Welche Verantwortung hat der Aufsichtsrat für die Cybersecurity?

  • in der Kategorie Security
  • veröffentlicht.
cyber security bild

Das BKA meldet für das Jahr 2018 in seinem 2019 vorgestellten Bericht 87.106 bekannte (gemeldete) Fälle von Cybercrime. Der hieraus resultierende Schaden beläuft sich auf etwa 60,7 Millionen Euro. Die Dunkelziffer ist weitaus höher, wofür auch Aufsichtsräte in den Unternehmen einen Teil der Verantwortung tragen (siehe weiter unten). Die Zahlen zeigen in aller Deutlichkeit auf, dass Deutschland und vor allem deutsche Unternehmen mit ihrem in vielen Bereichen weltweit führenden Know-how ein beliebtes Ziel der Hacker sind. Sie sollten sich besser schützen. Das gelingt durch bessere technische Sicherheitsvorkehrungen und strengere Standards, für deren Etablierung wiederum der Aufsichtsrat die zentrale Rolle spielt.

Aus dem BKA-Bericht (Auszüge)

Beklagenswert ist laut BKA-Bericht, dass die Geschädigten, vor allem die Firmen, erkannte Straftaten vielfach nicht anzeigen. Wer genau im Unternehmen für die Anzeige verantwortlich ist, wird administrativ unterschiedlich geregelt, allerdings kann und muss der Aufsichtsrat auf die Strafverfolgung drängen. Die Anzeigen unterbleiben vielfach, um gegenüber den eigenen Kunden und Geschäftspartnern die Reputation als zuverlässiges Unternehmen nicht zu verlieren. Es sind bei den Hackerangriffen auf Unternehmen zwei grundsätzliche Zielrichtungen der Täter zu unterscheiden:

  • Abgreifen von Know-how
  • Erpressung

Das Abgreifen von Know-how wird oftmals nicht angezeigt, weil aus Sicht der Firmen auch durch eine Strafverfolgung nichts mehr zu retten ist: Die Täter verfügen dann über das erbeutete Wissen und können es selbst wirtschaftlich verwerten, ob sie nun überführt werden oder nicht. Bei Erpressungsfällen unterbleibt die Anzeige, wenn Daten durch Trojaner verschlüsselt, aber nach Zahlung des Lösegeldes wieder freigegeben wurden. Nur wenn trotz der Zahlung keine Dekryptierung erfolgt, erstatten die Geschädigten Anzeige. Die Polizei verweist jedoch auf die grundsätzliche Notwendigkeit von Anzeigen. Nur so lassen sich neue Ermittlungsansätze gegen Cyberkriminalität entwickeln. Die behördlich eingesetzten IT-Experten können dann zum Beispiel Angriffsvektoren analysieren oder Tatzusammenhänge feststellen. Davon abgesehen gilt es wie in jedem Kriminalfall, die Täter dingfest zu machen. Nur durch Bekanntwerden der entsprechenden Sachverhalte ist eine Sanktionierung möglich, die wiederum potenzielle Täter abschreckt, so die Autoren des BKA-Berichts. Sie verweisen auf das hohe Risiko für deutsche Unternehmen aufgrund des hierzulande angesiedelten enormen technischen Know-hows hin. Der Bitkom-Verband hat in einer Befragung im Jahr 2018 festgestellt, dass

  • 68 % aller deutschen Unternehmen ab KMU-Größe (ab 10 Mitarbeiter) schon mit Sicherheit Opfer von Cyberangriffen wurden,
  • bei weiteren 19 % werden diese vermutet.
  • 30 % der Befragten gaben wirtschaftliche Schäden durch Cyberattacken zu.
  • Es gibt eine erhebliche Häufung der Fälle seit 2017.
  • 37 % der Befragten schätzen Hackerangriffe als TOP-Geschäftsrisiko ein.

Es gab im Berichtszeitraum des BKA 22.051 Tatverdächtige. Von diesen waren 32,9 % Frauen und somit im Gesamtfeld aller Straftaten überrepräsentiert (hier: 24,87 % Frauen).

Warum ist der Aufsichtsrat für die Cybersecurity verantwortlich?

Die Sicherheit im Netz ist ein Teil des Risikomanagements. Datenlecks sind eine enorme Bedrohung für den Erfolg eines Unternehmens. Dementsprechend muss sich der Aufsichtsrat um das Thema kümmern. Auf der Agenda der meisten Aufsichtsräte wird der Problematik auch eine hohe Priorität eingeräumt, doch offenkundig genügt das nicht immer. Dabei ist die Einbindung und Verantwortung des Aufsichtsrats nicht nur wegen des nötigen Risikomanagements erforderlich. Auch Regulierungsbehörden haben ihre Anforderungen inzwischen deutlich erhöht. Das deutsche IT-Sicherheitsgesetz verpflichtet Unternehmen inzwischen zur Einhaltung von definierten Mindeststandards bei der IT-Sicherheit. Entsprechende Regelungen finden sich auch in der DSGVO, die allerdings auf den Schutz von personenbezogenen Daten zielt. In wirtschaftlicher, politischer und sicherheitstechnischer Hinsicht drohen die größten Gefahren von Angriffen auf die kritische Infrastruktur. Diese muss um jeden Preis geschützt werden. Aufsichtsräte sollten die Cybersecurity in ihrem Unternehmen auch deshalb stärker kontrollieren, weil sie das Geschäftsgeheimnisgesetz dazu verpflichtet. Es verlangt nämlich angemessene Geheimhaltungsmaßnahmen in den Bereichen sicherheitsrelevante Technik und Geschäftsgeheimnisse. Die DSGVO definiert sogar die Art der geeigneten Verschlüsselungsmaßnahmen: Sie müssen sich stets auf dem neuesten Stand der Technik befinden (Artikel 32 DSGVO).

Was müssen Aufsichtsräte in eigener Sache beachten?

Aufsichtsräte haben nicht nur eine Kontrollfunktion für ihr Unternehmen: Sie müssen das kritische Glied der eigenen Cybersecurity beachten, dass manchmal in der Sicherheitskette übersehen wird. Sie verwahren nämlich selbst auf ihren elektronischen Geräten höchst sensible Informationen, welche die oberste Entscheidungsebene des Unternehmens betreffen. Dazu gehören vertrauliche Finanzdaten, geheime Strategiepläne oder auch Details zur Vorstandsvergütung. Solche privilegierten Informationen dürfen keinesfalls in fremde Hände geraten. Ein Konkurrent könnte damit die Firma massiv unterwandern. Er könnte ihre mittel- und langfristige Strategie ausspähen, Vertriebsgebiete übernehmen, Preise unterbieten und Führungskräfte gezielt mit höheren Vergütungen abwerben.

Wie stellen sich Aufsichtsratsmitglieder dem Problem?

Inwieweit sie ihre eigenen Daten schützen, ist teilweise nicht bekannt. Ihre Verantwortung für die Cybersicherheit ihres Unternehmens nehmen sie mehr oder weniger gut wahr. Normalerweise sind sie durch ihre übergeordnete Position eher wenig in unternehmenseigene Prozesse involviert. Auf viele gesicherte Unternehmensnetzwerke für rein technische Zwecke haben sie oftmals gar keinen Zugriff. Es haben zwar viele CIOs (Chief Information Officers, Leiter der Informationstechnik) die Schnittstelle zu den Aufsichtsräten schon auf dem Radar, doch sie treffen Abwägungen zwischen Sicherheit und Komfort. Wenn sie sich für strikte Sicherheit entscheiden, müssen sie beispielsweise die Aufsichtsräte sehr oft – manchmal im Tagestakt – zur Änderung von Passwörtern bewegen. Solche Unannehmlichkeiten hält jedoch ein CIO von seinen Aufsichtsräten lieber fern. Diese sind daher teilweise über aktuellste Sicherheitsvorkehrungen gar nicht informiert und verhalten sich teilweise antiquiert: Sie verschicken beispielsweise Mails mit PDF-Anhängen oder gar herkömmliche Briefe mit der Post – trotz darin enthaltener höchst sensibler Informationen. Ihre Passwörter sind teilweise kinderleicht zu knacken. Es gilt nun, auch bei Aufsichtsräten die Sensibilität für nötige Sicherheitsmaßnahmen entscheidend zu schärfen. Sie sollten der Entwicklung nicht nachlaufen, sondern vielmehr als Vorbild fungieren.

16. April 2025KI

Prompt Engineering Leitfaden mit Tipps zu ChatGPT, Grok & Neuroflash

Prompt Engineering ist die Kunst und Wissenschaft, präzise und effektive Anweisungen (Prompts) für KI-Modelle wie ChatGPT, Neuroflash oder Grok zu

16. April 2025Security

WordPress 6.8 „Cecil“ ist da – Ein umfassender Überblick über die neuen Funktionen

Am 15. April 2025 wurde WordPress 6.8 veröffentlicht und bringt zahlreiche Verbesserungen in den Bereichen Performance, Sicherheit, Design und Benutzerfreundlichkeit

Weiterlesen
8. April 2025Analyse

Den ROI von KI-Tools messen und maximieren: Ein Leitfaden für Unternehmen

Den ROI von KI-Tools zu messen und maximieren ist für Unternehmen entscheidend, um Investitionen in Künstliche Intelligenz zu rechtfertigen. Wie

Weiterlesen
6. April 2025KI

KI-Tools für Unternehmen: Branchen, Anwendungsbereiche & konkrete Möglichkeiten

Künstliche Intelligenz (KI) ist längst kein Zukunftstraum mehr, sondern ein Werkzeug, das Unternehmen heute nutzen, um effizienter, kreativer und kundenorientierter

Weiterlesen
Zum Inhalt springen