09 Oct Awareness ist entscheidend
Last Updated on 2020-01-20
Dr. Christine Domforth
Wer Cybersicherheit ernst nimmt, darf nicht nur auf technische Abwehrmaßnahmen setzen, sondern muss auch den Risikofaktor Mensch im Auge behalten. Wenn dennoch etwas passiert brauchen Firmen ein gutes Krisenteam.
„Cyberbedrohungen bei börsenotierten Unternehmen“: So lautete das Thema eines Workshops, zu dem CIRA (Cercle Investor Relations Austria) am 30. September 2019 in die Wiener Börse geladen hatte. Moderiert wurde die Veranstaltung von Barbara Steininger, Wirtschaftsredakteurin beim „Trend“.
Alexander Kleedorfer vom Strategieberatungsunternehmen Brunswick Austria & CEE GmbH betonte zunächst, dass Cybervorfälle – von Hackerangriffen bis zum CFO-Fraud – mittlerweile zu den Top-5-Risken für Unternehmen gehören. Neben dem materiellen Schaden, den solche Attacken anrichten können, droht auch ein enormer Reputationsverlust. Vorstände und Aufsichtsräte müssen sich deshalb selbst mit dem Thema Cybersecurity beschäftigen und dürfen es nicht als rein technisches Problem betrachten, das man an die IT-Abteilung abschiebt. Ganz wichtig, so Kleedorfer, sei die awareness bei allen Beteiligten, besonders bei den Mitarbeitern. Am stärksten von Cyberrisken betroffen sind die Bereiche Telekom, Medien, Gesundheit, Energie, Luftfahrt und Immobilien.
Harald Hagenauer, der bei der Österreichischen Post AG den Bereich Investor Relations leitet und CIRA-Vorsitzender ist, berichtete aus der Praxis. Im Unternehmen wurde getestet, ob die Mitarbeiter im Zusammenhang mit IT die nötige Vorsicht walten lassen. „Wir haben es als Gewinnspiel getarnt und zwei Mitarbeiter sind darauf hereingefallen. Einer hat sogar sein Passwort hergegeben“, berichtete Hagenauer. Technische Abwehrmaßnahmen gegen Cyberrisken sind notwendig, die Schulung der Mitarbeiter ist aber ebenso wichtig.
Getestet wurde auch bei der Schönherr Rechtsanwälte GmbH sagte Thomas Kulnigg, Leiter der Tech- und Digitalgruppe der Anwaltskanzlei: „Auch wir haben es als Gewinnspiel dargestellt, bei dem man ein iphone gewinnen konnte und die Leute haben ihre Login-Daten hergegeben.“ Ein heikler Bereich sei auch das IT-Rechtemanagement, das regelt, wer auf welche Daten zugreifen bzw. welche Aktionen durchführen darf. Der Vorstand hat meist alle Rechte. Wenn er unvorsichtig ist, kann das extrem gefährlich werden, so Kulnigg.
INARA-Geschäftsführerin Brigitta Schwarzer betonte, dass neben entsprechenden Richtlinien zur Vermeidung von Cybervorfällen vor allem der Hausverstand wichtig sei. „Und man muss den Leuten beibringen, dass das Vier-, Sechs- oder Acht-Augenprinzip einzuhalten ist und zwar ohne Ausnahmen“, betonte sie unter Bezugnahme auf den spektakulären CFO-Fraud, der vor einigen Jahren beim heimischen Flugzeugzulieferer FACC passiert ist. Sie verwies auch auf die hohe Dunkelziffer bei Cyberattacken. Viele würden zunächst nicht einmal bemerkt und bei nicht börsenotierten Firmen würden derartige Vorfälle oft gar nicht publik.
Kulnigg hob hervor, dass Manager künftig bei Firmenübernahmen nicht nur eine „klassische“ due diligence durchführen, sondern das Objekt, das man im Visier hat, auch in Sachen Cybersicherheit unter die Lupe nehmen müssten. Wenn dort etwa bereits ein Datenleck vorgekommen ist, drohen teure Haftungsfälle. In den USA ist die cyber due diligence inzwischen bereits Pflicht.
Wenn es zu einem Databreach kommt und personenbezogene Daten betroffen sind muss das in Österreich laut DSGVO binnen 72 Stunden bei der Datenschutzbehörde gemeldet werden. Für börsenotierte Unternehmen gilt zusätzlich die ad-hoc-Meldepflicht.
Wie sollte man sich als Unternehmen auf derartige Krisenfälle vorbereiten? Alle Diskutanten waren sich einig, dass sowohl ein gutes Krisenteam vorhanden sein sollte als auch ein Konzept für derartige Notfälle. Fixe Regeln und starre Abläufe sind laut Kleedorfer aber nicht mehr zeitgemäß, weil die Cyberangreifer heute viel zu aggressiv vorgehen. Man brauche ein Krisenteam, das aus den Hausjuristen, den Finanz- und den Kommunikationsexperten bestehen sollte und etwa fünf bis acht Personen umfasst. Dieses Team müsse eingespielt und permanent verfügbar sein.
Cyberpolizzen werden mittlerweile von vielen Versicherungen angeboten. Der Teufel steckt hier wie so oft im Detail, weil es nicht nur um Bußgelder, sondern oft auch um eine Betriebsunterbrechung gehen kann. „Eine Rundumabsicherung gegen Cyberrisken sind solche Polizzen nicht“, sagte Schwarzer. Man sollte in jedem Fall mehrere Angebote einholen und einen Makler beiziehen. Die INARA-Geschäftsführerin betonte, dass die börsenotierten Unternehmen generell bei der Cybersecurity gut aufgestellt sind, während es bei den Klein- und Mittelbetrieben mehr Probleme gebe. Das mind-set gehe immer vom Management aus, dieses müsse in Sachen IT-Sicherheit mit gutem Beispiel vorangehen: „Ein Passwort für alle Geräte geht gar nicht.“