CFOs und Cybersicherheit: Die größten Bedrohungen und wie man sie vermeidet

Mark Jackley | Content Strategist | 27. März 2024

Da Cyberangriffe für die meisten Unternehmen ein großes finanzielles Risiko darstellen, spielen Chief Financial Officers eine wichtige Rolle bei der Cybersicherheit. Sie arbeiten eng mit den Chief Information Security Officers (CISOs) zusammen, um potenzielle Bedrohungen anhand ihres finanziellen Risikos zu priorisieren, entsprechende Abwehrmaßnahmen aufrechtzuerhalten und letztendlich zur Minderung dieser Risiken beizutragen.

Warum sich CFOs um Cybersicherheit kümmern sollten

Cyberangriffe können Unternehmen auf verschiedene Weise kosten. Laut einer Studie von IBM und dem Ponemon Institute beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung für Unternehmen weltweit im Jahr 2023 auf 4,45 Millionen US-Dollar. Laut dem Verizon Data Breach Investigations Report 2023 werden fast 95 % der Angriffe aus finanziellen Gründen und nicht aus politischen, sozialen oder persönlichen Gründen gestartet.

Vertrauliche Daten wie Kreditkartennummern von Kunden und Netzwerkkennwörter von Mitarbeitern sind ein beliebtes Ziel. Das Gleiche gilt für gutes, altmodisches Bargeld, das durch gefälschte Lieferantenrechnungen, Lohnbetrug und Ransomware-Angriffe erbeutet wird. Laut einer Studie des Deloitte Center for Controllership aus dem Jahr 2023 glaubt fast die Hälfte der leitenden Angestellten, dass sich die Angriffe auf Buchhaltung und Finanzen verschlimmern werden. Hinzu kommen die finanziellen Kosten, die entstehen, wenn der Ruf eines Unternehmens aufgrund einer Sicherheitsverletzung geschädigt wird.

Neue Vorschriften der U.S. Securities and Exchange Commission haben auch die Aufmerksamkeit von CFOs geweckt. Die SEC hat Regeln verabschiedet, die börsennotierte Unternehmen dazu verpflichten, Anlegern „entscheidungsnützliche“ Informationen über Cybersicherheitsvorfälle sowie regelmäßige Aktualisierungen ihrer Cybersicherheitsprogramme zur Verfügung zu stellen. Die Regeln scheinen auch vorzuschreiben, dass die SEC innerhalb von vier Tagen benachrichtigt werden muss, nachdem ein Unternehmen festgestellt hat, dass es sich um einen „wesentlichen“ Cybersicherheitsvorfall handelt, also ein Vorfall, den die meisten Anleger als wichtig erachten würden.

Ein weiterer regulatorischer Auftrag ist der Federal Information Security Management Act (FISMA), der die Bundesbehörden der Vereinigten Staaten dazu verpflichtet, behördenweite Sicherheitsmaßnahmen zu entwickeln, zu dokumentieren und umzusetzen. Die Einhaltung des Gesetzes liegt hauptsächlich in der Verantwortung des CISO, aber die CFOs der Regierung müssen sich ihrer Anforderungen bewusst sein.

Wichtigste Erkenntnisse

  • Als Experten für Risikomanagement sollten CFOs mit CISOs zusammenarbeiten, um Cyberbedrohungen und Abwehrmaßnahmen auf der Grundlage des finanziellen Risikos des Unternehmens zu priorisieren.
  • Um Cyberrisiken beurteilen zu können, müssen sich CFOs fundierte Kenntnisse über Cyberangriffstechniken sowie die zu ihrer Bekämpfung eingesetzten Strategien und Technologien aneignen.
  • Darüber hinaus tragen CFOs zunehmend zu Cybersicherheitsplänen bei, überprüfen Sicherheitsbudgets und überwachen die Wirksamkeit von Sicherheitsvorbereitungen.

Erklärung zum Thema „CFOs und Cybersicherheit“

CFOs sind zwar keine Experten für Cybersicherheit, aber sie sind Experten im Bereich „Risikomanagement“. Dies macht sie zu natürlichen Verbündeten des CISO, der für den Schutz der Systeme und Daten des Unternehmens verantwortlich ist. CFOs sollten zu Cybersicherheitsplänen konsultiert werden, um sicherzustellen, dass sie das gesamte finanzielle Risiko des Unternehmens widerspiegeln. Schützen sie ausreichend Systeme, die vertraulich und wertvolle Daten des Unternehmens verarbeiten und speichern? Helfen sie Mitarbeitern im gesamten Unternehmen, betrügerische E-Mails, Anrufe und andere Betrügereien zu erkennen? Als oberster Wächter des Risikomanagements muss der CFO davon überzeugt sein, dass das Niveau des Cyberrisikos des Unternehmens akzeptabel ist.

Außerdem haben CFOs regulatorische Berichtspflichten, die die Cybersicherheit einschließen. Sie sind unter anderem eng an der Einhaltung der Vorschriften der US-amerikanischen Börsenaufsichtsbehörde (SEC, Securities and Exchange Commission), der Datenschutz-Grundverordnung der Europäischen Union und des California Consumer Privacy Act beteiligt. Darüber hinaus arbeiten CFOs mit Rechtsberatern, internen Auditoren, CISOs und anderen zusammen, um die Einhaltung der Vorschriften sicherzustellen. Sie werden vom Vorstand mit Fragen zur Offenlegung etwaiger Cybervorfälle sowie zu jährlichen Offenlegungen des Cyber-Risikomanagements, der Strategie und der Governance konfrontiert.

Beim Streben nach Compliance müssen CFOs eine Reihe wichtiger Faktoren in Einklang bringen. Beispielsweise verlangt die SEC die Offenlegung aller „wesentlichen Vorfälle“, die Anleger für wichtig halten würden. Natürlich nutzen CFOs finanzielle Kennzahlen, um zu entscheiden, was wesentlich ist und was folglich offengelegt werden soll, aber sie sollten auch qualitativere Faktoren wie die Reputationsauswirkungen selbst eines kleinen Angriffs auf Kundeninformationen berücksichtigen.

Die fünf größten Cybersicherheitsrisiken für CFOs

In dieser Online-Geschäftswelt wächst der „Bedrohungsvektor“, der Cyberangreifern zur Verfügung steht, da Unternehmen Anwendungen schneller und für mehr Benutzer als je zuvor bereitstellen. Darüber hinaus integrieren Unternehmen zunehmend Anwendungen in Systeme von Lieferanten, Partnern und anderen Außenstehenden.

Unabhängig von den Umgebungen, die sie anvisieren, testen Angreifer immer neue Wege, um die Cyberabwehr zu umgehen. CFOs müssen nicht jede technische Nuance verstehen, aber sie müssen die effektivsten Techniken der Angreifer kennen. Viele Angriffe sind neue Abwandlungen der folgenden fünf Grundtypen.

1. Kompromittierung geschäftlicher E-Mails

Business Email Compromise (BEC) ist ein Cyberangriff, bei dem E-Mails zur Manipulation von Personen verwendet werden. So versuchen die Angreifer beispielsweise, den Empfänger mit einer betrügerischen Überweisungsaufforderung oder einer gefälschten Lieferantenrechnung dazu zu bringen, Geld zu senden. Solche BECs zielen in der Regel auf Buchhaltungs- und Finanz-, Beschaffungs- und Lohnbuchhaltungsteams ab. BEC ist eine Art Phishing-Angriff. Andere Phishing-Betrügereien versuchen, die Empfänger zur Preisgabe von Passwörtern, Kreditkartennummern oder zum Anklicken von Malware-Links zu verleiten.

Abnormal Security, ein Unternehmen für E-Mail-Sicherheit, berichtet, dass BEC-Angriffe in der ersten Hälfte des Jahres 2023 um 55 % gegenüber der ersten Hälfte des Jahres 2022 zugenommen haben.

2. Angriff auf die Lieferkette

Wie der Begriff schon andeutet, zielen Angriffe auf die Lieferkette auf etwas ab, das ein Unternehmen von Anbietern kauft, in der Regel ein Softwareprogramm. Durch das Ausnutzen einer Schwachstelle in einem Softwareprogramm kann sich der Angreifer durch eine Hintertür Zugang zu mehreren Unternehmen verschaffen, die die Software verwenden. Der Angreifer erhält Zugang zu privaten Netzwerken, einschließlich des geistigen Eigentums, der Kundendaten und anderer Informationswerte.

3. Öffentlich zugängliche Datenbank

Bei einer öffentlich zugänglichen Datenbank handelt es sich um eine Datenbank, die eine öffentliche Website oder Anwendung unterstützt und nicht durch Sicherheitsmaßnahmen wie Benutzer-Zugangsinformationen, eine sichere Konfiguration, angemessene Sicherheitseinstellungen oder Kontrolle bei der Bereitstellung von Datenbanken geschützt ist – also eine leichte Beute. Die Zunahme der Telearbeit während der COVID-19-Pandemie trug zu einem Anstieg der ungesicherten Daten und der daraus resultierenden Angriffe bei. Im Jahr 2023 entdeckte die in Singapur ansässige Sicherheitsfirma Group IB fast 400.000 solcher Datenbanken im offenen Internet. Als sie von dem Problem erfuhren, brauchten die Datenbankbesitzer im Durchschnitt 170 Tage, um es zu beheben, und riskierten damit Datenschutzverletzungen und Folgeangriffe auf Mitarbeiter oder Kunden, stellte Group IB fest. In einer Studie des Sicherheitsanbieters Kroll aus dem Jahr 2022 gaben 53 % der Unternehmen an, dass Angriffe auf ungeschützte Datenbanken zu einer Gefährdung des Netzwerks führten.

4. Insider-Bedrohungen

Ein Insider ist ein Angestellter, ehemaliger Angestellter, Auftragnehmer, Lieferant oder eine andere Partei, deren besonderer Zugang zu den Systemen und Netzwerken eines Unternehmens eine Sicherheitsbedrohung darstellen könnte. Insider lassen sich in zwei Kategorien einteilen: diejenigen, die absichtlich handeln, um die Systeme eines Unternehmens zum Absturz zu bringen und dessen Daten zu stehlen, und diejenigen, die unbeabsichtigt eine Sicherheitslücke verursachen, weil sie kein Sicherheitstraining haben oder die Verfahren einfach nicht befolgen. Die durchschnittlichen Gesamtkosten, die einem Unternehmen durch einen Insider-Bedrohungsvorfall entstehen, stiegen von 15,4 Millionen US-Dollar im Jahr 2022 auf 16,2 Millionen US-Dollar im vergangenen Jahr. Dies geht aus einer Studie des IT-Anbieters DTEX Systems und des Ponemon Institute hervor, die auf einer Stichprobe von Unternehmen verschiedener Branchen und unterschiedlicher Größe basiert.

5. Ransomware

Ransomware ist ein Malware-Typ, mit dem Angreifer die Daten eines Unternehmens verschlüsseln, die oft durch kompromittierte Software oder gefälschte E-Mails übertragen werden, und dann ein finanzielles Lösegeld verlangen, um die Verschlüsselung zu entfernen. Bei aktivierter Ransomware können Mitarbeiter nicht auf wichtige Systeme und Daten zugreifen, sie sind arbeitsunfähig und der Betrieb kommt zum Stillstand, bis das Unternehmen das geforderte Lösegeld bezahlt hat und der Zugriff wieder normal möglich ist. Einige Unternehmen entscheiden, dass die Zahlung des Lösegelds weniger kostspielig ist als ein Betriebsausfall, insbesondere wenn eine Cyberversicherung einen Teil der Verluste abdeckt. Es gibt jedoch keine Garantie dafür, dass die Angreifer nach der Bezahlung einen Entschlüsselungsschlüssel liefern, um die Daten freizugeben. Laut dem Sicherheitsanbieter Sophos betrug die durchschnittliche Ransomware-Zahlung im Jahr 2023 1,54 Millionen US-Dollar. Im Oktober letzten Jahres hat die Counter Ransomware Initiative, eine von den USA geleitete Gruppe von Regierungsorganisationen aus 50 Ländern, zugesagt, niemals Lösegeld an Cyberkriminelle zu zahlen.

Cyberangriffe: Wichtige Statistiken
55 %
Prozentualer Anstieg der E-Mail-Angriffe auf Unternehmen von Januar bis Juni 2023
138 Milliarden US-Dollar
Geschätzte globale Kosten für Angriffe auf die Lieferkette im Jahr 2023
74 %
Prozentsatz der Unternehmen, die im Jahr 2023 als mäßig bis extrem anfällig für Insider-Bedrohungen angesehen wurden
1,54 Millionen US-Dollar
Durchschnittliche Ransomware-Zahlung im Jahr 2023

Quellen: Abnormal Security, Cybersecurity Insiders, Sophos

Die Rolle des CFO bezüglich der Cybersicherheit

CFOs arbeiten nicht nur mit CISOs zusammen, um Cyberrisiken zu priorisieren, sondern helfen ihnen auch zunehmend bei der Ausarbeitung eines Sicherheitsplans, der Entwicklung eines Sicherheitsbudgets und der Überwachung der Sicherheitsleistung und -vorbereitungen.

Cybersicherheitsrisiken verstehen

Um Cybersicherheitsrisiken zu verstehen, priorisieren CFOs diese anhand der finanziellen Risiken. Das bedeutet zum Beispiel, dass wir mit den CISOs zusammenarbeiten, um sicherzustellen, dass die wichtigsten Anwendungen – solche, die vertrauliche Daten und Zahlungen verwalten – angemessen geschützt sind. Erfordern verschiedene Rollen unterschiedliche Berechtigungsebenen für den Zugriff auf Daten und die Durchführung von Transaktionen? Dies wir als Prinzip der geringsten Rechte bezeichnet. Ein Supply-Chain-Manager könnte beispielsweise die Berechtigung benötigen, in einem Beschaffungssystem Transaktionen durchzuführen bzw. zu genehmigen. Ein Buchhaltungsspezialist braucht vielleicht keine Genehmigung, um in diesem System zu arbeiten, aber er braucht eine Genehmigung, um auf Buchhaltungs- und Finanzsysteme zuzugreifen und dort Geschäfte zu tätigen. Ebenso sollten nur autorisierte Mitarbeiter Lieferantenzahlungen einrichten.

Anwendungen mit hoher Priorität finden sich in der Buchhaltung und im Finanzwesen (Forderungen und Verbindlichkeiten), in der Lieferkette (Beschaffung) und im Personalwesen (Gehaltsabrechnung). In einigen Branchen, wie z. B. Finanzdienstleistungen und Gesundheitswesen, ist der Schutz von Anwendungen, die Kunden- oder Patientendaten verwalten, besonders wichtig.

„Cybersicherheit ist keine Einheitsgröße“, sagt Aman Desouza, ein Senior Product Director bei Oracle, der früher Governance-, Risiko- und Compliance-Strategien für das globale Fintech-Unternehmen Broadridge Financial Solutions leitete. „Einige Anwendungen sind viel wichtiger als andere. CISOs sollten mit CFOs und manchmal auch mit anderen Führungskräften zusammenarbeiten, um die Unternehmensrisiken zu priorisieren und die Kronjuwelen zu schützen. Und manchmal muss der CFO bereit sein, die Denkweise des CISO zu hinterfragen.“

Bei der Bewertung der potenziellen Auswirkungen von Angriffen sollten CFOs nicht nur den unmittelbaren finanziellen Schaden betrachten. Sie müssen auch die dauerhaften Auswirkungen auf die Produktivität, den Ruf der Marke, die Kundenbeziehungen und die Einhaltung von Gesetzen berücksichtigen.

Entwicklung eines Cybersicherheitsplans

Auch wenn Unternehmen unterschiedlich strukturiert sind, ist die Cybersicherheitsplanung eine funktionsübergreifende Aufgabe, die in der Regel in erster Linie dem CISO obliegt. Da Cyberangriffe jedoch schwerwiegende Risiken für das Endergebnis darstellen, sollten sich CISOs bei der Ausarbeitung von Plänen mit den CFOs beraten. Mit den neuen SEC-Regeln sind CFOs börsennotierter US-Unternehmen außerdem dazu verpflichtet, bestimmte Cybersicherheits- Risikomanagement-, Strategie- und Governance-Informationen in ihre Jahresberichte aufzunehmen, sodass sie diesbezüglich eng mit CISOs zusammenarbeiten müssen.

Alle Pläne sollten eine Bewertung des Cybersicherheitsrisikos enthalten. CFOs beurteilen das Cyberrisiko auf der Grundlage des Wertes verschiedener Daten sowie der potenziellen rechtlichen und reputationsbezogenen Kosten von Sicherheitsvorfällen. CFOs berücksichtigen auch die Risiken der Auslagerung hinsichtlich der Speicherung vertraulicher Daten an Dritte, insbesondere die Auswirkungen auf den Versicherungsschutz für Cybersicherheit und die Risiken der Nichteinhaltung von SEC- oder anderen Vorschriften.

Ein weiterer wichtiger Aspekt der Planung: die Bewertung der aktuellen Sicherheitsinstrumente und -verfahren. CISOs bewerten Tools nach ihren technischen Fähigkeiten. Außerdem wollen CFOs sicher sein, dass die Tools und die dazugehörigen Prozesse hochwertige Vermögenswerte schützen können, insbesondere Finanz- und Zahlungsanwendungen. Mithilfe von Kosten-Nutzen-Analysen können CFOs auch Investitionen in Sicherheitstechnologien bewerten – eine Perspektive, die CISOs hilft, wenn es an der Zeit ist, CEOs und Vorständen das Sicherheitsbudget vorzustellen.

Die besten Pläne sind flexibel und ermöglichen es den Unternehmen, sich an neu auftretende Risiken anzupassen, wie z. B. KI-gesteuerte Deepfakes, die ultrarealistische Impersonierungen von Top-Führungskräften darstellen können. Ein Angriff verwendete ein gefälschtes Video in einer Telefonkonferenz, um einen Finanzangestellten dazu zu bringen, 25,6 Millionen US-Dollar auf die Bankkonten der Angreifer zu überweisen, berichtete CNN. Adaptive Pläne schaffen auch Platz für die neuesten Sicherheitstools, von denen einige generative KI verwenden, um Netzwerkanomalien und bösartige Aktivitäten schneller zu erkennen.

Budgets für Cybersicherheit festlegen

Wie beim Cybersicherheitsplan übernimmt der CISO die Führung beim Vorschlagen eines Cybersicherheitsbudgets. In den meisten Unternehmen sind die CFOs beratend tätig, indem sie das Budget prüfen, Fragen stellen und Empfehlungen abgeben. Bei der Prüfung der Sicherheitsausgaben untersuchen die CFOs Investitionen in Mitarbeiter mit speziellen Fachkenntnissen, in Technologien zur Erkennung und Bekämpfung von Angriffen sowie in Tools zur Überwachung von Cyberrisiken und der Einhaltung von Sicherheitsvorschriften.

Laut einer Studie des Sicherheitsberatungsunternehmens IANS Research für das Jahr 2023 steigen die Budgets für Cybersicherheit im Haushaltszyklus 2022 bis 2023 nur geringfügig. So haben Technologieunternehmen ihre Sicherheitsbudgets im Durchschnitt nur um 5 % erhöht, während sie im Zyklus 2021 bis 2022 um mehr als 30 % steigen werden. Im Vergleich zu anderen Branchen weisen Technologieunternehmen jedoch mit 19,4 % die höchsten Sicherheitsbudgets im Verhältnis zu den gesamten IT-Ausgaben auf. Der Einzelhandel hingegen wendet durchschnittlich 7,2 % des IT-Budgets für die Sicherheit auf.

Wenn das Geld knapp ist, stellen CFOs schwierige Fragen. Steht das vorgeschlagene Budget im Einklang mit den Unternehmenszielen? Werden die Anstrengungen zur Verteidigung der Organisation und zur Risikominderung angemessen finanziert?

Zuweisung von Ressourcen für die Cybersicherheit

Sobald das Budget für die Cybersicherheit festgelegt ist, prüfen die CISOs, ob die Ressourcen dort eingesetzt werden, wo sie am dringendsten benötigt werden, um das Risiko zu verringern – z. B. um qualifizierte Fachkräfte einzustellen, Schulungsprogramme hinsichtlich der Sicherheit für Mitarbeiter zu erweitern, neue Sicherheitssoftware zu kaufen oder das Unternehmen auf ein sichereres Cloud-Geschäftsmodell umzustellen. Auch hier spielen die CFOs eine beratende Rolle und stellen sicher, dass die Zuweisungen die finanziellen Risikoprioritäten widerspiegeln. Beispiel: Wird das Unternehmen durch die Bereitstellung von Mitteln für Multifaktor-Authentifizierungstools das Risiko eines Eindringens verringern und die Daten besser schützen, als wenn es einen ähnlichen Betrag für Mitarbeiter oder Prozessverbesserungen ausgibt?

Cybersicherheitsleistung überwachen

Der Cybersicherheitsplan enthält Metriken zur Leistungsüberwachung, die zeigen, ob das aktuelle Risikoniveau akzeptabel ist oder nicht. Der CISO achtet auf Kennzahlen wie die durchschnittliche Zeit, um Angriffe zu erkennen und darauf zu reagieren. Der CFO konzentriert sich mehr auf die Sicherheitsbereitschaft als auf die Leistung von Technologie und Verfahren. „Meistens wollen CFOs Beweise für ausgereifte Sicherheitsprogramme“, sagt Desouza. „Sie suchen nach Indikatoren wie automatisierten Überwachungstools oder Schulungen zum Sicherheitsbewusstsein, die den Mitarbeitern beibringen, BEC- und Phishing-Angriffe zu erkennen. Für den CFO geht es mehr um die Vorbereitung als um alles andere.“

Die Kosten für das Ignorieren der Cybersicherheit

Wenn Unternehmen die Cybersicherheit vernachlässigen (oder ihr nicht genügend Aufmerksamkeit schenken), kann der Preis dafür hoch sein und zum Verlust von Daten, Geldern und/oder geistigem Eigentum führen. Zu den Kosten können auch geschwächtes Kundenvertrauen, stornierte Geschäftsaufträge, sinkende Aktienkurse, negative Schlagzeilen und rechtliche Sanktionen gehören. Dark Reading berichtete, dass eine weitverbreitete Sicherheitsverletzung im Jahr 2017 dazu führte, dass der Aktienkurs des Unternehmens innerhalb einer Woche um 31 % sank und dass es zwei Jahre dauerte, bis es sich vollständig erholte. Häufiger sind jedoch unmittelbare Aktienkursrückgänge im niedrigen einstelligen Bereich.

Laut einer Studie von Cybersecurity Ventures aus dem Jahr 2022 wird der Schaden durch die weltweite Cyberkriminalität bis 2025 voraussichtlich 10,5 Billionen US-Dollar erreichen. Der Sicherheitsanbieter Deep Instinct berichtete, dass 75 % der Sicherheitsexperten von 2022 bis 2023 einen Anstieg der Angriffe wahrnahmen.

„Nach den neuen Cyber-Offenlegungsregeln der SEC müssen Unternehmen jährlich Informationen zum Risikomanagement, zur Strategie und zur Governance der Cybersicherheit offenlegen“, sagte Erik Gerding, Direktor der SEC-Abteilung für Unternehmensfinanzierung, in einer Erklärung . Dies gilt zusätzlich zu der Verpflichtung, jeden wesentlichen Vorfall im Bereich der Cybersicherheit zu melden. In Anbetracht dieser Anforderungen müssen die Finanzvorstände börsennotierter Unternehmen sicher sein, dass sie die laufende Cybersicherheitsstrategie und -praktiken des Unternehmens verstehen. Sie müssen über das Wissen und die Beziehungen verfügen, um schnell über relevante Cybersicherheitsvorfälle Bescheid zu wissen und die Wesentlichkeit dieser Angriffe zu bewerten. CFOs, die diese Anforderungen vernachlässigen, setzen ihr Unternehmen regulatorischen Strafen aus.

Mit Oracle Cybersicherheitsrisiken von Anfang an verhindern

Die Oracle Fusion Cloud Enterprise Resource Planning-(ERP-)Suite von Finanz-, Beschaffungs-, Projektmanagement- und anderen Anwendungen bietet Sicherheit durch Design. Zentralisierte Zugriffskontrollen können dazu beitragen, die Netzwerkautorisierung zu vereinfachen, und zusammen mit den Sicherheitsfunktionen, die als Teil von Oracle Cloud ERP angeboten werden, können sie Unternehmen bei der Einhaltung von Vorschriften und gesetzlichen Auflagen unterstützen.

Oracle Risk Management and Compliance, Teil der Oracle Cloud ERP-Suite, ist eine Sicherheits- und Audit-Lösung, die KI-Tools enthält, um den Zugriff auf die Finanzdaten der Suite zu kontrollieren, verdächtige Transaktionen zu erkennen und Unternehmen mit wertvollen Erkenntnissen bei der Einhaltung von Sicherheitsvorschriften zu unterstützen.

Häufig gestellte Fragen zum Thema „CFO und Cybersicherheit“

Was macht der CFO im Bereich der Cybersicherheit?
Als Verantwortlicher für das Risikomanagement des Unternehmens stellt der CFO sicher, dass die Bemühungen um die Cybersicherheit den Strategien des finanziellen Risikomanagements entsprechen. Der CFO hilft dem CISO, die Risikoprioritäten im gesamten Unternehmen zu verstehen und dementsprechend Sicherheitspläne und Budgets zu erstellen.

Welche Cybersicherheitszertifizierungen sollte ein CFO haben?
Eine Zertifizierung, die CFOs in Betracht ziehen sollten, ist das Maximizing Digital Operational Excellence Certificate, das vom American Institute of Certified Public Accountants und dem Chartered Institute of Management Accountants angeboten wird. Diese Zertifizierung bestätigt, dass Finanzmanager über Methoden zur Stärkung der Finanzverwaltung, -sicherheit und -kontrolle auf dem Laufenden sind.

Welche sind die wichtigsten Aufgaben, die ein CFO im Bereich Cybersicherheit erfüllen muss?
CFOs sollten nicht nur sicherstellen, dass die Cybersicherheit mit den finanziellen Risiken übereinstimmt, sondern sie sollten die CISOs auch dabei unterstützen, die Sicherheitspläne und -budgets zu verfeinern und dem Schutz von Anwendungen, die kritische Daten und Zahlungen verwalten, Priorität einzuräumen. Der CFO von börsennotierten Unternehmen unterliegt je nach Standort des Unternehmens möglicherweise auch gesetzlichen Offenlegungspflichten.

Der Leitfaden für CFOs zur Förderung von Profit und Wachstum

Entdecken Sie 5 Strategien zur Kostensenkung und Produktivitätssteigerung, ohne das Wachstum auszubremsen.