In den Medien wird immer wieder über Cyber-Angriffe berichtet: Datenklau, Hackerangriffe u.v.m. Unternehmen müssen sich und ihre Kundendaten schützen. Und das ist in vielen Fällen auch Aufgabe des CFOs.
Aktuell berichtet Deloitte, dass viele CFOs - gerade was Cyber-Risiken angeht - beunruhigt sind. Der Grund dafür liegt auf der Hand: Cyber-Attacken verursachen Schäden in Millionenhöhe. Geld, dass die Liquidität des Unternehmen erheblich schädigt. Hinzu kommt, dass viele CFOs mittlerweile auch für die IT und entsprechende IT-Risiken zuständig sind. Den Rollenwandel beschreibt auch Marcus Scheider in seinem Beitrag „CFO neu – Wandel einer Führungsfunktion“ wie folgt: „ Der CFO kennt jede Abteilung, jede Business Unit sowie deren jeweilige Bedeutung aufgrund seiner tiefen Zahlenkenntnisse genau. Diese Aufgabe führt unweigerlich dazu, dass ein CFO auch in technologischen Fragen und Aspekten versiert sein muss. Gerade in kleinen und mittelständischen Unternehmen ist er oft allein für die Anschaffungen im IT-Bereich verantwortlich. In großen Unternehmen ist er eng mit dem CIO vernetzt.“.
Es verwundert daher kaum, dass CFOs sich zum Thema Cyber-Security Gedanken machen. Aus der Publikation von Deloitte lassen sich 5 Thesen ableiten, die Finanzvorstände kennen sollten:
Das Unternehmensnetz wird angegriffen werden!
Physische Sicherheit und Cyber-Sicherheit können nicht länger getrennt werden,
Cyber-Schäden verursachen nicht nur finanziellen Schaden.
Nicht alles kann im gleichen Maß geschützt werden.
Mit großer Wahrscheinlichkeit sind die Schutzmauern hoch genug.
Welche Maßnahmen sollten CFOs ergreifen?
Deloitte empfiehlt Finanzvorständen unternehmensweit eine „Cyber-Sicherheits-Kultur“ zu schaffen. Voraussetzung sei hier, ein Bewusstsein für das Problem zu schaffen, aufzuklären und entsprechende Schulungen anzubieten. CFOs benötigen außerdem Informationen – oft vom CIO. Entscheidend sei hier jedoch laut Deloitte, den Experten die richtigen Fragen zu stellen. Zum Beispiel: „Wie identifizieren wir unsere kritischen Assets, die damit verbundenen Risiken und unsere Schwachstellen?“
Deloitte verweist außerdem auf das im Februar veröffentlichte „Framework for Improving Critical Infrastructure Cybersecurity Version 1.0“. Unternehmen bekommen damit ein Rahmenwerk an die Hand, welches das Management von Cyber-Security-Risiken erleichtern soll.
CFOs sollten außerdem interne Mitarbeiter benennen, die für das Thema Cyber-Risiken verantwortlich sind. Dies ersetzt jedoch nicht, dass CFOs sich selbst informieren müssen und die Security-Pläne testen sollten.