Der Digitalisierungsschub der letzten drei Jahre hat die Grundlage zu mehr Cyberangriffen gelegt. Börsengeführte Unternehmen sind ebenso betroffen wie Banken und der Mittelstand. Hacker greifen Unternehmen jeder Branche an. Cybersecurity ist längst Managementaufgabe: der Cybervorstand – eine neue Position mit IT-Verständnis.

Auf den ersten Blick scheint die Aufgabe klar: finanzielle und reputative Schäden für das Unternehmen verhindern und persönliche Haftung reduzieren. Denn die müssen Vorstände, Aufsichtsräte, Management Board und Geschäftsführung fürchten, wenn es zu einer Cyberattacke kommt. Die Challenge ist, schnell und professionell zu reagieren, wenn der Angriff passiert.

Aber: Ist in Unternehmen die benötigte Kompetenz zur Herstellung der Informationssicherheit vorhanden? Unsere Erfahrung zeigt, dass noch Lücken klaffen. Oft werden Führungspersonen mit dieser Aufgabe betraut, die schon andere Bereiche verantworten. In der Regel stecken sie zu wenig in der Materie. Sie bewerten Risiken falsch und haben zu wenig Sensibilität für die rechtlichen Auswirkungen von Cyberrisiken. Woher auch? Das Thema ist neu, die Risiken sind enorm. Die persönliche Verantwortung von Cybervorständen wiegt schwer.

Neben Erfolgen, die Unternehmen durch die Digitalisierung erzielen, macht ebendiese Digitalisierung Unternehmen auch verwundbarer. Wenn Systeme ausfallen, infiltriert werden oder es zum Datendiebstahl kommt, drohen Imageschäden und Schadenersatzklagen. Am schlimmsten ist es, wenn Unternehmen lahmgelegt werden. In manchen Branchen, wie z. B. im Notfallwesen, können sogar Leben auf dem Spiel stehen. Auf jeden Fall laufen die Kosten mit jeder Minute weiter und reißen tiefe ökonomische Löcher.

Auf Vorstandsebene allerdings werden die Folgen des Ausfallrisikos noch zu wenig wahrgenommen. Immer noch glauben viele, eine Cyberattacke betreffe nur die anderen. Doch laut Spezialisten ist der Cyberangriff auf das eigene Unternehmen keine Frage des Ob, sondern nur noch des Wann. Der Fokus auf Cybersicherheit ist heute eine zentrale Aufgabe für den Vorstand zur Steuerung des strategischen Unternehmensrisikos.

Wer IT-Prozesse steuern will, muss selbst kein Informatiker sein. Allerdings muss er die Bereitschaft mitbringen, sich die Kompetenz zur Erstellung, Bewertung und Verbesserung eines Informations-Sicherheits-Management-Systems (ISMS) anzueignen. Wenn man so will, muss sich der Vorstand auf Stufe 1 das notwendige Know-how erst noch erarbeiten. Sie bietet die Grundlage, sensibilisiert und zeigt Möglichkeiten für neuralgische Punkte im Unternehmen auf. Damit ist auf Stufe 2 eine zielgerichtete und wirkungsvolle Delegation der zu erfüllenden Aufgaben an Spezialisten in den Bereichen Informationssicherheit, Datenschutz und Compliance möglich.

Stufe 3 lenkt den Blick auf das Unternehmen insgesamt und seine Belegschaft: Ein wesentlicher Faktor für Cybersicherheit ist die Achtsamkeit im Team. Die meisten Hacker gelangen auf internen Wegen auf die Systeme.

Beispiele sind der berühmte arglose Klick auf eine nicht erkannte Phishing-Mail oder auch das zielgerichtete Öffnen digitaler Türen durch (unzufriedene oder abwanderungswillige) Mitarbeiter. Angriffe erfolgen also entweder über Mitarbeiter oder über technische Sicherheitslücken. An beiden Themenfeldern lässt sich hervorragend arbeiten.

Bei der Etablierung der Prozesse muss der Cybervorstand die Datenschutz-Compliance und IT-Sicherheit des Unternehmens fit machen. Die Datenschutz-Grundverordnung (DSGVO) verlangt eine angemessene Datensicherheit. Einmal im Jahr gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) das sogenannte Grundschutz-Kompendium mit Bausteinen zur Umsetzung eines Informations-Sicherheits-Management-Systems (ISMS) auf.

Behandelt werden alle Gefährdungen wie z. B. Schadprogramme, Denial-of-Service-Angriffe, Datenverlust, Sabotage, unberechtigte oder fehlerhafte Nutzung von Geräten und Systemen, Manipulationen von Geräten und Informationen, Softwareschwachstellen, Identitätsdiebstahl, Ressourcenmangel und Missbrauch von Berechtigungen. Das Kompendium enthält auch eine Liste zur Priorisierung der empfohlenen Maßnahmen. Alternativ kann auf die ISO-Norm 27001 zurückgegriffen werden. Die Erfüllung eines dieser Standards ist die erste Säule eines professionellen Cybermanagements.

Wichtig ist aber, dass neben den organisatorischen Maßnahmen auch eine Vorbereitung auf technischer Ebene erfolgt, die zweite Säule: Cyberverteidigung. Hier bieten Dienstleister mittlerweile eine externe 24/7-Überwachung der IT an. Begleitet werden muss diese Maßnahme durch ein Notfallkonzept, das vor allem die Wiederherstellung der IT für den Fall eines erfolgreichen Incidents anstrebt. Das ist auch zentrales Element für die Umsetzung der ESG-Anforderungen, die in ihrem dritten Element, der Governance, solche Vorkehrungen fordern.

Diese Aufstellung gibt dem Cybervorstand und dem Unternehmen einen optimierten Schutz. Schließlich sichert die Etablierung der IT-Compliance auch die Möglichkeit der Versicherung von Angriffen aller Art ab. Versicherer fordern meist zumindest ein etabliertes Sicherheitskonzept, das Früherkennung, Richtlinien und personelle Ressourcen beinhaltet.

Kommt es zu einem Cybervorfall, muss der erste Schritt in der technischen Verteidigung und forensischen Aufbereitung der Cyberattacke liegen. Der Cybervorstand muss schnell sein und ein Team aus IT-Sicherheitsexperten und (externen) Forensikern vorhalten.

Binnen 72 Stunden muss dann in aller Regel die Datenschutzaufsichtsbehörde über den Vorfall informiert werden: Dieser Schritt ist meist die erste offizielle Außenkommunikation. Durch sie werden die Weichen gestellt für sich potenziell anschließende Bußgeld- und Schadenersatzrisiken, die sich bereits aus der Formulierung der Schadensmeldung ergeben können. Betroffene und die Allgemeinheit sind häufig ebenfalls zu informieren. Die Krisen-Kommunikationsstrategie leitet der Cybervorstand.

Das regulatorische Umfeld zur Gewährleistung von Cybersicherheit wächst. Es nimmt Unternehmen straf- und bußgeldrechtlich in die Pflicht. Im Haftungsregime der Datenschutz-Grundverordnung folgt das direkt aus Art. 32 DSGVO. Angesichts der Komplexität technischer Systeme steuert man schnell vom Bußgeldverfahren in ein Strafverfahren. Nahezu jedes Gesetz sieht zur Pflichtensicherung Sanktionsvorschriften vor. Schnell kann dann die Grenze zur Kriminalstrafe überschritten werden.

Das besonders dann, wenn der unberechtigte Zugriff auf Daten, die Umgehung von Sicherungsmaßnahmen, die Veränderung von Daten und der Eingriff in digitale Kommunikation im Raum stehen (§§ 202a, 202b, 202c, 303a, 303b StGB). Unternehmen können sich zwar selbst nicht strafbar machen, aber sie können für Verstöße von Organen und Aufsichtspflichtverletzung gegenüber Mitarbeitern nach dem Gesetz über Ordnungswidrigkeiten (OWiG) haftbar gemacht werden. Es besteht also die Verpflichtung, die erforderlichen, zumutbaren Aufsichtsmaßnahmen zu ergreifen, um Verletzungen der Cybersicherheit gar nicht erst entstehen zu lassen.

Die Entwicklung zeigt: Nur wenn eine Sicherheitsstrategie und ein Maßnahmenpaket vorliegen, kann der Cybervorstand das Unternehmen wirksam schützen. Die wichtigsten Elemente sind:

1. Wissen: Cybervorstände müssen wissen, worum es geht und welche Prozesse benötigt werden. Trainings und externe Unterstützung helfen, die Pflichten aller Beteiligter angemessen zu strukturieren und zielgerichtet umzusetzen.
2. Strukturieren: Das Unternehmen muss intern auf den Notfall vorbereitet werden. Hier helfen das Know-how von Experten und als erster Schritt auch Checklisten der Behörden.
3. Handeln: Im Ernstfall muss schnell gehandelt werden. An erster Stelle stehen technische Verteidigung und forensische Aufarbeitung, um weiteren Schaden zu verhindern. Oft ist das Herunterfahren aller Systeme der Beginn einer erfolgreichen Aufbereitung. Fortgesetzt wird sie mit einer in der Gesamtstrategie abgestimmten Kommunikation gegenüber Behörden, Betroffenen und auch der Allgemeinheit.