Warum Cybersicherheit in jedem Unternehmen eine Priorität auf Vorstandsebene sein sollte – Perspektive von Serhii Mikhalap

Dank der heutigen vernetzten Welt ist Cybersicherheit kein technischer Nebenaspekt mehr. Sie ist ein Muss für die Vorstandsetage. Da Online-Bedrohungen immer raffinierter und Sicherheitsverletzungen kostspieliger werden, erkennen Unternehmen, dass digitale Sicherheit in die Unternehmensführung integriert werden muss. Doch was bedeutet es, Cybersicherheit zur Priorität auf Vorstandsebene zu machen, und warum hinken viele Unternehmen immer noch hinterher?

Cybersicherheitsexperte Serhii Mikhalap glaubt, dass die Antwort in der richtigen Einstellung liegt. Mit über neun Jahren Erfahrung an vorderster Front, darunter als Leiter nationaler Cyberabwehroperationen und Mitbegründer eines Cybersicherheits-Startups, hat Mikhalap aus erster Hand erfahren, welche Folgen es hat, wenn Cybersicherheit als bloße Abhakübung statt als strategische Säule betrachtet wird.

Mikhalap begann seine Karriere 2016 als Analyst im nationalen Security Operations Center (SOC) der Ukraine. Im Rahmen seiner Aufgabe, auf Advanced Persistent Threats (APTs) gegen staatliche und private Infrastrukturen zu reagieren, entwickelte er ein differenziertes Verständnis für das Verhalten von Bedrohungsakteuren.

„Wir haben nicht nur Schadsoftware identifiziert“, erinnert sich Mikhalap. „Wir sind den dahinterstehenden Motiven auf die Spur gekommen, haben die langfristigen Ziele der Angreifer aufgezeigt und herausgefunden, wie sie in die Lieferketten eingedrungen sind.“

2020 wechselte er in den kommerziellen Sektor, wo er zunächst als Incident Responder arbeitete und später SOC-Teams bei einem globalen Cybersicherheitsanbieter leitete. Seine Arbeit umfasste den Aufbau zweier SOCs von Grund auf und die Integration von Automatisierung, Playbook-Triage und 24/7-Überwachung. Zu seinen Kunden zählten Fintech- und Zahlungstechnologieunternehmen, die strengen regulatorischen Anforderungen unterliegen.

Im Jahr 2024 war Mikhalap Mitbegründer eines Security-as-a-Service-Startups, das sich an Startups und KMUs in den Bereichen Krypto, Bankwesen und Transaktionstechnologie richtet. Sein Team bietet Penetrationstests, DFIR (Digital Forensics and Incident Response), Risikobewertungen und Sicherheitsaudits an.

„Bei der Cybersicherheit geht es nicht nur um Prävention. Es geht um Reaktion, Wiederherstellung und Vertrauen. Und dieses Vertrauen beginnt mit Führung“, sagt er.

Mikhalaps Einfluss blieb nicht unbemerkt. 2022 wurde er für seine außergewöhnliche Professionalität im Bereich Cybersicherheit mit dem nationalen ukrainischen „Znak Yakosti“ (Qualitätszeichen) ausgezeichnet. Das Preiskomitee würdigte seine Arbeit in den Bereichen Incident Response, strategische Verteidigungsplanung, Benutzerschulung und digitale Forensik.

Im Jahr 2023 wurde er für sein Engagement für ethische Geschäftspraktiken, Verantwortung und Qualität mit dem nationalen „Award for High Reputation“ ausgezeichnet. Diese Anerkennung unterstreicht seine Glaubwürdigkeit als Führungspersönlichkeit, die technische Genauigkeit mit Integrität verbindet.

Laut Mikhalap ist es nicht optional, Cybersicherheit auf die Tagesordnung des Vorstands zu setzen, sondern unerlässlich. „Vorstände überwachen strategische Risiken. Und im Jahr 2025 sind Cyberrisiken strategische Risiken“, erklärt er.

Doch vielen Vorständen fehlt das Fachwissen, um technische Schwachstellen zu erkennen, geschweige denn, die Sicherheit mit den Geschäftszielen in Einklang zu bringen. Dadurch entsteht eine gefährliche Lücke.

„Das Fehlen von Cyber-Kompetenzen an der Spitze führt zu Fehlallokationen von Budgets, unzureichend vorbereiteten Reaktionsplänen und einer übermäßigen Abhängigkeit von Anbietern“, warnt er. „Cybersicherheit muss wie Finanzen oder Recht behandelt werden – ein Bereich mit eigenen Kennzahlen, eigener Sprache und eigener Verantwortlichkeit.“

Er plädiert für regelmäßige Briefings auf Vorstandsebene durch CISOs oder externe Experten mit Schwerpunkt auf:

• Compliance-Verpflichtungen
• Bereitschaft zur Reaktion auf Vorfälle
• Investitionsprioritäten für Resilienz
• Aktuelle Bedrohungslandschaft und Trends
• Geschäftskritische Vermögenswerte und ihre Gefährdung

Mikhalap ist davon überzeugt, dass Vorstände den Wert der Cybersicherheit besser verstehen können, wenn sie diese im Hinblick auf Geschäftskontinuität und Reputationsrisiken betrachten.

Ein wiederkehrendes Thema in Mikhalaps Arbeit sind die versteckten Kosten der Untätigkeit. „Ein Verstoß kostet nicht nur Geld. Er untergräbt das Vertrauen. Er deckt Fahrlässigkeit auf. Er kann einen Börsengang oder eine Fusion oder Übernahme gefährden.“

In regulierten Branchen sind die Folgen noch gravierender. Bußgelder, Klagen und behördliche Verbote stehen auf dem Spiel. „Das größere Problem ist jedoch der Wettbewerbsnachteil. Wenn Ihre Konkurrenten in Resilienz investieren und Sie nicht, müssen Sie den Rückstand aufholen, nachdem der Schaden bereits angerichtet ist.“

Mikhalap betont, dass die Einbindung des Vorstands mit einem Kulturwandel einhergehen sollte. Sicherheit kann nicht isoliert gelingen.

„Wir müssen den Mythos widerlegen, dass Cybersicherheit ein Problem der IT ist. Es liegt in der Verantwortung aller. Von der Personalabteilung über die Finanzabteilung bis hin zu den Produktteams muss jede Funktion ihre Rolle im Management von Cyberrisiken verstehen.“

Um dies zu unterstützen, bietet sein Unternehmen maßgeschneiderte Schulungsmodule an, die Sicherheitspraktiken an die jeweiligen Aufgabenbereiche anpassen. Sie helfen Unternehmen auch dabei, Angriffe zu simulieren, um die Entscheidungsfindung von Führungskräften unter Druck zu testen.

„Wenn Führungskräfte ein simuliertes Sicherheitsvorfall-Szenario durchspielen, verstehen sie, was auf dem Spiel steht. Sie erkennen, dass es nicht nur um Firewalls geht. Es geht um Reputationsschäden, rechtliche Risiken und das Überleben des Unternehmens.“

Mikhalap hebt einige Praktiken hervor, die zukunftsorientierte Vorstände anwenden:

• Cyber-Risiken als Teil des Enterprise Risk Management (ERM): Integration der Sicherheit in umfassendere Risiko-Dashboards.
• Schulung des Vorstands: Durchführung von Workshops oder Onboarding-Sitzungen für neue Mitglieder.
• Unabhängige Bewertungen: Beauftragung externer Experten zur Durchführung von Reifegradprüfungen.
• Szenarioplanung: Durchführung von Planspielen für Führungsteams und Direktoren.
• Budgetanpassung: Sicherstellen, dass die Sicherheitsinvestitionen dem digitalen Fußabdruck und der Bedrohungslage des Unternehmens entsprechen.

Er weist darauf hin, dass Vorstände keine Cybersicherheitsexperten werden müssen. Sie müssen jedoch die richtigen Fragen stellen und klare, umsetzbare Antworten erwarten.

Mit Blick auf das Jahr 2025 und darüber hinaus sieht Mikhalap für Unternehmen eine zunehmende Dringlichkeit, Cyber-Strategien in ihre langfristige Planung einzubeziehen. Angesichts zunehmender Ausmaße und Komplexität von Ransomware, KI-gesteuerten Angriffen und Lieferkettenverletzungen müssen sich die Prioritäten in den Führungsetagen entsprechend weiterentwickeln.

„Bei der Cybersicherheit geht es nicht mehr nur um die Verteidigung des Netzwerkperimeters. Es geht um das Management digitaler Risiken im gesamten Unternehmen. Es geht um Resilienz. Und das beginnt mit einer Führung, die versteht, was wirklich auf dem Spiel steht.“

Für Serhii Mikhalap ist die Botschaft einfach: Cybersicherheit gehört in den Sitzungssaal. Nicht nur während einer Krise, sondern als Teil der routinemäßigen Aufsicht.

„Wenn Sie Cybersicherheit nicht auf Vorstandsebene diskutieren, machen Sie Ihr Unternehmen technisch und rufschädigend“, sagt er. „Cybersicherheit ist heute ein entscheidender Faktor für das Geschäft. Vorstände, die dies richtig handhaben, werden selbstbewusst führen. Wer dies nicht tut, wird zurückfallen.“

(Bild von Cliff Hang von Pixabay)