87.106 Fälle von Cybercrime und 60,7 Millionen Euro Schaden – das sprechen die aktuellen Zahlen beim Thema Cyberkriminalität laut dem Bundeslagebild Cybercrime 2018 des BKA. Die Dunkelziffer der Vorfälle und Schäden dürfte allerdings noch weitaus höher sein. Das zeigt einmal mehr: Deutschland ist ein beliebtes Ziel für Hacker und Unternehmen tun gut darin, ihre Sicherheitsvorkehrungen anzupassen und strengere Standards zu etablieren. Hier spielt der Aufsichtsrat eine zentrale Rolle – nicht nur als Kontrollgremium.
Cybersecurity als Teil des Risikomanagements
Datenlecks, Sicherheitslücken und Cyberangriffe stellen Risiken für den Erfolg und die Wettbewerbsfähigkeit eines Unternehmens dar. Dementsprechend steht das Thema Cybersecurity auch auf der Agenda des Aufsichtsrats. Doch die Einbindung des Aufsichtsrats ist nicht nur im Rahmen des Risikomanagements notwendig. Auch Regulierungsbehörden stellen mittlerweile höhere Anforderungen. So verpflichtet beispielsweise das IT-Sicherheitsgesetz Unternehmen in Deutschland zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit der kritischen Infrastruktur. Das Geschäftsgeheimnisgesetz verlangt außerdem angemessene Geheimhaltungsmaßnahmen für Geschäftsgeheimnisse und Know-how und die DSGVO schreibt den Stand der Technik und Verschlüsselungsmaßnahmen vor. Daran müssen Unternehmen ihre Sicherheitsmaßnahmen ausrichten.
Doch obwohl Aufsichtsräte für die Kontrolle dieser Sicherheitsmaßnahmen und -standards zuständig sind, wird oftmals ein kritisches Glied in der Sicherheitskette vernachlässigt: die eigene Rolle als Verwahrer sensibler Informationen über das Unternehmen. Schließlich werden vom Aufsichtsrat regelmäßig vertrauliche Finanz- und Vertriebsdaten sowie geheime Strategiepläne, Details zur Vorstandsvergütung und andere privilegierte Informationen bearbeitet, gespeichert und übermittelt. Der unbefugte Zugriff auf jede dieser Informationen kann schwerwiegende Konsequenzen haben.
Abwägung zwischen Benutzerfreundlichkeit und Sicherheit
Das Problem: Aufsichtsratsmitglieder sind durch ihre übergeordnete Stellung normalerweise nicht in die unternehmenseigenen Prozesse involviert und haben von außen daher auch keinen Zugriff auf die gesicherten Unternehmensnetzwerke. Und auch wenn viele CIOs und Sicherheitsverantwortliche die Schnittstelle zum Aufsichtsrat bereits auf dem Radar haben, lässt sich nicht leugnen, dass bei den verschiedenen möglichen Maßnahmen im Bereich der Cybersecurity stets zwischen Benutzerfreundlichkeit und notwendiger Sicherheit abgewogen werden muss. Aufgrund der gehobenen Position von Aufsichtsräten herrscht eine natürliche Neigung, jegliche Unannehmlichkeiten für diese Gruppe möglichst gering zu halten.
Die Folge dieser „Einschränkungsfreiheiten“: Die Mitglieder der Führungsgremien wählen verständlicherweise oft altbekannte Wege, um an ihre Informationen zu kommen, diese zu speichern und weiterzugeben. Dazu zählt das Verschicken von Geschäftsführungs-, Vorstands- und Aufsichtsratsunterlagen per Post oder das Senden von PDFs als E-Mail-Anhang.
Weitere Zugeständnisse werden häufig bei den Kennwörtern gemacht. Anstatt sichere Kennwörter vorzuschreiben, die entsprechende Längen erfordern und aus unterschiedlichen Zeichenarten bestehen, werden auch einfache Kennwörter gestattet. Wenngleich diese Vorgehensweisen oft keine systematische Praxis, sondern das Ergebnis von Ad-hoc-Entscheidungen darstellen, werden sie nur selten infrage gestellt. Hier gilt es, die Akzeptanz für ein besseres Sicherheitsbewusstsein – mit allem was dazu gehört – durchzusetzen.
Von der Aufsicht zum Vorbild
Denn angesichts der gestiegenen Bedrohungslage wird vom Aufsichtsrat mehr verlangt als nur die Kontrolle der Cybersecurity eines Unternehmens. Vielmehr sollten sie mit gutem Beispiel vorangehen und von oberster Stelle ein Zeichen für den sorgsamen Umgang mit Sicherheitsprozessen setzen.
Welche Praktiken des Aufsichtsrats in Bezug auf die Sicherheit hinterfragt werden sollten und wie ein beispielhaftes Sicherheitsbewusstsein aussehen kann inkl. hilfreicher Checkliste zur IT-Sicherheit im Aufsichtsrat, lesen Sie in unserem aktuellen E-Book:
