Warum sich auch der Aufsichtsrat mit Cybersicherheit beschäftigen sollte

Sogenannte Cyberangriffe werden von namhaften Fachleuten als neue Form der Kriegsführung bezeichnet. Derlei Angriffe sind im Stande, ganze Infrastrukturen wie die Stromversorgung von Städten und die Verkehrsführung auf Straßen, Schienen und in der Luft lahmzulegen. Zahlreiche Unternehmen waren in der Vergangenheit ebenfalls Zielscheibe von Cyberangriffen – mit teilweise beträchtlichem Schaden. Aufsichtsrat und Unternehmensführung spielen eine wichtige Rolle bei der Prävention von Attacken auf die immer bedeutender werdende IT-Infrastruktur. Dieser Beitrag nennt die Gründe, warum das Thema Cybersicherheit regelmäßig auf der Tagesordnung jedes Aufsichtsrats stehen sollte.

Was sind Cyberrisiken?

Wichtige Bestandteile des Cyberraums sind darin enthaltene Daten und Informationen – vom einzelnen Datum, einer durchgeführten Transaktion bis zur großen Datenbank, die zentral sämtliche Bereiche des digitalen Geschäftslebens abdeckt, wertvolle Firmengeheimnisse inklusive. „Dem Schutz dieser Informationen kommt im Hinblick auf Vertraulichkeit, Integrität sowie Sicherstellung ihrer Verfügbarkeit eine große Bedeutung zu. Man spricht hierbei von Informationssicherheit, also der Frage danach, wie Informationen und Daten abgesichert werden können. Auch Datenschutz und der Schutz der Privatsphäre setzen hier an“, schreiben die Autoren Sebastian Hess und Sebastian Klipper in der Zeitschrift „Der Aufsichtsrat“ (Ausgabe 09/2018). Neben der firmeninternen IT-Infrastruktur seien aber auch Datenräume im Fokus von Angriffen, die innerhalb des Aufsichtsrats genutzt werden und wo deren Mitglieder regelmäßig sensitive Informationen untereinander austauschen. Dabei muss jedes Unternehmen abwägen, ob es sich für ein offenes Datenaustauschsystem oder für ein geschlossenes und sichereres System entscheidet.

Bewusstsein für Cybersicherheit wird geschärft

Die Autoren stellen auch fest, dass in der Vergangenheit die Bedeutung von Cyberrisiken in deutschen Unternehmen von Management und Aufsichtsrat sehr viel später erkannt wurde als beispielsweise in den USA. Mittlerweile dürfte Cybersicherheit aber auch in allen Chefetagen deutscher Unternehmen jeglicher Größe angekommen sein.

Klar ist dabei, dass Unternehmen einen wirksamen Schutz ihres Know-hows und ihrer Informationswerte benötigen, um wachsen zu können und ohne Sabotage, Verlust von Reputation und Datenklau im internationalen Wettbewerb bestehen zu können und in ihrer Wertschöpfung voranzukommen. Dennoch scheuen viele Manager und Aufsichtsräte die Verantwortung für dieses äußerst komplexe Themengebiet der Cybersicherheit und überlassen diese Aufgabe gänzlich ihrer IT-Abteilung. In jüngerer Zeit sind Diskussionen über digitale Chancen und Risiken aber auch in den Kontrollgremien angekommen, das Bewusstsein für die Herausforderungen erfährt eine zunehmende Schärfung.

BDI-Chef Kempf: Aufsichtsrat muss sich über Risiken berichten lassen

„Wenn wir von Cyberkriminalität reden, klingt das immer wie Wissenschaft. Aber das ist es nicht“, sagte unlängst Dieter Kempf, Präsident des Bundesverbands der Deutschen Industrie (BDI) und früherer Chef des Nürnberger IT-Dienstleisters DATEV. Für Internetbetrüger sei es sehr einfach, ihre Opfer zu übertölpeln. Der Klassiker seien gefälschte Mails vom Chef an Sekretariat oder Kollegen in der Geschäftsführung mit der Aufforderung, Geld auf ein Auslandskonto zu überweisen, weil sonst ein toller Deal platzt. Alarmierend sei auch, dass es im Durchschnitt 145 Tage brauche, bis ein Betrug in den Betrieben festgestellt werde. Ebenso seien gezielte Hacker-Angriffe auf Vertriebs- und Kundendaten und die anschließende Erpressung, die Daten erst nach Zahlung eines Lösegeldes freizugeben, gängige Praxis. Betrugsmaschen, die im Verbraucherbereich längst gang und gäbe sind, würden bald auch flächendeckend auf Industrieplattformen ausgeweitet – mit entsprechend höherem Schadenspotenzial.

Kempfs Appell an Aufsichtsräte, die er Ende 2018 im Handelsblatt geäußert hat, lautet: Der Aufsichtsrat soll sich regelmäßig vom Vorstand berichten lassen, welche Risiken er sehe, welche Maßnahmen ergriffen wurden und welche Handlungsalternativen es gebe. Cybersicherheit müsse Teil des Risikomanagements werden, das der Aufsichtsrat ohnehin regelmäßig prüfen sollte.

Bedarf an gesichertem Board-System?

Eine weitere spannende Frage, die der deutsche Manager und Multiaufsichtsrat Klaus Mangold (u.a. Tui und Continental) aufwirft, lautet: „Brauchen Unternehmen ein gesichertes Board-System?“ In den USA müssten Board-Mitglieder vor den Sitzungen häufig ihre Mobiltelefone abgeben. Derlei Maßnahme findet man in deutschen Aufsichtsratsgremien bisher sehr selten. Mangold plädiert dafür, dass Aufsichtsräte kritisch sein sollen. Kritische Stimmen müssten dabei ernst genommen werden und Teil einer offenen Kultur sein. Die Bildung von Ausschüssen, in denen Cyberrisiken schwerpunktmäßig diskutiert werden, sieht Mangold kritisch. „Damit besteht die Gefahr, dass wichtige Themen am Aufsichtsrat vorbeilaufen“, sagte er dem Handelsblatt. Solche Parallelwelten sollten vermieden werden. Die Blockchain-Expertin und Unternehmerin Katharina Gehra (ehemalige Partnerin der Interritus-Gruppe und Aufsichtsrätin der Kommunalkredit Austria) sieht vor allem auch junge Aufsichtsräte in der Pflicht, ihre Expertise einzubringen und für das Thema Datensicherheit zu sensibilisieren.

Fazit

Die Zeitschrift „Der Aufsichtsrat“ berichtet, dass einer Studie zufolge 90 Prozent der Vorstände börsennotierter deutscher Unternehmen angeben, dass ihre Aufsichtsräte regelmäßig über Cybersicherheitsthemen diskutieren. Allerdings wurde die Qualität der vorliegenden Informationen über die Cybersicherheit im Vergleich mit anderen Themen am niedrigsten bewertet. Fast ein Viertel der Befragten gibt an, dass sie mit der Qualität der Informationen zur Cybersicherheit unzufrieden oder sehr unzufrieden seien. Grund dafür sei, dass es bei einem Austausch zwischen Cyberexperten und Aufsichtsräten oftmals zu Verständnisproblemen komme. Somit scheitere eine Diskussion über Cyberthemen mit direkter Relevanz für Geschäfts- und Existenzrisiken zu häufig.

Positiv ist dennoch hervorzuheben, dass Cyberrisiken in deutschen Unternehmen mittlerweile sehr viel ernster genommen als dies noch vor ein paar Jahren der Fall war. Im Zeitalter der Digitalisierung wird sich diese Tendenz fortsetzen. Dafür sorgt auch die Berichterstattung in den Medien und der Umstand, dass Cyberangriffe faktisch regelmäßig stattfinden und abgewehrt werden müssen. Die Thematisierung in Aufsichtsratssitzungen ist damit unumgänglich.