden. Allerdings ist es problematisch, hochdynamische, emergente Cyber Risiken lediglich zu einem spezifischen Zeitpunkt zu berichten. So k\u00f6nnen sie nicht in alle wichtigen Gesch\u00e4fte des Verwaltungsrats einliessen. Jedoch sollte der Verwaltungsrat zum Zeitpunkt aller Entscheidungen relevante Risikoszenarien ber\u00fccksichtigen k\u00f6nnen. Dies bedingt ein Umdenken im Unternehmen: Idealerweise stellt das Risk Management dem Verwaltungsrat vor jeder Sitzung Risikoanalysen f\u00fcr alle anstehenden Gesch\u00e4fte zur Verf\u00fcgung. Damit ist gew\u00e4hrleistet, dass risikorelevante Informationen zum Zeitpunkt der Entscheidung vorliegen und nicht erst nach der Entscheidung, wie dies leider in der Praxis immer noch oft der Fall ist.<\/p>\n\n\n\n

Gut geschrieben ist halb kommuniziert<\/em><\/h2>\n\n\n\n

Der Detaillierungsgrad des Cyber Risk Reportings bewegt sich innerhalb des Kontinuums zwischen \u00abkontraproduktiver \u00dcbersimplifizierung\u00bb und \u00abmaximal m\u00f6glichen Informationsgehalt mit s\u00e4mtlichen Details\u00bb. Eine Daumenregel bei der Erstellung einer stufengerechten Risikoberichterstattung lautet: \u00abWeniger ist mehr\u00bb. Details \u00fcber etwaige technische Aspekte der Cybersicherheit k\u00f6nnen jederzeit auf Wunsch nachgeliefert werden\u00bb. Die zentrale Frage lautet aus Sicht des Berichtempf\u00e4ngers immer, ob entscheidungsrelevante Informationen geboten werden. Allerdings stellt gerade das eine in der Praxis zu beobachtende Schwierigkeit dar: CISOs wissen manchmal nicht, was aus der F\u00fclle von Methoden, Werkzeugen, Massnahmen, Metriken und Prozessen der Cybersicherheit sie in welcher Form berichten sollen, damit sie ein fundiertes Feedback vom Verwaltungsrat \u00fcber ihre T\u00e4tigkeit erhalten. Versteht man den CISO als Funktion mit einer kritischen \u00dcberschneidungszone zwischen der operativen, technischen Ebene der Cybersicherheit und der strategischen Ebene, wird klar, wie wichtig CISOs im Rahmen der Risikoberichterstattung sind.<\/p>\n\n\n\n

Es ist sinnvoll, f\u00fcr ausgew\u00e4hlte Risiken ein \u00abStorytelling\u00bb zu betreiben, das anschaulich und in einer nicht-technischen Sprache verst\u00e4ndlich aufzeigt, welche Auswirkungen vergangene Cybervorf\u00e4lle auf das Unternehmen bzw. die Gesch\u00e4ftsziele hatten und wie gut entsprechende Massnahmen wirkten. Dies erfordert jedoch oft eine Anpassung der \u00abtechnischen Sprache\u00bb zu einer \u00abBusiness-Sprache\u00bb, die ohne IT-Jargon auskommt. Auch Visualisierungen k\u00f6nnen helfen, komplexe Informationen einfach darzustellen. Letztlich darf und sollte ein Cyber Risk Reporting auch kritische Fragen aufwerfen und zur Diskussion anregen. Es geht also nicht nur darum, dem Verwaltungsrat in Stein gemeisselte Tatsachen zu berichten, sondern ihn auch zur Diskussion und Reflexion anzuregen.<\/p>\n\n\n\n

Was Verwaltungsr\u00e4te \u00fcber Cyber Risiken wissen m\u00fcss(t)en<\/em><\/h2>\n\n\n\n

Ein Verwaltungsrat muss in Zukunft ein vertieftes Verst\u00e4ndnis \u00fcber die aktuelle Lage an der \u00abCyber-Front\u00bb besitzen. Er muss wissen, welche Ereignisse andere Unternehmen belasten, welche m\u00f6glichen Bedrohungen das eigene Unternehmen heimsuchen k\u00f6nnen, welche Angriffe aktuell vorkommen und welche Massnahmen die eigene Unternehmung dagegen geplant hat. Ein Verwaltungsrat muss die zentralen Findings aus dem Security Operations Center (SOC)-Report mit den aufgetretenen kritischen Events und deren Tragweite einordnen k\u00f6nnen. Dieses Wissen ben\u00f6tigt er, um Ver\u00e4nderungen an der Gesamteinsch\u00e4tzung der Sicherheitslage der Unternehmung angemessen beurteilen zu k\u00f6nnen.<\/p>\n\n\n\n

Die Bedeutung dieses Wissens ist deshalb so hoch einzustufen, da Ergebnisse aus dem Betrieb wiederum Entscheidungen auf Stufe Verwaltungsrat nach sich ziehen.<\/p>\n\n\n\n

In diesem Sinne erm\u00f6glicht das Cyber Risk Reporting:<\/p>\n\n\n\n