Aufsichtsräte brauchen Know-how für IT-Sicherheit

Cyberkriminalität ist eine ernste Bedrohung für viele Unternehmen. Ein Thema, das auch Aufsichtsräte angeht. Allerdings bringen die klügsten Fragen nichts, wenn man die Antworten nicht nachvollziehen kann – es braucht also Basiswissen in Sachen Cybersicherheit. Hier ein paar Ansatzpunkte, wie sich Aufsichtsräte wappnen können und wie sie selbst mit Daten umgehen sollten.

Cyberkriminalität bedroht Unternehmen in Deutschland. Der jährliche Schaden durch den Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage liegt bei 203 Milliarden Euro, schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen Bitkom. Rund 84 Prozent der Unternehmen sind direkt betroffen. Hackerangriffe aus Russland und China sind zuletzt sprunghaft angestiegen. „Spätestens mit dem russischen Angriffskrieg gegen die Ukraine und einer hybriden Kriegsführung auch im digitalen Raum ist die Bedrohung durch Cyberattacken für die Wirtschaft in den Fokus von Unternehmen und Politik gerückt“, sagt Bitkom-Präsident Achim Berg. 
 
Firmenlenker*innen denken um: „In den vergangenen Jahren ist das Bewusstsein für Cybersicherheit in Unternehmen deutlich gestiegen“, sagt Christopher Hock, Director für Informationssicherheitsberatung und -prüfung bei Forvis Mazars in Deutschland. Er berät zahlreiche Unternehmen in Fragen IT-Sicherheit. Noch vor wenigen Jahren war Cybersicherheit ein Nischenthema für IT-Expert*innen, erzählt Hock: „Mittlerweile ist praktisch jedem Unternehmen klar, dass es Opfer eines Cyberangriffs werden kann.“

Unternehmen investieren mehr in IT-Sicherheit

Entsprechend steigt die Bereitschaft, Geld in die Hand zu nehmen: „Viele Unternehmen investieren mehr und machen Mittel frei für IT-Sicherheit“, sagt Hock. Viel Geld heißt aber nicht automatisch auch mehr Sicherheit. Es gehe darum, Prioritäten zu setzen. Grundlage sei ein funktionierendes Risikomanagement, das je nach Unternehmen und Branche individuell zugeschnitten sein müsse. Während bei Banken Cybersicherheit ganz oben stehe, sei das Thema bei Industrieunternehmen noch nicht im vergleichbaren Maß angekommen. Dabei könnten Cyberangriffe auch für Industrieunternehmen sehr folgenreich sein: Der Stillstand der Produktion und der Verlust von Kundendaten könnten hohe Schäden selbst bei der Reputation zur Folge haben.
„Die Überwachung und Kontrolle der IT-Sicherheit sollte möglichst außerhalb der IT-Abteilung erfolgen. Sonst kommt es zu Zielkonflikten zwischen Sicherheit und Effizienz“, erklärt Hock. Diese Aufgabe sollte der Chief Information Security Officer (CISO), also ein*e Informationssicherheitsbeauftragte*r, übernehmen. Diese Position sollte direkt an die Geschäftsführung oder den Vorstand angedockt sein und auch an den Aufsichtsrat berichten.

Der*die CISO initiiert beispielsweise Sicherheitstests zur Offenlegung von Schwachstellen und analysiert die Folgen unterschiedlicher Bedrohungsszenarien. Schließlich macht er oder sie Vorschläge, wie die Sicherheit im IT-Bereich verbessert werden kann. Können Sicherheitslücken aufgrund technischer oder finanzieller Gegebenheiten nicht geschlossen werden, muss die Geschäftsführung für alternative, kompensierende Sicherheitsmaßnahmen sorgen.

Schulung durch IT-Sicherheitsexpert*innen

Weil die IT-Sicherheit in fast allen Branchen an Bedeutung gewinnt, brauchen Aufsichtsräte mehr Wissen auf diesem Feld. Nur so können sie ihren Kontrollauftrag erfüllen. Aufsichtsräte müssen die Probleme verstehen und ein Bewusstsein für IT-Sicherheit entwickeln. „Sie benötigen ein Verständnis und auch ein Mindestmaß an Know-how“, sagt Hock. Einen Weg dazu bieten Schulungen durch IT-Sicherheitsexpert*innen. „Sie vermitteln ein Verständnis für die Zusammenhänge und die potenziellen Gefahren“, erklärt der Fachmann. Gute Dienste können auch Schulungsplattformen wie Udemy oder Informationskampagnen leisten. Dort könnten Aufsichtsräte Know-how rund um die IT-Datensicherheit aufbauen.

Als gute Quelle für Aufsichtsräte empfiehlt Hock auch den Security-Blog der Plattform heise.de. „Dort können sich Aufsichtsräte in guter und verständlicher Form über aktuelle Trends im Feld der Cybersicherheit informieren.“ Der Blog gibt einen guten Überblick darüber, wie aktuelle typische Angriffsmuster aussehen. In einer Welt mit wachsender Bedeutung der Digitalisierung in nahezu allen Geschäftsmodellen könnte ein Aufsichtsratsmitglied mit IT-Wissen das Gremium bereichern. Dieses Mitglied könne sich dann im Kontrollgremium schwerpunktmäßig mit IT-Sicherheit beschäftigen.

Mitarbeiter*innen als Eingangstür für Angriffe

Insgesamt gilt es, im Unternehmen das Bewusstsein für IT-Sicherheit zu schärfen. Schließlich bieten Mitarbeiter*innen die größte Angriffsfläche für Cyberangriffe. Der Klassiker ist die Erpressung durch Schadsoftware. „Das Anklicken einer scheinbar harmlosen oder nützlichen Datei, die jedoch mit bösartiger Absicht beziehungsweise Funktionalität ausgestattet ist, ist nach wie vor wichtigster Türöffner für Cyberkriminelle“, sagt Hock. Ein Problem für die Zunahme von Angriffen auf die Cybersicherheit liegt auch darin, dass Software heute mit größerem Innovationsdruck und kürzeren Updatezyklen agil entwickelt wird. Entwickler*innen verwenden zudem in verstärktem Ausmaß Softwarekomponenten aus unterschiedlichen Quellen. „Darunter leidet die Sicherheit, Sorgfalt und Prüfung.“

Mit gutem Beispiel vorangehen

Aufsichtsräte, so Hock, sollten selbst Vorbilder in Sachen Cybersicherheit sein. „Sie sollten vertrauliche Daten auch vertraulich behandeln.“ Für ihren Aufsichtsratsjob sollten sie einen Rechner des Unternehmens verwenden: So sind im Normalfall regelmäßige Updates der Sicherheitssoftware gewährleistet.

Ganz wichtig und zentral: Bei ihrer Tätigkeit sollten Aufsichtsräte kein öffentliches WLAN-Netz, zum Beispiel in der Bahn, nutzen. „Der einzige Weg für die Nutzung von Internet auf Dienstreisen, der hinreichende Sicherheit bietet, ist mithilfe einer UMTS-Karte sowie eines Virtual Private Network, VPN genannt“, betont Hock.

 

Board Briefing

Want to know more?