Unternehmen werden von Hackerangriffen bedroht. Das ist Realität in Deutschland. Die Digitalisierung birgt nicht nur Chancen, sondern auch Risiken, die man im Blick behalten muss. Unternehmen, die auf Führungsebene vorsorgen, haben Vorteile. Der Cyber-Vorstand ist eine leitende Position (m/w/d), die für maximale Cyber- und Handlungssicherheit im Unternehmen sorgt – heute ein Muss.
Schöne neue Welt?
Die Digitalisierung macht vieles einfacher, was früher mühsam war. E-Mail-Kommunikation ist schnell. Künstliche Intelligenz und automatisierte Management-Systeme sorgen für Effizienz. Die Cloud ermöglicht das Arbeiten von überall. Aber – das alles hat einen Preis: Die Gefahr von Hacker-Angriffen wächst mit jeder Anwendung. Experten warnen, dass es nur eine Frage des Zeitpunkts sei, wann Unternehmen angegriffen würden. Dass sie irgendwann angegriffen werden, sei klar. Die Uhr tickt und die Unternehmensgröße spielt dabei keine Rolle. Kleine Unternehmen sind für Angreifer genauso interessant, wie große Konzerne. Besonders interessant sind Unternehmen, die sensible Daten verarbeiten. Denn – je sensibler, desto größer die Angst in Unternehmen und desto größer die Bereitschaft, Erpressungszahlungen zu leisten. So das Kalkül der Hacker.
Risikomanagement durch den Cyber-Vorstand
Unternehmen brauchen jetzt einen Cyber-Vorstand. Eine neue Position in der Führungsriege. Vorsorge, perfekte Vorbereitung und Übung minimiert das Risiko bei einem Hacker-Angriff. Ein Angriff kann nicht nur Imageverlust bedeuten, sondern kann zu massiven Schadensersatzklagen, Bußgeldrisiken und sogar Strafrechtsprozessen führen. Das Reglement durch den Gesetzgeber wird immer enger – er sieht Unternehmen in der Pflicht. Nicht zuletzt die DSGVO hat viele Vorgaben für die Datensicherheit geschaffen, die verpflichtend sind. Mit der Umsetzung der NIS-2-Richtlinie im deutschen Recht werden erstmals auch Unternehmen adressiert außerhalb der klassischen KRITIS-Bereiche (also der kritischen Infrastruktur, z.B. Energieversorgung oder der Grundversorgung mit Arzneimitteln). Unternehmen müssen diese Regelungen genau kennen, um ihnen zu entsprechen, Sie verhindern so Zahlungsrisiken und Strafen und schützen ihr Unternehmen. Höchste Priorität des Cyber-Vorstands ist, sich in die rechtlichen und technischen Grundlagen einzuarbeiten, um Maßnahmen für das eigene Unternehmen daraus abzuleiten. Dafür muss der Cyber-Vorstand weder Jurist noch IT’ler sein. Das Grundverständnis der Materie ist auch für interessierte Fachfremde mit den entsprechenden Schulungen gut zu durchdringen.
Mitarbeiterschulungen: Sensibilisieren und motivieren
Die Bedeutung von Schulungen und der Sensibilisierung darf auch gegenüber den Mitarbeitenden nicht unterschätzt werden: Oft liegt der Ursprung eines erfolgreichen Hacking-Angriffs bei einem (versehentlichen) Fehlverhalten eines Mitarbeiters. Der Klick auf die berüchtigte Phishing-Mail, ein unachtsam verwendeter USB-Stick oder der unbedachte Umgang mit Passwörtern sind oft Einstiegsoption für Hacker. Ein einziger Moment der Unachtsamkeit kann hier gravierende Folgen haben. Besonders in stark stressanfälligen Abteilungen und unter Druck passiert es häufig. Etwa der Vertrieb und der Einkauf sind häufiger bedroht, als andere Abteilungen. Gerade diese Mitarbeitenden müssen sensibel und aufmerksam für das Thema sein und auch wissen, dass sie sich im Fadenkreuz der Hacker befinden. Ihnen Hilfestellungen an die Hand zu geben, reduziert Risiken enorm.
Vorbereitet auf den Ernstfall
Tritt der Ernstfall ein, besteht bei der nötigen Vorbereitung durch den Cyber-Vorstand Handlungssicherheit. Der Cyber-Vorstand weiß, welche Maßnahmen intern zuerst einzuleiten sind, welche Meldefristen einzuhalten sind, um Bußgeld- und Schadenersatzforderungen vorzubeugen und wer bei alledem Hilfeleistungen bietet, intern wie extern. Ein klar definierter Ablauf wird in Gang gesetzt, der auch regelmäßig das komplette Abschalten des Systems beinhalten kann. Im besten Fall ist die EDV geklont und im BackUp sicher einsatzbereit, um Ausfallzeiten und die eigene Erpressbarkeit zu minimieren. Cyber-Vorstände wissen, dass es jetzt darauf ankommt, möglichst schnell das Unternehmen wieder vollfunktionsfähig zu bekommen und dabei trotzdem sicher zu agieren. Neben dem Abschalten der Systeme und weiterer, streng definierter Handlungsabläufe, geht es auch um die zeitnahe und professionelle Information der Öffentlichkeit. Auch hier kommt es auf das Wie an, um gesetzliche Pflichten zu erfüllen, Vertrauen zu erhalten und zugleich spätere Klagewellen zu verhindern. Je nach Unternehmen und Angriff unterscheiden sich Maßnahmen und Vorgehen. Da die IT immer komplexer wird, gehen die rechtlichen Sanktionen mittlerweile auch weit über Bußgelder hinaus. Wird klar, dass Personen im Unternehmen schuldhaft gehandelt haben, etwa wegen einer unzureichenden internen Vorbereitung, können Vorfälle auch Strafverfahren und die persönliche Haftung des Managements nach sich ziehen.
Sie haben Informations-, Trainings- oder Schulungsbedarf zu diesem Thema? Sprechen Sie uns gerne an. Ihre Ansprechpartnerin:
Dr. Kristina Schreiber
https://loschelder.de/de/rechtsanwaelte/anwaelte/dr-kristina-schreiber.html