Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Gastkommentar Firmen sollten sich bemühen, die Cyberrisiken in den Griff zu bekommen

Management digitaler Gefahren gehört zur Corporate Governance. Dabei geht es nicht nur um die Abwehr von Cyberangriffen, sondern auch um Schutz der Kundendaten.
Kommentieren
Die Autorin ist Area Managing Partner von Ernst & Young für Europa, den Mittleren Osten, Indien und Afrika.
Julie Teigland

Die Autorin ist Area Managing Partner von Ernst & Young für Europa, den Mittleren Osten, Indien und Afrika.

„Angriff auf das Herz der deutschen Industrie“ titelte der Bayerische Rundfunk vor einigen Wochen und berichtete über seine Recherchen zur Software „Winnti“. Die mutmaßlich von chinesischen Nachrichtendiensten stammende Software war von den Journalisten des Senders in den Netzen verschiedener großer deutscher Industriekonzerne ausgemacht worden. Seit 2014 seien Dutzende Unternehmen auf diese Art ausspioniert worden.

Unternehmen und Behörden zeigten sich nicht sonderlich beunruhigt. Zu größeren Schäden sei es nicht gekommen, die Abwehrsysteme hätten Winnti weitgehend erkannt und unschädlich gemacht.

Trotzdem kann heute niemand belastbar sagen, welche Schäden durch Winnti tatsächlich entstanden sind, wie weitreichend Systeme infiziert waren und welche Daten nach China oder anderswohin abgeflossen sind. Waren persönliche Daten von Kunden betroffen? Sind vertrauliche Produkt- oder Wettbewerbsdetails abgeflossen? Welche Kosten sind dadurch entstanden?

Cyberangriffe wie Winnti stellen heute ein alltägliches, jedoch selten quantifiziertes Risiko für Unternehmen dar. Einer der seltenen Fälle, in denen Schäden genauer beziffert wurden, war der Cyberangriff auf die Reederei Maersk im Jahr 2017. Allein für die Wiederherstellung seines Netzwerks aus 4.000 Servern und 45.000 PCs gab das Unternehmen 300 Millionen Dollar aus.

Direkte Schäden durch Maßnahmen zur Wiederherstellung der Systeme sind nur ein Teil des Cyberrisikos für Firmen. Hinzu kommt die Gefahr von Bußgeldern nach der Datenschutz-Grundverordnung (DSGVO), die immerhin vier Prozent des globalen Umsatzes erreichen können. Denn die allermeisten Cyberangriffe sind auch meldepflichtige Vorgänge nach der DSGVO.

Wettbewerbsfähigkeit der Firmen in Gefahr

Ein weiteres Risiko sind mögliche Reputationsschäden, weil Kunden des Unternehmens ihre sensiblen Daten dort nicht mehr ausreichend geschützt sehen. Auch kann ein Unternehmen durch Cyberangriffe massiv in seiner zukünftigen Handlungs- und Wettbewerbsfähigkeit beeinträchtigt sein.

Sicherheitsvorfälle zwingen zu aufwendigen Untersuchungen der IT-Landschaft, stoppen Innovationsprozesse, verlangsamen Digitalisierung. Weltweit reagieren die Gesetzgeber darauf mit einer wachsenden Zahl von Regulierungen. Sektorale und übergeordnete Regulierungen stehen allerdings weitgehend unverbunden nebeneinander.

Wie organisieren die Unternehmen das Management dieses besonderen Risikos? Auf technischer Ebene hat sich die Rolle der Chief Information Security Officers (CISO) etabliert. Sie sind zuständig für das technisch-organisatorische Management der Cyberrisiken und in den meisten Fällen beim CIO des Unternehmens angesiedelt.

Bei kritischen Infrastrukturen ist ihr Job die Gewährleistung der vom Gesetz geforderten technisch-organisatorischen Maßnahmen. Außerhalb dieser technischen Handlungslinien haben die Unternehmen Datenschutzbeauftragte eingerichtet, in der Regel in Rechts- oder Compliancebereichen angesiedelt. Sie sollen die Einhaltung der Regeln des Datenschutzes sicherstellen.

Die Fülle an Regulierung sorgt dafür, dass CISO und Datenschutzbeauftragte vor allem auch formale Pflichten zu erfüllen haben, vor allem Dokumentationspflichten. Auch Vorstände beschäftigen sich zunehmend mit Cybersicherheit und lassen sich über Vorfälle und Schutzmaßnahmen berichten.

Management von Cybersecurity-Risiken nötig

Doch Gefährdungslage, Schadenspotenzial und Regulierungen führen dazu, dass Unternehmen einen weiteren Schritt gehen müssen: Es ist an der Zeit, ein übergreifendes Cybersecurity Risk Management aufzubauen. Der technische Schutz vor Cyberangriffen muss hier ebenso adressiert werden wie die Gefahren für Kundendaten oder auch die Risiken, die sich durch die Abhängigkeit von einzelnen Technologielieferanten ergeben.

Was, wenn eine Software oder Komponente sich als unsicher erweist? Oder wenn der Hersteller nicht mehr willens oder in der Lage ist, Sicherheitsupdates bereitzustellen?

All das kann die Handlungs- und Steuerungsfähigkeit des Unternehmens beeinflussen. Ein übergreifendes Risikomanagement für Cyberrisiken muss daher in der Corporate Governance fest verankert sein. Good Corporate Governance muss auch Good Cybersecurity Governance bedeuten. Die Niederlande sind bei diesem Thema europaweit Vorreiter, denn dort regelt der Corporate Governance Codex, dass das Audit Committee den Umgang des Unternehmens mit Cyberrisiken überwachen muss. Bislang fordert der Deutsche Corporate Governance Kodex nur sehr generisch ein geeignetes und wirksames Risikomanagementsystem. Besser wäre es, das Risiko Cybersicherheit hier konkreter zu adressieren.

Mehr: FDP fordert europaweit verpflichtendes Gütesiegel für IT-Produkte. Die Pläne des Bundesinnenministeriums für ein zweites IT-Sicherheitsgesetz überzeugen die Partei nicht.

Startseite

Mehr zu: Gastkommentar - Firmen sollten sich bemühen, die Cyberrisiken in den Griff zu bekommen

0 Kommentare zu "Gastkommentar: Firmen sollten sich bemühen, die Cyberrisiken in den Griff zu bekommen"

Das Kommentieren dieses Artikels wurde deaktiviert.