Ein neuer Bericht von Diligent und Bitsight hat ergeben, dass Unternehmen mit fortschrittlicher Leistung im Bereich Cybersicherheit im Durchschnitt 372 Prozent mehr Aktionärsrendite auszahlen können als Unternehmen mit einem einfachem Security Performance Score. Der Bericht zeigt auch, dass besonders stark regulierte Branchen wie das Gesundheitswesen und der Finanzsektor im Ranking weit vorne liegen – sie haben die Gefahrenlage erkannt und entsprechende Maßnahmen ergriffen. Eine weitere Erkenntnis des Berichts ist, dass Unternehmen mit einem spezialisierten Risiko- bzw. Prüfungsausschuss ebenfalls einen besseren Security Performance Score erreichen (710) als solche ohne einen Ausschuss (650).

„Die Ergebnisse des Reports zeigen, dass Cybersicherheit nicht nur ein IT-Problem ist – es ist ein Unternehmensrisiko, das wesentliche Auswirkungen auf die kurzfristige Leistung und die langfristige Resilienz eines Unternehmens hat – und mit dem die Geschäftsleitung und der Vorstand vertraut sein müssen“, sagt Dottie Schindlinger, Executive Director des Diligent Institute. „Angesichts des zunehmenden Drucks der Aufsichtsbehörden auf Unternehmen, nachzuweisen, wie sie die Cybersicherheit überwachen, ist es jetzt an der Zeit, dass Vorstände und Führungskräfte ihre Kompetenz in Bezug auf Cyberrisiken ausbauen.“

„Bei der Cybersicherheit geht es nicht mehr nur um Risikominderung, sondern sie ist jetzt ein Schlüsselindikator für die finanzielle Leistung. Unternehmen müssen Cybersicherheit als einen Eckpfeiler ihrer Geschäftsstrategie behandeln, der von klaren, ehrgeizigen Maßstäben geleitet wird und die volle Unterstützung ihrer Vorstände genießt“, fügte Dr. Homaira hinzu.

Für den Bericht „Cybersecurity, Audit and the Board“ wurden mehr als 4.000 mittelgroße bis große Unternehmen in öffentlichen Indizes auf der ganzen Welt analysiert.

Die wichtigsten Ergebnisse des Reports:

Deutschland hinkt anderen Ländern in Sachen Cybersicherheit hinterher:

• Obwohl Deutschland zu den drei Ländern mit den meisten Cybersecurity-Experten im Vorstand gehört (5 Prozent der Unternehmen haben einen Cyberexperten im Vorstand), haben deutsche Unternehmen mit 640 einen der niedrigsten Durchschnittswerte für Cybersecurity und liegen damit hinter Frankreich, dem Vereinigten Königreich, Australien, den USA und Kanada und gleichauf mit Japan.
• Dies könnte daran liegen, dass nur 17 Prozent der deutschen Unternehmen über spezielle Risikoausschüsse verfügen.
• Die Ergebnisse des Berichts deuten darauf hin, dass es nicht ausreicht, einen Experten für Cybersicherheit im Vorstand zu haben – diese Experten müssen direkt an der Cyberaufsicht beteiligt sein. Australien beispielsweise hat mit 700 Punkten eine der höchsten Sicherheitsbewertungen und 90 Prozent der im Bericht genannten Unternehmen verfügen über spezialisierte Risikoausschüsse.

Unternehmen mit einer messbar besseren Cybersicherheitsleistung erzielen eine höhere finanzielle Leistung als ihre Konkurrenten:

• Der durchschnittliche Total Shareholder Return (TSR) für Unternehmen mit fortgeschrittenen Sicherheitsratings über einen Fünf- bzw. Dreijahreszeitraum betrug 71 Prozent bzw. 67 Prozent während Unternehmen im Basis-Performancebereich im gleichen Zeitraum 37 Prozent bzw. 14 Prozent TSR erzielten.
• Unternehmen mit einer höheren Anzahl unabhängiger Direktoren haben mit größerer Wahrscheinlichkeit ein fortgeschrittenes Sicherheitsrating. Etwa 76 Prozent der Direktoren in den Vorständen dieser Unternehmen mit fortgeschrittenen Sicherheitsratings sind unabhängig, verglichen mit 66 Prozent in der Kategorie mit grundlegenden Sicherheitsratings.

Unternehmen mit einem spezialisierten Risiko- bzw. Prüfungsausschuss erreichen im Durchschnitt eine bessere Cybersicherheitsleistung als solche ohne einen Ausschuss:

• Der Median der Cybersicherheitsbewertung für Unternehmen mit spezialisierten Risikoausschüssen liegt bei 730, verglichen mit 720 für Unternehmen mit reinen Prüfungsausschüssen, was darauf hindeutet, dass es keinen signifikanten Unterschied in der Fähigkeit des Prüfungsausschusses zur Überwachung von Cyberrisiken im Vergleich zu einem spezialisierten Risikoausschuss gibt.
• Ein Cybersecurity-Experte im Vorstand reicht nicht aus – diese Experten müssen direkt an der Cyberaufsicht beteiligt sein. Unternehmen mit Cybersicherheitsexperten in den Prüfungs- oder speziellen Risikoausschüssen erreichen eine durchschnittliche Sicherheitsbewertung von 700, während Unternehmen mit Cybersicherheitsexperten im Vorstand, aber nicht in einem der beiden Ausschüsse, eine Sicherheitsbewertung von 580 erreichen.

Stark regulierte Branchen schneiden bei der Cybersicherheit besser ab als andere Branchen:

• Der Gesundheitssektor wies mit 730 die höchsten durchschnittlichen Sicherheitsbewertungen auf. Von den Unternehmen mit fortgeschrittenen Sicherheitsbewertungen stammten 33 Prozent aus dem Finanzdienstleistungssektor, mit einer durchschnittlichen Bewertung von 720.
• Im Vergleich dazu kamen 24 Prozent der Unternehmen mit grundlegenden Sicherheitsbewertungen aus dem Industriesektor, und der Sektor mit der niedrigsten Gesamtbewertung war der Kommunikationssektor mit 630.

„Die Studie zeigt, dass marktführende Unternehmen, die dem Cyber-Risikomanagement Priorität einräumen, besser abschneiden als ihre Konkurrenten“, so Derek Vadala. „Dies kann nicht ohne ein gutes Verständnis der Cybersicherheitsleistung und klare Benchmarks erreicht werden, die von der Geschäftsleitung und dem Vorstand geteilt werden. Die Rolle des Chief Information Security Officers (CISO) hat sich gewandelt. Cyber-Risiko ist eine Schlüsselkomponente der Unternehmensleistung.“

Zur Methodik
Die Analyse umfasst 4.149 mittelgroße bis große Unternehmen in öffentlichen Indizes in Australien, Kanada, Frankreich, Deutschland, Japan, dem Vereinigten Königreich und den Vereinigten Staaten. Man korrelierte die Cyberaufsichtsstruktur jedes Unternehmens mit den entsprechenden Sicherheitsleistungsdaten, die bezogen wurden. Bei der Korrelationsmethode wurden die Bewertungen innerhalb jeder Kategorie gemittelt, um erkennbare Muster zu identifizieren.