Corporate Governance Inside
Audit & Assurance
Cyberrisiko 2.0
Wenn Cybersicherheit eine Aktie wäre, könnte man sie ohne Weiteres den besten Freunden zum Kauf empfehlen. Nicht nur, dass Wachstumsraten von Hackerangriffen und deren Auswirkungen regelmäßig neue „all-time highs“ erreichen, auch neue Anforderungen von Regulatoren und neue Technologien fordern die Cyberverantwortlichen heraus, sodass auch hier viele Aktivitäten erfolgen und umfangreiche Investitionen in neue Tools, Services und Personal gemacht werden. Zu häufig ist das Cyberbudget allerdings noch an die Ausgaben der IT geknüpft. Das ist vielleicht für die Planung einfacher, verkennt aber die Tatsache, dass Cybersicherheit nicht von den Aktivitäten der IT abhängt, sondern von den Anforderungen, die sich aus dem Geschäftsmodell und den Unternehmensprozessen ergeben.
Man könnte erwarten, dass ein Online-Handel mehr in die Sicherheit investieren muss als bspw. ein klassisches Produktionsunternehmen. Tatsächlich sind gerade Letztere häufiger gezielten Angriffen ausgesetzt. Denn durch die Vernetzung von Produktionsanlagen, die Steuerungseinheiten und die Integration in die Backoffice-Prozesse eröffnet sich eine erweiterte Angriffsfläche für Eindringlinge. Deren Motive sind vielfältig, sie haben jedoch häufig ausschließlich finanzielle Interessen, wie man an der großen Zahl von sog. Ransomware-Attacken sieht. Hier verschlüsseln Angreifer über Schadprogramme Teile der IT-Landschaft und fordern Lösegeld, um die Codes für die Entschlüsselung der Server preiszugeben. Der Professionalitätsgrad der Hacker ist fast schon bemerkenswert: Sie liefern mit der Verschlüsselung präzise Anleitungen mit, damit das Opfer zügiger das Lösegeld – meinstens in Kryptowährungen – bezahlt, um vermeintlich weiteren Schaden abzuwenden. In manchen Fällen stellen die Hacker sogar eine Hotline zur Verfügung.
Seit Russlands Einmarsch in die Ukraine sehen wir eine steigende Zahl von Angriffen auf Unternehmen und Organisationen, die die Ukraine unterstützen. Nach der Annexion der Krim und der Ostukraine lieferten sich vermeintlich russische Hacker einen Cyberkrieg mit der Ukraine. Angriffe auf Ministerien und öffentliche Organisationen hatten sogar Auswirkungen auf unbeteiligte Unternehmen in ganz Europa, die teilweise massive Ausfälle erlitten haben. Mit der Ausweitung der russischen Invasion in der Ukraine im Februar versuchten angeblich Hacker – die genaue Herkunft wurde nicht klar festgestellt –, die Steuerung der Windparks in der Nordsee zu beeinträchtigen. Offensichtlich waren sie jedoch nicht erfolgreich. Die latente Bedrohung durch professionelle Angreifer ist ein Thema, mit dem sich die Geschäftsführung in allen Bereichen auseinandersetzen muss. Mit umfassender Threat Intelligence, die durch externe Quellen und interne Informationen aus dem laufenden Betrieb ermittelt wird, erhält man ein reales Lagebild, das sowohl im operativen Betrieb das "Doing" unterstützt als auch in der langfristigen Planung wertvolle Hilfestellungen bei Fragen zu Investitionen gibt. Cybersicherheit und das entsprechende Risikomanagement sind zwei feste Bestandteile, die auf der To-do-Liste des Managements und des Aufsichtsrats stehen. Geschäftsleiter und Aufsichtsorgane setzen dazu umfassende Maßnahmen ein, um die Cybersicherheit zu verbessern und die Risiken eines Angriffes zu minimieren. Neben der Planung und Umsetzung, dienen bspw. ergänzende Cybersicherheitsprüfungen und die Schwerpunktsetzung Cybersicherheit durch den Aufsichtsrat als Erweiterung der Abschlussprüfung. Die Prüfungen werden als probates Mittel angesehen, um die Cyberresilienz zu bewerten, proaktiv notwendige Maßnahmen zu identifizieren und die Cybersicherheit im Unternehmen kontinuierlich zu verbessern.
Peter J. Wirnsperger Partner, Risk Advisory, Deloitte Deutschland
Christian Haas Partner, Risk Advisory, Deloitte Deutschland
Hier können Sie das ganze Magazin als PDF herunterladen:
Teilen Sie diesen Artikel:
<< Zurück zum Inhaltsverzeichnis