IT und Digitales für Aufsichtsräte und Beiräte E-Book

Sie müssen als Aufsichtsrat oder Beirat nicht auf alles Antworten parat haben. Aber Sie sollten in der Lage sein, alles zu hinterfragen.

Dr. Harald Schönfeld, Kursleiter „Zertifizierter Aufsichtsrat & Beirat“ an der Steinbeis Augsburg Business School

Inhalt

Präambel

Verantwortlichkeiten klar definieren

Ethische und nachhaltige Geschäftspraktiken

Berater der Berater

Vorwort eines Multi-Beirats

Einführung der Herausgeber

Zertifikatskurs für Aufsichtsräte und Beiräte

Initiativen für Ihren Erfolg und den „Ihrer“ Firmen

Navigation durch dieses Buch

Kapitel 1: IT-Verständnis im Beirat?

Kapitel 2: Willkommen im Beirat

Kapitel 3: Das Mandat gestalten

Kapitel 4: IT-Grundlagen – Business IT Fit

Kapitel 5: IT-Grundlagen – Das Haus der IT

Kapitel 6: IT-Grundlagen – Das IT Target Operating Model

Exkurs: IT Sourcing

Exkurs: Technologieprinzipien

Exkurs: IT Governance & IT Management

Exkurs: IT-Frameworks

Kapitel 7: IT-Grundlagen – Die Transformation Roadmap

Kapitel 8: Die IT ist auf Kurs – Was ist passiert?

Kapitel 9: IT und ihre Risiken – Ein Überblick

Exkurs: Datenschutz

Exkurs: IT-Compliance

Exkurs: IT-Availability

Exkurs: Technologierisiken

Kapitel 10: IT-Risikomanagement – Board-Mittel der Mitwirkung

Kapitel 11: IT Security – Ein Thema für Beirat und Aufsichtsrat

Kapitel 12: IT Security – Präventive Maßnahmen

Exkurs: NIST Framework

Exkurs: Notfallpläne

Exkurs: Backup

Exkurs: Cyberversicherung

Kapitel 13: IT-Security – Die Antwort auf einen Angriff

Kapitel 14: IT-Security – Wiederherstellung nach dem Angriff

Kapitel 15: Die Beiratssitzung nach dem Angriff

Kapitel 16: IT-Trends: Innovation als Teil der Firmenkultur

Glossar

Die Herausgeber

Dr. Harald Schönfeld

Andreas Renner

Die Autoren

Daniela Hellwig

Karl-Heinz Schulte

Bücher im DC Verlag

Fachbücher

Sachbücher

Diplomatic Council (DC)

Steinbeis Augsburg Business School

Quellenangaben und Anmerkungen

Präambel

In der Welt der Unternehmensführung spielen Aufsichtsräte und Beiräte eine wichtige Rolle. Diese beiden Gremien werden umgangssprachlich gelegentlich synonym verwendet, doch tatsächlich gibt es wesentliche Unterschiede zwischen ihnen.

Der Aufsichtsrat stellt nach der Hauptversammlung das zweithöchste Kontrollgremium eines Unternehmens dar. Seine Aufgabe besteht darin, die Arbeit des Vorstands zu überwachen und sicherzustellen, dass das Unternehmen in Übereinstimmung mit den gesetzlichen Vorschriften und den Unternehmenszielen arbeitet. Der Aufsichtsrat setzt sich aus Mitgliedern zusammen, die von den Aktionären des Unternehmens gewählt werden und eine breite Palette von Fähigkeiten und Erfahrungen mitbringen sollten.

Im Gegensatz dazu hat ein Beirat oft keine gesetzlich vorgeschriebene Rolle und kann als Beratungs- oder Expertengremium fungieren. Beiräte werden häufig vom Vorstand, der Geschäftsführung oder den Eigentümern eines Unternehmens ernannt und sind dafür verantwortlich, dem Unternehmen strategische Ratschläge und Unterstützung zu bieten. Ein Beirat kann auch genutzt werden, um einen externen Blick auf das Unternehmen zu erhalten oder um eine besondere Expertise einzubringen, beispielsweise in Bezug auf Technologie, internationale Märkte oder Marketing.

So unterschiedlich die beiden Gremien sind, so vielfältig sind die Gemeinsamkeiten. Beide tragen entweder direkt oder indirekt Verantwortung für das Gedeihen eines Unternehmens.

Verantwortlichkeiten klar definieren

Eine der größten Herausforderungen für Aufsichtsräte und Beiräte besteht darin, ihre Rollen und Verantwortlichkeiten klar zu definieren. Einige Unternehmen neigen dazu, Aufsichtsräte und Beiräte als „Papiertiger“ zu betrachten, die nur wenige Aufgaben haben und wenig Einfluss auf die tatsächliche Arbeit des Unternehmens nehmen. Um effektiv zu sein, müssen Aufsichtsräte und Beiräte jedoch aktiv und engagiert sein und eine klare und transparente Kommunikation mit dem Vorstand und anderen Führungskräften des Unternehmens aufrechterhalten.

Die Rolle von Aufsichtsräten und Beiräten kann je nach Unternehmen und Branche variieren, aber es gibt einige wichtige allgemeine Aufgaben, die beide Gremien erfüllen sollten. Dazu gehört die Überwachung der finanziellen Leistung des Unternehmens, die Festlegung von Unternehmenszielen und -strategien, die Bewertung von Risiken und Chancen sowie die Überprüfung der Einhaltung von Gesetzen und Vorschriften. Kommunikation stellt auf allen diesen Gebieten einen Schlüsselfaktor für den Erfolg dar.

Ethische und nachhaltige Geschäftspraktiken

Ein weiterer wichtiger Aspekt der Arbeit von Aufsichtsräten und Beiräten besteht darin, sicherzustellen, dass das Unternehmen ethische und nachhaltige Geschäftspraktiken anwendet. In einer Zeit, in der die Öffentlichkeit immer mehr Wert auf Nachhaltigkeit und Corporate Social Responsibility legt, ist es wichtig, dass Unternehmen sich dieser Anforderung bewusst sind und entsprechende Maßnahmen ergreifen – und diese auch nach innen und außen kommunizieren.

Insgesamt spielen Aufsichtsräte und Beiräte eine entscheidende Rolle bei der Führung und Kontrolle von Unternehmen. Indem sie eine unabhängige Perspektive und eine breite Palette von Fähigkeiten und Erfahrungen mitbringen, können sie dazu beitragen, dass Unternehmen erfolgreich und nachhaltig sind.

Die Buchreihe „Praxiswissen für Aufsichtsräte und Beiräte“ wendet sich an alle Personen, die sich auf ihre entsprechende Rolle vorbereiten oder diese noch besser ausfüllen wollen. In den einzelnen Bänden kommen Praktiker zu Worte, die in ihren jeweiligen Segmenten langjährige Erfahrungen aufzuweisen haben und selbst schon in Aufsichtsräten und Beiräten aktiv sind.

In allen Bänden geht es nicht darum, Fachbücher zu den jeweiligen Themengebieten zu ersetzen, sondern aus der Praxis erwachsene Tipps und Tricks zu verraten, die sich häufig in gar keinem Lehrbuch über das betreffende Fachgebiet finden. So ist es auch den Autoren des vorliegenden Buches, Daniela Hellwig und Karl-Heinz Schulte, gelungen, kein neues Fachbuch über IT zu schreiben, sondern ein spezifisches Werk für Aufsichtsräte und Beiräte, die ihre Mandatsunternehmen in Sachen IT und Digitalisierung zur Seite stehen wollen. Dafür gebührt den Autoren ein großer Dank.

Ein besonderer Dank geht auch an Dr. Harald Schönfeld, den Leiter der Kursreihe „Zertifizierter Aufsichtsrat und Beirat“, und an Andreas Renner als Academic Director und Geschäftsführer der Steinbeis Augsburg Business School, in der dieser Zertifikatslehrgang angeboten wird. Beide fungieren als Herausgeber für diese Buchreihe, stellen die Qualität aller Bände sicher und tragen Sorge, dass sich die einzelnen Werke gegenseitig ergänzen.

Berater der Berater

Die Buchreihe „Praxiswissen für Aufsichtsräte und Beiräte“ stellt eine Gemeinschaftsproduktion unserer Denkfabrik Diplomatic Council mit Beraterstatus bei den Vereinten Nationen und der Steinbeis Augsburg Business School dar. Es werden ausschließlich Autoren veröffentlicht, die den hohen Anforderungen beider Institutionen genügen. Das bedeutet die Verbindung zwischen einem hohen intellektuellen Niveau mit einer jahrelang bewährten Erfahrung in der betrieblichen Praxis. Nicht die Wissensvermittlung ex cathedra zeichnet die gemeinsame Buchreihe aus, sondern kluge Köpfe mit Bodenhaftung, die ihr geballtes Know-how als Berater der Berater weitergeben.

Hang Nguyen

Generalsekretärin Diplomatic Council

Vorwort eines Multi-Beirats

Als Mitglied von Aufsichtsräten oder Beiräten – seien diese „nur“ beratend oder auch entscheidend und regulierend tätig – in der heutigen digitalisierten Welt, stehen wir vor der unumgänglichen Aufgabe, unser Fachwissen stetig anzupassen und zu erweitern, um den neuen Anforderungen der digitalen Ära gerecht zu werden. Die Bedeutung von IT-Risiken und insbesondere Cyberrisiken hat in den letzten Jahren dramatisch zugenommen, parallel zu der sich beschleunigenden Digitalisierung im öffentlichen Leben sowie im wirtschaftlichen und institutionellen Umfeld. Die zunehmende Digitalisierung resultiert nicht nur in der Notwendigkeit, diese Risiken besser einschätzen und beurteilen zu können, sondern untermauert die Erkenntnis, dass die umfassende Beherrschung weiterer Bereiche der Digitalisierung eine zentrale Säule für das Erreichen von Unternehmenszielen, zum Beispiel in der industriellen Automatisierungstechnik und verwandten Industrien des typisch deutschen Mittelstandes, geworden ist. Das vorliegende Fachbuch ist daher nicht nur ein Leitfaden, sondern ein unverzichtbares Werkzeug, um die sich wandelnde Rolle von Beiräten und Aufsichtsräten in dieser neuen digitalen Realität zu verstehen und zu gestalten.

Die rapide Digitalisierung und die Emergenz digitaler Geschäftsmodelle verlangen von uns, dem traditionellen Erfahrungswissen eine neue, digitale Dimension hinzuzufügen und macht dabei nicht vor Aufsichts- und Beiräten Halt. In einer Welt, in der technologische Kompetenz ebenso entscheidend ist wie das Verständnis für traditionelle Geschäftsprozesse, ist es unerlässlich, dass wir als Beiratsmitglieder unser Wissen kontinuierlich erweitern und uns mit den neuesten digitalen Trends und Technologien vertraut machen und dabei auch in den sachlich-fachlichen und stets konstruktiv bleibenden Diskurs in den Gremien gehen.

Die digitale Qualifizierung eines Beirats oder Aufsichtsrats ist dabei nicht nur für die effektive Überwachung und Steuerung von IT-Risiken entscheidend, sondern auch für die Förderung von Innovation und die erfolgreiche Umsetzung digitaler Geschäftsmodelle. In diesem Kontext spielt die Plattform „Deutsche Digitale Beiräte“ eine wichtige Rolle. Sie dient als zentrale Anlaufstelle, an der Experten aus verschiedenen Bereichen der Digitalisierung ihr Wissen und ihre Erfahrungen teilen. Diese Plattform ermöglicht es uns, von führenden Köpfen zu lernen und unser Verständnis für digitale Prozesse und Risiken zu vertiefen. Hier habe ich auch den Autor Karl- Heinz Schulte kennen und schätzen gelernt. Gemeinsam formulierten wir das für die digitalen Beiräte notwendige Methodenwissen.

Die Autoren führen aus, dass die Herausforderungen der digitalen Welt nicht allein technologischer Natur sind, sondern auch ein tiefgreifendes Verständnis für die Art und Weise erfordern, wie Organisationen und ihre Führungskräfte Technologien anwenden und integrieren. Es geht darum, eine Kultur der Cybersicherheit zu etablieren, Risikomanagementstrategien zu entwickeln und gleichzeitig die Chancen der Digitalisierung zu nutzen – alles Fähigkeiten, die für Aufsichts- und Beiräte von zentraler Bedeutung sind.

Mit diesem Buch unterstreichen die Autoren die Bedeutung, die das digitale Fachwissen für Aufsichts- und Beiräte in der heutigen Zeit hat. Es ist ein entscheidender Schritt, um nicht nur die Risiken zu verstehen, sondern auch die Chancen zu ergreifen, die die Digitalisierung für unsere Unternehmen und die Gesellschaft als Ganzes bietet. Durch die Verbindung von theoretischen Erkenntnissen und praktischen Einblicken bietet es eine wertvolle Anleitung für die effektive Steuerung und Überwachung in einer zunehmend digitalisierten Welt.

In dem Sinne ist das Werk auch ein Aufruf an Aufsichts- und Beiräte, sich der Herausforderung zu stellen und „in Führung zu gehen“ bei der Ausübung der Governance-Funktion von Unternehmen in einer Zeit, in der eher das Vermeiden von Fehlern im Vordergrund zu stehen scheint, anstatt unternehmerische Vorbildfunktion aktiv zu leben!

Ulrich Wallenhorst

Multi-Beirat in mittelständischen Unternehmen, Mitglied der Deutschen Digitalen Beiräte

Geschäftsführender Gesellschafter WaVe Ventures GmbH Business Angel

Ehemaliger Geschäftsführer, Chief Technology Officer (CTO), Vice President (VP) renommierter Unternehmen

Einführung der Herausgeber

Von Dr. Harald Schönfeld, Kursleiter „Zertifizierter Aufsichtsrat & Beirat“ an der Steinbeis Augsburg Business School, und Andreas Renner, Direktor Steinbeis Augsburg Business School

Aufsichtsrat und Beirat wird man in der Regel mit etwas gesetzterem Alter. Bis dahin hat man viel gelernt, ein stabiles Kontaktnetz aufgebaut und reichlich Erfahrungen gesammelt, die für viele Unternehmen von großer Bedeutung sind. Die mit einem Mandat als Aufsichtsrat oder Beirat verbundene Verantwortung ist jedoch nicht zu unterschätzen. Damit ist nicht nur die rechtliche Verantwortung vor allem bei börsennotierten Unternehmen gemeint, sondern auch das Pflichtbewusstsein und der innere moralische Kompass, einer Firma den bestmöglichen Ratschlag zuteil werden zu lassen.

Zertifikatskurs für Aufsichtsräte und Beiräte

Vor diesem Grund haben wir an der Steinbeis Augsburg Business School eigens einen Zertifikatskurs für Aufsichtsräte und Beiräte aus der Taufe gehoben. Er ist dafür konzipiert, Mandatsträgern zu helfen, ihre Kompetenzen und Erfahrungen bestmöglich in die Berufung einzubringen und die damit verbundenen Aufgaben souverän zu steuern und zu überwachen.

Im Kurs legen wir besonderen Wert auf eine anspruchsvolle, fachlich fundierte und an der betrieblichen Praxis orientierte Aus- und Weiterbildung. Die gleichen hohen Ansprüche stellen wir an die Buchreihe „Praxiswissen für Aufsichtsräte & Beiräte“, in der das vorliegende Werk erschienen ist. Praxisorientierte Methoden, Instrumente und Lehrinhalte helfen Ihnen, den Erfolg Ihres Mandatsunternehmens sicherzustellen. Dabei gehen wir sowohl im Kurs als auch in der Buchreihe auf die unterschiedlichen Schwerpunkte je nach Mandat ein. Denn die Arbeit als Aufsichtsrat oder Beirat ist in der Regel anspruchsvoll und komplex und erfordert eine fundierte Qualifikation.

Initiativen für Ihren Erfolg und den „Ihrer“ Firmen

Die Buchreihe wendet sich sowohl an Personen, die gerade in die Rolle als Aufsichtsrat oder Beirat hineinwachsen als auch an solche, die schon dabei sind, aber ihr Kenntnisspektrum erweitern oder vervollständigen wollen. Hinzu kommen zahlreiche weitere Gelegenheiten rund um das Thema, mit Gleichgesinnten zusammenzukommen sowie Kontakte mit Unternehmen zu knüpfen, die nach kompetenten und erfahrenen Aufsichtsräten und Beiräten suchen. Hierzu haben das Diplomatic Council, das zum engsten Beraterkreis der Vereinten Nationen gehört, und die Steinbeis Augsburg Business School über den Zertifizierungskurs und die Buchreihe hinausgehend mehrere, weitere Initiativen ins Leben gerufen, darunter beispielsweise die bekannten Starnberger See Gespräche und das Programm 100 Beiräte für Familienunternehmen sowie das globale hochkarätige Kontaktnetz des Diplomatic Council für seine Mitglieder.

Wir verstehen unsere Aufgabe darin, Sie erfolgreich zu machen, damit Sie „Ihre“ Unternehmen beim Erfolg unterstützen können! In diesem Sinne ist auch das vorliegende Werk als offizielles Lehrbuch für den Zertifikatskurs Aufsichtsräte und Beiräte an der Steinbeis Augsburg Business School zu verstehen.

Dr. Harald Schönfeld, Andreas Renner

Navigation durch dieses Buch

Als wir – die Autoren – uns der Frage widmeten, wie ein spannendes Buch zum Thema IT und Digitales für die Zielgruppe um Beiräte und Aufsichtsräte aussehen kann, waren wir uns schnell einig: Sicherlich nicht in Form eines 500 seitigen Wälzers, der eine IT-Technologie, ein IT-Modell und eine IT-Theorie nach der anderen herunterbetet. Mit einem solchen Werk würden wir Ihnen als spezielle Zielgruppe nicht gerecht. Wir würden Ihnen weder inhaltlichen Mehrwert bieten noch das Lesen unterhaltsam gestalten.

Wir fragten uns also viel mehr: Was machen Seminare und Vorträge zu diesen Themen so lebendig? Die Antwort auf diese Frage ist offensichtlich: Die zahlreichen Geschichten aus der Praxis und die Diskussionen, die dazu geführt werden. Der Erkenntnisgewinn, der sich während der Erzählung langsam aufbaut und Verknüpfungen zu den eigenen Geschichten zulässt.

Wir möchten Sie deswegen einladen, dieses Buch nicht nur als Fachbuch, sondern auch als eine Form der Geschichte wahrzunehmen, die sich nach und nach aufbaut, in der es spannende Wendungen und Ereignisse gibt und vor allem Charaktere, die diese erleben. Dabei werden wir keinesfalls vom eigentlichen Sinn und Zweck dieses Buches abweichen: Die Vermittlung von anwendungsbezogenem und praxiserprobtem IT-Wissens für den modernen Aufsichtsrat und Beirat. Deshalb finden Sie im Buch zwei unterschiedliche Erzählstile, die wir durch zwei verschiedene Schriftstile kenntlich machen:

In kursiver Schrift gesetzt steht die Geschichte von Anna, die ein Beiratsmandat im fiktiven Unternehmen Somapro GmbH aufnimmt und dieses Unternehmen auf seiner digitalen Reise begleitet und unterstützt. Die Autoren haben dieses fiktive Unternehmen erschaffen und ihm eine eigene Homepage unter www.somapro.de gewidmet.

In regulär aufrechter Schrift gesetzt finden Sie alle fachlichen Erklärungen und Modelle sowie Anregungen, wie sich Szenarien aus dem Beispiel ins Allgemeine übertragen lassen.

Außerdem werden Sie einige Kapitel finden, die als Exkurs gekennzeichnet sind. Dort gehen wir tiefer ins Detail in den für Sie als Beirat oder Aufsichtsrat wenigen technisch relevanten Thematiken.

Lesen Sie dieses Buch, wie es Ihnen beliebt: Sie sind kein Freund von Storytelling und möchten sich auf reine Fakten statt Praxisbeispielen konzentrieren? Lassen Sie die kursiven Abschnitte aus. Sie möchten erst einmal die gesamte Geschichte der Somapro GmbH verstehen, bevor Sie sich den Theorien dazu widmen? Lesen Sie alles Kursive in einem Rutsch. Im Übrigen finden Sie den fiktiven Kontext für unsere Anwendungsbeispiele der Somapro auf der Website www.somapro.de. Sie brauchen nur Überblickswissen oder kennen sich in einigen Bereichen schon detailliert aus? Überspringen Sie die Exkurse oder lesen Sie nur Ausgewählte.

Wir hoffen, Ihnen damit genau jene Form anbieten zu können, die Ihnen in Ihrer Situation am effizientesten und angenehmsten nützt.

Ein wichtiger Hinweis an dieser Stelle: Unser Beispiel-Unternehmen und die dort betrachtete Rolle eines Beirates haben wir hier bewusst recht aktivistisch ausgeprägt. Dies erlaubt uns ein möglichst breites Spektrum an Kontrollfunktionen wie auch Einwirkungen bis zu Mitwirkungen aus der Rolle des Beirats heraus. Daher gehen auch unsere Erklärungen in dem Beispielszenario vornehmlich auf die Funktion des Beirats ein. Das meiste davon lässt sich eins-zu-eins auf den Aufsichtsrat übertragen.

In Ihrem konkreten unternehmerischen Kontext, wie auch in jedem anderen Kontext, werden Sie stets eine spezifische Form der Ausprägung Ihrer Rolle als Beirat oder Aufsichtsrat vorfinden. Sie unterliegt sicher bestimmten Rahmenbedingungen und Gestaltungsspielräumen. Nicht zuletzt liegt es an Ihnen, wie aktiv Sie innerhalb des gegebenen Rahmens gestalten wollen. Wir wollen Ihnen mit diesem Buch „Handwerkszeug“ bereitstellen, welches Ihnen bei der Ausgestaltung helfen kann. Ganz besonders wichtig ist uns, auf das existenzielle, unternehmerische Risiko von Cyberbedrohungen und ihren Gefahren klar hinzuweisen. Dabei kommt Ihnen als Kontrollgremium eine besondere Verantwortung zu.

Bevor Sie nun tiefer ins Buch eintauchen, möchten wir Ihnen eine kurze Navigation an die Hand geben:

Wir starten in den folgenden ersten acht Kapiteln mit IT-Grundlagen. Sie lernen die klassische und die neue Rolle der IT im Unternehmen kennen, warum es überhaupt IT-Wissen im Kontroll- und Beratungsgremium braucht, wie Sie erkennen, ob Business und IT im Einklang sind, und wie Sie beides auf Kurs bringen. Wir enden mit einer konkreten Roadmap zur Umsetzung.

Der zweite Abschnitt befasst sich mit den IT-Risiken. Kapitel 9 skizziert einen Überblick der IT-Risiken und Kapitel 10 stellt zusammen, welche Mittel Sie auf Ihrer Kontroll- und Wirkebene haben, mit diesen Risiken umzugehen. Besonders vertiefend gehen wir dann auf Cyberrisiken in gleich mehreren Kapiteln ein.

Sie erfahren, warum es IT-Security braucht und wie Sie als Beirat oder Aufsichtsrat mitwirken können oder gar müssen, um das Unternehmen vor einer steigenden Anzahl an Cyberattacken in seiner Existenz und seiner Wirtschaftlichkeit zu schützen.

Wir schließen mit einem kurzen Abschnitt und Ausblick auf zukünftige IT-Trends, wie Sie diese erkennen oder sogar mitgestalten können.

Hinweis: Das Unternehmen Somapro GmbH und die darin agierenden Charaktere sind fiktiv. Etwaige Ähnlichkeiten oder Überschneidungen zu realen Personen oder Unternehmen sind rein zufällig.

Wir wünschen Ihnen nun viel Freude beim Entdecken dieses Buches und viel Erfolg bei der Anwendung in Ihrer ganz persönlichen Praxis.

Daniela Hellwig

Karl-Heinz Schulte

Kapitel 1: IT-Verständnis im Beirat?

Warum wir es unbedingt brauchen

Warum ist das Thema IT und Cybersecurity als Fachlektüre speziell für Aufsichtsräte und Beiräte aufbereitet? In den letzten Jahren sind die Potenziale der Digitalisierung wie auch die Risiken und Bedrohungen durch Cyberkriminalität vermehrt in den Fokus der kontrollierenden bzw. beratenden Boards geraten. Beide Perspektiven sind heute engstens mit IT verknüpft. Es vergeht kaum eine Aufsichtsrats- oder Beiratssitzung, auf der kein IT-nahes Thema auf der Agenda steht.

Ein anderer Blickwinkel sind oftmals Performance-Optimierungsvorhaben. Aufsichtsräte und Beiräte wollen die Geschäftsleitungen zu besserer Wettbewerbsfähigkeit, besseren Produkten, schlankeren Prozessen, kürzerer Time-to-Market und vielerlei anderer Optimierungen motivieren. All diese Dinge sind in der Regel mit Optimierungen von und der Unterstützung durch IT verbunden.

Warum wird das Thema erst jetzt mehr und mehr auf C-Level-Ebene verankert, obwohl die Geschichte der IT in Unternehmen schon rund 80 Jahre alt ist? Mit einem kurzen Blick zurück in die Vergangenheit und die Anfänge der IT stellen wir fest, dass es nur natürlich ist, dass die IT in vielen Köpfen nach wie vor der zwar wichtige und unterstützende, aber dennoch businessferne Partner im Unternehmen ist:

Erste Einsätze der IT (oder damals EDV) waren vor allem in der Buchhaltung zu finden, um komplexe Berechnungen durchzuführen und Abrechnungsvorgänge zu beschleunigen. Bis heute gibt es Unternehmen, in denen aufgrund dieser Historie ein operativer IT-Leiter dem CFO unterstellt ist. In diesen Fällen ist die strategische CIO-Funktion kaum bis gar nicht ausgeprägt. Mit der technologischen Entwicklung, insbesondere der Einführung von Personal Computern, wurden die Einsatzbereiche der IT jedoch stetig erweitert und vielfältiger. Gerade im Bereich der Datenverarbeitung und Prozessgestaltung konnten große Fortschritte erzielt werden. Die Kernfrage war jedoch für lange Zeit: Wie kann die IT das bestehende Business unterstützen?

Kehren wir in die Gegenwart zurück. Was ist und was kann IT heute? Ein Hinweis bietet der Blick auf die erfolgreichsten Start-Ups der letzten Jahre: Sie bewegen sich vor allem in den Branchen E-Commerce, Fintech, Digital Health und Künstliche Intelligenz (KI).

Das Geschäftsmodell basiert oftmals auf der Bereitstellung einer technischen Plattform, geliefert und monetarisiert als Software-as-a-Service. Neugründungen und Innovationen fußen zu einem großen Teil auf den Möglichkeiten, die der technologische Fortschritt ermöglicht hat. Täglich ergeben sich neue Entwicklungen, die wiederum neue Märkte erschließen. Ist dieses Wachstum nur den jungen und hippen Start-Ups vorbehalten? Mitnichten – wenn sich traditionelle Unternehmen von ihrem alten Bild der IT verabschieden können und die Frage in den Mittelpunkt stellen, wie IT das eigene Business optimieren, beschleunigen oder gar revolutionieren kann.

IT ist damit ein wesentlicher Bestandteil geworden, um das Wohl eines Unternehmens sicherzustellen – und damit ein berechtigter Punkt auf der Agenda des Aufsichtsrats.

Doch klassischerweise ergeben sich durch neue Chancen auch neue Gefahren: Man könnte auch sagen, für jedes neue, IT-basierte Geschäftsmodell schießen 1.000 neue IT-basierte Bedrohungen aus dem Boden. Dass dieser Vergleich bei Weitem keine Übertreibung ist, belegen die Zahlen des Lageberichts für IT-Sicherheit in Deutschland von 2023: Im Schnitt entstehen pro Tag 332.000 neue Schadprogramm-Varianten, die es zu entdecken und zu bekämpfen gilt.1

Cybersecurity ist das Hauptthema, wenn wir von Risiken, die von der IT ausgehen, sprechen. Die Frequenz und Professionalität der Attacken nehmen kontinuierlich zu – nicht zuletzt angefeuert durch den Durchbruch der generativen KI. Während einige Angriffe unbemerkt bleiben, reißen andere ein großes finanzielles Loch in die Unternehmenskasse. Das belegen Zahlen einer Bitkom-Studie von 2021: In den vorangegangenen sechs Jahren hat sich der Gesamtschaden bei deutschen Unternehmen von 51,5 Milliarden (2015) auf 223,5 Milliarden (2021) vervierfacht.2

Neben Lösegeldforderungen entstehen vor allem (finanzielle) Schäden durch Produktionsausfälle, Imagebeeinträchtigungen, Datenschutzverletzungen oder den Verlust von Wettbewerbsvorteilen. Folgerichtig ist die wirtschaftliche Sicherheit eines Unternehmens inzwischen auch stark von seiner IT-Security abhängig – und damit ebenfalls permanentes Thema des Boards.

Wie sieht es nun aus in den Aufsichts- und Beiräten? Treffen wir dort bereits die notwendigen Kompetenzen an, um die aufgelisteten Themen umfangreich abzudecken?

Eine Befragung der PwC von 2021 kommt leider zu einem anderen Schluss: Von den 250 befragten Familienunternehmen im deutschsprachigen Raum haben nur 27 Prozent das Thema Digitalisierung im Beirat vertreten. Es wird damit höchste Zeit, diese Kompetenz in Aufsichtsräten und Beiräten stärker auszubauen. Mit dieser Lektüre machen Sie einen ersten richtigen Schritt auf diesem Weg.

Mit diesem kurzen Überblick über die Entwicklungen in und um die IT, unterstreichen wir, warum sich der moderne Beirat bzw. Aufsichtsrat mit Themen rund um IT, Digitalisierung und Cybersecurity befassen sollte. Fehlt noch die Frage: Womit genau? Denn eins ist sicher: Diese Felder sind riesig. Und neues Wissen, neue Entwicklungen und neue Trends kommen permanent hinzu. Wo also anfangen?

Dieses Buch soll Ihnen eine Hilfestellung bieten, welche Fragen Sie stellen und welche Themen Sie im Blick behalten sollten in der Rolle eines Aufsichtsrates oder Beirates.

Dabei werden wir auf essentielle Fragestellungen eines Boards eingehen, wie etwa:

Ist die IT im Einklang mit dem Business? Unterstützt die IT und ihre Systeme maximal die angestrebten Business-Ziele?

Bauen die IT-Strategie und die Digital-Strategie auf der Business-Strategie auf?

Ist die IT Fit für die anstehenden strategischen Ambitionen des Unternehmens? Wie kann dies festgestellt werden? Wie erkennt man strategische Lücken?

Braucht das Unternehmen ein neues IT Target Operating Model? Wie kann ein Beirat darauf einwirken?

Welche IT-Risiken gibt es und welche Auswirkungen haben diese auf das Unternehmen? Wie kann ich als Aufsichtsorgan einen Blick darauf haben und einwirken?

Cybersecurity ist ein Existenzrisiko für jedes Unternehmen: Wie sichere ich ein Unternehmen bestmöglich ab, bereite mich auf den Ernstfall vor und entwerfe Recovery-Strategien? Und wie gut ist das Unternehmen zur Zeit geschützt?

Ist das Unternehmen technologisch up-to-date? Und wie kann eine kontinuierliche Innovation stattfinden? Welche Technologietrends sind für ein Unternehmen interessant und relevant?

Tauchen Sie nun gerne in unsere Praxiskapitel ein und begleiten Sie uns bei einem exemplarischen Fall: Die neue strategische Ausrichtung der Somapro GmbH (mehr dazu finden Sie unter www.somapro.de). Sie werden auf den kommenden Seiten ein Wechselspiel aus theoretischem Input und praktischer Anwendung finden. Am Ende sind Sie gewappnet für Reflektion und Anwendung des Wissens für Ihr eigenes Mandatsunternehmen.

Wir wünschen Ihnen damit ein gleichermaßen erkenntnisreiches wie unterhaltendes Leseerlebnis.

Kapitel 2: Willkommen im Beirat

Unternehmen und Kontext verstehen

Anna Huber und die IT – sie gehen seit vielen Jahren Hand in Hand. Ausgehend von einem IT-Studium und mehreren Jahren als IT-Projektleiterin im Umfeld von Digitalisierung und Prozessoptimierung sowie einer schnellen Karriere über mehrere Führungsebenen hinweg, ist sie heute die Geschäftsführerin eines mittelständischen IT-Dienstleistungsunternehmens. Sie begegnet mannigfaltigen Herausforderungen bei ihren Kunden im Zuge ihrer Digitalisierung. Sie brennt förmlich dafür, erfolgreiche Mittelständler in eine glorreiche, digitale Zukunft zu begleiten.

Schon länger hat Anna deshalb den Gedanken, ihre Kompetenzen nachhaltiger und längerfristig in ein Unternehmen einzubringen, beispielsweise durch die Übernahme eines Beiratsmandates. Dies teilt sie vermehrt auf Netzwerktreffen in ihrer Region mit.

Umso erfreuter ist Anna, als sie eine E-Mail mit einer Mandatsofferte erreicht. Sie stammt von einem in der Branche sehr bekannten Hersteller von Spezialwerkzeugen, der Somapro GmbH.

Sehr geehrte Frau Huber,

wir sind seit vielen Jahren erfolgreich am Markt als Hersteller für Spezialwerkzeuge. Die Somapro GmbH (www.somapro.de) hat einen etablierten Kundenstamm, der vor allem unsere integrierten Lösungen schätzt, welche passgenau auf ihre Bedarfe zugeschnitten sind.

Trotz dieser komfortablen Lage beobachten wir vermehrt digitale Anbindungen von Werkzeugen bei unseren Kunden und gezielte Nachfragen nach unserem Weg.

Unsere Vision ist klar: Unsere Werkzeuge sollen in Zukunft vernetzt, synchron und abgestimmt arbeiten, und in der Lage sein, mit anderen Produktionsabschnitten bei unseren Kunden vor Ort zu kommunizieren. Wir wollen unseren Kunden bei der Optimierung ihrer Produktion helfen und dazu unsere erzeugten Daten verwenden.

Unsere Herausforderung: Wir sind Experten für Werkzeugbau und für Produktionsprozesse – bislang aber noch nicht für digitale Lösungen. Um meinen Führungskreis, meine Organisation wie auch meine Unternehmung entsprechend umzubauen, möchte ich meinen Beirat um digitale Expertise in diesem Umfeld erweitern.

Ich weiß aus meinem Netzwerk, dass Sie auf diesem Gebiet eine Vorreiterrolle innehaben. Aus diesem Grund würde ich mich gern mit Ihnen austauschen und Sie für ein Beiratsmandat in der Somapro gewinnen. Wir arbeiten bei der Somapro sehr aktiv mit unserem Beirat zusammen.

Lassen Sie uns doch zeitnah dazu telefonieren. Anbei habe ich Ihnen einige Datenblätter zur Somapro GmbH angehängt, damit Sie sich vorab ein erstes Bild machen können.

Mit freundlichen Grüßen

Hans-Peter Hesch

Geschäftsführer Somapro GmbH

Anna sieht selbst bei diesen ersten, sehr allgemeinen Zeilen viel Potenzial: Das könnte ein attraktives Mandat für sie sein. Bevor sie zum Telefon greift, widmet sie sich den angesprochenen Unterlagen, um besser einschätzen zu können, welche Herausforderung auf sie wartet.

Fact Sheet Somapro GmbH (www.somapro.de)

Das Unternehmen Somapro ist seit vielen Jahren wirtschaftlich erfolgreich am Markt und als Gruppe organisiert. Das Unternehmen firmiert als GmbH und ist ein alteingesessenes, langjährig erfolgreiches Familienunternehmen. Das Headquarter in einer deutschen Großstadt übernimmt alle zentralen Steuerungen und beinhaltet alle globalen Managementfunktionen sowie auch die zentrale IT-Funktion für die gesamte Gruppe. Die operative Leistung wird in dezentralen Standorten erbracht, großflächig in Deutschland verteilt sowie zu kleineren Teilen in Österreich und Ungarn. Wesentliche Standorte sind Produktionsstandorte, die restlichen reine Serviceorganisationen.

Zahlen und Fakten:

Querschnittsfunktionen befinden sich im Headquarter, insbesondere auch die IT.

30 Standorte gesamt.

10 Produktions- und 20 Servicestandorte.

580 Mio. Euro Jahresumsatz.

3.000 Mitarbeiterinnen und Mitarbeiter.

Aufbau der IT:

Zentralisiert.

IT-Budget beträgt ca. 5 Prozent des Umsatzes.

Hohe Wertschöpfungstiefe intern im Unternehmen.

IT-Organisation ist funktional nach technischen Fachkompetenzen gegliedert.

IT-Security wird aus dem Infrastrukturteam heraus erbracht

Die IT beinhaltet klassische Office-IT wie auch Unterstützung für die sogenannte OT (Operational Technology) in der Produktion, wie etwa die Anbindung und Integration von Maschinen der Produktion.

Das Unternehmen produziert Spezialwerkzeuge für die industrielle Fertigung. Darüber hinaus bietet es Services an, um die Werkzeuge bestmöglich und effizient in der Fertigung bei ihren Kunden anzubringen. Dazu werden unter anderem Produktionsplanungen und Optimierungen bei Kunden vorgenommen.

Im Zuge strategischer Planungen stellt die Geschäftsführung fest: Um auf dem Markt standzuhalten und die Kundenwünsche zu bedienen, muss der Digitalisierungsgrad der eigenen Produkte und Produktion erhöht werden. Denn: Teil des USP des Unternehmens war und ist die Schaffung speziell integrierter Kundenlösungen. Da die kundenseitige IT-Landschaft zunehmend modernisiert wird, muss die Somapro GmbH dringend nachziehen und die reibungslose Kommunikation zwischen Kundenumgebung und Produkt sicherstellen.

Anna Huber ist motiviert, das Mandat zu übernehmen. Sie kann aus den wenigen, ihr vorliegenden Daten bereits ableiten: Die Ambition des Unternehmens ist für sie spannend und beinhaltet viele transformative Prozesse, die direkt die IT-Landschaft des Unternehmens betreffen.

Doch was konnte die angehende Beirätin ganz konkret aus den Daten lesen?

Wir wissen:

Der USP des Unternehmens Somapro GmbH ist die Herstellung von integrierten Speziallösungen.