23. Juni 2023 it-daily.net | Silvia Weppler*; andugo.io

So stärken Produktionsunternehmen und ihre Führungsorgane Sicherheit und Resilienz

Derzeit sind Cyberattacken die am schnellsten wachsenden und kritischsten Bedrohungen für Unternehmen. [...]

Foto: PeteLinforth/Pixabay

Das zunehmende breite Spektrum und die rasante Entwicklung der innovativen Technologien mit kontinuierlicher Weiterentwicklung der Attacken verändert die Cyber-Bedrohungslandschaft permanent.

Unter sicherheitstechnischen, wirtschaftlichen und politischen Gesichtspunkten gehen die größten Gefahren von Cyberangriffen auf die kritische Infrastruktur von Unternehmen aus. Fallen IT-Systeme durch Cyberangriffe aus und sind Unternehmensdaten nicht mehr abrufbar, kann dies für Unternehmen gravierende Folgen haben.

Im schlimmsten Falle kann es zu bestandsgefährdenden Schäden des Unternehmens führen: z.B. durch Verschlüsselung und Diebstahl von Daten, zu Störung bis hin zum Ausfall von Systemen und Produktionsanlagen, aber auch zu Sachschäden.

Durch kriminelle Handlungen wie Erpressung, Wirtschaftsspionage, Manipulation an IT-Systemen und Produktionsanlagen drohen hohe finanzielle Einbußen, Umsatzeinbrüche, Verlust von Reputation und Kundenvertrauen eventuell gefolgt von Schadenersatzklagen von Kunden und Lieferanten.

Daher muss das Unternehmen auf Cyber-Angriffe vorbereitet sein, Cyber-Attacken effektiv begegnen können und regulatorische Anforderungen sowie Geschäftsentwicklungen berücksichtigen. Zielsetzung ist Angreifer von dem Unternehmensnetzwerk abzuwehren. 

IT-Sicherheit ist haftungsrechtlich nicht delegierbare Chefsache!

Die Funktionsfähigkeit der IT-Systeme ist für die Aufrechterhaltung des Geschäftsbetriebs des Unternehmens erforderlich. Damit ist die CyberSecurity geschäftskritisch und überlebenswichtig. Fehlende oder unzureichende Cybersicherheit stellt ein sicherheitstechnisches, wirtschaftliches und rechtliches Risiko dar, das aufgrund gesetzlicher Vorschriften und Richtlinien zu bewerten ist. 

Auf den Punkt gebracht: IT-Sicherheit gehört zu den Kernaufgaben von Vorstand und Geschäftsführung sowie Aufsichtsrat und Beirat. Beide Führungsgremien sind gesetzlich verpflichtet für ein funktionierendes IT-Risiko- und Sicherheitsmanagement zu sorgen.

Damit haben sie bei der Prävention von Cyberattacken eine Schlüsselrolle inne. Sie stehen gemeinsam in der Verantwortung und Haftung. Ihr Engagement ist entscheidend für ein wirksames CyberSecurity-Management. 

Kurz gesagt: CyberSecurity ist Chefsache.

Dem Vorstand und der Geschäftsführung obliegt die Steuerung des strategischen Unternehmensrisikos. Eine ihrer Kernaufgaben ist die Cyber Resilienz permanent auszubauen und somit ein umfassendes CyberSecurity-Programm einzurichten und umzusetzen. Darüber hinaus stehen sie in der Pflicht die umgesetzten Maßnahmen für Cybersicherheit auf ihre Aktualität, Relevanz und Effektivität zu überprüfen.

Somit umfasst der Pflichtenkreis der Geschäftsführung sowohl die Organisations- und Überwachungspflichten zum Schutz der IT-Systeme und Unternehmensdaten im Vorfeld von Cyber-Angriffen, sog. Schadensprävention, als auch die Reaktion auf einen erfolgten Cyber-Angriff.

Diese Pflichten obliegen dabei allen Mitgliedern des Vorstands und der Geschäftsführung gemeinsam. Damit trägt die Unternehmensleitung die Gesamtverantwortung auch im Falle einer Übertragung der Zuständigkeit für die IT-Sicherheit an ein bestimmtes Mitglied der Geschäftsleitung oder externe Dienstleister. Eine haftungsrechtlich relevante Übertragung ist dagegen nicht möglich.

Dagegen spielt der Aufsichtsrat eine Schlüsselrolle als Impulsgeber und bei der Überwachung der Management-Aktivitäten hinsichtlich Ressourcen, Budget und CyberSecurity-Maßnahmen. Im Falle von Knowhow-Defiziten in den Bereichen Security Governance und Cyber Risk Management empfiehlt sich externe Expertise hinzuziehen. 

Die Geschäftsleitung ist nach § 91 Abs. 2 AktG verpflichtet, geeignete Maßnahmen zu treffen, damit Entwicklungen früh erkannt werden, die den Fortbestand der Gesellschaft gefährden. Der Terminus technicus „Bestandsgefährdung“ beinhaltet wesentliche Auswirkungen auf die Vermögens-, Ertrags- oder Finanzlage des Unternehmens.

Hieraus wird die Verpflichtung der Geschäftsleitung abgeleitet eine „auf Schadensprävention und Risikokontrolle angelegte Compliance Management-Organisation einzurichten. Gleichartige Vorschriften betreffen auch andere Gesellschaftsformen, beispielsweise in § 43 Abs. 1 GmbHG für den GmbH-Geschäftsführer. 

Die Pflichten eines Unternehmens und seiner Organe zur Sicherstellung der IT-Sicherheit und der Unternehmensdaten sind gesetzlich nicht zentral geregelt. 

Eine rechtliche Verpflichtung zur Sicherstellung von Cyber Resilienz und Schutz der Unternehmensdaten resultiert aus verschiedenen Gesetzen, Regelwerken und Normen. 

Zusammenfassend sind die Führungsorgane gesetzlich verpflichtet unter Berücksichtigung des Datenschutzes die IT-Sicherheit und den Schutz der Unternehmensdaten in das Risiko-Management- und Compliance-System unternehmensweit zu integrieren.

Insgesamt haften alle Führungsorgane persönlich für Schäden durch erfolgreiche Cyberangriffe. 

Umfrageergebnisse des deutschen Mittelstands zur IT-Sicherheit

Nach einer Studie von Deloitte ist ein Großteil des deutschen Mittelstands nur unzureichend gegen IT-Attacken gerüstet – und das, obwohl gerade kleine und mittlere Firmen verstärkt in den Fokus von Cyberkriminellen rücken.

Cybersicherheit gehört für fast die Hälfte der Befragten bislang nicht zu den Top-Prioritäten der Unternehmensleitung, obwohl Cyberangriffe weltweit rasant zunehmen. So können Unternehmen durch Spionage, Erpressung bis hin zur Stilllegung ganzer Geschäftsprozesse großen Schaden erleiden. Vor allem für kleine und mittelständische Unternehmen kann dies existenzbedrohend sein.

Der Branchenverband BITKOM berichtet in diesem Zusammenhang von einem Schaden in Höhe von rund 203 Milliarden Euro, welcher der deutschen Wirtschaft im Jahr 2022 durch Diebstahl sensibler Unternehmensdaten, Spionage, Sabotage und daraus resultierende Betriebsausfälle entstanden ist.

Haupttreiber für diese Schäden in Milliarden-Höhe ist vor allem die Zunahme sog. digitaler “Schutzgeld”-Erpressungen. 

Dabei ist nahezu jedes Unternehmen betroffen. Es ist lediglich eine Frage der Zeit, wann ein Unternehmen angegriffen wird. 

Rechtliche Vorgaben verlangen verschärfte Sicherheitsstandards 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in seinem Lagebericht vom November 2022 zu folgendem Schluss: „Noch nie war das Risiko für Cyberattacken in Deutschland so hoch wie heute.“ Als Reaktion auf die steigende Bedrohung hat die Europäische Union erstmals Strafmaßnahmen auf Cyberangriffe aus Russland und China verhängt.

Zudem hat die EU mit einem Rechtsakt zur Cybersicherheit bereits einen einheitlichen EU-weiten Zertifizierungsrahmen eingeführt, da die Cybersicherheit innerhalb Europas auch von internationaler Sicherheit und Stabilität im Cyberraum abhängt.

Durch die im Amtsblatt L333 der Europäischen Union veröffentlichte NIS-2-Richtlinie kommen auf Betriebe und Einrichtungen mit über 250 Mitarbeitenden und über zehn Millionen Euro Jahresumsatz neue Verpflichtungen für gemeinsame Cybersicherheitsstandards zu.

Beispiele sind Audits, Risikoabschätzungen sowie ein zeitnahes Einspielen von Updates und Zertifizierungen. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.

In Deutschland trat zudem im Frühjahr 2021 das erweiterte IT-Sicherheitsgesetz 2.0 in Kraft, das Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, sogenannte Betreiber kritischer Infrastrukturen, gesetzlich zur Registrierung und Meldung relevanter IT-Sicherheitsvorfälle bei der Cybersicherheitsbehörde des Bundes (BSI) verpflichtet.

„Das IT-Sicherheitsgesetz 3.0“ steht bereits in Startlöchern.

Zunehmende Professionalisierung der Cyberkriminalität

Veraltete IT-Systeme, fehlerhafte Codes, ein leichtfertiger Umgang mit Passwörtern, Manipulationen der Mitarbeitenden durch Social Engineering, mobile Endgeräte aber auch schlecht geschützte Apps erleichtern Cyberattacken. Darüber hinaus sind Mitarbeitende in produzierenden Unternehmen oft nur unzureichend im Bereich Cybersicherheit sensibilisiert.

In der klassischen IT gibt es außerdem zahlreiche Sicherheitslücken und die vernetzte Operational Technology (OT) ist oft offen wie ein Scheunentor. Die meisten Cyberattacken treffen Unternehmen über die Mitarbeitenden, entweder klassisch durch Phishing-E-Mails, über Apps oder mittels Schadsoftware auf USB-Sticks.

Cyberangriffe werden seit Jahren stetig professioneller und richten sich zunehmend auf unternehmenskritische Prozesse und Infrastruktur. Sie sind für Angreifer ein lukratives Geschäft, der Ressourcenbedarf ist gering und die Gefahr einer erfolgreichen Strafverfolgung äußerst niedrig. 

Die benötigten Fertigkeiten für einen Angriff sind einfach zu erlangen. Cyber-Kriminelle sind dabei durch ihr „training on the job“ auf dem neuesten Stand. Sie agieren oft international und können sich dadurch leichter tarnen. Durch den Einsatz von künstlicher Intelligenz (KI) wird es zunehmend auch „Laien“ ohne tiefergehende Programmierkenntnisse ermöglicht Cyber-Angriffe zu initiieren.

Im Vergleich hierzu hinkt die Cyber-Risiko-Abwehr in den Unternehmen tendenziell mindestens eine „Generation“ hinterher. Kein Unternehmen ist vor einem Angriff gefeit. Auch Großunternehmen und Dax Konzerne sind beliebte, wiederholte Angriffsziele wie der in diesem Jahr bereits zweite Cyber-Angriff auf Rheinmetall am 14.04.23 eindeutig belegt.

Eine Verlagerung von Geschäftsprozessen in die Cloud ist allerdings kein Allheilmittel obwohl spezifische Technologien entwickelt wurden, um Cloud-Daten und Geschäftsinformationen besser zu schützen. Allerdings variieren die Sicherheitsmaßnahmen je nach Cloud-Anbieter und -Plattform. Besonders der Zugang zu Cloud-Diensten muss geschützt werden.

Zusätzlich sollten alle Unternehmensdaten verschlüsselt werden. Wichtig ist es den Standort des Servers zu kennen, da dieser für die den Daten unterliegenden länderspezifischen Rechtsgrundlagen und Gesetzen maßgeblich ist. Besondere Risiken stellen ein Zugang über Smartphones, Zugriff über unsichere Netze und unverschlüsselte Übertragung von Unternehmensdaten und Informationen in die Cloud dar. 

Insgesamt tragen sowohl der Cloud-Anbieter als auch das Unternehmen zusammen die Verantwortung für die Sicherheit der Plattform und der Daten.

Handlungsempfehlungen zur Erlangung von Cyber-Resilienz 

Cyber-Resilienz basiert auf einer ganzheitlichen Strategie zur Stärkung der Widerstandskraft der IT einer Organisation gegenüber Cyberangriffen. Unternehmen müssen wissen, wie sie bei potenziellen Cyberangriffen reagieren können, um materielle und immaterielle Schäden abzuwenden.

Daher sind Präventionsmaßnahmen zu ergreifen. Der Abschluss einer Cyberversicherung kann das Risiko mildern. Allerdings wird für ein Versicherungsangebot üblicherweise die Implementierung eines unternehmensweiten, umfangreichen Sicherungssystems von dem Versicherungsanbieter vorausgesetzt.

In diesem Zusammenhang ist zu beachten, dass die Haftung der Organe nur bedingt durch eine Cyberversicherung abgemildert werden kann.

Zur Steigerung der Cyber-Resilienz leiten sich die folgenden auf das jeweilige Unternehmen hinsichtlich Branche, Art und Umfang sowie Risikoprofil individuell abzustimmende wichtige Handlungsempfehlungen ab:

  1. Grundsätzlich ist eine ganzheitliche, risikobasierte IT-Sicherheitsstrategie zu erarbeiten und in das unternehmensweite Risiko Management-System zu integrieren. Ein Cyber-Risikomanagement besteht aus iterativen Prozessen von der Identifikation, über die Quantifizierung und Steuerung bis zur Kontrolle von IT- und Informationssicherheitsrisiken. Da sich die Bedrohungslage permanent verändert, ist eine kontinuierliche Überwachung der eingesetzten IT-Software auf mögliche Verletzbarkeit über den kompletten Lebenszyklus sicherzustellen. Daher sind Sicherheitsprofile so flexibel zu gestalten, dass sie sich problemlos den sich ändernden Bedingungen anpassen lassen. 
  2. Zur Durchführung von Sicherheitstests sind generell – aber auch aus Haftungsgründen der Organe – spezialisierte IT-Sicherheitsunternehmen zu Rate zu ziehen. Im Rahmen von Penetration-Tests werden Cyberangriffe auf die IT-Infrastruktur des Unternehmens simuliert. Zusätzlich können sie eine individuell konfigurierbare Simulationsumgebung zur Verfügung stellen, in der ExpertInnen mit einem digitalen Zwilling weitere Industrieszenarien darstellen können. Industrielle Infrastrukturen und ihre Schwachstellen werden auf diese Art und Weise greifbar.  
  3. Die Ergebnisse dieser Härtetests fließen in ein maßgeschneidertes IT-Sicherheitskonzept und einen detaillierten Maßnahmenplan mit Festlegung von Verantwortlichkeiten ein. CyberSecurity ist niemals eine Standardlösung, sondern immer Ergebnis eines fortlaufenden Prozesses.
  4. Zur Minimierung des „menschlichen Faktors“ als größtes Risiko für Cyberattacken ist die kontinuierliche Sensibilisierung und Zusatzqualifizierung der Mitarbeitenden zur Informationssicherheit durch Schulungen und Workshops ein wichtiges Instrument der IT-Sicherheit. Regelmäßige Erfolgskontrollen und gesteuerte Phishing-Tests sollten das Training ergänzen. Gegebenenfalls sind diese Schulungen auch auf Kunden und Lieferanten mit Zugriff auf das Softwaresystem des Unternehmens auszuweiten.
  5. Ein Frühwarnsystem zur Erkennung von Auffälligkeiten und zur Abwehr von Cyberattacken ist ratsam. Hierzu können ein Security Information and Event Management (SIEM) und CyberSecurity-Software-Analysen eingesetzt werden. Derartige Maßnahmen schaffen Transparenz über die aktuelle IT-Sicherheitslage und den CyberSecurity-Reifegrad eines Unternehmens, dem frühzeitigen Erkennen und Schließen von Schwachstellen, der Entscheidungshilfe zur Optimierung oder Neuausrichtung sowie der Festlegung von Standards. Damit ist es möglich, ein kontinuierliches  Monitoring des gesamten Unternehmen-Ökosystems – Unternehmensinfrastruktur, mobile Endgeräte, Third-Party-Anwendungen – zu implementieren, um die Bedrohungslage jederzeit einschätzen und eine effektive Cyberabwehr gewährleisten zu können.
  6. Weiterhin ist eine sichere Implementierung von Software-basierten Anwendungen zu gewährleisten. Software-Updates sind unmittelbar nach Erscheinen zu installieren (gemäß der NIS-2-Richtlinie). Im Falle eines Releasewechsels oder beim Einsatz neuer Varianten sind sofortige Updates jeglicher eingesetzten Software vorzunehmen. Dies gilt auch für Maschinen und Produkte beim Kunden vor Ort. 
  7. Grundsätzlich ist im Vorfeld ein detailliertes Notfallkonzept, ein sog. Plan B, zu entwickeln, um im Falle einer erfolgreichen Cyberattacke gewappnet zu sein. Der Fokus liegt auf einem koordinierten Vorgehen zur schnellen Wiederherstellung der IT-Systeme, Datenbanken und Daten durch Backups sowie der sofortigen Trennung mobiler Endgeräte und externer Quellen von der Unternehmensinfrastruktur im Sinne einer primären Schadensbegrenzung. In Abhängigkeit von Art und Umfang des Angriffs sind gegebenenfalls externe SicherheitsexpertInnen, Forensiker, Polizeibehörden und das BSI (Bundesamt für Sicherheit in der Informationstechnik) einzuschalten. Das BSI bietet auf seiner Homepage diverse Checklisten für KMU bei einem IT-Sicherheitsvorfall an. Existiert eine CyberSecurity-Versicherung, ist das Versicherungsunternehmen entsprechend zu informieren.  
  8. Im Falle einer Cyberattacke müssen die Unternehmensleitung und das Kontrollgremium umgehend informiert werden. Die Unternehmensleitung muss pflichtgemäß reagieren und die Umsetzung des Notfallkonzeptes überprüfen.    

Haftungsrechtlich ist wichtig, dass alle Organisationspflichten zur Einrichtung und laufenden Aktualisierung eines effektiven CyberSecurity Systems eingehalten wurden und auf den Cyber-Angriff pflichtgemäß reagiert wurde. 

  1. Besondere Vorsicht sollten Unternehmer bei einem Unternehmensverkaufsprozess walten lassen: In dieser Phase werden Unternehmen von Cyber-Kriminellen bevorzugt angegriffen. Häufig werden vor und während des Transaktionsprozesses die notwendigen erhöhten Sicherheitsanforderungen nicht ausreichend beachtet. Für die Angreifer ergeben sich dadurch lukrative Angriffsziele bei geringerem Ermittlungsrisiko, da sowohl Käufer als auch Verkäufer Interesse daran haben, den Kaufprozess diskret abzuwickeln. Vor Beginn der Due Diligence und damit vor dem Austausch von Unternehmensinformationen ist es daher empfehlenswert eine sog. „Cyber-Due Diligence“ durchzuführen, um evtl. Schwachstellen in den Netzwerken beider Seiten Käufer und auch Verkäufer feststellen und beheben zu können. 
  2. Ein adäquates Budget für alle IT-Sicherheitsmaßnahmen und ausreichend Manpower ist jährlich zu planen und zur Verfügung zu stellen. CyberSecurity ist hierbei als elementare Investition für eine nahezu ungestörte Funktion unternehmenskritischer Prozesse zu werten. Damit wird vor allem finanziellen Schäden vorgebeugt.

Digitalisierung ohne Cybersicherheit – ein Vabanquespiel

Immer mehr Geschäftsprozesse sind auf eine reibungslos funktionierende IT-Infrastruktur angewiesen. Daher wandelt sich IT-Sicherheit vermehrt zur Unternehmenssicherheit und wird für Firmen und ihre Führungsorgane somit zur haftungsrechtlich nicht delegierbaren Chefsache.

Der Schutz und die Sicherheit des Unternehmens, seiner Daten und Informationen muss daher bei jeder Geschäftsentscheidung berücksichtigt werden. Folglich ist die IT-Sicherheit ein elementarer Bestandteil des unternehmensweiten Risikomanagementsystems. 

Es ist damit Aufgabe aller Unternehmen, Einrichtungen und deren Organe geeignete Präventionsmaßnahmen zu ergreifen, um einerseits gesetzlichen IT-Sicherheitsrichtlinien gerecht zu werden und sich andererseits vor den potenziell verheerenden Folgen von Cyberattacken zu schützen.

Hierbei gibt es jedoch keinen Status quo, auf dem sie verharren können und der langfristig das nötige Sicherheitsniveau garantiert. Ein CyberSecurity Management System ist in der Strategie, der Kultur und den Prozessen eines Unternehmens fest zu verankern.

Weiterhin bedarf es flexibler Sicherheitsprofile, die sich dynamisch anpassen lassen. IT-Security-Strategien stehen und fallen mit dem Erfolg ihrer Umsetzung – also der tatsächlichen Operationalisierung. Kurz gesagt: Es gibt heute und künftig keinen hundertprozentigen Schutz vor Cyberangriffen.

Cyberangriffe werden voraussichtlich drastisch zunehmen und weiterhin die Existenz von Unternehmen bedrohen.

Damit ist die Cybersicherheit zur Vermeidung einer Haftungsfalle und zur Risikominimierung bei der Digitalisierung unabdingbare Voraussetzung. 

*Silvia Weppler ist Mitgründerin und Gesellschafterin der andugo GmbH und war Group CFO und Geschäftsführerin in marktführenden globalen Produktions- und Technologieunternehmen im gehobenen industriellen Mittelstand.

powered by www.it-daily.net


Mehr Artikel

News

Frust in der IT-Abteilung

27. September 2024

75 Prozent der Mitarbeitenden in IT-Teams sind laut einer Sophos-Umfrage dauerhaft oder gelegentlich frustriert. Die stärkste Belastung für das IT-Personal resultiert aus der generellen Zunahme von Cyberbedrohungen. […]

News

Die besten IT-Arbeitgeber Österreichs

27. September 2024

Great Place To Work hat erneut die TOP 10 der besten IT-Arbeitgeber Österreichs ausgezeichnet. Diese Liste hebt Unternehmen hervor, die durch eine herausragende Arbeitsplatzkultur glänzen – ein entscheidender Vorteil in einer Branche, die stark vom Fachkräftemangel betroffen ist. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*