Fünf Prinzipien für den Umgang mit Cyberrisiken

Die Bedeutung digitaler Werte für die Bewertung eines Unternehmens ist im Zeitalter der Digitalisierung deutlich angestiegen. Damit ist auch eine entsprechende Digitalisierung der Unternehmensrisiken verbunden. Deren Management wird immer wichtiger.

Die Digitalisierung erfasst unseren Alltag und die gesamte Wirtschaft ist davon betroffen. Die Geschäftsmodelle ganzer Branchen werden dadurch – teilweise dramatisch – verändert. Auch Banken und Sparkassen können sich diesem Trend nicht entziehen. Studien zu den aktuellen Trends und Entwicklungen in diesem Bereich finden Sie im Bank Blog.

Partner des Bank Blogs

Digitale Konnektivität verändert die Art und Weise, wie wir leben und arbeiten. Die grenzüberschreitende Datenübermittlung ist zwischen 2005 und 2016 um das 45-Fache gestiegen und wird in Zukunft noch stärker zunehmen.

Doch während der technologische Fortschritt immer stärker spürbar wird, wächst auch die Besorgnis der weltweit führenden Unternehmen über Cyber-Bedrohungen und die damit verbundenen Kosten. Gerade Finanzinstitute sind beliebte Ziele von Cyber-Attacken und müssen den damit verbundenen Herausforderungen umfassend gegenübertreten.

Veränderung des Unternehmenswertes

Die Art und Weise, den Wert eines Unternehmens zu berechnen, hat sich in den letzten 25 Jahren signifikant verändert: Betrachtete man früher überwiegend physische Werte, sind heute für die Berechnung nahezu ausschließlich virtuelle Werte ausschlaggebend. Über 80 Prozent des Gesamtwertes der Fortune‑500-Unternehmen bestehen heute aus geistigem Eigentum (IP) und anderen immateriellen Vermögenswerten.

Mit der rasant wachsenden „Digitalisierung“ der Unternehmenswerte ist auch eine entsprechende Digitalisierung der Unternehmensrisiken verbunden. Der Verlust von geistigem Eigentum und Handelsalgorithmen, vernichtete oder manipulierte Daten, schwindendes öffentliches Vertrauen, Ausfälle kritischer Infrastrukturen und sich entwickelnde regulatorische Sanktionen gefährden Unternehmen. Jedes dieser Risiken kann die Wettbewerbsposition, den Aktienkurs und den Unternehmenswert negativ beeinflussen.

Dementsprechend sind politische Entscheidungsträger, Regulierungsbehörden, Aktionäre und die Öffentlichkeit mehr denn je für Risiken der Cyber-Sicherheit von Unternehmen sensibilisiert.

Unternehmen sehen Cyber-Risiken

Cyber-Sicherheit ist zu einer festen Größe auf der Agenda von Unternehmen auf der ganzen Welt geworden. In Studien äußern viele Führungskräfte, Regierungschefs und Strafverfolgungsbeamte Unsicherheit darüber, ob ihre Organisationen in der Lage sind, Cyber-Risiken zu managen und darauf zu reagieren, und stellen Fragen darüber, wie sich die digitale Revolution auf die Datensicherheit und den Datenschutz auswirken wird.

Es gilt, das unternehmensweite Risikomanagement in strategischer, operationeller und wirtschaftlicher Perspektive fit für die Digitalisierung zu machen. Vorstandsmitglieder müssen darauf vorbereitet sein, eine angemessene und wirksame Überwachung von Cyber-Risiken zu gewährleisten. Cyber-Sicherheit als unternehmensweites Strategiethema in den Geschäftskontext zu stellen, ist unerlässlich. Denn Cyber-Risiken gehen weit über technische und operationelle Risiken innerhalb der IT hinaus.

Handbuch für das Management von Cyber-Risiken

Cyberrisiken sind anderen versicherbaren Risiken zwar sehr ähnlich, stellen die Risikobewertung aber auch vor neue Herausforderungen. Die Wahrscheinlichkeit von einem Erdbeben oder einer Überschwemmung betroffen zu sein, ist beispielsweise relativ gut bestimmbar. Cybervorfälle hingegen sind überwiegend die Folge von geplantem und zielgerichtetem menschlichen Verhalten und damit das exakte Gegenteil eines Zufallsereignisses. Daher ist die Suche nach Mustern in der Vergangenheit nur eingeschränkt in der Lage, zukünftige Ereignisse vorherzusagen. Diese Besonderheiten müssen im Gesamtrisikomanagement ausreichend bedacht werden.

Die Internet Security Alliance (ISA) hat – gemeinsam mit AIG und der Allianz für Cybersicherheit (ACS), einer Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI) – ein Handbuch für das Management von Cyber-Risiken als Leitfaden für deutsche Vorstände und Aufsichtsräte veröffentlicht.

Die Autoren haben sich der Frage angenommen, ob es einen Weg gibt, vorhandene Cyberrisiken zu identifizieren und angemessen mit ihnen umzugehen. Im Ergebnis soll das Handbuch Vorstände und Aufsichtsräte dabei unterstützen, die unternehmerische Herausforderung des „Cyberraums“ und der damit verbundenen Risiken richtig einzuschätzen.

Fünf Prinzipien für den Umgang mit Cyberrisiken

Von den verantwortlichen Autoren wurden hierfür fünf Prinzipien erarbeitet, die von Vorständen, Geschäftsführern, Aufsichtsräten und Beiräten in Betracht gezogen werden sollten, um den Umgang mit Cyberrisiken zu verbessern:

1. Die Unternehmensleitung (d. h. Vorstand und Aufsichtsrat) muss Cyber-Sicherheit als unternehmensweites Risiko-Management-Thema verstehen und adressieren und nicht nur als reines IT-Problem.
2. Die Unternehmensleitung sollte die rechtlichen Auswirkungen von Cyber-Risiken in Bezug auf die individuellen Anforderungen ihres Unternehmens verstehen.
3. Die Unternehmensleitung sollte angemessenen Zugang zu Cyber-Sicherheitsexpertise haben und Diskussionen über das Cyber-Risiko-Management sollten regelmäßig und in angemessenem Zeitumfang auf der Tagesordnung der Vorstandssitzungen platziert werden.
4. Die Unternehmensleitung sollte die Erwartung formulieren, dass das Management einen unternehmensweiten Rahmen für das Cyber-Risiko-Management mit adäquater Personalausstattung und angemessenem Budget schaffen wird.
5. In der Diskussion der Unternehmensleitung über Cyber-Risiken sollte geklärt werden, welche Risiken vermieden, welche akzeptiert und welche über Versicherungen gemindert oder verteilt werden sollen und welche spezifischen Maßnahmen mit jeder dieser Varianten einhergehen sollten.

Premium Abonnenten des Bank Blogs haben direkten kostenfreien Zugriff auf die Bezugsinformationen zu Studien und Whitepapern.