5 Minuten Lesezeit 28 Juli 2021
Junge Unternehmer in der Start-up-Phase treffen sich zu einem Brainstorming, um neue Investitionsprojekte zu besprechen.

Warum Cybersicherheit ein Thema für Vorstand und Aufsichtsrat ist

Autoren
Matthias Bandemer

EY Germany Cybersecurity Leader, EY Consulting GmbH | Deutschland

Ist mit Leidenschaft dabei, eine besser funktionierende Arbeitswelt mit hoher Cybersicherheit zu gestalten, um Werte zu erhalten und Vertrauen zu schaffen.

Peter Rehäußer

Director im Bereich Cybersecurity für Mittelstandskunden, EY Consulting GmbH I Deutschland

Verantwortet die technikgeprägten Cybersecurity-Themen. Betreut internationale Kunden aus unterschiedlichsten Branchen.

Lars Weimer

Partner Financial Services & Advisory Services EY Consulting GmbH | EMEIA

Sorgt für Sicherheit in unserem Finanzsystem und schafft Vertrauen in die Datenverarbeitung. Nimmt sich Zeit für seine Familie, Ski und Motorrad – nur zum Tauchen kommt er momentan nicht.

5 Minuten Lesezeit 28 Juli 2021

Unternehmen werden immer häufiger Ziel von Cyberangriffen. Vorstand und Aufsichtsrat sind gefordert, sich aktiv mit dem Thema zu befassen.

Überblick
  • Vorstand und Aufsichtsrat sind gesetzlich verpflichtet, Maßnahmen zum Schutz und zur Abwehr von Cyberrisiken zu treffen.
  • Die Haftung kann nur bedingt durch Cyberversicherungen abgemildert werden. Nur kompetente Cyberexperten können gegen die kompetenten Angreifer schützen.
  • Cybersicherheit kann ein Wettbewerbsvorteil bei digitalen Produkten, Prozessen und Transaktionen sein.

In der jüngsten Vergangenheit haben Cyberangriffe nicht nur Universitäten oder Politiker getroffen, sondern sogar kritische Infrastrukturen wie die Strom- oder Wasserversorgung, Krankenhäuser oder Kommunikationssysteme lahmgelegt. Private Unternehmen aller Größen sind in letzter Zeit verstärkt zur Zielscheibe von Cyberattacken geworden, die beträchtlichen Schaden anrichten und auch die Existenz bedrohen können. Beispiele sind gestohlene Kundendaten oder Innovationen, gefälschte E-Mails vom Chef (CEO-Fraud) mit der Aufforderung, Geld auf Auslandskonten zu überweisen, oder die Blockade der Produktionsanlagen mit anschließender Erpressung. In diesen Zeiten sind Cyberangriffe zu einem der größten Unternehmensrisiken geworden! Der Aufsichtsrat und die Unternehmensführung spielen eine zentrale Rolle bei der Abwehr und Bewältigung der Attacken, da sie die zentralen Strukturen schaffen und unterhalten müssen. Das Thema ist zu wichtig und tiefgreifend, um es auf die IT-Abteilung abzuwälzen – von den Haftungsfragen ganz abgesehen.

Cybersicherheit fängt in der Führungsebene an

Ob aus grober gedanklicher Vereinfachung, Sorge vor der Komplexität des Themas oder anderen Gründen delegieren Vorstände das Thema gerne an die IT-Abteilung und verlassen sich auf deren Kompetenz, ohne weiter aktiv das Thema zu betrachten. Cybersicherheit ist jedoch viel mehr als sichere IT und ohne regelmäßige Vorstandstermine können keine wirklichen Veränderungen herbeigeführt werden.

Ein wirksames Cybersecurity- und Datenschutzmanagement, das nicht nur den gesetzlichen Auflagen genügt, sondern die faktischen Risiken adressiert, steht und fällt mit dem Engagement der Unternehmensspitze. Der Vorstand sollte sich darüber im Klaren sein, dass Cybersicherheit und Datenschutz in letzter Instanz nur von ihm verantwortet und damit getrieben werden kann. Es ist eben nicht nur ein untergeordnetes IT- oder Compliance-Thema. Idealerweise verabschiedet der Vorstand eine Cybersicherheits- und Datenschutzstrategie mit entsprechenden Zielen, setzt diese in Kraft und veröffentlicht sie intern. Dies ist auch ein wichtiges Signal an die Belegschaft, wie ernst das Thema genommen wird.

Ein wirksames Cybersecurity- und Datenschutzmanagement steht und fällt mit dem Engagement der Unternehmensspitze.

Viele der gesetzlichen Auflagen können Vorstände nicht ohne weiteres auf Mitarbeiter oder Externe übertragen. Deutsche Gerichte haben es bereits als Pflichtverletzung gewertet, wenn die Einrichtung eines Compliance-Systems fehlerhaft delegiert oder nicht ausreichend überwacht wurde. Ähnliches gilt für GmbH-Geschäftsführer, die bei Pflichtverletzungen zudem mit ihrem Privatvermögen haften können.

Mit der Einrichtung der Cybersicherheits- und Datenschutzsysteme ist es jedoch nicht getan. Der Vorstand muss die Funktionsfähigkeit eines betrieblichen Risikomanagements kontinuierlich überwachen. Daher gehören die Themen Cybersicherheit und Datenschutz regelmäßig auf die Agenda der Vorstandssitzungen. Die aktuelle Risikosituation ist ebenso im Detail zu besprechen wie der Status der laufenden und geplanten Sicherheitsmaßnahmen. Bei den Risiken geht es nicht etwa um jeden einzelnen verlorenen Laptop – es sei denn, hierauf befanden sich unverschlüsselt Geschäftsgeheimnisse –, sondern vielmehr um die Risiken für den Geschäftsbetrieb, Kunden oder Großprojekte. Lange Umsetzungszeiträume und Verzögerungen sind bei Sicherheitsmaßnahmen wie etwa beim Schließen von Sicherheitslücken in geschäftskritischen IT-Systemen leider keine Seltenheit, da sie gegen andere Projekte herabpriorisiert werden. Der Vorstand muss mit Nachdruck eine zeitgerechte Umsetzung einfordern, um seiner Vorsorgepflicht nachzukommen.

Eines ist klar: Die Umsetzung und Kontrolle der Cybersicherheits- und Datenschutzsysteme gelingen nur, wenn im Unternehmen offen kommuniziert wird. Probleme dürfen nicht aus Sorge vor Repressalien oder falschem Statusdenken unter den Tisch gekehrt werden. Wenn der Vorstand nicht in aller Klarheit über die Sicherheitslage, Schwierigkeiten oder gar Angriffe informiert wird, kann er auch nicht reagieren.

Kontrolle durch den Aufsichtsrat

Ebenso wie der Vorstand kann auch der Aufsichtsrat seiner Aufgabe – der Überwachung des Managements – nur nachkommen, wenn er ausreichend informiert ist. Ein regelmäßiges Reporting vom Vorstand in Richtung Aufsichtsrat ist die Basis, wozu dem Vorstand natürlich die Grundlagen-Informationen benötigt. Überdies erwarten Investoren umfangreiche Auskünfte. Inzwischen wird über den Umgang mit Cyberrisiken und Sicherheitsvorfällen regelmäßig in Jahresabschlüssen berichtet.

Experten gegen Experten: Cyberabwehr aufrüsten, um den Angreifern Paroli zu bieten

Technik, Psychologie, Betriebsführung, Organisation und Finanzen: Angreifer sind schon lange keine Einzelpersonen mehr und besitzen heute ein umfassendes Expertenwissen oder können dies in den dunklen Ecken des Internet zukaufen. Die unternehmensinterne Verantwortung für Cybersicherheit und Datenschutz in all ihrer Komplexität gehört daher ebenfalls in die Hände von ausgewiesenen Cyber-Fachleuten mit entsprechender Entscheidungskompetenz und den notwendigen Ressourcen, oft auch ergänzt um externe Expertise. Die Verantwortlichen sollten ihre Themen dabei nicht nur organisatorisch und technisch durchdringen. Sie sollten diese auch zielgruppengerecht kommunizieren können, dass der Vorstand die Situation versteht und sinnvolle und strategische Entscheidungen treffen kann und trifft.

Unzureichendes Sicherheitsmanagement: Vorstand und Aufsichtsrat können in Regress genommen werden

Vorstände von Aktiengesellschaften aber auch Geschäftsführer von GmbHs sind in Deutschland gesetzlich verpflichtet, ein betriebliches Überwachungssystem (IKS) einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Dazu zählt insbesondere vor dem Hintergrund fortschreitender Unternehmensdigitalisierung auch ein Informationssicherheits- und Datenschutzmanagementsystem (ISMS bzw. DSMS). Dies ergibt sich aus den allgemeinen Pflichten, Sorge für das Unternehmen zu tragen und Schaden abzuwenden. Im Ausland ist die Rechtslage ähnlich. Wenn der Vorstand dieser Verpflichtung und der Aufsichtsrat seiner Überwachungspflicht nicht in ausreichendem Maße nachkommen und dem Unternehmen dadurch ein Schaden entsteht, können beide in Regress genommen werden. Neben hohen Geldbußen drohen Schadenersatzansprüche.

Wenn Vorstand und Aufsichtsrat ihren Pflichten zur Einrichtung und Überwachung der Cybersicherheitsmaßnahmen nicht nachkommen und dem Unternehmen dadurch ein Schaden entsteht, können beide in Regress genommen werden.

Cyberversicherungen können das Risiko mildern. Bei nachweisbaren Versäumnissen in der Cyber-Vorsorge bietet die Police jedoch nur vermeintlichen Rückhalt. Die Versicherer haben hier mit Ausschlussklauseln vorgesorgt. Versicherungsschutz erhält nur, wer umfangreiche Sicherungssysteme gegen Cyberangriffe vorweisen kann. Die Assekuranzen schauen hier sehr genau hin. Wer den Anforderungen nicht genügt, erhält keine Absicherung oder nur zu einer sehr hohen Versicherungsprämie.

Cybersecurity als Mehrwert statt als lästige Pflichtaufgabe

Cybersicherheit wird oft nur als notwendige Compliance-Aufgabe oder gar als reiner Kostenfaktor betrachtet. Dabei kann eine hohe Sicherheit bei digitalen Prozessen oder Produkten ein Mehrwert oder Wettbewerbsvorteil sein. Cloud-Systeme oder Plattformen etwa funktionieren nur zuverlässig, wenn sie von Grund auf sicher sind. Das Kundenvertrauen kann durch nachweislich existente Sicherheitsmaßnahmen gestärkt werden. Cybersicherheit ist so notwendig wie das Qualitätsmanagement.

Investitionen in eigene oder externe Cyberexperten, deren Analysen und Auswertungen sowie die Umsetzung risikosenkender Maßnahmen zahlen sich somit langfristig aus. Wen die hohen initialen Kosten (CAPEX) abschrecken, für den könnten Managed Services mit Fokus auf laufenden Kosten (OPEX) eine Option sein. Vom externen Datenschutzbeauftragten über einzelne organisatorische oder technische Services bis hin zum vollausgestatteten Managed-Security-Operation-Center bietet der Markt hier alles. 

  • Co-Autor: Dr. Christian Dressel

    Dr. Christian Dressel führt als Director im Bereich Cybersecurity GSA Projekte zu Datenschutz und Datensicherheit sowie Cybersicherheit durch. Er unterstützt Unternehmen bei Planung und Etablierung von Datenschutzmanagementsystemen (DSMS) und berät zu Fragen der organisatorischen und technischen Umsetzung rechtlicher Anforderungen in den Bereichen Datenschutz und Datensicherheit sowie Cybersicherheit. Außerdem beschäftigt er sich mit Fragen der haftungsvermeidenden und -reduzierenden Gestaltung der betrieblichen Ablauf- und Aufbauorganisation im Bereich Datenschutz und Cybersicherheit aus der Perspektive der leitenden und überwachenden Unternehmensorgane.

Disclaimer: Dieser Artikel stellt lediglich den rechtlichen Rahmen in Deutschland dar. Er ist keine Rechtsberatung.

Fazit

In Zeiten der Digitalisierung sind Cyberangriffe zu einem der größten Risiken für Unternehmen geworden. Vorstand und Aufsichtsrat spielen eine zentrale Rolle bei der Abwehr und Bewältigung von Cyberattacken und haften zudem für Versäumnisse. Doch Cybersicherheit ist mehr als die Erfüllung gesetzlicher Anforderungen. Sie kann sogar zu einem klaren Wettbewerbsvorteil werden.

Über diesen Artikel

Autoren
Matthias Bandemer

EY Germany Cybersecurity Leader, EY Consulting GmbH | Deutschland

Ist mit Leidenschaft dabei, eine besser funktionierende Arbeitswelt mit hoher Cybersicherheit zu gestalten, um Werte zu erhalten und Vertrauen zu schaffen.

Peter Rehäußer

Director im Bereich Cybersecurity für Mittelstandskunden, EY Consulting GmbH I Deutschland

Verantwortet die technikgeprägten Cybersecurity-Themen. Betreut internationale Kunden aus unterschiedlichsten Branchen.

Lars Weimer

Partner Financial Services & Advisory Services EY Consulting GmbH | EMEIA

Sorgt für Sicherheit in unserem Finanzsystem und schafft Vertrauen in die Datenverarbeitung. Nimmt sich Zeit für seine Familie, Ski und Motorrad – nur zum Tauchen kommt er momentan nicht.