Ist Cybersecurity auch ein Thema für den Aufsichtsrat?

Frage: Die Sicherheit von unternehmensinternen Daten spielt eine immer größere Rolle in vielen deutschen Unternehmen die ich kenne. Dabei geht es nicht nur darum, Angriffe möglicher nationaler Wettbewerber zu verhindern, sondern auch darum, Industriespionage und Hackerangriffe aus dem Ausland abzuwehren. Aus meiner Sicht ist es in erster Linie die Aufgabe des Vorstandes, sich um das Thema Cybersicherheit zu kümmern. Meine Frage an Sie ist aber darüber hinausgehend: Inwieweit kann beziehungsweise muss auch der Aufsichtsrat in seiner Funktion als Kontrollorgan für das Unternehmen in diesem Bereich tätig werden? Erstrecken sich die Kontrollpflichten auch auf solche Spezialgebiete?

Oliver V. aus Wuppertal

Antwort: Im Rahmen der Risikovorsorge sollte sich jeder Aufsichtsrat dem Thema Cybersecurity als einem der größten künftigen Unternehmensrisiken widmen. Aus Sicht des Aufsichtsrates ist es deshalb wichtig, zunächst einmal zu identifizieren, welche Informationen für das Unternehmen von wesentlicher Bedeutung sind und wie diese „Kronjuwelen“ vor der Konkurrenz und anderen geschützt werden können. Häufig empfiehlt sich hier ein sogenannter „Penetrationstest“; das ist ein simulierter Hackerangriff von außen, um so die Schwachstellen des unternehmenseigenen Systems offenzulegen. Darüber hinaus ist das Thema Cybersecurity ein Dauerbrenner für den Aufsichtsrat, der das System regelmäßig auf seine Effektivität hin prüfen sollte. Schließlich ist dies auch die Chance, das Geschäftsmodell der Gesellschaft im Hinblick auf die künftigen technischen Entwicklungen auf seine Zukunftsfähigkeit zu überprüfen.

Jella Benner-Heinacher