Board-Security: Die wichtige Rolle von Board-Portalen für die Sicherheit bei Aufsichtsräten

Die Arbeit des Aufsichtsrats ist mit großer Verantwortung verbunden. Der Druck ist konstant, die Aufgaben sind vielfältig, und von den Mitgliedern wird erwartet, dass sie die Prozesse kontinuierlich, genau und aktuell überwachen. Derzeit liegt die Messlatte hinsichtlich der Erwartungen noch weitaus höher, weil die Instabilität der heutigen Welt die bereits in der Vergangenheit existierenden Herausforderungen deutlich vervielfacht. Die geopolitischen Rahmenbedingungen setzen Unternehmen beispiellosen Unsicherheiten aus, soziale und ökologische Dringlichkeiten sind unaufschiebbar geworden und die Prozesse der Unternehmensdigitalisierung werfen neue, spezifische Fragen hinsichtlich der Anpassung der Unternehmensführung auf.

Bei den umwälzenden technologischen Veränderungen, die während der Pandemie stattgefunden haben und mit denen sich Aufsichtsräte plötzlich konfrontiert sahen, spielt die Frage der Prozesssicherheit eine herausragende Rolle. In vielen Fällen blieb nicht genug Zeit für eine ausgereifte und wohlüberlegte Bewertung der eingesetzten Instrumente: Nachdem die akute Phase des Notfalls überwunden ist, muss jetzt geklärt werden, wie sich die Board-Security auf Dauer gewährleisten lässt. Dies muss geschehen, ohne die Arbeitsbelastung des Aufsichtsrats zu erhöhen.

Cyberangriffe: Sicherheit hat eine herausragende Bedeutung

Im Gegenteil: Es gilt, ihn gleichzeitig zu schützen, seine Aufgaben zu vereinfachen, ihn effizienter zu machen und ihm wirklich wirksame und zuverlässige Instrumente an die Hand zu geben, damit er seiner Kontrollfunktion umfassend nachkommen kann. Mit dem Blick auf Daten fällt auf, dass hinsichtlich der Sicherheit sehr viel auf dem Spiel steht: In einem global kritischen Kontext ist Deutschland auf Platz 44 der am stärksten von Cyberangriffen betroffenen Länder.¹ Die gute Nachricht: Der Weg zu Lösungen ist bereits geebnet.

Es existieren dedizierte und spezifische Technologie-Tools, welche die wichtige Rolle des Aufsichtsrats für das Wachstum und die Wettbewerbsfähigkeit von Unternehmen sehr ernst nehmen.

Und hier kommt das „Board-Portal“ ins Spiel, dessen Rolle eng mit dem drängenden Thema der Sicherung der Geschäftsprozesse des Aufsichtsrats in Verbindung steht – und zwar in erster Linie bezüglich der Sicherheit bei Sitzungen.

Was ist ein Board-Portal?

Ein Board-Portal (oder Aufsichtsrats-Portal) ist ein digitales Instrument, das speziell für den Aufsichtsrat entwickelt wurde und die Zusammenarbeit zwischen seinen Mitgliedern auf effiziente und sichere Weise sowie unter strikter Einhaltung der gesetzlichen Vorschriften erleichtert. Mithilfe eines Board-Portals werden Aufsichtsratssitzungen in allen Phasen (Vorbereitung, Durchführung und Nachbereitung) des Sitzungsprozesses vereinfacht und geschützt.

Es handelt sich also um ein Instrument, das alle Prozesse im Zusammenhang mit den Aktivitäten des Aufsichtsrats auf konforme und sichere Weise zentralisiert. Ein Instrument, das jene Board-Security garantiert, die mit improvisierten bzw. notfallmäßig eingesetzten Mitteln so gut wie nie wirklich wirksam erreicht werden kann. Ein Board-Portal fängt damit sehr ernste wirtschaftliche und rechtliche Risiken, aber auch Risiken hinsichtlich der Reputation und der Aufrechterhaltung der Geschäftskontinuität effektiv ab.

Was sind die Hauptkomponenten, die ein Board-Portal zu einem echten Lebensretter für die Aufsichtsrats- und Unternehmenssicherheit machen? Schauen wir sie uns im Detail an.

Die 3 Säulen der Board-Security: Sicherheit – Vertraulichkeit – Compliance

Sicherheit

Angesichts der steigenden Kosten von Sicherheitsverletzungen steht das Verhältnis zwischen Sicherheit und Geschäftsrisiko heute ganz oben auf der Agenda von Aufsichtsräten. Cyberangriffe haben während der Pandemie in der Tat exponentiell zugenommen, da durch mobiles und hybrides Arbeiten die Angriffsfläche von Unternehmen größer geworden ist. Um eine Vorstellung von diesem Anstieg zu bekommen: Das weltweite Volumen von Cyberangriffen ist bereits im Jahr 2020 um 238 % gestiegen.² Ein Trend, der sich noch verstärkt hat.

Die vorliegenden Daten diktieren einen Gangwechsel: Ein aktueller Bericht von Fortinet (2022), in dem mehr als 1.000 Manager aus 29 Ländern befragt wurden und der eklatante Mängel in den Selbstschutz-Systemen öffentlicher und privater Unternehmen aufdeckte, bekräftigt dies.³ Weltweit wurden mehr als zweitausend schwerwiegende Cyberangriffe registriert, was einem Anstieg von 10 % gegenüber 2020 entspricht. 80 % der befragten Unternehmen gaben zu, in den zurückliegenden 12 Monaten Opfer eines Cyberangriffs geworden zu sein. Und weitere 40 % gaben an, dass sie von Einbrüchen betroffen waren, welche die Unternehmen mehr als 1 Million Dollar gekostet haben.

Ein Board-Portal schützt zuverlässig vor externen Gefahren

Das Board-Portal ist eine zeitnah umzusetzende und spezialisierte Antwort auf die von den angesehensten internationalen Quellen festgestellten Sicherheitslücken und deren ernste Forderung, moderne Lösungen für die Sicherheit von Computerdaten anzubieten. Einer seiner Hauptvorteile liegt im Schutz vor Angriffen: Durch die Nutzung einer hochsicheren technologischen Lösung können sich Aufsichtsräte erfolgreich gegen Angriffe von außen als auch gegen das versehentliche Durchsickern vertraulicher Daten und Informationen nach außen absichern.

Eine zentralisierte Lösung ermöglicht es, die Verwendung einer Vielzahl von medienübergreifenden Kommunikationstools zu vermeiden, die gefährliche Lücken verursachen, wie es bei der Verwendung von E-Mails, PDF-Dokumenten, Online-Plattformen für Videokonferenzen und kollaborativen Cloud-Plattformen passieren kann. Alles Routinen, die zu Übergriffen verleiten und Unternehmen der Cyberkriminalität und Angriffen auf die Datensicherheit aussetzen können. Die improvisierte Verwendung verschiedener Arten von Kommunikationstools führt außerdem zu einer suboptimalen und aufgesplitterten Arbeitsorganisation, die das Risiko eines Informationsverlustes mit sich bringt.

Durch doppelte Authentifizierungsmechanismen und die Einrichtung verschiedener Zugriffsstufen auf Dokumente garantiert ein Board-Portal hingegen einen sicheren Zugriff auf die Software und die in ihr zentral hinterlegten Informationen. Die Informationen, die an die Aufsichtsratsmitglieder weitergegeben werden, sind somit nachvollziehbar und das Material bleibt kontrolliert und vertraulich.

Vor, während und nach der Sitzung lautet die Devise für die Board-Security Vertraulichkeit.

Vertraulichkeit

Fehler bei der Einstufung der Vertraulichkeit von Materialien und damit von Prozessen stellen eine große Schwachstelle in der Board-Security dar: Vorstandssekretariate sind sich dessen sehr wohl bewusst. Vor einer Aufsichtsratssitzung werden die zu erörternden Dokumente vorbereitet, welche oft von verschiedenen Stellen und zu verschiedenen Zeiten eingehen. Die Aufsichtsratsmitglieder werden über die Einberufung zur Sitzung benachrichtigt und ihre Teilnahme verwaltet sowie bestätigt. Jeder Teilnehmende muss alle Materialien im Voraus lesen, um sich angemessen auf die entsprechenden Themen vorzubereiten.

Zu diesem Zweck werden Dokumente oftmals per E-Mail ausgetauscht und manchmal auch an Mitarbeitende oder Bevollmächtigte weitergegeben. Oft wird der Prozess der Übermittlung dieser Dokumente von knappen Fristen und der Verwendung sehr unterschiedlicher Technologien bestimmt: Textverarbeitungssoftware, persönliche E-Mail-Konten, Nachrichtensysteme, virtuelle Clouds für den Informationsaustausch.

Fallstricke gefährden die Geheimhaltung

In dieser Vielzahl von Instrumenten gibt es immer wieder Fallstricke für die Dokumentensicherheit. Mit der zunehmenden Anzahl von Personen und Instrumenten, die in den organisatorischen Ablauf eingebunden sind, steigt auch das Risiko eines unberechtigten Zugriffs auf die Systeme und die Verluste sensibler Informationen. Dies gefährdet die Geheimhaltung und Integrität der vom Aufsichtsrat verwalteten Informationen – das eigentliche Herzstück des Fortschritts und der Gesundheit eines Unternehmens. Bei der Vielzahl der beteiligten Kanäle kann es schwer fallen, die Verantwortlichkeiten im Fall von Angriffen auf die Dokumentensicherheit festzulegen.

Und dies ist nur die Phase der Vorbereitung der Sitzung. Die eigentliche Phase der Aufsichtsratssitzung – einschließlich seiner hybriden und remote-basierten Formen – muss ebenfalls berücksichtigt werden. Weitere kritische Situationen in Bezug auf die Dokumentensicherheit sind die folgenden:

• der unberechtigte Zugriff auf Dokumente
• das Vorhandensein einer Vielzahl von Arbeitsmaterialien
• unterschiedliche Versionen von Dokumentwn und Dateien (aufgrund von Fehlern und kurzfrisitigen Korrekturen) 
• gemeinsame Nutzung von Audio- und Videomaterialien sowie vertraulichen Informationen – ohne geschützte Instrumente und eine vorherige Überprüfung durch IT-Spezialisten 
• Sicherheitsrisiken bei der Genehmigung von Sitzungsprotokollen und bei Abstimmungen

Ein Board-Portal kann diesbezüglich konkrete Hilfe leisten, denn es ermöglicht die volle Kontrolle über die Verteilung von Dokumenten und Informationen. Dies geschieht über eine sichere und verschlüsselte Plattform, auf die nur autorisierte Benutzer Zugriff haben. Damit entfällt die massive Abhängigkeit von E-Mails mit den genannten Risiken von Weiterleitungsfehlern oder – noch schlimmer – dem Verlust wichtiger Dokumente auf dem Postweg. Ein solches Instrument gewährleistet die Sicherheit von Computerdaten und der Aktivitäten des Aufsichtsrats innerhalb eines regelkonformen Rahmens. Und genau diese Einhaltung der Vorschriften ist die dritte Säule der Board-Security.

Compliance

Die Rolle des Aufsichtsrats ist für die Beurteilung der Angemessenheit einer Organisationsstruktur aus rechtlicher Sicht von entscheidender Bedeutung. Vor allem, da die Einhaltung von Rechtsvorschriften trotz ihrer Wichtigkeit in der Regel nicht die oberste Priorität hat, wenn es um Sicherheit geht.

Daraus folgt, dass auch bei der Auswahl eines Anbieters für ein Board-Portal die Einhaltung von Vorschriften nicht nur in Bezug auf das eigene Unternehmen, sondern auch hinsichtlich der evaluierten Anbieter berücksichtigt werden muss. Für ein hohes Maß an IT-Sicherheit bildet der (Server-) Standort des Anbieters ein wesentliches Kriterium für die Compliance.

DSGVO-Konformität versus US CLOUD Act

Es ist sehr wichtig zu verstehen, welchen Datenschutzgesetzen der Anbieter unterliegt, insbesondere im Hinblick auf die europäische Datenschutz-Grundverordnung (DSGVO) und den US CLOUD Act. Kompatibilitätsprobleme zwischen den beiden Verordnungen können Unternehmen großen Risiken aussetzen. Während die DSGVO auf den Datenschutz für EU-Bürger abzielt, ermöglicht der US-amerikanische CLOUD Act den Behörden den Zugriff auf die Daten von US-CLOUD-Anbietern – einschließlich der von deren Tochtergesellschaften im Ausland gespeicherten Daten.

Für ein europäisches Unternehmen sollte ein ideales Board-Portal die Einhaltung der DSGVO gewährleisten und gleichzeitig nicht vom US CLOUD Act betroffen sein. Dies ist der Fall bei dem von Sherpany angebotenen Dienst: Durch den Sitz in der Schweiz ist eine DSGVO-konforme Archivierung gewährleistet, ohne dass es zu Konflikten mit ausländischem Recht kommt.

Das Cloud-Hosting wird in Schweizer Rechenzentren angeboten, die den höchsten Datensicherheitsstandards entsprechen. Darüber hinaus bietet Sherpany seinen Kunden eine Doppelstrategie an, welche die Vorteile einer privaten Cloud mit der Datenspeicherung im eigenen Unternehmen kombiniert (Hybrid-Cloud). Für ein Unternehmen und seinen Aufsichtsrat bedeutet dies, dass eventuelle Strafen von bis zu 20 Mio. EUR aufgrund von Compliance-Konflikten vermieden werden können. Board-Security bedeutet auch das.

MS Teams: Allein nicht ausreichend für Aufsichtsratssitzungen

Ein Beispiel dafür ist MS Teams, das in vielen Fällen als ausreichendes Tool zur Unterstützung aller Aspekte des Meeting Managements angesehen wird. Diese Betrachtungsweise kann eine Gefahr für die Unternehmenssicherheit darstellen und setzt diese erheblichen Risiken aus. Bei näherer Betrachtung handelt es sich bei MS Teams um eine Plattform, die für andere Zwecke geschaffen und in der Notfallphase der Pandemie angepasst wurde, um eine Reihe von Funktionen abzudecken, für die es nicht konzipiert wurde. Eine solche Plattform kann vielleicht die Zusammenarbeit bei Vor- und Nachbereitungen von Sitzungen unterstützen. Sie ist jedoch keine sichere und rechtskonforme Lösung für Aufsichtsratssitzungen, da sie keine Funktionen für die Produktivität und Sicherheit in formellen Sitzungen bietet. Was also tun? 

Sherpany und MS Teams können eine Synergie bilden

Der Vorschlag, ein Board-Portal einzuführen und die Eignung der verschiedenen bereits vorhandenen Kommunikations-Instrumente zu beleuchten, bedeutet nicht, dass alle bestehenden Lösungen unkritisch eliminiert werden. Die Bewertung der Eignung eines Tools bedeutet zunächst, die Möglichkeit einer positiven Integration zwischen den Systemen zu prüfen und Synergieeffekte zu erkunden, wobei die Board-Security und die Effizienz der Prozesse oberste Priorität haben. In diesem Sinne sollte eine gute Software, die für die Verwaltung formeller Sitzungen entwickelt wurde, eine reibungslose Zusammenarbeit mit MS Teams ermöglichen, indem sie die mit Sicherheitsrisiken verbundenen Probleme ausgleicht. 

Sherpany ist ein Beispiel für eine ausgereifte Software, welche die Verwaltung formeller Aufsichtsratssitzungen unterstützen kann – und zwar nicht als Ersatz, sondern vielmehr als Partner von MS Teams und dessen mehr „generalistischen“ Funktionen. An dieser Stelle wird auch die Bedeutung der Zusammenarbeit deutlich: Wenn das Ziel ein effektives SMeeting Management ist, besteht keine grundsätzliche Inkompatibilität. Vielmehr gibt es eine gemeinsame Zielsetzung, die auf einer rationalen Analyse von Risiken und Nutzen beruht. Für eine wirklich moderne Board-Security.

¹ “Germany cyber security and cyber crime statistics (2020-2022)”, comparitech, 2022.

² “Italia sotto attacco hacker, ma mancano 100 mila esperti in cybersecurity”, Sole 24Ore, 2022.

³ “2022 Cybersecurity Skills Gap”, Rapporto Fortinet, 2022.

Aura Tiralongo

Über den Autor

Aura Tiralongo ist eine Journalistin mit langjähriger Erfahrung und Dozentin an der Universität in Mailand. Für Sherpany führt sie Interviews und schreibt fundierte Beiträge für den italienischen Markt.