Cyber-Risiken: Was bedeutet dies für die Gremien in Unternehmen und die Risikoberichterstattung?

Mit der voranschreitenden Digitalisierung wachsen auch die Cyber-Risiken. Die Anzahl von Unternehmen, deren Daten gehackt wurden, nimmt zu. In einigen Fällen erhält das Unternehmen ein Erpresserschreiben per Fax mit einer Zahlungsforderung. Sofern das Unternehmen diese Zahlung leistet, erhält es seine Daten zurück. Da die Bezahlung häufig über Cyber-Währungen wie beispielsweise Bitcoins erfolgt, ist eine Rückverfolgung auf die Hacker nicht möglich. Eine Zahlungsverweigerung bedeutet, dass das Unternehmen sich seine Daten wieder selbst beschaffen muss.

Sofern ein Unternehmen gehackt wurde, herrscht Alarmstufe rot. Die Mitarbeiter versuchen schnellstmöglich Daten zu retten. Dieser Versuch geschieht teilweise über das Ausdrucken diverser Unterlagen des Unternehmens. Der Schaden ist in vielen Fällen nicht unerheblich und bringt vor allem eine Störung der Arbeitsabläufe über mehrere Monate, wenn nicht gar ein ganzes Jahr mit sich.

Auch wenn es mittlerweile die Möglichkeit gibt, eine Versicherung gegen Cyber-Risiken abzuschließen, kann diese nur den finanziellen Schaden verringern – nicht aber den Datenverlust und die Störung der Arbeitsabläufe. Unternehmen müssen sich daher zunehmend mit Cyber-Risiken und den Schutzmaßnahmen zu deren Vermeidung beschäftigen. Im folgenden Beitrag wird näher beleuchtet, welche Aufgaben auf den Aufsichtsrat sowie den Vorstand zukommen und was dies für die Risikoberichterstattung bedeutet.

Was die Gremien tun sollten

In einem Interview wurde Peter Bonfield, Vorstandsvorsitzender des niederländischen Unternehmens und weltweit fünftgrößten Halbleiteranbieters NXP und Vorstandsvorsitzender des Softwarekonzerns GlobalLogic mit Sitz im Silicon Valley zum Thema Cyberrisiken für Unternehmen befragt.

Peter Bonfield ist der Ansicht, dass die Datenschutz-Grundverordnung Deutschland im Griff hat. Da bei Verstößen Strafgelder in Höhe von vier bzw. fünf Prozent des weltweit erzielten Umsatzes drohen, ist das Thema auch für europäische Unternehmen wichtig. Dies betrifft auch amerikanische Unternehmen, da viele von ihnen in Europa tätig sind.

Der Experte sieht die Verantwortung beim Führungsgremium, da die Datenschutz-Grundverordnung sehr spezifisch ist. Viele Gremien delegieren einen Großteil dieser Aufgabe an das Prüfungsgremium. Dieses erarbeitet eine Strategie, wie das Unternehmen die eigenen Daten schützen kann, um Hackerangriffe zu vermeiden. Die Vorstellung dieser Strategie erfolgt wiederum beim Führungsgremium. Durch diese Vorgehensweise sind alle Gremien beteiligt. In den USA wurde bei Finanzdiensten ein eigenes Risikogremium eingerichtet, um den gestiegenen Anforderungen und Aufgaben der Prüfungsgremien gerecht zu werden.

Peter Bonfield vermutet, dass Unternehmen nicht zu viele Untergremien haben möchten und daher die Aufgabe an das Prüfungsgremium delegiert haben. In Europa ist die Unterbeauftragung weiterer Gremien nicht weit verbreitet. Es bleibt bei den meisten Unternehmen bei den Gremien zu Vergütung, Nominierung und Prüfung. Wie auch immer das Delegieren der Aufgabe erfolgt: Wichtig ist, dass das Gremium ausreichend Zeit zur Verfügung hat, um eigene Prioritäten zu setzen. Das Prüfungsgremium muss dem Führungsgremium regelmäßig Bericht erstatten. Die Verantwortung bleibt so letztlich beim Führungsgremium. Auch wenn der Prozess sehr zeitintensiv ist, diese Zeit müssen Unternehmen unbedingt investieren.

Unternehmen, die keinen Experten im Führungsgremium haben, der sich mit Cyber-Risiken auskennt, empfiehlt Peter Bonfield das Hinzuziehen eines externen Experten. Außerdem sollten Unternehmen aktiv nach Austausch von Fachwissen mit anderen Unternehmen suchen. Nur so können entsprechende Schutzmaßnahmen ergriffen werden, die einen Hackerangriff verhindern können.

Das Thema Cyber-Risiken ist mittlerweile so dominant, dass es nach Ansicht des Experten nicht ausreicht, ein Experte im Gremium zu haben. Vielmehr muss die Absicherung Aufgabe des gesamten Unternehmens sein. Jede Person im Unternehmen bietet eine potenzielle Angriffsfläche. Aus diesem Grund ist es wichtig, alle Mitarbeiter eines Unternehmens in die Schutzmaßnahmen mit einzubeziehen.

Laut Aussage von Peter Bonfield funktioniert es in der Regel nicht, wenn ein einziges Mitglied des Gremiums mit dem Thema beauftragt wird und dieser ansonsten keine Managementerfahrung hat. Bisher waren Versuche von Unternehmen, dies so zu handhaben, erfolglos. Wichtig für eine erfolgreiche Herangehensweise sind verschiedene Meinungen der Vorstandsmitglieder. Es wäre falsch, sich zurückzulehnen und das Thema einem einzigen Experten zu überlassen. Ein Experte wird dann benötigt, wenn spezielle Themen rund um die Cyber-Risiken anstehen und diese diskutiert werden müssen. Bei den Vorstandsmitgliedern ist es wichtig, dass jedes einzelne Mitglied mit dem gesamten Unternehmen vertraut ist.

Wie sich dies auf die Risikoberichterstattung auswirkt

Die Darstellung bestehender Cyber-Risiken im Risikobericht hat in den letzten Jahren an Bedeutung gewonnen. Der Fokus der Investoren liegt zunehmend auch auf der Darstellung der bestehenden Cyber-Risiken und die Schutzmaßnahmen aus Sicht der Unternehmen. Noch ist es in den Risikoberichten jedoch so, dass der Begriff Cyber -Risiken abgegrenzt von anderen Risiken der Unternehmen bei wenigen Unternehmen separat abgegrenzt wird.

Je bedeutender ein einzelnes Risiko ist, desto eher wird es in der Berichterstattung separat dargestellt und gewichtet. Insbesondere bei der Einschätzung des Eintretens und des möglichen finanziellen Schadens für das Unternehmen hat sich bei Cyber-Risiken in den letzten Jahren einige Veränderungen gegeben. Dies wird sich in den nächsten Jahren bei einigen Unternehmen erheblich ändern. Dies liegt nicht nur an der zunehmenden Relevanz für Unternehmen, sondern auch an der gestiegenen Anzahl an Unternehmen mit digitalen Geschäftsmodellen. Unternehmen, deren Existenz von der Zugriffsmöglichkeit ihrer Website abhängt, sind besonders gefährdet. Sofern ihre Internetseite einige Stunden oder Tage offline ist, bedeutet dies nicht nur erhebliche Umsatzeinbußen, sondern möglicherweise auch einen Vertrauensverlust bei den Kunden.

Das Thema Cyber-Risiken wird nicht nur Unternehmen, seine Mitarbeiter und die Gremien beschäftigen, sondern auch die Investoren. Es wird sich zeigen, wie die bestehenden Risiken auftreten und welche Gegenmaßnahmen langfristig die wirkungsvollsten sind.