Cyber-Angriffe werden bis dato hauptsächlich als IT-Problem gesehen. Das ist eine trügerische und gefährliche Annahme, denn die List mit dem Trojanischen Pferd funktioniert immer noch – mit oft kritischen Auswirkungen für das gesamte Unternehmen. Die Unternehmensberatung Brunswick hat dieses Thema in einem hochkarätig besetzten Webinar diskutiert. [...]
Ein Cyberbreach stellt sowohl für die Unternehmensbewertung als auch die Reputation der Firma und ihrer Marken ein großes Risiko dar. Und zwar mit einer klar steigenden Tendenz, wie das World Economic Forum in den jährlichen Global Risks Reports zeigt. Die beste Abwehr besteht aus gut geschulten Mitarbeitern, darüber hinaus zählt eine gute Vorbereitung: Cyber Preparedness in organisatorischer und kommunikativer Sicht gewinnt somit neben den rein technischen Maßnahmen deutlich an Bedeutung. Brunswick erörterte den Themenkomplex Cybersecurity im Spannungsfeld zwischen Unternehmensbewertung in einem Webinar.
Durch die fortschreitende Digitalisierung steigt die Abhängigkeit der Unternehmen von einer klaglos funktionierenden Systemlandschaft. Gleichzeitig wächst das Risiko eines Cyber-Zwischenfalls, der Unternehmensprozesse lahmlegt. Daher ist Cyber kein ausschließliches Technik-Thema mehr – IT betrifft vielmehr die gesamte Wertschöpfungskette und rückt in den Mittelpunkt der Gesamtverantwortung des Managements. Die Corona-Pandemie hat diesen Trend noch stark beschleunigt. Cyber-Angriffe können jedes Unternehmen erwischen, unabhängig von der Unternehmensgröße und Branche. Man denke an ein Einkaufszentrum oder Bürogebäude, das auf den ersten Blick nicht nach einem potenziellen Hackerziel aussieht. Bedenkt man aber, dass die gesamte Gebäudesteuerung digitalisiert ist, dann ergeben sich daraus Risken für die zentralisierten Aufgaben wie Heizung bzw. Klimatisierung, Fahrstühle und Rolltreppen und auch die Zugangssysteme.
Langfristiger Schaden durch Reputationsverlust größtes Risiko
“Trotz Meldungen über Hackerangriffe allerorten merken wir, dass in allen Sektoren außer dem Finanzsektor, Cyberangriffe deutlich unterschätzt werden. Das ist hochgradig bedenklich, weil es die Nachhaltigkeit des verursachten Schadens ausblendet”, erklärte Oliver Huber, Brunswick Vienna & CEE.
Auch werden die Bedrohungsszenarien größer, weil Hacker immer professioneller agieren: So steigt beispielsweise die „dwell time“, also die die Zeitspanne während der sich erfolgreiche Angreifer im gehackten Unternehmen umschauen. In dieser Phase wird das Unternehmen beobachtet, wie es geführt wird, welche lohnenden Daten es gibt und welche weiteren Schwachstellen in den IT-Systemen möglicherweise vorhanden sind. Die Schäden von einem öffentlich bekannt gewordenen Hacker-Angriff:
- Kurzfristig: Störung der IT-Systeme und der internen Prozessabläufe, Produktionsstillstand, dadurch Umsatzentgang, der die Ergebnisse belasten kann, regulatorische Strafen (DSGVO, FMA)
- Langfristig: Vertrauensverlust gegenüber Kunden, Lieferanten Partnern, Reputationsschaden
Der Bankensektor ist seit langer Zeit mit der Cyber-Thematik beschäftigt. Neben den einzelnen Geldinstituten gibt es auch seitens der Nationalbank Vorgaben und Programme, um die Sichtweise zu verändern, nämlich von der IT als Kostenfaktor hin zur IT als kritisches Kernelement der Geschäftstätigkeit. „Cybersecurity ist für den IT lastigen Bankensektor mittlerweile ein ganz klar strategisches Thema und nicht allein ein Kostenfaktor. Hier hat sich über die letzten Jahre das Verständnis für Cyberrisken grundlegend geändert: Weg von der Sichtweise, dass Cybersecurity ein rein technisches Thema ist, hin zu einer integrierten Betrachtung, sodass das Risikomanagement für Cyberthemen fest im Vorstand verankert ist“, sagte Markus Schwaiger, von der Österreichische Nationalbank.
Börsennotierte Unternehmen sehen bei erfolgreichen Hackerattacken mit der Herausforderung konfrontiert, dass sich der Angriff mitunter im Aktienkurs widerspiegelt. „Die Märkte reagieren sehr sensibel, wenn Cyberattacken öffentlich bekannt werden, deswegen ist ein kurzfristiger Einbruch des Aktienkurses nach einer erfolgreichen Attacke wahrscheinlich. Wie sehr ein Kurs einbricht, hängt von der Liquidität der Aktie, der Größe und Dauer des Vorfalls und der Branche ab. Generell droht B2C-Unternehmen ein größerer Reputationsschaden als reinen B2B-Anbietern“, stellte Friedrich Mostböck, von derErste Group, fest.
Strategien gegen Cyber-Bedrohungen
Ein professionelles Krisenmanagement kann die Schäden eines Cybervorfalls minimieren, denn eine gute organisatorische und kommunikative Vorbereitung kann entscheidend sein, wie eine Krise verläuft und ob das Unternehmen die Kontrolle über die Situation behält. Cyberangriffe sind kommunikativ gesehen eine große Herausforderung. So wird medial immer öfter das gehackte Unternehmen, das es nicht geschafft hat, Angriffe gegen seine IT-Systeme abzuwehren, medial kritisiert, aber nicht der oder die Hacker. „Diese Situation ist für Unternehmen kritisch und wenn man darauf nicht gut vorbereitet ist, gerät die Lage umso leichter außer Kontrolle. Wir beraten Kunden hinsichtlich der Aufstellung des Krisenteams und simulieren mit ihnen auch Cyber-Breaches, um die Abläufe zu testen und die Teams zu stärken“, so Alexander Kleedorfer, Brunswick Austria & CEE. Brunswick unterstützt Unternehmen bei der Vorbereitung auf den Ernstfall, Stichwort Krisenmanagement, und auch bei der „Response“, falls ein Angriff wirklich erfolgreich war: also Beratung des Krisen-Kernteams, Definition der Kommunikations-Strategie, Ausarbeitung von Materialien und Kommunikation mit Medien und anderen wichtigen Stakeholdern.
Die rechtlichen Aspekte des latent vorhandenen Cyberrisikos erläuterte Thomas Kulnigg von Schönherr in dem Webinar und betonte die Bedeutung von Cyber bei Firmenkäufen oder Fusionen: „Ein Unternehmer muss statistisch gesehen eigentlich damit rechnen, dass er Opfer von Cyberangriffen wird. Das bedeutet, er muss sich angemessen darauf vorbereiten, auch um die Haftung des Geschäftsleiters zu vermeiden. Auch bei einem Unternehmenskauf ist das Thema Cyber Security zu berücksichtigen, ansonsten könnte man sich Cyber Risiken mit-einkaufen. Viele Käufer eines Unternehmens verlangen mittlerweile eine entsprechende ausdrückliche Absicherung – etwa in Form einer Gewährleistung – im Kaufvertrag.“
Be the first to comment