Cyber-Risiken fordern den Mittelstand


 

Zunehmend beeinträchtigen Cyber-Attacken das tägliche Leben. Schnell können Cyber-Attacken für Unternehmen existenzbedrohend werden. Schon die Auswirkungen der Corona-Virus-Pandemie befeuerten diese Entwicklung. Nochmals sehr verschärfend wirken die neu aufgeflammten Ost-/West-Konflikte. Politik, Aufsicht und Wirtschaft haben das Thema „Cyberrisk“ deshalb zunehmend in den Fokus genommen. Verbandsseitige Hilfestellungen sollten genutzt werden.

 

 

Praxis-Info!

 

Hintergrund

Neben unzähligen IT-Experten widmen sich auch Wirtschaftsprüfer im Rahmen ihrer Tätigkeit den Gefahren, die von Cyberrisk ausgehen. Das IDW (Institut der Wirtschaftsprüfer) hat eine Vielzahl von allgemeinen Fragestellungen zu Cyberrisk in einem Knowledge Paper zusammengestellt. Ferner gab der Angriff auf die Ukraine jüngst dem Branchenverband Bitkom Anlass, auf die Gefahrenlage und unerlässliche Schutzmaßnahmen, insbesondere in KMU, hinzuweisen.

Eine am 24.3.2022 publizierte Handelsblatt-News weist problemverschärfend darauf hin, dass Cyber-Risiken für viele Unternehmen kaum noch versicherbar seien. Demnach befürchten viele Versicherer hohe Verluste durch bereits abgeschlossene Policen. Spätestens mit Beginn des Ukraine-Kriegs habe sich das vorgeblich lukrative Geschäft zum nicht kalkulierbaren Risiko gewandelt. Der Industrieversicherer AGCS bezeichnete demnach jüngst Cyber-Vorfälle erstmals als größtes Geschäftsrisiko. Die Prämienentwicklung in der Cyber-Versicherung im Q4/2021 spricht Bände: in Kontinentaleuropa +65%, in Großbritannien +92%, in den USA +130%.

 

 

Lösung

(1) Bitkom-Warnungen: Vor diesem Hintergrund verdient die Bitkom-Empfehlung, dass Unternehmen dringend ihre Schutzmaßnahmen gegen Cyber-Angriffe verstärken, klare Verantwortlichkeiten festlegen und die Mitarbeitenden sensibilisieren sollten, höchste Priorität. Fünf konkrete Hinweise, welche Vorsichtsmaßnahmen insbesondere KMU jetzt treffen sollten, sind nachfolgend in der Tabelle aufgeführt.

 

 

Tabelle: Bitkom-Empfehlungen

1. Risiken und Auswirkungen bei Cyber-Angriffen minimieren: Betriebssysteme und Software müssen auf dem aktuellen Stand sein, Sicherheitsupdates sind zügig einzuspielen. Sichere Passwörter tragen signifikant zur Erhöhung des Schutzniveaus bei. Möglichst alle Logins mit Außenanbindung sind über eine Multi-Faktor-Authentifizierung zu schützen. Eine solche Härtung ist trotz Einschränkung der Nutzungsfreundlichkeit und Produktivität zum Schutz der unternehmenssensiblen Daten ratsam. Zudem ist die Backup-Strategie zu prüfen und nachzuziehen, sodass alle relevanten Unternehmensdaten gesichert sind und zusätzlich Sicherheitskopien offline auf einem externen Datenträger existieren.

 

2. Verantwortlichkeiten klar definieren: Unternehmen müssen in einem Angriffsfall reaktionsfähig sein. Notwendig ist die klare Definition von Verantwortlichkeiten im Sicherheitsbereich und die Einrichtung entsprechender Anlaufstellen – sowohl intern als auch bei externen Dienstleistern. Urlaubszeiten oder Vertretungen bei Krankheit sind dabei einzukalkulieren.

 

3. Beschäftigte für Cyber-Angriffe sensibilisieren: Erfahrungsgemäß bleibt der Mensch eines der größten Sicherheitsrisiken, ist aber auch Schutzgarant eines Unternehmens. Alle Beschäftigten sollten zielgruppengerecht für das erhöhte Risiko von Cyber-Angriffen sensibilisiert werden. Dazu gehört, potenzielle Gefahren verständlich zu erklären und Schritt-für-Schritt-Anleitungen bereitzustellen. Jedem muss klar sein, wie man sich im Falle eines Angriffs verhält und an wen man sich wenden kann. Ziel ist es, die Wachsamkeit in der Belegschaft zu erhöhen.

 

4. Notfallplan erstellen und Krisenkommunikation vorbereiten: Für den Fall eines Angriffs sollte im Unternehmen ein Notfallplan bereitliegen, der das weitere Vorgehen dokumentiert. Neben den technischen Schritten, die eingeleitet werden müssen, sollte der Plan auch organisatorische Punkte wie die Kontaktdaten relevanter Ansprechpersonen im Unternehmen sowie die Notfallkontakte der offiziellen Anlaufstellen beinhalten. Auch rechtliche Gesichtspunkte wie Meldepflichten bei Datenschutzverletzungen sind im Auge zu behalten. Des Weiteren gehört eine vorbereitete Krisenkommunikation dazu, um schnell alle relevanten Stakeholder wie Kundinnen und Kunden, Partnerinnen und Partner sowie die Öffentlichkeit zu informieren.

 

5. Informationen offizieller Stellen beobachten: Die Sicherheitslage ist hochdynamisch und kann sich von Tag zu Tag ändern. Unternehmen sollten daher die Meldungen von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Allianz für Cyber-Sicherheit (ACS) stets beobachten.

 

 

 

 

(2) IDW Knowledge Paper: Der bisher vorliegende Teil 1 einer insgesamt geplanten Reihe soll faktenbasierte Grundlagen vermitteln. Ausgangspunkt für die Erläuterungen in Teil 1 ist eine Zuordnung bekannter Cybercrime-Fälle in die grundlegenden Arten von Cyber-Attacken. Anhand von Beispielen wird der Ablauf derartiger Angriffe verdeutlicht. Hieran knüpft eine beispielhafte Darstellung von Präventions-, Schutz- und Abwehrmaßnahmen gegen Cyber-Attacken an. Anhand von Daten des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt das Knowledge Paper, wie angespannt die Bedrohungslage in Deutschland in einzelnen Bereichen ist. Den Abschluss bilden die Einordnung der wichtigsten Institutionen, die sich der Verhinderung von Cyberrisk widmen, sowie eine Erläuterung der europäischen und nationalen Strategien gegen solche Risiken.

 

 

 

Praxishinweise:

  • Mit dem Knowledge Paper (es trägt den Titel „Cyberrisk: Grundlagen – Definitionen, Maßnahmen, Risikolage und Organisationen“, abrufbar unter https://www.idw.de/blob/133572/ca9fea53a51afa16df74831f1a4e38fe/down-cyberrisk-data.pdf) gibt das IDW nicht nur Wirtschaftsprüfern, sondern auch Unternehmen und Beratern komprimiertes Faktenwissen zu Bedrohungsarten, möglichen Abwehrstrategien und Ansprechpartnern an die Hand. Das Thema „Cybercrime“ hat für das IDW nach eigener Aussage eine hohe Priorität; denn Digitalisierung könne ohne Cybersicherheit nicht erfolgreich sein.
  • Das IDW plante nach eigenen Angaben vom 18.11.2021, noch Ende 2021 einen zweiten Teil des Knowledge Papers zum Thema „Cyber-Risiken“ zu veröffentlichen, in dem im Vordergrund steht, wie mit Cybersecurity-Prüfungen innerhalb und außerhalb der Jahresabschlussprüfung Cyber-Risiken effektiv bekämpft werden können. An diesem Teil 2 arbeitet das IDW nach Auskunft vom 24.3.2022 noch mit Hochdruck, vielleicht sei damit Ende April 2022 zu rechnen. Dabei geht es u.a. darum, inwieweit bzw. bei welchen Anlässen Cyber-Risiken Gegenstand der Abschlussprüfung sein können.
  • Aktuelle Informationen zum Thema „Cyber-Sicherheit“ finden interessierte BC-Leser und -Leserinnen hier: https://www.bsi.bund.de und unter https://www.allianz-fuer-cybersicherheit.de.
  • Weitere Informationen zu den Auswirkungen des Ukraine-Kriegs auf die digitale Welt gibt es hier: https://www.bitkom.org/Ukraine. Die oben genannte Bitkom-Empfehlung Nr. 4 zur Notplanerstellung und Krisenkommunikation war auch Gegenstand des Krisenkommunikationsgipfels, der unter der Leitung von Frank Roselieb am 23.3.2022 in Hamburg stattfand. Einer aktiv vorbereiteten Krisenkommunikation ist, so ein Kongress-Ergebnis, dringend höherer Stellenwert einzuräumen. Dies hätten nicht zuletzt auch Naturkatastrophen wie die Flutwelle in 2021 gezeigt. Dass eine wahrhafte und verständliche Krisenkommunikation ein wichtiges Element der Gefahrenabwehr ist, bestätigten nicht nur hochrangige Ministerialbeamte, sondern insbesondere Marco Seliger in seiner Funktion als Pressesprecher des Waffenherstellers Heckler & Koch GmbH, der – zumal in Vorkriegszeiten, wie man heute leider sagen muss – stark unter Internet-Verleumdungen zu leiden hatte.

 

 

Dr. Hans-Jürgen Hillmer, BuS-Netzwerk Betriebswirtschaft und Steuern, Coesfeld

 

 

BC 4/2022