Editorial der RMA-News im Controller Magazin
Liebe Leserinnen und Leser,
wir leben und agieren in einer Umgebung großer Herausforderungen, wie die fortschreitende Entwicklung im Bereich der Digitalisierung, Artificial Intelligence und Machine Learning; Veränderungen, die die globale Pandemie mit sich brachte, wie die Forcierung digitalisierter Geschäftsprozesse bis hin zu Lieferkettenunterbrechungen und Versorgungsproblemen, sowie zwischenstaatliche Konflikte und Kriege. Damit einhergehend mussten wir auch auf dramatische Weise unsere Verwundbarkeit der staatlichen, wirtschaftlichen und gesellschaftlichen Systeme erkennen und dass Gesundheit, Wohlstand, wirtschaftliche Prosperität und Sicherheit keine Selbstverständlichkeit sind.
Cyberkriminalität hat in diesem Umfeld eine neue Dynamik erfahren. Schätzungen zur Folge beträgt der volkswirtschaftliche Schaden mit stark zunehmender Tendenz Billionen USD. Sie stellt eine erhebliche Gefahr für Unternehmen dar, weil sie auf verschiedene Weise deren Sicherheit, finanzielle Stabilität und Reputation bedroht. Cyberangriffe wurden 2022 im Allianz Risk Report als eines der drei größten Geschäftsrisiken identifiziert. Viele Unternehmen wurden bereits gehackt und erlitten hohe finanzielle Verluste, sei es durch Erpressung, Betriebsausfall, Datenverlust oder Instandsetzungskosten.
Das Bewusstsein für Cybersicherheit in den Unternehmen und Organisationen wächst zwar, aber die Zahl und die Methoden der Cyber-Attacken steigt überproportional, sodass die Abwehrmaßnahmen hinterherhinken. Kriminelle aus dem Netz finden neue Betätigungsfelder im Bereich der (Wirtschafts)Spionage durch APTs (Advanced Persistent Threats), durch Ransomware, sowie breit gestreute Phishing Mails. Auch Social Engineering wird immer perfider. Durch kommunikative Manipulation oder Beeinflussung von Menschen unter Ausnutzung ihres sozialen Verhaltens verschaffen sich die Kriminellen Zugangsdaten, nutzen Autoritätshörigkeit und Hilfsbereitschaft aus und täuschen Notsituationen vor. Unter dem Aufbau von Zeitdruck wird den zum Handeln aufgeforderten Personen kaum Zeit gelassen, vernünftig nachzudenken.
Die Kombination aus hoher Eintrittswahrscheinlichkeit einen Cyberangriff zu erleiden und dem drohenden massiven Schaden führt zu einem erheblichen Gesamtrisiko für Unternehmen, deren Tätigkeit von Daten und IT-Systemen abhängig ist – und das ist mittlerweile doch schon jedes Unternehmen. In Anbetracht der Tatsache, dass sich die Technologien ständig verändern und sich mit rasanter Geschwindigkeit weiterentwickeln und andererseits Cyber-Kriminellen immer leistungsfähigere und erschwinglichere Hacking Ressourcen zur Verfügung stehen, bedarf es in diesem Umfeld einer Umstellung von einem defensiven Cyber-Verhalten, verstärkt eine Cyber-Resilienzposition anzustreben. Dafür benötigen Unternehmen Sicherheitsfachkräfte mit dem entsprechenden Know-how, die Bereitstellung erforderlicher Budgetmittel, die Integration in das unternehmensweite Risikomanagement und generell einer hohen Beimessung von Sicherheitsbewusstsein in der Unternehmenskultur.
Hier sind einige Gründe, warum Cyberkriminalität für Unternehmen eine große Gefahr darstellt:
Datenverlust und -diebstahl: Hacker können in Unternehmensnetzwerke eindringen und sensible Daten wie Kundendaten, Geschäftsgeheimnisse und geistiges Eigentum stehlen. Der Verlust solcher Informationen kann für ein Unternehmen katastrophale Folgen haben und zu finanziellen Verlusten, rechtlichen Konsequenzen und einem Vertrauensverlust bei Kunden und anderen Stakeholdern führen.
Betriebsstörungen: Cyberangriffe können die IT-Infrastruktur eines Unternehmens beeinträchtigen, indem sie Netzwerke lahmlegen, den Zugriff auf wichtige Systeme blockieren oder Dienste unbrauchbar machen. Solche Betriebsstörungen können zu erheblichen Produktionsausfällen, Umsatzeinbußen und Reputationsschäden führen. Betriebsstörungen sind nicht nur relevant für das eigene Unternehmen, sondern für alle Geschäftspartner in der Lieferkette.
Ransomware: Eine Form von Cyberangriffen, bei denen Angreifer die Daten oder Systeme eines Unternehmens verschlüsseln und Lösegeld für die Entschlüsselung verlangen. Ransomware-Angriffe können Unternehmen erpressen, indem sie die Unterbrechung ihrer Dienste oder mit den Verlust wichtiger Daten drohen. Die Entscheidung ob Lösegeld bezahlt werden soll, sollte im Vorfeld überlegt werden, denn der Zeitdruck gehört zu der Art des Angriffs.
Finanzielle Verluste: Cyberkriminalität kann zu folgenschweren finanziellen Schäden führen, sei es durch direkte Diebstähle, Betrug, Erpressung oder durch die Kosten des Betriebsstillstandes, für die Wiederherstellung der IT-Infrastruktur und die Behebung von Sicherheitslücken.
Rechtliche und regulatorische Konsequenzen: Unternehmen, die Opfer von Cyberangriffen werden, könnten sich rechtlichen und regulatorischen Herausforderungen gegenübersehen.
Geschäftsleiter können von Gesellschaftern in die Verantwortung genommen werden, wenn sie es verabsäumt haben, effektive präventive Maßnahmen zu setzen oder bei einem konkreten Vorfall inadäquat handeln. Die Business Judgement Rule wird bei der Beurteilung entscheidend sein.
Hingegen ist Cybercrime für die Täter risikoarm. Die Ausforschung und die Aufklärungsarbeit ist sehr schwierig, denn die Kriminellen sind in den verschiedensten Ländern tätig, wo ein Zugriff und eine Rechtsverfolgung schier unmöglich ist.
Immer mehr gesetzliche Regularien, wie zum Beispiel die DSGVO oder die NISG, haben zum Ziel Unternehmen dazu anzuhalten, Sicherheitsvorkehrungen durch technische und organisatorische Maßnahmen zu treffen und ihre Risiken zu mitigieren. Bei Verstößen drohen Bußgelder in beachtlicher Höhe.
Reputationsschaden: Das Vertrauen von Kunden, Lieferanten und Geschäftspartnern ist für den Erfolg eines Unternehmens von entscheidender Bedeutung. Cyberkriminalität kann zu einem beachtlichen Ansehensverlust führen, wenn Kunden das Gefühl haben, dass ihre Daten nicht sicher sind oder dass das Unternehmen seine IT-Sicherheit nicht ernst nimmt.
Wettbewerbsnachteile: Wenn ein Unternehmen Opfer von Cyberangriffen wird, könnte es an Wettbewerbsfähigkeit verlieren. Konkurrenten könnten versuchen, den Vorfall auszunutzen, um Kunden abzuwerben oder das Unternehmen als unsicher darzustellen. Bad News verbreiten sich gerade über die sozialen Medien rasant schnell.
FAZIT:
Die ständige Weiterentwicklung von Cyberkriminalität und die zunehmende Vernetzung der Unternehmenswelt erhöhen die Bedrohung durch Cyberangriffe. Eine Cybersicherheitsstrategie braucht gleichermaßen präventive als auch reaktive Komponenten für eine nachhaltige Cyber Resilienz. Dazu zählt ein ganzheitliches Risikomanagement, den Einsatz von Sicherheitstechnologien, regelmäßige Schulungen der Mitarbeiter, die Einhaltung von Best Practices in der IT-Sicherheit und die Zusammenarbeit mit externen Sicherheitsexperten. Eine Versicherung für Cyberrisken wird im Schadensfall auch nur dann hilfreich sein, wenn entsprechende Präventionsmaßnahmen nachweislich getroffen wurden. Eine weitere Herausforderung ist die laufende Aktualisierung der Maßnahmen entsprechend der sich ständig verändernden Gefahrenlage durch neue Methoden und Technologien. Sollte dennoch eine unvorhergesehene Cyber Attacke mit gravierenden Folgen für das Unternehmen erfolgen, bietet ein Business Continuity Plan mit dokumentierten Anweisungen, Prozessen und Werkzeugen wertvolle Unterstützung für den Wiederanlauf und Fortführung des Betriebes. Dazu zählt ebenso die Vorbereitung eines Notfallplans wie auch eine adäquate Krisenkommunikation.
Die RMA Risk Management & Rating Association e.V. widmet sich als unabhängige Interessensvertretung im deutschsprachigen Raum auch im Rahmen ihrer Veranstaltungen u. a. dem Themen Cyber Risk und Information Security. www.rma-ev.org
Mit den besten Grüßen
Brigitta John