Article

Digitale Tore schließen

Cyber Security und die Rolle des Aufsichtsrats

Im digitalen Zeitalter wächst die Bedrohung durch Cyber-Angriffe. Auch für den Standort Deutschland. Staatliche Einrichtungen und Unternehmen müssen dringend nachrüsten und in ein höheres Sicherheitsniveau investieren. Aufsichtsrat und Unternehmensführung spielen eine Schlüsselrolle und stehen gemeinsam in der Verantwortung.

Von Professor Martin Plendl, CEO Deloitte

Cyber Security ist wie die Sicherheitstechnik eines Autos. Hightech-Bremsen werden eingebaut, nicht um zuverlässig zu bremsen, sondern um noch schneller fahren zu können. Im gleichen Maße brauchen Unternehmen einen wirksamen Schutz des eigenen Know-hows und der Informationswerte, um schneller wachsen und im internationalen Wettbewerb bestehen zu können. Seit Jahren nehmen Cyber-Angriffe auf IT-Infrastrukturen, -Systeme und -Anwendungen weltweit zu. Mit den starken Global Playern und dem innovationsfreudigen Mittelstand gerät der Standort Deutschland immer öfter ins Visier von Cyber-Kriminellen. Jedes zweite Unternehmen hierzulande war in den vergangenen zwei Jahren Opfer eines Cyber-Angriffs.* Der geschätzte Schaden: 51 Milliarden Euro pro Jahr. Ist die Schutzmauer einmal durchbrochen, sind die Folgen weit reichend: manipulierte Produktionsanlagen, Verlust von Reputation und Kundenvertrauen, einbrechende Umsätze.

Die rasante Entwicklung innovativer Technologien und immer neue, ausgeklügelte Techniken der Cyber-Kriminellen verändern die Risikolandschaft der Unternehmen dramatisch. Mit jedem neuen digitalisierten Geschäftsprozess und jeder neuen Schnittstelle zu Geschäftspartnern vergrößert sich die Angriffsfläche, die Verwundbarkeit nimmt  zu. War Informationssicherheit noch vor wenigen Jahren als IT-Risiko ein Thema ausschließlich für Sicherheitsexperten, gehört sie mittlerweile zu den Top-Unternehmensrisiken und sollte als Teil eines systematischen Risikomanagements gelebt werden.

Wie geht der Aufsichtsrat mit dem Thema Cyber-Security um? Welche Pflichten hat er als oberste Kontrollinstanz des Unternehmens? Ein wirksames Cyber-Security-Management steht und fällt mit dem Engagement der Unternehmensführung und des Aufsichtsrats. Zunächst ist es Aufgabe der Unternehmensführung ein umfassendes Cyber-Security-Programm zu installieren und organisatorisch umzusetzen. Das Unternehmen sollte auf potenzielle Cyber-Angriffe vorbereitet sein, Cyber-Attacken effektiv begegnen und dabei gleichzeitig regulatorischen Anforderungen sowie geschäftlichen Entwicklungen Rechnung tragen können. Darüber hinaus steht die Unternehmensführung in der Pflicht, die umgesetzten Maßnahmen für Cyber-Sicherheit auf ihre Aktualität, Relevanz und Effektivität zu überprüfen. 

Der Aufsichtsrat spielt eine zentrale Rolle bei der Überwachung der Management-Aktivitäten. In den USA etabliert das Board of Directors zunehmend ein dediziertes Risikokomitee mit dem Fokus auf Sicherheit und Informationsschutz. In Deutschland verantwortet häufig der Prüfungsausschuss das Thema Cyber Security. Für den Aufsichtsrat  stellt sich die Frage, ob, inwieweit und mit welchen Mitteln sich die Interne Revision mit dem Thema Cyber Security beschäftigt. Er sollte klare Erwartungen an das Management stellen und Ressourcen, Budget und Fokus der Cyber-Security-Maßnahmen überwachen. Zeichnet sich beispielsweise ein Know-how-Engpass in den Bereichen Security Governance und Cyber Risk Management ab, ist das Unternehmen gut beraten, externe Expertise hinzuziehen. Darüber hinaus ist kontinuierliche Kommunikation an Management und Aufsichtsrat über Verstöße und Risiken in der Informationssicherheit  Voraussetzung für einen effektiven Schutz. Unternehmensführung und Aufsichtsrat haben die Pflicht sich darüber zu informieren. Insbesondere vor dem Hintergrund, dass Gesetzgeber und Aufsichtsbehörden Cyber Security zunehmend als Compliance-Thema adressieren. In den USA erweitert die Börsenaufsicht SEC die Berichterstattung im Rahmen des Jahresabschlusses. Angaben über den Umgang mit dem Risiko Cyber Security, die Auswirkungen potenzieller Risiken sowie über Sicherheitsvorfälle werden zum Bestandteil des Konzernabschlusses und der Risikoberichterstattung. In Deutschland verpflichtet das 2015 verabschiedete IT-Sicherheitsgesetz Betreiber der kritischen Infrastrukturen, Mindeststandards an IT-Sicherheit einzuhalten und Sicherheitsvorfälle zu melden.

Angesichts der komplexen Anforderungen an die Informationssicherheit erweitert sich das Leistungsfeld des Abschlussprüfers. Er wird zum fachkundigen Unterstützer des Aufsichtsrats in Cyber-Security-Fragen. Der Wirtschaftsprüfer verfügt über detailliertes Wissen der Unternehmensprozesse und der regulatorischen Anforderungen. Damit ist er in der Lage, Risiken frühzeitig zu identifizieren, Potenziale für Optimierung von Prozessen und Systemen zu erkennen und dem Aufsichtsrat aussagekräftige Informationen für dessen Entscheidungsfindung bereitzustellen.

Cyber Security ist eine der komplexesten Herausforderungen der digitalen Ära, der sich Unternehmen stellen müssen. Der Aufsichtsrat ist gefordert,  proaktiv zu handeln. Ansonsten gefährdet er die Zukunft des Unternehmens. Zu groß ist das Risiko, Opfer einer Cyber-Attacke zu werden. Zu kostbar die Assets, die auf dem Spiel stehen.

Die Anforderungen an die Aufsichtsräte steigen und sie bringen eine neue Qualität der Beratungs- und Überwachungsfunktion mit sich. Der Aufsichtsrat wird sich intensiver mit zukunftsgerichteten Fragen auseinandersetzen müssen, um eine nachhaltige Unternehmensentwicklung sicherzustellen.

 

*Quelle Bitkom: Studienbericht „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter“, 2015