close
Share with your friends

Reale Gefahr

Reale Gefahr

Cyber Security – Ein Muss für Vorstände und Aufsichtsräte

Robert Lamprecht Portrait

Director, Advisory

KPMG Austria

Kontakt

Verwandte Inhalte

Cyber Security

Cyberkriminalität kann existenzbedrohende Auswirkungen auf Unternehmen haben – ein Trend, der auch vor Österreich nicht Halt macht, wie die bereits vierte KPMG Studie zeigt. Mit der voranschreitenden Digitalisierung sind Aufsichtsräte gerade jetzt gefordert, entsprechende Strategien und Aktivitäten kritisch zu hinterfragen, um ihre Aufgaben gewissenhaft zu erfüllen und nicht zuletzt eine persönliche Haftung zu vermeiden. Eine Orientierungshilfe dazu gibt es in diesem Artikel.

 

Real statt virtuell

Schon das Öffnen einer vermeintlich authentischen Mail kann heute Millionen kosten – und damit sind nicht die daraus entstehenden Lösegeldforderungen (Ransomware) gemeint. Die Beispiele reichen von sogenannten Fake President-Angriffen bis hin zu Phishing-Attacken auf ein Stahlwerk und andere Produktionsunternehmen. Hat es ein Angreifer auf diesem oder einem anderen Weg erst einmal in die IT-Systeme und Anwendungen eines Unternehmens geschafft, steht schnell sehr viel auf dem Spiel. Diese Erfahrung mussten in letzter Zeit wieder zahlreiche Unternehmen machen. Die Zahl der Cyberangriffe ist in den vergangenen Jahren stark gewachsen und zudem werden sie immer professioneller. Dabei ist es unbedeutend, ob es ein Klein- und mittelständisches Unternehmen oder ein großer Konzern ist – im Interesse stehen immer die bedeutenden Informationen: das Wissen, das ein Unternehmen erfolgreich gemacht hat.

Angriffe aus dem Cyberraum sind auch bei heimischen Unternehmen zur alltäglichen Bedrohung geworden, wie die aktuelle KPMG Studie „Cyber Security in Österreich“ beweist: Zwei von drei der 342 befragten Unternehmen in ganz Österreich waren in den letzten zwölf Monaten Opfer eines Cyberangriffs. 2016 waren es noch 49 Prozent gewesen.

Durch die technologische Revolution und die voranschreitende Digitalisierung wird nicht nur die Wertschöpfungskette optimiert, sondern es verändert sich auch die Risikolandschaft mit digitalen Geschäftsprozessen und Schnittstellen zu Lieferanten und Partnern. Dadurch entstehen nicht nur neue Einfallstore in die Unternehmen, sondern auch die Verwundbarkeit nimmt überdurchschnittlich zu und ergibt ein neues Risikoprofil.

 

Sicherheitsrisiko Nummer 1

Das World Economic Forum (WEF) zählt Cyberangriffe zu den gefährlichsten Sicherheitsrisiken für Österreich im Jahr 2019, gefolgt vom Platzen der Immobilienblase und unfreiwilliger Massenmigration. Das Thema muss daher auf der Führungsebene eines Unternehmens entsprechend berücksichtigt werden und dabei kommt dem Aufsichtsrat eine wichtige Rolle zu: Der Aufsichtsrat sollte, wie bei allen anderen Risiken, hinterfragen, ob das Unternehmen der immer stärker werdenden technologischen Vernetzung entsprechend aufgestellt ist. Gefordert sind Maßnahmen, die Menschen, Prozesse und Technologien gleichermaßen berücksichtigen. Ein rein technologischer Ansatz ist zu wenig und greift nicht, da der „Faktor Mensch“ eindeutig im Fokus der Angreifer steht: Malware (47 Prozent), Cryptolocker (29 Prozent), Phishing (47 Prozent) und Social Engineering (16 Prozent) waren laut Umfrage die häufigsten Arten von Angriffen in den letzten zwölf Monaten in Österreich. In allen diesen Kategorien machen sich Cyberkriminelle die Sorglosigkeit und Neugierde von Mitarbeitern zunutze.

 

Von Cyber Security zu Cyber ­Resilience

Der detaillierte Blick auf Österreich zeigt: Cyber Security alleine reicht nicht mehr aus. Durch technologische und organisatorische Lösungen, die den „Faktor Mensch“ gleichermaßen berücksichtigen, lassen sich zwar viele Angriffe abwehren, doch die Palette der Angriffsmethoden ist zu groß, um sich gegen alle abzusichern. Daher muss es das erklärte Ziel der Unternehmen sein, durch und durch widerstandsfähiger gegen Cyberattacken zu werden. Sie müssen sich zum einen vor Angriffen schützen, zum anderen auch betriebs- und funktionsfähig bleiben, um auch weiterhin ihre Geschäftsziele zu erreichen. Unternehmen brauchen daher genau jene Fähigkeit der Cyber Resilience, trotz widriger Umstände kontinuierlich Leistung zu liefern. Cyber Resilience geht weit über reine Cyber Security hinaus und verfolgt einen umfassenden Ansatz zum Schutz der Organisation vor Cyberangriffen und zur Sicherstellung der Geschäftsprozesse nach erfolgten Angriffen. Das Thema Cyber Resilience muss zukünftig im Mittelpunkt jeder nachhaltigen Wachstumsstrategie eines Unternehmens stehen, vor allem aufgrund der Digitalisierung. Denn nur eine entsprechende Widerstandsfähigkeit gegen Gefahren aus dem Cyberraum kann zu Zuversicht und Vertrauen bei Kunden und Stakeholdern führen – dem Schlüssel zum Unternehmenserfolg, speziell in der digitalen Welt.

 

Cyber Security ist Chefsache

Im Kampf gegen Cyberkriminalität ist es von entscheidender Bedeutung, welche Rolle Cybersicherheit aus Sicht der Chefetage im Unternehmen einnimmt. Cyber Security ist eine Managementaufgabe, die „Top-down“ organisiert und umgesetzt werden muss. Entscheidende Faktoren dabei sind eine offene Kommunikation und eine positive Kultur für das Thema, weil Cyberkriminalität nur durch integriertes Security Management kontrolliert werden kann.

In den letzten Jahren hat sich das Image von Cybersicherheit sehr gewandelt – vom absoluten Fokusthema der IT-Spezialisten hin zum Risk Management-Thema der Geschäftsführung. Nur mehr 34 Prozent der befragten Unternehmen betrachten Cyber Security als rein technische Angelegenheit. Im Vorjahr lag dieser Wert noch bei 70 Prozent. Laut Umfrage nimmt das Thema mittlerweile bei 56 Prozent der Unternehmensleistungen einen hohen Stellenwert ein. 77 Prozent der österreichischen Unternehmen geben an, dass die Unternehmensleitung die Notwendigkeit zur Behandlung von Cyberrisiken aktiv kommuniziert. Cybersicherheit hat sich somit die strategisch wichtige Bedeutung und Unterstützung auf Führungsebene erarbeitet.

 

Das Third Party-Risiko als verkannte Gefahr

In einem wirtschaftlichen Umfeld, das gerne als „hyper connected“ bezeichnet wird, hängt die eigene Sicherheit stark von anderen ab, etwa vom Sicherheitsniveau der Zuliefererunternehmen. Geschäftspartner, Technologie-Provider, Outsourcing-Partner und andere – die Bedrohung aus dem Cyberraum kennt keine Grenzen. Mehr und mehr Risiken können nicht mehr direkt von Unternehmen kontrolliert werden, wodurch Unternehmen anfälliger für Angriffe werden.

Unternehmen müssen daher über die Cybersicherheit dieser Drittparteien Bescheid wissen und darüber informiert sein, welche Auswirkungen ein Angriff auf den eigenen Betrieb haben könnte. In der immer komplexer werdenden Wertschöpfungskette zählt jedes Glied – es reicht der Angriff auf das schwächste, um das gesamte System aus dem Gleichgewicht zu bringen.

Unsere Studie spiegelt eine Erkenntnis wider, die sich auch in unseren Nachbarländern zeigt: Mit dem Third Party-Risiko gehen Österreichs Unternehmen grob fahrlässig um. Das Fehlen eines systematischen Ansatzes zur Bewertung und Minderung des Third Party-Risikos kann jedoch gravierende Auswirkungen haben. Auch in Hinblick auf Merger & Acquisitions müssen Unternehmen nachrüsten, weil hier das Third Party-Risiko ebenfalls schlagend werden kann. Die Lösung heißt Cyber Due Diligence und sollte zukünftig bei allen Übernahmen und Investitionen zum Standard werden, um Cyberrisiken rechtzeitig zu identifizieren.

 

Die Rolle des Aufsichtsrates

Für den Aufsichtsrat sind vor allem die Definition der Erwartungshaltung und die laufende Berichterstattung über die Wirksamkeit der Maßnahmen (Cyber Security Governance und Compliance) von besonderer Bedeutung. Seitens des Gesetzgebers und der Regulatoren gibt es hier bereits erste, branchenspezifische Gesetze und Vorgaben.

 

Nur nicht treiben lassen

Die Ergebnisse unserer Studie zeigen, dass auch für österreichische Unternehmen das Thema Cybersicherheit an Bedeutung gewinnt. Die Anzahl der betroffenen Unternehmen hat sich gegenüber dem Vorjahr wesentlich erhöht, das World Economic Forum zählt Cyberangriffe zu den gefährlichsten Sicherheitsrisiken. Cybersicherheit muss daher auf der Agenda der Führungsebene eines Unternehmens stehen und auch vom Aufsichtsrat entsprechend adressiert werden. Digitalisierung und künstliche Intelligenz fordern neues Denken, neues Handeln und neue Strategien.

So kontaktieren Sie uns

 

Möchten Sie mit KPMG in Kontakt treten?

 

loading image Angebotsanfrage (RFP)