Cyber Risk Reporting für den Verwaltungsrat – Alles im «grünen Bereich»?
Prof. Dr. Stefan Hunziker, Professor für Enterprise Risk Management und Internal Control, Institut für Finanzdienstleistungen Zug IFZ und Sascha Hostettler, Transformation- und Cyber-Management Experte, Leader im Bereich Digitalisierung von FinanzdienstleistungenRisikoberichterstattung als entscheidungsrelevantes Instrument
Die Risikoberichterstattung an den Verwaltungsrat ist nicht erst seit dem neuen Rundschreiben der Finma (RS 23/01) ein wichtiges und entscheidungsrelevantes Instrument zur Wahrung seiner Sorgfaltspflicht. Sie erlaubt es dem Verwaltungsrat, seine im Zusammenhang mit dem Risk Management stehenden Aufgaben wahrzunehmen – unabhängig der Branche und Unternehmensgrösse. Allerdings ist die aktuelle Berichterstattung über einzelne (neue) unternehmensrelevante Bereiche oft nicht hinreichend. Der Verwaltungsrat muss zusätzlich zu den Einzelrisiken eine Gesamtsicht auf das Risikoportfolio des Unternehmens erhalten, wobei Abhängigkeiten zwischen einzelnen Risiken erkennbar sein müssen. Oft sind es nämlich nicht einzelne Risiken, die ein Unternehmen in eine Schieflage bringen, sondern die Kombination von mehreren, sich gegenseitig verstärkenden Risikoszenarien (vgl. z. B. Credit Suisse). Wichtig ist zudem, dass sich der Verwaltungsrat bewusst ist, dass mit seinen Entscheidungen das Risikogefüge im Unternehmen massgeblich verändert werden kann. Ein regelmässiger Abgleich mit dem definierten Risikoappetit, d.h. mit dem maximal akzeptierbaren Risikoumfang, drängt sich deshalb auf. Da der Verwaltungsrat für die strategische Unternehmensführung verantwortlich ist, muss ein Risikobericht auch immer die Bezüge zu den Unternehmenszielen schaffen: Es muss klar sein, welche Risiken bestimmte Unternehmensziele in welchem Ausmass beeinflussen können. In der Praxis sind viele Risikoberichte nicht mit den Unternehmenszielen abgestimmt bzw. damit verbunden.
Cyber Risiken in der Risikoberichterstattung: Eine erhebliche Herausforderung
Es ist überflüssig zu erwähnen, dass Cyber Risiken heute für die meisten Unternehmen einen beachtlichen Teil der «wesentlichen Risiken» ausmachen. Entsprechend müssten sie mittlerweile gut in das unternehmensweite Risk Management eingebettet sein und einen hohen Stellenwert in der Risikoberichterstattung aufweisen. Allerdings stellen sich einige grundlegende praktische Herausforderungen, die es vielen Unternehmen schwer machen, Cyber Risiken adäquat und adressatengerecht in der Risikoberichterstattung auszuweisen. Nicht selten werden sie (zu) simpel als «Cyber-Risikoaggregat», repräsentiert als einzelner Punkt auf der Risikolandkarte («Risk Map») dargestellt.
Die Herausforderungen beginnen jedoch nicht erst in der Risikoberichterstattung, sondern in der Regel im zugrundeliegenden (Cyber) Risk Management-Prozess und der vorherrschenden Risk Governance. So zeigte u.a. eine Studie der Hochschule Luzern, dass die Definition von Cyber Risikoappetit (Risikobereitschaft), die Beurteilung von Cyber Risiken in Form von Szenarien, die Integration von Cyber Risiken in das Corporate Risk Management sowie die Zusammenarbeit zwischen CISO und Risk Management‐Verantwortlichen oft Mühe bereitet. Was die Cyber Risiken angeht, so ist die gängige Praxis in der Branche weniger ausgereift als bei anderen Risiken. Häufig fühlen sich die Verwaltungsräte nicht genügend kompetent, um Cyber Risiken zu verstehen, weil sie diese für zu technisch und abstrakt halten und delegieren dieses Risiko lieber an die «IT». Klar ist jedoch, dass die Herausforderungen der Cybersicherheit im Rahmen des unternehmensweiten Risikomanagements angegangen werden müsste. Cybersicherheit ist ein integraler Bestandteil der Managementsysteme und kein isolierter Fremdkörper («Silo»).
Cyber Risiken sind Risiken, die durchaus strategische Relevanz aufweisen, nämlich dann, falls sie Unternehmensziele (Finanzen, Reputation, etc.) negativ beeinflussen können. Insofern gibt es keinen Grund, sie anders zu behandeln als andere, vermeintlich intuitiver zugängliche Risikobereiche wie z. B. finanzielle Risiken. Cyber Risiken weisen tatsächlich einige spezifische Eigenschaften auf, welche den Umgang mit ihnen und die Berichterstattung über sie erschweren. So zählen sie zu den neuartigen, zukunftsbezogenen Risiken, die sich dynamisch entwickeln («Emerging Risks»). Mit traditionellen Risk Management-Prozessen lassen sie sich gar nicht mehr adäquat erfassen und steuern. Weiter fokussiert die Risikobeurteilung von Cyber Risiken traditionell eher die technischen Aspekte, da sie oft in den «technischen Silos» auf Systemebene beurteilt werden und sich technischen Standards bedienen. Dies ist grundsätzlich korrekt und auch sehr wichtig. Allerdings fehlen dann oft die betriebswirtschaftlichen Verbindungen zu den nächsten Organisationsebene und in die oberste Unternehmensführung, was eine adressatengerechte Berichterstattung erschwert oder gar verunmöglicht.
In vielen Branchen ist es üblich, dass dem Verwaltungsrat wichtige Risikoinformationen nur einmal jährlich oder in einem anderen, immer gleichen Zeitintervall zur Verfügung gestellt werden. Allerdings ist es problematisch, hochdynamische, emergente Cyber Risiken lediglich zu einem spezifischen Zeitpunkt zu berichten. So können sie nicht in alle wichtigen Geschäfte des Verwaltungsrats einliessen. Jedoch sollte der Verwaltungsrat zum Zeitpunkt aller Entscheidungen relevante Risikoszenarien berücksichtigen können. Dies bedingt ein Umdenken im Unternehmen: Idealerweise stellt das Risk Management dem Verwaltungsrat vor jeder Sitzung Risikoanalysen für alle anstehenden Geschäfte zur Verfügung. Damit ist gewährleistet, dass risikorelevante Informationen zum Zeitpunkt der Entscheidung vorliegen und nicht erst nach der Entscheidung, wie dies leider in der Praxis immer noch oft der Fall ist.
Gut geschrieben ist halb kommuniziert
Der Detaillierungsgrad des Cyber Risk Reportings bewegt sich innerhalb des Kontinuums zwischen «kontraproduktiver Übersimplifizierung» und «maximal möglichen Informationsgehalt mit sämtlichen Details». Eine Daumenregel bei der Erstellung einer stufengerechten Risikoberichterstattung lautet: «Weniger ist mehr». Details über etwaige technische Aspekte der Cybersicherheit können jederzeit auf Wunsch nachgeliefert werden». Die zentrale Frage lautet aus Sicht des Berichtempfängers immer, ob entscheidungsrelevante Informationen geboten werden. Allerdings stellt gerade das eine in der Praxis zu beobachtende Schwierigkeit dar: CISOs wissen manchmal nicht, was aus der Fülle von Methoden, Werkzeugen, Massnahmen, Metriken und Prozessen der Cybersicherheit sie in welcher Form berichten sollen, damit sie ein fundiertes Feedback vom Verwaltungsrat über ihre Tätigkeit erhalten. Versteht man den CISO als Funktion mit einer kritischen Überschneidungszone zwischen der operativen, technischen Ebene der Cybersicherheit und der strategischen Ebene, wird klar, wie wichtig CISOs im Rahmen der Risikoberichterstattung sind.
Es ist sinnvoll, für ausgewählte Risiken ein «Storytelling» zu betreiben, das anschaulich und in einer nicht-technischen Sprache verständlich aufzeigt, welche Auswirkungen vergangene Cybervorfälle auf das Unternehmen bzw. die Geschäftsziele hatten und wie gut entsprechende Massnahmen wirkten. Dies erfordert jedoch oft eine Anpassung der «technischen Sprache» zu einer «Business-Sprache», die ohne IT-Jargon auskommt. Auch Visualisierungen können helfen, komplexe Informationen einfach darzustellen. Letztlich darf und sollte ein Cyber Risk Reporting auch kritische Fragen aufwerfen und zur Diskussion anregen. Es geht also nicht nur darum, dem Verwaltungsrat in Stein gemeisselte Tatsachen zu berichten, sondern ihn auch zur Diskussion und Reflexion anzuregen.
Was Verwaltungsräte über Cyber Risiken wissen müss(t)en
Ein Verwaltungsrat muss in Zukunft ein vertieftes Verständnis über die aktuelle Lage an der «Cyber-Front» besitzen. Er muss wissen, welche Ereignisse andere Unternehmen belasten, welche möglichen Bedrohungen das eigene Unternehmen heimsuchen können, welche Angriffe aktuell vorkommen und welche Massnahmen die eigene Unternehmung dagegen geplant hat. Ein Verwaltungsrat muss die zentralen Findings aus dem Security Operations Center (SOC)-Report mit den aufgetretenen kritischen Events und deren Tragweite einordnen können. Dieses Wissen benötigt er, um Veränderungen an der Gesamteinschätzung der Sicherheitslage der Unternehmung angemessen beurteilen zu können.
Die Bedeutung dieses Wissens ist deshalb so hoch einzustufen, da Ergebnisse aus dem Betrieb wiederum Entscheidungen auf Stufe Verwaltungsrat nach sich ziehen.
In diesem Sinne ermöglicht das Cyber Risk Reporting:
- Eine (hinreichende) Sicherheit, dass das aktuelle Cyber-Risk Exposure (Gesamtrisikoumfang, Aggregat der Cyber Risiken) innerhalb der Risikobereitschaft (Risk Appetite) liegt.
- Eine Bewertung der wichtigsten Cyber Risiken (Key Cyber Risks) auf Basis die herkömmlichen Risiken (inkl. Schadenpotenzial in CHF). Im Idealfall liegen Cyber Risk-Szenarien vor, welche die Brücke zwischen technischer Bewertung (z. B. nach Vertraulichkeit, Integrität, Verfügbarkeit) und betriebswirtschaftlicher Bewertung (Auswirkungen auf Ziele wie Reputation, Strategie, etc.) schlagen.
- Eine Beurteilung, ob die bereitgestellten Ressourcen (Personal, Budget) angemessen und effektiv bzw. wirksam sind.
- Eine Auskunft über die wichtigsten Massnahmen im Umgang mit Key Cyber Risiken (Stand, Wirksamkeit, Trend über die Zeit).
- Einen Vergleich über Mitbewerber / Branche (im Sinne von: Sind wir besser oder schlechter als andere?).
- Eine Aussage über den Schutz der Kronjuwelen und macht Aussagen darüber, ob dieser Schutz ausreichend ist.
- Ein Resultat, wie viele Cyber-Vorfälle in der letzten Berichtsperiode aufgetreten sind (mit Begründung, warum und was man dagegen getan hat, ob es potenzielle «Muster» der Vorfälle gab».).
- Eine Einschätzung welchen Reifegrad die Awareness der Mitarbeitenden (Faktor Mensch, Einhalten von Compliance, Anzahl Schulungen, etc.) bez. Cybersicherheit aufweist.
- Eine Rückmeldung, welche Third Party Risks es in der Lieferkette gibt und wie das Unternehmen damit umgeht.
- Eine Übersicht, welche die relevanten Key Risk Indicators für die Cyber Sicherheit sind, wie z. B. Anzahl Applikationen mit offenen Audit-Findings, Anzahl Applikationen mit beendetem jährlichen Risk Assessment, etc.
- Eine Trendindikation, wie sich die Cyber Risk Landscape entwickeln könnte und was das mittel- und langfristig für das Unternehmen bedeuten könnte.