Sicherheit + Datenschutz 23. Januar 2020 4 Min Lesezeit

Welche Verantwortung hat der Aufsichtsrat für die Cybersecurity?

Geschrieben von
Roger Klein
cyber security bild

Das BKA meldet für das Jahr 2018 in seinem 2019 vorgestellten Bericht 87.106 bekannte (gemeldete) Fälle von Cybercrime. Der hieraus resultierende Schaden beläuft sich auf etwa 60,7 Millionen Euro. Die Dunkelziffer ist weitaus höher – auch Aufsichtsräte in den Unternehmen tragen einen Teil der Verantwortung dafür (siehe weiter unten). Die Zahlen zeigen deutlich: Deutschland und vor allem deutsche Unternehmen mit ihrem in vielen Bereichen weltweit führenden Know-how sind ein beliebtes Ziel von Hackerangriffen. Besserer Schutz gelingt durch technische Sicherheitsvorkehrungen und strengere Standards – für deren Etablierung spielt der Aufsichtsrat die zentrale Rolle.

Aus dem BKA-Bericht (Auszüge)

Beklagenswert ist laut BKA-Bericht, dass Geschädigte – vor allem Firmen – erkannte Straftaten vielfach nicht anzeigen. Wer genau im Unternehmen für die Anzeige verantwortlich ist, wird administrativ unterschiedlich geregelt; der Aufsichtsrat kann und muss jedoch auf Strafverfolgung drängen. Die Anzeigen unterbleiben vielfach, um gegenüber Kunden und Geschäftspartnern die Reputation als zuverlässiges Unternehmen nicht zu gefährden. Bei Hackerangriffen auf Unternehmen lassen sich zwei grundsätzliche Zielrichtungen der Täter unterscheiden:

  • Abgreifen von Know-how
  • Erpressung

Das Abgreifen von Know-how wird oftmals nicht angezeigt, weil aus Sicht der Firmen auch durch Strafverfolgung nichts mehr zu retten ist: Die Täter verfügen über das erbeutete Wissen und können es wirtschaftlich verwerten – ob sie überführt werden oder nicht. Bei Erpressungsfällen unterbleibt die Anzeige, wenn Daten durch Trojaner verschlüsselt, nach Zahlung des Lösegeldes aber wieder freigegeben wurden. Nur wenn trotz der Zahlung keine Dekryptierung erfolgt, erstatten die Geschädigten Anzeige. Die Polizei verweist auf die grundsätzliche Notwendigkeit von Anzeigen. Nur so lassen sich neue Ermittlungsansätze gegen Cyberkriminalität entwickeln. Die behördlich eingesetzten IT-Experten können dann Angriffsvektoren analysieren oder Tatzusammenhänge feststellen. Davon abgesehen gilt es wie in jedem Kriminalfall, die Täter dingfest zu machen. Nur durch Bekanntwerden der Sachverhalte ist eine Sanktionierung möglich, die wiederum potenzielle Täter abschreckt – so die Autoren des BKA-Berichts. Sie verweisen auf das hohe Risiko für deutsche Unternehmen aufgrund des hierzulande angesiedelten enormen technischen Know-hows. Der Bitkom-Verband hat in einer Befragung 2018 festgestellt:

  • 68 % aller deutschen Unternehmen ab KMU-Grösse (ab 10 Mitarbeiter) wurden mit Sicherheit Opfer von Cyberangriffen,
  • bei weiteren 19 % werden diese vermutet.
  • 30 % der Befragten gaben wirtschaftliche Schäden durch Cyberattacken zu.
  • Es gibt eine erhebliche Häufung der Fälle seit 2017.
  • 37 % der Befragten schätzen Hackerangriffe als Top-Geschäftsrisiko ein.

Im Berichtszeitraum des BKA gab es 22.051 Tatverdächtige. Davon waren 32,9 % Frauen – im Gesamtfeld aller Straftaten überrepräsentiert (dort: 24,87 % Frauen).

Warum ist der Aufsichtsrat für die Cybersecurity verantwortlich?

Sicherheit im Netz ist ein Teil des Risikomanagements. Datenlecks bedrohen den Unternehmenserfolg massiv. Der Aufsichtsrat muss sich des Themas annehmen. Auf der Agenda der meisten Aufsichtsräte hat die Problematik inzwischen hohe Priorität – genügt aber offenkundig nicht immer. Die Einbindung des Aufsichtsrats ist nicht nur wegen des Risikomanagements erforderlich. Regulierungsbehörden haben ihre Anforderungen deutlich erhöht. Das deutsche IT-Sicherheitsgesetz verpflichtet Unternehmen zur Einhaltung definierter Mindeststandards bei der IT-Sicherheit. Entsprechende Regelungen finden sich auch in der DSGVO, die auf den Schutz personenbezogener Daten zielt. In wirtschaftlicher, politischer und sicherheitstechnischer Hinsicht drohen die grössten Gefahren durch Angriffe auf die kritische Infrastruktur. Die muss um jeden Preis geschützt werden. Aufsichtsräte sind ausserdem durch das Geschäftsgeheimnisgesetz zur stärkeren Kontrolle der Cybersecurity verpflichtet. Es verlangt angemessene Geheimhaltungsmassnahmen in den Bereichen sicherheitsrelevante Technik und Geschäftsgeheimnisse. Die DSGVO definiert sogar die Art geeigneter Verschlüsselungsmassnahmen: Sie müssen sich stets auf dem neuesten Stand der Technik befinden (Artikel 32 DSGVO).

Was müssen Aufsichtsräte in eigener Sache beachten?

Aufsichtsräte haben nicht nur eine Kontrollfunktion für ihr Unternehmen. Sie müssen auch das kritische Glied in der eigenen Sicherheitskette im Blick behalten – eines, das manchmal übersehen wird. Auf ihren elektronischen Geräten lagern höchst sensible Informationen, die die oberste Entscheidungsebene betreffen: vertrauliche Finanzdaten, geheime Strategiepläne, Details zur Vorstandsvergütung. Solche privilegierten Informationen dürfen keinesfalls in fremde Hände geraten. Ein Konkurrent könnte damit die Firma massiv unterwandern – Strategie ausspähen, Vertriebsgebiete übernehmen, Preise unterbieten, Führungskräfte gezielt abwerben.

Wie stellen sich Aufsichtsratsmitglieder dem Problem?

Inwieweit sie ihre eigenen Daten schützen, ist teilweise nicht bekannt. Die Verantwortung für die Cybersicherheit ihres Unternehmens nehmen sie mehr oder weniger gut wahr. Durch ihre übergeordnete Position sind sie eher wenig in unternehmenseigene Prozesse involviert – auf viele gesicherte Unternehmensnetzwerke haben sie schlicht keinen Zugriff. Viele CIOs (Chief Information Officers) haben die Schnittstelle zu den Aufsichtsräten auf dem Radar, treffen aber Abwägungen zwischen Sicherheit und Komfort. Strikte Sicherheit bedeutet: Aufsichtsräte müssen Passwörter sehr oft ändern, manchmal im Tagestakt. Diese Unannehmlichkeit hält ein CIO lieber fern. Die Folge: Teile des Aufsichtsrats sind über aktuelle Sicherheitsvorkehrungen gar nicht informiert und verhalten sich entsprechend antiquiert. Mails mit PDF-Anhängen, herkömmliche Briefe per Post – trotz höchst sensibler Inhalte. Passwörter, die kinderleicht zu knacken sind. Die Sensibilität für nötige Sicherheitsmassnahmen muss entscheidend geschärft werden. Aufsichtsräte sollten der Entwicklung nicht nachlaufen, sondern als Vorbild fungieren.

Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2025-09-25 Mit Windows ESU 1 Jahr länger Sicherheitsupdates erhalten 2020-05-06 Wie viel darf Cyber-Security kosten – und was ist sie wirklich wert? 2020-02-02 Achtung! Aktuell versteckt sich der Ursnif-Trojaner in Zip-Archiven

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG