Der Chief Financial Officer (CFO) ist traditionell für die Verwaltung der Finanzen und die Gewährleistung der finanziellen Stabilität eines Unternehmens verantwortlich. Mit der zunehmenden Bedeutung der Technologie und der wachsenden Bedrohung durch Cyberangriffe hat sich die Rolle der CFOs jedoch dahingehend entwickelt, dass sie sich stärker auf die Cybersicherheit konzentrieren müssen. Aufgrund der Schlagzeilen über Cyberangriffe und Datenschutzverletzungen stellen sich Geschäftsleitungen und Vorstände die Frage, wie sie verhindern können, dass ihr Unternehmen Opfer eines Cyberangriffs wird.
Die Rolle des CFO ändert sich vor allem dadurch, dass das Risikomanagement stärker in den Vordergrund rückt. Cyberbedrohungen können erhebliche Auswirkungen auf die finanzielle Stabilität eines Unternehmens haben. Viele CFOs geben an, dass die verheerendsten Folgen von Cyberangriffen Ausfallzeiten und Unterbrechungen, Beeinträchtigungen der Service- und Produktqualität sowie der Verlust von Auftragnehmern und Geschäftsmöglichkeiten sind.
Dass das Thema Cybersicherheit generell in der Managementetage angekommen ist, zeigt der 26th Annual Global CEO Survey von PwC. Der aktuellen Studie zufolge stehen Cyber-Risiken in Deutschland an erster Stelle der für die nächsten fünf Jahren erwarteten Gefährdungen des Geschäftsbetriebs.
Mit CISOs zusammenarbeiten
Die Sensibilität für das Thema Cybersicherheit hat in der gesamten C-Führungsriege zugenommen. Die generelle Aufgabe von CFOs besteht darin, finanzielle Risiken zu erkennen und zu mindern. Genau aus diesem Grund müssen sie mit den CISOs zusammenarbeiten, um das Sicherheitsrisiko ihres Unternehmens und alle damit verbundenen finanziellen Kosten zu verstehen.
Derzeit besteht eine Kluft zwischen den meisten CFOs und dem Sicherheitsverantwortlichen oder CISO (Chief Information Security Officer), wenn es darum geht, das Unternehmen gegen Cyberangriffe zu wappnen. Nur wenige C-Level-Führungskräfte wollen in die Cybersicherheitsverantwortung eingebunden werden. Dies wiederum zeigt, dass das Verständnis für die Auswirkungen, die Cyberangriffe auf den Ruf ihres Unternehmens haben könnten, fehlt.
Wenn CFOs aktive Mitglieder von Cybersicherheitsteams werden, kann der Rest der Führungsebene das Risiko von Umsatzeinbußen durch ein gut entwickeltes Cybersicherheitsprogramm erheblich reduzieren. Die Zusammenarbeit zwischen CFOs und CISOs kann dazu beitragen, die Ressourcen optimal einzusetzen und genauere Erkenntnisse über das Cyberrisiko des Unternehmens zu gewinnen.
Budgetkürzungen erfordern strategische Investitionen
Die CFOs von heute und morgen müssen in der Lage sein, Finanzdaten zu nutzen, um operative Entscheidungen zu beeinflussen und Strategien für die richtigen Investitionen zu entwickeln. Dies erfordert viel mehr Fähigkeiten als nur den technischen Hintergrund der Buchhaltung. Von CFOs ist nicht zu erwarten, dass sie die Feinheiten von Cybersicherheitstechnologien oder deren Betrieb verstehen. Sie müssen jedoch die Bedeutung der Implementierung von Cybersicherheitslösungen und den spezifischen Beitrag neuer Investitionen zur Schließung der Risikolücke verstehen.
Angesichts steigender Zinssätze machen sich CFOs Sorgen um Cashflow und Erträge und fordern selektive Investitionen und eine umsichtige Verwendung der Mittel. Weltweit bereiten sich fast alle Unternehmen in diesem Jahr auf Budgetkürzungen vor. Dies erfordert die richtigen Investitionen in die Cybersicherheit, da die Angreifer nach dem schwächsten Glied in der modernen Angriffsfläche suchen.
Anstatt in mehrere, separate Lösungen zu investieren, die sich auf einzelne Sicherheitsaspekte konzentrieren und Datensilos schaffen, wäre es sinnvoller, sich für eine einheitliche Exposure-Management-Plattform zu entscheiden. Diese kann dem Unternehmen helfen, den Umfang und die Tiefe der Angriffsfläche zu erfassen. Hierzu zählen Schwachstellen, Fehlkonfigurationen, Angriffspfadanalysen einschließlich Identitätslösungen, Cloud-Konfigurationen, Bereitstellungen und Webanwendungen.
Symbiotische Beziehung zwischen CFO und CISO
Cyber-Risiko und finanzielles Risiko sind miteinander verknüpft, so dass CFOs mittlerweile auch für das Management von Cyber-Risiken verantwortlich sind. Datenschutzverletzungen sind für Unternehmen sehr kostspielig, und nach einer Datenschutzverletzung kommen zusätzliche Strafen auf die Unternehmen zu. In Anbetracht der hohen Risiken können CFOs dies nicht allein leisten und sollten eng mit anderen Funktionsträgern zusammenarbeiten, die ein klares und berechtigtes Interesse am Management dieses Risikos haben, einschließlich CIOs und CISOs.
CFOs müssen das Cyber-Risiko als eine quantifizierbare Risikokennzahl betrachten, genau wie wirtschaftliche oder umweltbedingte Risiken. Die Befolgung von Best Practices für das operationelle Risiko und die Anforderung regelmäßiger Berichte, die die Fortschritte des Unternehmens bei der Risikominderung zusammenfassen, können einen wichtigen Beitrag zur Überbrückung der Risikolücke leisten. Die finanziellen und geschäftlichen Auswirkungen von Sicherheitsvorfällen erfordern, dass CFOs Teil der Lösung sind, um eine Abschreckung gegen Angreifer zu schaffen und so das Cyber-Risiko deutlich zu verringern.
Roger Scheer, ist Regional Vice President Central Europe beim IT-Sicherheitsanbieter Tenable.
