close
Share with your friends

Cyberkriminalität kann existenzbedrohende Auswirkungen auf Unternehmen haben – ein Trend, der auch vor Österreich nicht Halt macht. Dies zeigt auch die bereits fünfte KPMG Studie „Cyber Security in Österreich“ zur Entwicklung der Cyber Security in Österreich. Mit der voranschreitenden Digitalisierung sind auch die Aufsichtsräte gefordert, die Strategien und Aktivitäten des Unternehmens zur Vermeidung dieser Risiken kritisch zu hinterfragen. Eine Orientierungshilfe dazu gibt dieser Artikel.

Toprisiko: Cyber Crime

Die gute Nachricht zuerst: Die Studie zeigt, dass Österreichs Unternehmen 2020 besser auf Cyberkriminalität vorbereitet sind als in den Jahren davor. Doch eines fällt auf den ersten Blick auf: Österreich zeigt sich voller Cyber Security-Widersprüche: Vorstellung und Realität klaffen in Teilbereichen weit auseinander. Unternehmen fühlen sich sicherer als sie es tatsächlich sind. Sie sehen zwar Gefahren, schützen sich aber zu wenig davor. Sie fordern Kooperationen, scheuen aber eine offene Kommunikation.

Jedes zweite Unternehmen in Österreich (57 Prozent) war in den letzten zwölf Monaten Ziel einer Cyberattacke, die Hälfte aller Unternehmen (51 Prozent) wurde gleich mehrmals attackiert. Damit spiegelt Österreich einen internationalen Trend wider: Cyberangriffe werden für die nächsten zehn Jahre als das zweitgrößte Risiko weltweit für die Wirtschaft eingestuft – so die Prognosen des Weltwirtschaftsforums (World Economic Forum/WEF). Platz eins bleibt den Finanzkrisen vorbehalten. Somit zeichnet sich ein klares Bild ab: Cyberrisiken festigen ihre Position im Ranking der globalen und nationalen Risikolandschaft.

Cyber Security, ein operationales Risiko

Die Angriffe und deren Folgen sind unabhängig von der Größe des Unternehmens zu sehen; Unternehmen aller Größen sind von Cyberrisiken betroffen und werden gleichermaßen angegriffen. Neben der Identifikation der operationellen Risiken erkennen gut geführte Unternehmen, dass die Widerstandsfähigkeit gegen Cyberangriffen, die Cyberresilienz, eine strategische Chance ist, sich gegenüber dem Mitbewerber abzuheben.

Verantwortungsbewusstes Management von Cyber Security-Risiken und eine professionelle Behandlung eines Sicherheitsvorfalls können das Vertrauen der Stakeholder eines Unternehmens stärken, seien es Kunden, Investoren, Lieferanten oder Aufsichtsbehörden und Regulatoren. Das trägt auch dazu bei, dass moderne, digitale Technologien wie Datenanalysen, skalierbare und effiziente Cloud-Lösungen oder Künstliche Intelligenz mit Zuversicht genutzt werden können, um die eigene Wettbewerbsposition zu festigen und darüber hinaus auch zu verbessern.

Cyberrisiken werden von Unternehmen oft als eine nicht greifbare, fast schon unreale Bedrohung angesehen. Dies nicht zuletzt deshalb, weil solche Angriffe oft hochkomplexe, technische Schwachstellen ausnutzen. Daraus zu schließen, dass es sich folglich bei Cyber Security-Risiken um technische Risiken handeln muss, die von der IT-Abteilung alleine zu bewältigen sind, ist allerdings ein Trugschluss.

Zieht man die möglichen Folgen eines erfolgreichen Cyberangriffs in Betracht, wird klar, dass es sich um operationelle Risiken handelt, mit denen nicht nur die Vorstände/Geschäftsführer vertraut sein müssen, sondern auch um ein Thema für den Aufsichtsrat. Bei den Folgen eines erfolgreichen Angriffs gegen das Unternehmen sind oft erheblich: Abfluss von Vermögenswerten (zB Lösegeldforderungen), Datenlecks (zB Datenschutzverletzungen) oder Betriebsunterbrechungen (zB Produktionsstillstand oder Unterbrechung der Supply-Chain). Diese können sich im Verlust von Reputation und Kundenvertrauen, in Umsatzeinbußen, höheren Kosten für die Wiederherstellung oder Ersatz- und Haftungs- oder Schadenersatzansprüchen äußern. Nicht zuletzt sehen sich Unternehmen auch Forderungen von Erpressungsgeldzahlungen ausgesetzt.

Die Rolle des Aufsichtsrats

Wie auch in anderen Bereichen können sich die Aufgaben des Aufsichtsrats im Bereich der Cyber Security auf Strategie, Systeme, Mitarbeiter und Kontrolle beziehen.
Im Bereich der Strategie liegt der Fokus auf der Abnahme einer Cyber Security-Strategie als Teil der Unternehmensstrategie. Sind alle Geschäftsfelder gleichermaßen mit abgedeckt, finden alle Betriebsmodelle eine Berücksichtigung und sind alle Produkte oder Dienstleistungen des Unternehmens berücksichtigt?

Bei der Ausgestaltung der Systeme steht das Risiko- und Krisenmanagement im Fokus. Es geht dabei vorrangig um die Identifikation und Behandlung von Cyber Security-Risiken im Unternehmenskontext und um die professionelle Abarbeitung von Krisen, ausgelöst durch zielgerichtete Angriffe gegen das Unternehmen oder aufgrund von Kollateralschäden.

Im Bereich der Mitarbeiter kommt dem Aufsichtsrat bei der Bestellung des Vorstandes eine entscheidende Rolle zu. Bei der Bestellung des Vorstandes stellt der Aufsichtsrat sicher, dass die betrauten Personen über ein hinreichendes Ver-ständnis zu operationellen Risiken verfügen, um Cyber Security-Risiken angemessen managen zu können.

Abschließend gilt es auch noch den regulatorischen Aspekten zur Einhaltung der gesetzlichen oder regulatorischen Rahmenbedingungen den entsprechenden Stellenwert zu geben und sich über diese Punkte soweit der Wirksamkeit der etablierten Maßnahmen berichten zu lassen. Hierfür ist ein Status Reporting zum Thema Cyber Security und eine gewisse Kontrolle unerlässlich.

Um diese Aufgaben im Zusammenhang mit der Cyberresilienz wahrzunehmen gilt es im Unternehmen eine Governance zu etablieren, die Cyber Maßnahmen dem Risiko entsprechend umsetzt.

Jedes zweite Unternehmen in Österreich war in den letzten zwölf Monaten Ziel einer Cyberattacke, die Hälfte aller Unternehmen wurde gleich mehrmals attackiert.

Basishygienemaßnahmen für Cybersicherheit sind unerlässlich

Während in der Vergangenheit der Fokus, ähnlich den mittelalterlichen Stadtmauern, auf technische Maßnahmen zur Verhinderung eines Eindringens von Angreifern in das Unternehmen lag (Stichwort: Firewall), ist eine moderne Cyberstrategie wesentlich breiter abgestützt. Denn es muss davon ausgegangen werden, dass mit der zunehmenden Vernetzung und Integration zwischen Unternehmen, Lieferanten und Kunden, ein Angreifer in geschützte Bereiche eindringen kann und wird.

Eine moderne Strategie ist deshalb darauf ausgelegt, diese Eindringlinge zeitnah zu erkennen, sie daran zu hindern, Schäden anzurichten und so die Widerstandsfähigkeit eines Unternehmens gegenüber Cyberangriffen zu erhöhen.
Im Unternehmen gilt es mit Cybermaßnahmen eine gute Balance zwischen den fünf Funktionen Identify, Protect, Detect, Respond und Recover, die aus dem NIST Cyber Security-Framework stammen, zu erzielen.

Cyberresilienz ist keine ausschließlich technische Maßnahme, sondern funktioniert nur in Ergänzung mit begleitenden organisatorischen Rahmenbedingungen (zB Cyber Security-Organisation, ein dezidiertes Budget für Cyber Security und Prozess- und Kontrollvorgaben) und den handelnden Personen innerhalb der Organisation (zB Sensibilisierung und Training). All dies trägt zu einer wirksamen Cyberresilienz bei.

Cyber Reporting für den Aufsichtsrat

Die Die Studie „Cyber Security in Österreich“ zeigt auch: Unternehmen glauben an ihre Taktik, halten Cyberkriminelle aber für „unbesiegbar“. Einerseits sind Unternehmen laut Umfrage überzeugt, Cyberattacken schnell zu erkennen und abzudrängen und vertrauen ihren Sicherheitsmaßnahmen „eher“ (58 Prozent) oder „sehr“ (27 Prozent). Doch andererseits glaubt der Großteil im gleichen Zug, dass es nur Minuten (23 Prozent), Stunden (31 Prozent) oder Tage (24 Prozent) dauert, bis ein Cyberangriff erfolgreich ist.

Die Ursache für diese Skepsis im Unternehmen könnten fehlende Transparenz über die tatsächliche Sicherheitslage, aber auch eine verbesserungswürdige Kommunikation sein. Denn oftmals tendieren Cyber Security-Experten dazu, die Entscheidungsträger und Aufsichtsräte mit ihrer Sprache zu verunsichern. Viele Aufsichtsräte vermissen eine adressatengerechte Berichterstattung über Cyberrisiken und den Stand der Cyberresilienz des Unternehmens. Oft handelt es sich um detaillierte technische und mit Fachausdrücken belastete Übersichten zum Stand der Kontrollen, ohne dass ein klarer Zusammenhang mit operationellen Cyberrisiken und den möglichen Auswirkungen auf das Unternehmen hergestellt wird. Folglich ist es dem Aufsichtsrat nur schwer möglich, seinen Pflichten im Zusammenhang mit Cyberrisiken nachzukommen.

Eine gute Berichterstattung

  • ermöglicht es dem Aufsichtsrat zu verstehen, wie sich Cyberrisiken auf die Fähigkeit des Unternehmens auswirken, seine Geschäftsstrategie umzusetzen und
  • ermöglicht es dem Aufsichtsrat, Cyberrisiken gegen andere operationelle und strategische Risiken zu positionieren und Ressourcen entsprechend zu priorisieren.

Folgende Fragen können dem Aufsichtsrat helfen, das entsprechende Verständnis für eine Einschätzung der Risiken für das beaufsichtigte Unternehmen zu erlangen:

Das Verständnis des Aufsichtsrats für die Cyberbedrohung und die Einflussnahme bei der Festlegung und Umsetzung angemessener Maßnahmen sind sowohl im Hinblick auf die Rolle des Aufsichtsrats von entscheidender Bedeutung. Der Aufsichtsrat sollte Klarheit über folgende Themen erlangen:

  1.  Welches sind die neuen Cyberbedrohungen und -risiken? Inwiefern betreffen diese unsere Organisation?
  2. Genügt unser Cyberresilienz-Programm den Herausforderungen, die sich aus der heutigen und zukünftigen Cyberbedrohungslage ergeben, um uns vor Angriffen zu schützen?
  3. Verstehen wir unsere heutigen Schwachstellen auch in Bezug auf unsere Lieferanten und Dienstleister und welche Prozesse haben wir, um die identifizierten Cyberrisiken zu adressieren? 
  4. Ist unsere Organisation genügend vorbereitet, um auf einen Angriff angemessen reagieren zu können?
  5. Welche Indikatoren von Schlüsselrisiken und Leistungskennzahlen (Key Performance Indicators) sollen wir beobachten, um unsere Aufsichtsfunktion wahrnehmen zu können?
  6.  Hält unsere Organisation ihre gesetzlichen und regulatorischen Verpflichtungen zur Sicherung von Daten ein (zB Datenschutz)?
  7. Ist Cyberresilienz Teil der strategischen Besprechungen im Aufsichtsrat, und wann haben wir uns das letzte Mal mit der Cyberbedrohung befasst? 
  8. Wie entwickeln wir unsere Organisation von einer reaktiven zu einer antizipierenden Herangehensweise in Bezug auf die Cyberbedrohung?
  9. Ist uns die Konkurrenz voraus? Falls ja, ist dies ein Wettbewerbsvorteil für sie?

Fazit: Die Akzeptanz des Unvermeidbaren

Cyberrisiken sind operationelle Risiken, die den Fortbestand eines Unternehmens gefährden können und mit denen sich der Aufsichtsrat im Rahmen seiner gesetzlichen Aufgaben zu befassen hat. Der Aufsichtsrat sollte darauf achten, dass das Unternehmen seine Cyberstrategie auf Resilienz ausrichtet. Dazu gehört, dass die Cyberbasishygienemaßnahmen rigoros umgesetzt werden. Um Klarheit über den Stand der Cyberrisiken und -resilienz des Unternehmens zu haben, ist ein adressatengerechtes Cyber Reporting notwendig. Neben dem Management von Cyberrisiken, sollte der Aufsichtsrat zusammen mit der Geschäftsführung auch analysieren, inwiefern sich die Cyberresilienz als Unterscheidungsmerkmal und Wettbewerbsvorteil nutzen lässt.

Eine wichtige Erkenntnis muss in Österreichs Unternehmen alltagstauglich werden: Cyber Security kann kein Garant für absolute Sicherheit sein. Vielmehr muss die Rolle der Cybersicherheit neu definiert werden: als synergieschöpfendes Element, um die eigentliche Funktion des Unternehmens zu erhalten und zu gewährleisten, auch wenn Unvorhergesehenes passiert. Unternehmen müssen somit durch und durch widerstandsfähiger gegen Cyberattacken werden. Sie müssen sich zum einen vor Angriffen schützen, zum anderen auch betriebs- und funktionsfähig bleiben, wenn einmal etwas passiert. Unternehmen brauchen die Fähigkeit der Cyberresilienz, um trotz widriger Umstände kontinuierlich ihre Leistung zu liefern.