Der Umgang mit Cyber-Risiken in Führungs- und Prüfungsgremien

Das Einhalten der EU-Datenschutzgrundverordnung ist ein Muss

Cyber-Risiken sind längst eine der großen Herausforderungen in den Führungsgremien kleiner wie vor allem auch großer Unternehmen. Dies gilt gleichermaßen für Deutschland, Europa und die ganze Welt. Die Herausforderungen sind vielseitig und mit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) können Verstöße gegen die neu geschaffenen Regeln im Umgang mit personenbezogenen Daten mit empfindlichen Strafen geahndet werden. Die Exekutive hat hierzu ein scharfes Sanktionsinstrumentarium an der Hand.

In einem kürzlich geführten Interview mit Sir Peter Bonfield, Chairman der Unternehmens NXP und GlobalLogic sowie Vorsitzender des Prüfungsgremiums der TSMC,  legt Bonfield daher ein besonderes Augenmerk auf Unternehmen, die auf dem europäischen Markt tätig sind. Dies gilt beispielsweise sowohl für ein deutsches als auch ein US-amerikanisches Unternehmen hat, das (s)einen Sitz in der Bundesrepublik hat. Insbesondere nennt er den Bußgeldkatalog des § 83 DSGVO, der abhängig von der Art und der Schwere des Verstoßes Geldbußen von bis zu vier Prozent des weltweit erzielten Unternehmensumsatzes vorsieht. Die Höhe des Bußgeldes hat der EU-Verordnungsgeber damit in einer Höhe angesiedelt, die für ein Unternehmen niemals als vernachlässigbar geschweige denn unbedeutend angesehen werden kann. Für Bonfield ist damit klar: „Wer in Europa tätig ist, muss sich daran halten“.

Neu ist, dass Datenschutz und Cyber-Sicherheit nun zusammengehören

Deutsche Unternehmen erkennen zahlreiche Regelungen der DSGVO bereits aus dem seit vielen Jahren bestehenden Bundesdatenschutzgesetz (BDSG). Dazu zählen beispielsweise die Bestellung eines Datenschutzbeauftragten, das Anlegen von Verfahrensverzeichnissen und das Recht auf Datenrichtigkeit und Löschung. Neu an der DSGVO ist nun aber, dass das Thema Cyber-Sicherheit stärker in den Fokus rückt und neue Dokumentations-, Melde- und Genehmigungspflichten zu erfüllen sind. So muss seit Mai 2018 jede Datenschutzverletzung ohne Abwägung von Risiken für den Betroffenen ausführlich dokumentiert werden. Datenpannen müssen der Datenschutz-Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden. Das Nachkommen der Sorgfaltspflicht in Bezug auf die Datensicherheit ist durch ein stetiges Risikomanagement und regelmäßige Kontrollen nachzuweisen. Ziel ist es insgesamt, Risiken präventiv zu erkennen und adäquate technische und organisatorische Maßnahmen zu ergreifen.

Anhand dieser neu hinzugekommenen Regeln lässt sich bereits ungefähr ermessen, wie groß der Schulungsbedarf in zahlreichen Abteilungen von Unternehmen ist.

Welches Gremium ist für Cyber-Risiken zuständig?

Unternehmensstrukturell verbindet sich mit dem Thema Cyber-Risiken die Frage, welches Gremium mit der Angelegenheit betraut wird. Sir Peter Bonfield bestätigt, dass das Thema Datenschutzgrundverordnung prinzipiell Aufgabe des Führungsgremiums eines Unternehmens ist. Vielfach wird es nach seiner Erfahrung als Aufgabe an das Prüfungsgremium delegiert, das Auswirkungen und Strategien für das Unternehmen diskutiert. Jedoch darf vorliegend nicht der Eindruck erweckt werden, dass eine unliebsame Aufgabe weggeschoben werden soll. Das Führungsgremium bleibt verantwortlich und lässt sich mittels regelmäßiger Reportings stets auf dem aktuellen Stand halten.

Nicht durchgesetzt hat sich hingegen die Bildung separater Gremien für den Umgang mit Cyber-Risiken zur fachlichen Unterstützung und einer Schwerpunktbündelung. Damit soll einer strukturellen Unübersichtlichkeit vorgebeugt werden, die die Bildung sogenannter Risiko- und Technologiegremien mit sich bringen könnten. Vielmehr werde verstärkt auf externe Experten gesetzt, die mit ihrer Expertise das Führungsgremium unterstützen. Allerdings ist bei einer solchen Beauftragung wiederum die Einhaltung der Regelungen der Datenschutzgrundverordnung zu beachten. Sir Peter Bonfield empfiehlt darüber hinaus auch den Austausch mit anderen Unternehmen in diesem Bereich im Sinne eines Wissenstransfers.

Sich als Unternehmen bewusst „hacken“ lassen

Ein fremdes Unternehmen damit zu beauftragen, in das IT-System des eigenen Unternehmens einzubrechen, ist eine interessante Vorgehensweise, um Schwachstellen und Sicherheitsrisiken der eigenen IT-Infrastruktur aufzudecken und diese Sicherheitslücken gezielt zu schließen. Nicht selten treten dabei Überraschungen zu Tage, die für die IT-Abteilung überaus wichtig sind. Mittlerweile ist eine ganze Branche herangewachsen, die ihr Geld mit dem Aufspüren und Schließen von Sicherheitslücken verdient.

Nach einer Studie des Ponemon Institute in den USA haben knapp zwei Drittel aller Unternehmen auf der ganzen Welt innerhalb der vergangenen zwei Jahre einen Cyber-Vorfall erlebt, der Geschäftsabläufe durch Störungen und Ausfallzeiten in Geschäftsprozessen und Produktion geschädigt hat. Auch Datenschutzverletzungen wurden dabei vermehrt registriert. Bemerkenswert an der Studie ist jedoch, dass gut die Hälfte der befragten Unternehmen weltweit die finanziellen Aufwendungen für Schäden im Zusammenhang mit Cyber-Angriffen nicht misst. Aus Sicht der Führungsgremien der betroffenen Unternehmen bedeutet dies, dass sie keine risikobasierten Geschäftsentscheidungen treffen können, die auf messbaren Zahlen basieren.

Management-Erfahrung unabdingbar beim Umgang mit Cyber-Risiken

Um der großen Bedeutung von Cyber-Risiken angemessene Unternehmensentscheidungen treffen zu können, empfiehlt Sir Peter Bonfield in dem Interview auch, möglichst das gesamte Unternehmen für die Thematik zu sensibilisieren und bei der Ausarbeitung von Verteidigungsstrategien das gesamte Unternehmen einzubeziehen. Die Ansiedlung des Themenkomplexes etwa bei einem Chief Information Officer (CIO) oder einem Chief Technology Officer (CTO) würde der Wichtigkeit von Cyber-Risiken hingegen nicht gerecht, da es für das Finden eines effektiven Weges nicht lediglich technischen Sachverstand bedarf, sondern auch Management-Erfahrung. Dies sieht er wiederum als Argument dafür, Cyber-Risiken im Verantwortungsbereich des Führungsgremiums zu belassen.