Was muss ein Bericht an die Geschäftsleitung zum Thema IT-Sicherheit beinhalten?

1. Eindeutiges Aufzeigen erkannter Risiken und deren Wirkung.
2. Eine Gewichtung der Risiken auch nach wirtschaftlichen Aspekten.
3. Konkrete Handlungsempfehlungen

Eine klar verständliche Übersicht der aktuellen Sicherheitslage sowie eindeutige Handlungsempfehlungen zur Abwehr erkannter Gefahren.

Eine Risikoabschätzung zu Haftungsgefahren für die Geschäftsleitung und IT Leitung (Garantenstellung) (EU DSGVO/BDSG, STGB 202, 203, usw.) sowie Handlungsempfehlungen.

Ein Überblick über aktuelle Cyberbedrohungen angepasst auf das jeweilige Unternehmen.

Ein Bericht zur IT-Sicherheit oder umfassender Informationssicherheit (insbesondere organisatorische Maßnahmen und Unternehmensregelungen werden dann auch adressiert,
nicht nur die technischen) an die Geschäftsleitung sollte folgende Fragestellungen klären können oder zumindest klar legen, was zu tun ist, um je nach existierendem Bedrohungsumfeld ein angemessenes Sicherheitsniveau zu erzielen:

1.) Existiert ausreichendes Wissen in ausreichender Form dokumentiert über die Grenzen des
     vernetzten Unternehmens unter Einbeziehung von gegebenen Netzwerk-Topologien,
     drahtlos und/ oder Remote-Verbindungen inklusive angewendeter auch
     unautorisierter Cloud-Lösungen?
2.) Haben wir ein genaues Inventar aller IT-Wertobjekte (Assets)? Wie wird das Update dieser
     Objekte/ Geräte zeitnah sichergestellt und verwalten wir ein Konfigurationsprofil (CMDB)
     für diese Objekte/ Geräte?
3.) Wissen wir, wer zur IT unseres Unternehmens Administratorzugriff hat (priveligierte Rollen
     und Konten)? Wissen wir, wer auf unsere Geräte / Systeme zugreift und was sie tun,
     wenn diese darauf zugreifen? Welche Zugriffe werden davon protokolliert? Werden diese
     Protokolle einem Review - mit machineller Unterstützung oder nur manuell? - wie oft
     unterzogen?
     Was passiert, wenn Mitarbeiter insbesondere Administratoren aus unserem Unternehmen
     ausscheiden oder krank werden oder Urlaub haben?
4.) Haben wir einen ausgearbeiteten Lebenszyklus von Software und Hardware-Assets?
     Können Sie mir die Ergebnisse unseres letzten Patch-Management-Zykluses zeigen?
5.) Haben wir einen effektiven Software- / Anwendungsentwicklungsprozess? Verwenden wir
     mittels eines Modells getriebene Bedrohungsanalyse (Threat Model Analysis), wenn nicht,
     wie treffen wir sicherheitsbezogene Entscheidungen?
     Können Sie mir eine Musterrisikobewertung für eines unserer kritischen Datenbestände
     zeigen?
6.) Wie katalogisieren wir unsere kritischen, sensitiven Datenbestände und wie schützen wir 
     sie anders als wenig bedeutendere Datenbestände?
7.) Wie erkennen wir ungewöhnliche Benutzer- oder Netzwerkaktivitäten innerhalb unseres 
     Unternehmensnetzwerks? Enthält das auch unsere Hosted / Cloud-Umgebungen?
8.) Welche Mechanismen haben wir eingerichtet, um sicherzustellen, dass ungeschützte,
     sensible Daten nicht das Unternehmensnetzwerk verlassen? Enthält das auch unsere
     Hosted / Cloud-Umgebungen?
9.) Was sind die Indikatoren für eine Kompromittierung unseres Netzwerks, wie würden Sie
     das erkennen? Können Sie der Geschäftsführung bestätigen, dass wir nicht bereits
     kompromittiert wurden?
10.) Haben wir ausreichend detaillierte, umfassende und relevante Richtlinien und Verfahrens-
      anweisungen? Wann und wie wurden sie zuletzt auf ihre Wirksamkeit überprüft?
11.) Welche Standards haben wir verwendet, um das Rahmenwerk für unsere Informations-
      sicherheit (Information Security Framework) und unsere Richtlinien zu erstellen?
12.) Gibt es ein standortübergreifendes (nicht nur IT-) Risikomanagement-Team?
      Arbeiten sie mit den Fachabteilungsleitern in angemessener Sorgfalt (Due Diligence) zur 
      Festlegung von Sicherheitszielen und -Maßnahmen zusammen? Sind die Fachabteilungen
      ausreichend kooperativ und zuarbeitend?
13.) Was war unser kritischster Cybersicherheitsvorfall im vergangenen Quartal oder wann war
       der letzte? Was war unsere Reaktion darauf? Was haben wir daraus gelernt und
       umgesetzt?
14.) Wie reif ist unser Reaktionsplan bei Sicherheitsvorfällen, wann wurde er zuletzt getestet 
       und wer war daran beteiligt?

So in etwa könnte der Fragenkatalog aussehen, dessen stichhaltige Beantwortung Sie wirklich durch den Bericht zur IT-Sicherheit oder - umfassender und besser - zur Informationssicherheit bezüglich der Niveaubeurteilung Ihrer Unternehmenssicherheit weiterbringt.