Digitalisierung und Cyber-Sicherheit

Das muss endlich Chefsache werden

Jörg Asma ist ein national wie international renommierter Experte im Bereich Security & Resilience. Er leitet als Managing Director den Bereich „Comma Management Consulting für Sicherheit“ der Comma Soft AG. Er berät Vorstände und Geschäftsführer genauso wie Chief Information Officers (CIO) und Chief Security Information Officers (CISO). 
Deutschland hat deutlichen Aufholbedarf in Sachen Digitalisierung. In keinem einzigen DAX- oder MDAX-Unternehmen findet sich heute ein Vorstandsmitglied, das speziell für die Bereiche Informationstechnologie oder Cyber-Sicherheit verantwortlich ist. Von Digitalisierung gar nicht zu sprechen. Das muss sich jetzt ändern.

Eine Untersuchung, die im 1. Quartal dieses Jahres von Comma Soft durchgeführt wurde, ergab folgendes Ergebnis: Gerade einmal die Hälfte der im DAX notierten Unternehmen weisen auf ihrer Internet-Seite das Thema IT einem Vorstandsmitglied mit einem anderen Hauptverantwortungsbereich zu, im MDAX sind dies noch weniger: 20 von 50 Firmen. Kaum Beachtung findet das Thema Sicherheit. Vier von 30 DAX-Konzernen benennen öffentlich einen Vorstand, der auch für das Thema Sicherheit verantwortlich ist, im MDAX machen dies gerade einmal sechs Prozent. Das sind drei von 50 Unternehmen.

Betrachtet man die Ergebnisse der Untersuchung, sind IT, Cyber-Sicherheit und Digitalisierung in Deutschland keine Chefsache.
Betrachtet man die Ergebnisse der Untersuchung, sind IT, Cyber-Sicherheit und Digitalisierung in Deutschland keine Chefsache.
Foto: wk1003mike_shutterstock.com

Während es Disziplinen wie Einkauf oder ComplianceCompliance in den vergangenen Jahren geschafft haben, ihren eigenen Posten im Vorstand zu erstreiten und damit ihre große Relevanz für den Unternehmenserfolg zu unterstreichen, ist dies CIOs genauso wie Chief SecuritySecurity Officers nicht gelungen. Von Chief Digital Officers gar nicht zu sprechen. Nur wenige Unternehmen halten bereits solch zukunftsweisende Funktionen vor. Alles zu Compliance auf CIO.de Alles zu Security auf CIO.de

IT und Cyber-Sicherheit in der zweiten Ebene

Allen ist eins gemein: Ihre oberste fachliche Führungskraft ist im besten Fall auf der zweiten Führungsebene angesiedelt, mit direktem Berichtsweg an ein Vorstandsmitglied. Dieses kann in Vorstandssitzungen dann entsprechend aus dem Bereich berichten. Der eigentlich relevante Manager sitzt jedoch bei den wegweisenden Vorstands- und Geschäftsführungsentscheidungen höchstens am Zuschauertisch. Wenn nicht gar vor der ihm verschlossenen Tür.

Whitepaper: Die Kosten von Datenverlusten

Die weltweit durchgeführte Ponemon-Studie "Cost of a Data Breach 2016" zeigt: Datenpannen verursachen immer höhere Ausgaben für Unternehmen. So wuchsen die Kosten, die ein Unternehmen nach jedem gestohlenen oder verlorenen Datensatz tragen muss, von 154 Dollar im Jahr 2015 auf 158 Dollar im Jahr 2016. Und ein Ende dieser Entwicklung ist nicht abzusehen. Lesen Sie in diesem Report die detaillierten und aktualisierten Ergebnisse für das Jahr 2016.

Interessant sind vor allem die Berichtswege von CIOs: Im Vorstand verantwortlich für das Thema IT ist in den meisten Fällen der Chief Financial Officer (CFO, in 21 der betrachteten Fälle), gefolgt vom Personalchef Chief Human Resources Officer (CHRO, 4x) und dem das Tagesgeschäft steuernden Chief Operating Officer (COO, 3x). In drei Fällen übernimmt der CEO selbst Verantwortung dafür in seinem Unternehmen. Das Thema Sicherheit ist je zweimal dem CFO, CHRO und COO zugeordnet, einmal einem Vorstandsmitglied ohne spezifische Bezeichnung. DatenschutzDatenschutz, ein wichtiger Sicherheitsaspekt, haben drei DAX-Unternehmen zusätzlich als Vorstandsausgabe herausgehoben, je zweimal beim obersten Juristen des Unternehmens und einmal beim CFO. Alles zu Datenschutz auf CIO.de

Übersetzt bedeutet das: IT-, Digitialisierungs- und Sicherheitsprofis berichten in der überwiegenden Zahl der Fälle an den Finanzchef des Unternehmens. In den meisten Fällen also an einen Manager, der sich häufig einen großen Namen bei Restrukturierungen oder langfristiger strategischer Unternehmensentwicklung im M&A-Bereich macht. Aber der selten ins operative Tagesgeschäft, Produktentwicklung, Innovationssteuerung oder gar Konzernsicherheit eingebunden ist. Bereiche, die ganz besonders von der Digitalisierung betroffen sind.

Warum ist das so? Im Gegensatz zu US-amerikanischen Unternehmen, bei denen zumindest der CIO sehr häufig im obersten Führungsgremium sitzt, haben es die IT-Verantwortlichen in Deutschland in den letzten zehn Jahren vielfach nicht geschafft, aus ihrer Schublade herauszukommen. "Die IT ist dafür da, dass morgens mein Rechner angeht und meine Emails verschickt werden." Diese allzu plakative Aussage findet sich auf deutschen Firmenfluren noch immer erschreckend häufig.

Und es gibt CIOs, die sich mit dieser Rolle auch abgefunden haben. Die den Servicegrad erhöht, ihre Mitarbeiter auf Dienstleistermentalität getrimmt haben. Was zweifelsohne richtig ist. Aber die vergessen haben, die echte Relevanz ihrer Disziplin für das Unternehmen herauszustellen.

Einen besseren Moment als jetzt wird es für Deutschlands CIOs so schnell nicht wieder geben: Um klar zu machen, dass sie nicht nur für das Funktionieren des Notebooks verantwortlich sind. Sondern dass sie und ihre Mitarbeiter ein maßgeblicher wenn nicht gar der entscheidende Faktor für die Zukunftsfähigkeit ihres Unternehmens sind. Darum sollten sie jetzt den Anspruch anmelden, den sie bisher zaghaft immer wieder selbst verworfen haben: Ein Platz nicht am Rande, sondern genau in der Mitte des Top-Managements. Ein Platz am Entscheidertisch.

Über die Untersuchung: Untersucht wurden die Vorstellung der Vorstände aller DAX- und MDAX-Unternehmen auf den jeweiligen Internet-Seiten der Firmen im Februar 2015. Es wurde geprüft, wie sich die jeweiligen Vorstände laut dieser Information zusammensetzen und welche Zuständigkeiten öffentlich einsichtig zugeordnet worden sind. Es ist nicht auszuschließen, dass bei den Unternehmen, bei denen keine Zuordnung feststellbar war, grundsätzlich eine Verantwortung im Vorstandsressort angesiedelt ist. Die Autoren haben den Schluss gezogen, dass in diesen Fällen die Relevanz für eine Information der Öffentlichkeit nicht gegeben zu sein scheint und damit die Gesamtrelevanz von IT und Sicherheit als Vorstandsthema als fraglich zu definieren ist.

Zur Startseite