Reale Gefahr | KPMG | AT
close
Share with your friends

Reale Gefahr

Reale Gefahr

Wie Aufsichtsräte Cyber Security-Strategien kritisch hinterfragen können

Director, Advisory

KPMG Austria

Kontakt

Verwandte Inhalte

Reale Gefahr

Cyberkriminalität kann existenzbedrohende Auswirkungen auf Unternehmen haben – ein Trend, der auch vor Österreich nicht Halt macht, wie eine aktuelle KPMG-Studie zeigt. Das Risikomanagement eines Unternehmens muss dieses essentielle Sicherheitsthema daher vollinhaltlich berücksichtigen. Aufsichtsräte sind gefordert, entsprechende Prozesse und Strategien kritisch zu hinterfragen, um ihre Aufgaben gewissenhaft zu erfüllen und nicht zuletzt eine persönliche Haftung zu vermeiden. Der Artikel liefert eine Orientierungshilfe.

Real statt virtuell.

Was vor wenigen Jahren noch als IT-Risiko galt und somit ausschließlich ein Thema für IT-Sicherheitsexperten war, gehört mittlerweile zu den größten Unternehmensrisiken: Cyberkriminalität. Angriffe aus dem Cyber- Raum sind auch in der Alpenrepublik zur alltäglichen Bedrohung geworden, wie die aktuelle KPMG-Studie „Cyber Security in Österreich“ beweist: drei von vier Unternehmen (72 Prozent) waren hierzulande in den letzten zwölf Monaten Ziel eines Cyberangriffs. Die Anzahl der betroffenen Unternehmen ist im Vergleich zum Vorjahr stark angestiegen (2016: 49 Prozent). KPMG analysiert bereits zum zweiten Mal in Folge die wichtigsten Entwicklungen von Cybersicherheit in Österreich. An der Umfrage nahmen knapp 240 Fachexperten österreichischer Unternehmen teil.

Sicherheitsrisiko Nummer 1

Das World Economic Forum (WEF) zählt Cyberangriffe heute zu den gefährlichsten Sicherheitsrisiken überhaupt. Das Thema muss daher im Risikomanagement eines Unternehmens entsprechend berücksichtigt werden. Eine wichtige Rolle kommt dabei den Aufsichtsräten zu: Sie müssen kritisch hinterfragen, ob das Unternehmen der immer stärker werdenden technologischen Vernetzung entsprechend aufgestellt ist. Gefordert sind Maßnahmen, die Menschen, Prozesse und Technologien gleichermaßen berücksichtigen. Ein rein technologischer Ansatz ist zu wenig und greift nicht, da der „Faktor Mensch“ eindeutig im Fokus der Angreifer steht: Malware/ Ransomware (90 Prozent), Phishing (89 Prozent) und Social Engineering (47 Prozent) waren laut Umfrage die häufigsten Arten an Angriffen der letzten zwölf Monate in Österreich. In allen drei Kategorien machen sich die Cyberkriminellen die Sorglosigkeit und Neugierde von Mitarbeitern zunutze.

Opferprofil und Internet of Things

Die Studie zeigt: Unternehmen aller Branchen und Größenordnungen sind von Angriffen aus der virtuellen Welt betroffen. Bei 50 Prozent aller Unternehmen führten Cyberattacken sogar zu Unterbrechungen der Geschäftsprozesse. Industrieunternehmen standen in den letzten zwölf Monaten ganz besonders im Visier der Kriminellen: 87 Prozent aller Unternehmen dieser Branche waren bereits Opfer von Cyberangriffen. Die Gründe dafür liegen auf der Hand: Cyberkriminelle wittern bei Industrieunternehmen unmittelbaren finanziellen Erfolg: Denn Angriffe können im schlimmsten Fall sogar zum Produktionsstillstand führen. Ebenso aufhorchen lässt folgendes Studien-Ergebnis: Österreichs Unternehmen setzen sich zu wenig mit den Sicherheitsaspekten der Industrie 4.0 auseinander. 40 Prozent der befragten Unternehmen geben an, dass sie keinen Überblick über alle Internet of Things (IoT)-Geräte haben, die mit anderen Geräten im Unternehmen kommunizieren. Eine Zahl, die wachrütteln sollte: Zu viele Unternehmen haben ihre Risikosituation im Zusammenhang mit IoT nicht im Griff, was einen wirksamen Schutz vor Cyberattacken unmöglich macht. Das Paradoxe an der Situation: Die Bedrohung ist den Unternehmern durchaus bewusst: Fast 99 Prozent von ihnen haben Bedenken in Hinblick auf IoT. Cyberkriminalität kann den Fortbestand des Unternehmens gefährden. Aufsichtsräten kommt eine entscheidende Rolle zu, den Stellenwert von Cyber Security im Unternehmen zu verbessern und dafür zu sorgen, dass das Unternehmen die richtige Richtung in punkto Cybersicherheit einschlägt. Gezielte Fragestellungen können wegweisend sein.

Gesetzliche Rahmenbedingungen

Für den Aufsichtsrat ist vor allem die Definition der Erwartungshaltung und die laufende Berichterstattung zur Wirksamkeit der Maßnahmen von besonderer Bedeutung (Cyber Security Governance und Compliance). Denn durch Regulierung vonseiten des Gesetzgebers wird immer mehr Augenmerk auf das Thema gelegt. So spielen regulatorische Aspekte auf EU-Ebene eine wichtige Rolle: Die EU-Richtlinie zur Netz- und Informationssicherheit NIS will die kritische Infrastruktur EU-weit besser gegen Attacken schützen und ist seit 2016 in Kraft. Sie muss auch in Österreich bis Mai 2018 in nationales Recht umgesetzt werden. In etwa zeitgleich mit der Umsetzung der NIS-Richtlinie wird auch die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union direkt anwendbar, die viele Schnittstellen zur Cyber-Sicherheit hat. Für die Unternehmen ergibt sich in Folge dringender Handlungsbedarf. Die KPMG-Studie zeigt auf, dass 43 Prozent der befragten Unternehmen diese gesetzlichen Vorgaben als hilfreich im Kampf gegen Cyberkriminalität einstufen. Nachholbedarf herrscht bei knapp einem Viertel der Unternehmen (24 Prozent), denen die Vorgaben bis dato nicht bekannt sind. Aufsichtsräte sind gefordert, hier gewissenhaft nach dem Stand der Dinge im Unternehmen zu fragen.

Cyber Security ist Chefsache

Cyber Security als Top-Risiko für das gesamte Unternehmen muss auf höchster Management-Ebene angesiedelt werden und eine strategischere Rolle einnehmen. Nur so kann ein integrierter und wirksamer Cyber Security- Ansatz gefunden werden. Es ist also von entscheidender Bedeutung, welche Rolle die Chefetage Cybersicherheit zuweist: Zwei Drittel (68 Prozent) der Führungsebene in Österreichs Unternehmen betrachten das Thema nach wie vor (eher) als technische Angelegenheit. Doch immerhin werden Cyberrisiken mittlerweile in drei von vier Unternehmen (74 Prozent) auf oberster Ebene diskutiert. Zahlen über den Umgang österreichischer Aufsichtsräte mit dem Thema Cybersicherheit gibt es bis dato nicht. Fest steht jedoch: Aufsichtsräte werden sich in Zukunft immer stärker mit allen Aspekten und Fragen der Cyber Security auseinandersetzen müssen. Ihre Arbeit wird erschwert durch die Tatsache, dass in diesem Bereich Veränderung die einzig sichtbare Konstante ist. Die gute Nachricht: Im Kampf gegen Cyberkriminelle ist man mit strategischen Maßnahmen, Kooperationen und Wissensaustausch keinesfalls machtlos. Die KPMG-Studie „Cyber Security in Österreich“ liefert einen entscheidenden Überblick über die aktuelle Situation österreichischer Unternehmen.

-------------

Vier Fragen des Aufsichtsrats an den Vorstand

Inwiefern ist sichergestellt, dass die Grundlagen im Bereich der Sicherheitsmaßnahmen eingehalten werden? 

Hinweis: Der Alltag zeigt, dass rund dreiviertel aller Cyberangriffe erfolgreich sind, weil einfache Basissicherheitsmaßnahmen nicht effektiv umgesetzt sind (zB Rechtevergabe, Patch-Management, Awareness).

Was sind die wichtigsten Assets des Unternehmens und wie werden sie (im Vergleich zu anderen Daten) effizient geschützt?

Hinweis: Geistiges Eigentum, Forschungsdaten, Patente, wichtige Rezepturen: der Schutz von Intellectual Property muss bei Unternehmen ganz oben auf der Agenda stehen. Denn Daten- und Informationsdiebstahl kann für Unternehmen weitreichende Folgen haben. Diese Assets müssen in außerordentlichem Maße geschützt werden – eine Basisabsicherung reicht hier nicht. Achtung: Viele Unternehmen können ihre Assets nicht vollständig benennen und wissen nicht, wo diese überall verarbeitet, übertragen und gespeichert werden.

Wer hat Interesse das Unternehmen auszukundschaften und zu schädigen? Sind mögliche Angreifer des Unternehmens bekannt? Wie gehen sie vor? Wie sind wir geschützt?

Hinweis: Unternehmen sollten Zeit und Budget investieren, um ihre Risikolage bestmöglich zu analysieren, mögliche Schadensszenarien vorherzusehen und insbesondere die wertvollen Assets vor Angriffen zu schützen. Etablierte Tools wie etwa Cyber Threat Intelligence unterstützen bei einer Vorsorge mit Weitblick.

Inwiefern orientiert sich das Cyber Security Management an den Unternehmenszielen und gibt es hierfür neue Impulse?

Hinweis: Cyber-Risiken können fast jeden Teil eines Unternehmens beeinflussen. Strategien zur Erhöhung der Cyber-Sicherheit sollten sich an den generellen Zielen einer Organisation orientieren – vom Schutz geistigen Eigentums bis hin zur Maximierung der Produktivität, um neue Wege zu finden und Kunden zu begeistern. Cybersicherheit kann durchaus ein Business Enabler sein. Berücksichtigt man Standards und praktische Erfahrungen bei der Umsetzung von Cyber Security-Programmen und -Prüfungen der letzten Jahre, so stellen folgende Aufsichtsratsfragen an den Vorstand ein gutes Überprüfungs-Tool dar.  

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden