Wie kann man das Unternehmen nachhaltig gegen Cyberangriffe wappnen? FINANCE-Kolumnist Niels Dechow hat ungewöhnliche Vorschläge.

g-stockstudio/iStock/Thinkstock/Getty Images

28.03.18
Blogs

Warum für Cyber-Attacken nicht die CFOs verantwortlich sind

Es ist nicht der Job der CFOs, Cyber-Attacken zu verhindern. Die ganze Organisation ist gefragt, um widerstandsfähig zu werden – Finance, HR, IT und auch der Aufsichtsrat, meint FINANCE-Blogger Niels Dechow.

Wie neulich bei FINANCE berichtet, machen sich viele CFOs Sorgen um Datendiebstahl. Diese Headline passt aus meiner Sicht zu einer falschen Wahrnehmung, nämlich, dass es a) möglich wäre, das Risiko von Cyberattacken durch Datensicherungsmaßnahmen zu beseitigen, und b) dass dafür der CFO zuständig ist.

Warum aber machen wir den CFO zuständig, und warum stellen wir so oft die technische Dimension dieser Kriminalität in den Vordergrund? Bei Cyber-Security geht es um weit mehr als das Objekt, die Daten. Es geht um die Frage, wie wir mit Unsicherheiten umgehen.

Das Cyber-Security-Problem lässt sich nicht (nur) durch IT-Design lösen. Es braucht einen präzisen Plan, welche Aufgaben die Mitarbeiter im Fall einer unbekannten, unerwarteten Sicherheitsbedrohung genau zu erledigen haben. Es gilt, was die US-Forscherin Rosabeth Moss-Kanter einmal gesagt hat: „The difference between winners and losers is how they handle losing.“

Die gleichen Fehler wie bei Compliance

So zu denken, wurde schon beim Compliance-Hype versäumt. Seit inzwischen schon einem Jahrzehnt stecken Unternehmen unglaublich viel Energie und Elan in die Umsetzung diverser Compliance-Richtlinien, um die Organisation an die geistige Norm eines ehrbaren Kaufmanns heranzuführen. Doch ein klarer Mehrwert ist in den meisten Firmen nicht erkennbar.

Zwar hat manches Management konkrete Compliance-Probleme endlich einmal gelöst. Viele Compliance-Maßnahmen haben Unsicherheit durch klare Normen ersetzt. Das ist gut. Meist wurde aber vergessen, den Compliance-Gedanken selbst in den Fokus zu setzen. Die psychologische Widerstandsfähigkeit der Organisation gegenüber den Versuchungen des Regelbruchs wurde nicht gestärkt. Diese Kraft – auch Resilienz genannt – hängt nicht so sehr von Rationalität und Normen ab, sondern ist ein situativ durchtrainiertes Verhaltensmuster.

Und dies führt uns zurück zu Cyber-Security. Die Vorstellung, dass es möglich ist, digitale Sicherheit zu normieren und zu regeln, ist nicht nur hoffnungslos. In ihrer Anwendung als Maßstab für die Performance eines CFOs ist sie auch noch rücksichtlos und ignorant. Stattdessen sollten folgende Fragen im Zentrum stehen: Hat die Organisation rund um den CFO genügend Resilienz entwickelt? Und wie stark ist die organisatorische Abprallungsfähigkeit einer Firma?

Resilienz ist nicht Aufgabe des CFOs

Wie aber ließe sich das Response-Vermögen Ihrer Organisation entwickeln und/oder messen? Haben Sie ein Bild davon, wie Ihre Mitarbeiter beim Eintreten unerwarteter Unsicherheitsmomente reagieren würden? Wenn nicht, stehen Sie zumindest nicht alleine da.

Ganz egal, ob wir spezifisch von digitaler oder allgemein von organisatorischer Resilienz sprechen: Es geht um eine Verantwortung, die funktionsübergreifend entwickelt und angesiedelt werden muss. Die Widerstandskraft der Organisation zu überwachen, ist aber keine Aufgabe für den CFO, sondern für den Aufsichtsrat!

Der oder die CFO kann sich lediglich in die Umsetzung einbringen. Dafür brauchen Finanzchefs aber Alliierte: den „Datendiktator“ (auch Chief Digital Officer genannt) aus dem IT-Bereich und die Verhaltenstrainer aus der Personalentwicklung.

Finance muss sich mit IT und HR synchronisieren

Um digitale Resilienz zu entwickeln, ist es also notwendig, Finance, IT und HR zu synchronisieren – zumindest in Teilen, denn zusammen lenken diese drei Funktionen drei der wichtigsten Kapitale eines Unternehmen: Finanzen, Individuen und die Datenbasis. Nichtsdestotrotz verständigen sich diese drei Funktionen oft nur unzureichend untereinander:

•    Im Rahmen ihrer Verantwortung für die Ressourcenallokation trifft die Finanzfunktion gerne mal Entscheidungen über Neu-Investitionen, ohne sich ausführlich durch IT beraten zu lassen.

•    Die „Personaler“ bemühen sich gerne darum, Mitarbeitern in verschiedenster Weise zu helfen. Aus Sicht sowohl der IT als auch der Finanzfunktionen wird dabei aber viel zu sehr auf Leadership und Motivation fokussiert und viel zu wenig auf die technischen Skills der Mitarbeiter.

•    Die IT-Funktionen werden dank ihres technischen System-Know-hows zwar oft mit Controlling-Aufgaben beauftragt, ohne aber Entscheidungen treffen zu dürfen. Wichtige IT-Bedürfnisse interner Kunden werden infolgedessen nicht optimal berücksichtigt.

Cyber-Attacken haben ihren Ursprung immer intern

Das Endergebnis ist bekannt: Dort, wo administrative Fähigkeiten, Resilienz und Response-Vermögen hätten entwickelt werden müssen, entstehen funktionale Silos. Über die Zeit breitet sich dieser Effekt in der Organisation aus, so dass es irgendwann auch akzeptiert wird, dass Sekretariatskräfte keine Datenbank anlegen können, keine Excel-Tabelle strukturieren wollen und so weiter.

Wo solche Verhaltensmuster bekannt sind, müssen wir uns da noch wundern, wenn ein Mitarbeiter irrtümlicher Weise plötzlich die Anweisungen einer Email befolgt, nur weil diese so aussah, als ob sie vom Chef geschrieben wurde? Cyber-Attacken kommen zwar von draußen, haben ihren Ursprung aber fast immer in administrativen Missständen, die ein aktiver Aufsichtsrat zuvor hätte abstellen müssen.

Cyber-Diebe ticken ähnlich wie aktivistische Investoren

Wie gelingt nun eine Synchronisierung der verschiedenen Fachteams, um die Widerstandsfähigkeit der gesamten Organisation zu stärken? Was wäre, wenn Sie einmal IT, HR und Finance den gemeinsamen Auftrag geben würden, sich in die Rolle eines aktivistischen Investors zu versetzen, der fragt: Was müsste im Unternehmen eigentlich alles verändert werden, um zukunftsorientiert Shareholder Value zu sichern?

Der aktivistische Investor und der Cyber-Terrorist haben eines gemeinsam: Sie reagieren beide auf fehlendes Response-Vermögen eines Unternehmens. Es ist ein kollektives Problem, wie mit Unsicherheit umgangen wird. Genau deshalb ist hier nicht nur der CFO gefragt und auch nie individuell schuld. Ein gründlicher Aufsichtsrat sollte um die Gefahren wissen und sie umfassend angehen.

redaktion[at]finance-magazin.de

Niels Dechow, PhD, ist Professor für Unternehmensrechnungslegung und Controlling an der European Business School (ebs). Für FINANCE bloggt er regelmäßig zu den neuesten Trends im Controlling. Hier geht es zu allen Beiträgen seines Blogs „Controlling 2020".