#8 Cyber-Resilienz als „Must-have“ auf der Aufsichtsratsagenda

Nicht nur Strukturen und Prozesse von Unternehmen werden zunehmend digitaler, auch die Arbeitswelt. Die Corona-Pandemie hat das Remote-Arbeiten revolutioniert und neue Arbeitsmodelle geschaffen: Ganze Teams, die zuvor regelmäßig aus den Büroräumen des Arbeitgebers oder dem lokalen Homeoffice heraus tätig wurden, können im Rahmen von New-Work-Modellen vermehrt von nahezu jedem Ort auf der Welt Ihrer Beschäftigung nachgehen. Hierzu erhält der Mitarbeitende via Internet einen Zugriff auf die Unternehmenssysteme und mitunter auch auf Bereiche der kritischen Infrastruktur.

Parallel durchläuft auch die Gesellschaft eine digitale Transformation: Soziale Medien sowie die Kommunikation über Messenger-Dienste erfreuen sich mittlerweile bei allen Altersklassen zunehmender Beliebtheit und können — in Abhängigkeit der Unternehmensrichtlinien — auch für private Zwecke über die bereitgestellte Hardware (z.B. Laptops, Mobiltelefone) verwendet werden.

Risiken der digitalen Transformation

Sowohl die Nutzung von unsicheren Netzwerken außerhalb der Unternehmensumgebung als auch das Aufrufen von unsicheren Seiten im Internet sowie Öffnen von schädlichen Anhängen in (privaten und beruflichen) Spam-Mails mittels unternehmenseigener Hardware, bürgen zunehmend Risiken für die Datensicherheit der Unternehmen. Schwachstellen in eingesetzten Softwareprodukten und deren Schnittstellen entlang der Lieferkette bieten weitere Angriffspotenziale. 

Sofern Unternehmen keine ausreichenden und/oder wirksamen Schutzvorkehrungen für die neuen Herausforderungen in der Datensicherheit implementiert haben, kann die digitale Transformation — neben der gestiegenen Effizienz und Flexibilität in den Betriebsabläufen — schnell zum Einfallstor für Cyber-Angriffe werden. Nicht selten delegiert die Geschäftsführung die Themen an die IT-Abteilung und verlässt sich auf deren Kompetenz, ohne die (Rest-)Risiken und deren Implikationen laufend zu würdigen. Eine grundlegende Veränderung des Stellenwertes von Cyber-Sicherheit kann so nur schwerlich herbeigeführt werden.

Zunehmende Cyber-Angriffe an Feiertagen

Verschiedene Statistiken zeigen, dass Cyber-Angriffe verstärkt zunehmen, wenn sich Unternehmen im Ruhemodus befinden. Das ist neben Ferienzeiten und Wochenenden insbesondere an Feiertagen der Fall. Während Weihnachten jährlich zu einem festen Datum gefeiert wird und damit auch auf das Wochenende entfallen kann, umfasst das bevorstehende Osterfest grundsätzlich zwei Feiertage (Karfreitag und Ostermontag), die auf einen Wochentag entfallen. Je nach Geschäftsmodell sind das mindestens vier Tage mit reduzierter Kapazität und (mitunter) gedrosselter Reaktionsfähigkeit in den Unternehmen (zusätzliche Urlaubszeiten noch gar nicht berücksichtigt). Eine gefühlte Ewigkeit für Cyber-Kriminelle, um sich Zugang zu sensiblen Daten zu verschaffen und kritische Infrastruktur still zu legen.    

Praxistipp

Haben Sie einen Überblick, wie es um die Cyber-Sicherheit bei Ihrem Aufsichtsratsmandat (wirklich) steht? Wurden Kompromisse bei der Datensicherheit eingegangen und/oder von empfohlenen Mindeststandards (innerhalb des Konzerns und/oder Lieferketten) abgewichen? Bringen Sie das Thema (regelmäßig) auf die Agenda! 

Notwendigkeit von Cyber-Resilienz

Die Motivation für Cyber-Angriffe ist vielfältig und reicht von persönlichen über rein kriminelle bis hin zu politischen Beweggründen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt im Jahresbericht 2023 fest, dass die größte Bedrohung für die Cyber-Sicherheit in Deutschland weiterhin der Angriff mit Ransomware darstellt. Neben großen und (nicht selten) zahlungsfähigen Unternehmen für das geforderte Lösungsgeld (ramson) zur Herausgabe von gestohlenen Daten und Informationen, konzentrieren sich Cyber-Kriminelle wieder vermehrt auch auf kleine und mittelgroße Unternehmen sowie staatliche Institutionen. Ferner stellt das BSI eine gestiegene Professionalisierung der Cyber-Kriminalität fest, die sich zunehmend in eine Dienstleistung „Cybercrime-as-a-service“ manifestiert.

Ein (Rest-)Risiko in der Datensicherheit verbleibt immer, insbesondere wenn sich das Vorgehen und die Techniken von Cyber-Kriminellen schneller weiterentwickeln als die implementierten Schutzmaßnahmen der Unternehmen. Umso wichtiger ist ein ganzheitliches Konzept zur Cyber-Resilienz. Dieses sollte nicht nur die Prävention von Cyber-Angriffen beinhalten, sondern auch angemessene Maßnahmen zur Widerstandsfähigkeit (Reaktionszeit und Wiederherstellung) für den Ernstfall umfassen und diesen bestenfalls vorab „proben“.  

Praxistipp

Wie resilient ist Ihr Aufsichtsratsmandat in Bezug auf Cyber-Sicherheit aufgestellt? Sind neben Schutzmaßnahmen auch Vorkehrungen für den Ernstfall erprobt? Kennen Sie das Ablaufprotokoll und Notfallnummern, beispielsweise auch für den Fall, dass Sie als Aufsichtsratsmitglied selbst Opfer des Cyber-Angriffes sind? Bringen Sie das Thema (regelmäßig) auf die Agenda!  

Implikationen für die Finanzberichterstattung

Die verbleibenden (Rest-)Risiken der Cyber-Sicherheit sind durch die Unternehmen laufend zu identifizieren und zu beurteilen. Hierüber ist — neben einer Erläuterung zu den getroffenen Schutzmaßnahmen — im Chancen-Risiken-Bericht innerhalb des Lageberichts zu berichten. In Abhängigkeit des Geschäftsmodells bzw. Branche können weitere (Mindest-)Anforderungen an das Risikomanagement und deren Berichterstattung bestehen (z.B. bei Kreditinstituten).

Im Fall eines Cyber-Angriffes können erhebliche Störungen der Betriebsabläufe drohen. Börsennotierte Unternehmen haben eine Ad-hoc-Meldepflicht. Die mit dem Cyber-Angriff verbundenen Eigenschäden (z.B. Ausgaben zu Wiederherstellung/Ersatz der Infrastruktur) und Fremdschäden (z.B. Schadenersatz für Geschäftspartner) des Unternehmens können so schwerwiegend sein, dass mitunter die Fortführung der Unternehmenstätigkeit in Frage gestellt werden muss. Es bedarf folglich zugeschnittener Angaben im Jahresabschluss und Lagebericht unter Wahrung der Mindestberichterstattungserfordernisse der angewendeten Rechnungslegungsvorschriften. Voraussetzung ist, dass das Unternehmen nach dem Cyber-Angriff in der Lage ist, auf die vollständigen Finanzdaten zuzugreifen.

Praxistipp

Nicht jedes Mitglied im Aufsichtsrat muss sich in das Thema Cyber-Sicherheit auf Expertenniveau einarbeiten. Ein Grundverständnis zum Thema sollte vorhanden sein bzw. in angemessener Zeit aufgebaut werden, um Maßnahmen zur Cyber-Resilienz sowie verbleibende (Rest-)Risiken kritisch würdigen zu können. Als Aufsichtsrat haben Sie zudem zu beurteilen, ob hierüber angemessen Bericht erstattet wurde (sowohl vor als auch nach einem etwaigen Cyber-Angriff).  

Ausblick

Folgen Sie gerne unseren LinkedIn-Profilen für weitere Artikel zu (regulatorischen) Hot Topics für die Aufsichtsratsagenda und nehmen Sie an Diskussionen teil. Feedback ist herzlich willkommen!

Melanie Schunk und Nora Schmidt-Kesseler