Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
ISMS

Board-Reporting für Cyber-Risiken: Was die Geschäftsleitung wirklich wissen muss

SecTepe Redaktion
|
|
6 Min. Lesezeit

Eine 60-Seiten-PowerPoint mit 200 Sicherheitsmetriken ist kein Board-Reporting – das ist Ablenkungs-Material. Geschäftsleitung und Aufsichtsrat brauchen 5 Aussagen, die Entscheidungen tragen. Hier sind sie.

Die fünf Kern-Aussagen, die jedes Cyber-Board-Reporting liefern sollte

1. Wie reif sind wir – im Vergleich zur Branche?

Reifegrad nach BSI IT-Grundschutz oder ISO 27001 (Stufe 1–5) plus Branchen-Vergleich. Eine Zahl, vier Worte: „Wir sind auf Stufe 3 (von 5), Branchenmedian ist Stufe 3,5, Top-Quartil ist 4." Aufsichtsrat versteht die Lage in 10 Sekunden.

2. Welches Restrisiko trägt das Unternehmen aktuell?

Top-10-Risiken aus dem Risiko-Register, mit Eintrittswahrscheinlichkeit, Schadenshöhe und aktuellem Treatment-Status. Risiken, die formal akzeptiert wurden, klar markiert – mit Begründung und Akzeptierendem.

3. Welche Vorfälle hatten wir, was haben wir gelernt?

Letzte 90 Tage: Anzahl gemeldeter Vorfälle, Anzahl klassifiziert als „signifikant", durchschnittliche Detection-Time und Recovery-Time, Top-3-Lessons-Learned. Trend-Pfeil zum Vorquartal.

4. Wie steht es um die regulatorischen Pflichten?

NIS-2-Compliance-Status, ISO 27001-Audit-Status (intern/extern), DSGVO-Vorfälle 12 Monate, offene Aufsichts-Korrespondenz. Eine Ampel pro Pflicht reicht.

5. Welche Investitionen brauchen wir – mit Begründung?

Top-3-Investitions-Vorschläge mit Risiko-Reduktions-Argument: „Investition X (Y €) reduziert Risiko Z um geschätzt 70 %." Aufsichtsrat entscheidet auf dieser Basis – nicht auf der Basis von „wir bräuchten halt mehr Budget".

Die fünf Reporting-Anti-Patterns

  • Tool-spezifische Metriken: „Wir haben 12.000 EDR-Detections diesen Monat." Aufsichtsrat: was bedeutet das? Verlust an Aufmerksamkeit.
  • Compliance-Häkchen ohne Substanz: „ISO 27001-konform" ohne Reifegrad-Aussage – sagt nichts über tatsächliche Sicherheitslage.
  • Heatmap ohne Zahlen-Begründung: bunte Kästen, aber „wie hoch ist 'rot'" bleibt unklar.
  • Strategische Wünsche ohne Risiko-Anker: „Wir wollen XDR einführen" – aber welche Risiko-Reduktion bringt das konkret?
  • Negative Zahlen ohne Kontext: „38 % Click-Rate in der letzten Phishing-Simulation" ist erst dann interpretierbar, wenn klar ist: vorher 52 %, Branchen-Median 33 %.

Reporting-Frequenz und -Format

  • Aufsichtsrat / Beirat: quartalsweise, 5–8 Slides, 30 Minuten Diskussion.
  • Geschäftsleitung: monatlich, 1 Seite Dashboard mit Drill-Down-Möglichkeit.
  • Vorfalls-Reporting: ereignisbasiert binnen 24 h für signifikante Vorfälle, mit „was, wann, was bedeutet, was tun wir".

Wie eine integrierte Plattform das Board-Reporting trägt

Die fünf Kern-Aussagen sollten direkt aus der Plattform kommen, nicht aus Excel-Aufbereitungen:

  • Reifegrad-Score: aus dem ISMS-Modul, ISO/BSI-konform berechnet.
  • Risiko-Register-Top-10: aus dem Risk-Management, mit Treatment-Status.
  • Vorfalls-Historie + KPIs: aus Wazuh-SIEM + Audit-Log, MTTR/MTTD automatisch.
  • Compliance-Status: aus dem Multi-Framework-Modul, NIS-2/ISO 27001/DSGVO als Live-Ampel.
  • Investitions-Vorschläge mit Risiko-Anker: aus dem Treatment-Workflow, „nicht behandeltes Risiko X" ↔ „Maßnahme Y".

Was die GF dem Aufsichtsrat persönlich sagen sollte

  1. „Unser Reifegrad ist X, wir steuern auf Y bis [Datum]."
  2. „Unser höchstes Restrisiko ist Z – wir akzeptieren es, weil…"
  3. „Diesen Quartal hatten wir A Vorfälle, B davon signifikant – Lehre daraus war C."
  4. „Compliance-Status ist [grün/gelb/rot] – offene Punkte sind D."
  5. „Ich brauche das Budget für E, weil das Risiko F damit sinkt."

Wer diese fünf Sätze in 90 Sekunden klar und mit Belegen sagen kann, hat ein wirksames Reporting. Alles andere ist Theater.

Compliance-Mapping

  • NIS-2 Art. 20: Geschäftsleitung muss Genehmigungs- und Überwachungsfunktion ausüben – Reporting ist die Voraussetzung.
  • ISO 27001 Cl. 9.3: Management Review als formaler Baustein – mindestens jährlich.
  • DCGK 4.1.4 / 4.1.5 (Aktiengesellschaften): Vorstand sorgt für angemessenes Risiko-Management und berichtet darüber.

Fazit

Cyber-Board-Reporting ist nicht „mehr Folien" – es ist eine sehr fokussierte Antwort auf 5 Fragen. Eine integrierte Plattform liefert die Daten so, dass die GF die Aussagen mit Belegen unterlegen kann, ohne 3 Tage Power-Point-Bauen. Wer das hinkriegt, gewinnt Vertrauen im Aufsichtsrat – und damit Investitions-Spielraum.

Alle Artikel ansehen Mehr aus dieser Kategorie