Im Zuge des Krieges in der Ukraine sind die Cyberrisiken erheblich gestiegen. Auch deutsche Unternehmen stehen im Visier. Cybersicherheit gehört jetzt auf die Agenda der Aufsichtsräte.
Ihren Erfahrungsschatz anzapfen, um kluge Fragen zu stellen und kompetenten Rat zu geben – das ist, grob umrissen, die Erwartungshaltung an Aufsichtsräte. Allerdings reicht es nicht, allein auf Erfahrungen und Erkenntnisse aus der Vergangenheit zu bauen. Denn ein Mandat ist zugleich Auftrag für die Zukunft, und das heisst: Gute Aufsichtsräte geben nicht nur Gelerntes weiter, sondern lernen auch Neues dazu.
Das ist in Zeiten rasanter Veränderungen, in denen Wissen besonders schnell veraltet, besonders wichtig. Und diese Erkenntnis setzt sich angesichts von Globalisierung und Digitalisierung erfreulicherweise durch: Immer mehr Aufsichtsräte bilden sich regelmässig weiter. Themen wie Künstliche Intelligenz, Klimaschutz und auch Cybersicherheit stehen dabei ganz oben auf der Agenda.
Cyber-Attacken gegen die deutsche Wirtschaft?
Wie wichtig das ist, hat der Angriff auf die Ukraine gezeigt, der von Cyber-Attacken flankiert wurde. Bereits Ende Februar warnte das Institut der deutschen Wirtschaft (IW), dass von diesen Angriffen „auch Deutschland und die hiesigen Unternehmen betroffen sein“ dürften. Schadsoftware könnte sich von IT-Systemen in der Ukraine auf verbundene Rechner in Europa ausbreiten.
Kurz darauf verschickte das Bundesamt für Verfassungsschutz einen „Sicherheitshinweis“, demzufolge „das Risiko für russische Cyberangriffe gegen deutsche Stellen einschliesslich Unternehmen“ deutlich gestiegen sein. Und nahezu zeitgleich erfuhren Hersteller und Betreiber von Windparks am eigenen Leibe, wie weit die Bedrohungslage im Zeitalter des „Internet of Things“ reicht: Nach dem Ausfall eines Satellitensystems, der wahrscheinlich auf Hackerangriffe zurückzuführen ist, war bei mehreren tausend Anlagen keine Fernwartung mehr möglich.
Selbst ein schnelles Ende des Krieges dürfte nicht mit sinkenden Risiken einhergehen. Denn wie auch immer es nun weitergeht: Die erheblichen geopolitischen Spannungen werden bleiben. Und neben staatlich orchestrierten Hackern sind immer mehr gewöhnliche Cyberkriminelle unterwegs, um Daten abzufischen und Unternehmen zu erpressen.
Gute Fragen stellen – und die Antworten verstehen
Das Thema Cybersicherheit gehört damit nicht nur in Vorständen, sondern auch in Aufsichtsräten weit oben auf die Agenda. Denn es gilt nachzuhaken, wie die Bedrohungslage einzuschätzen ist, wie Worst-Case-Szenarien aussehen und was die Verantwortlichen jetzt unternehmen wollen. Allerdings bringen die klügsten Fragen nichts, wenn man die Antworten nicht versteht. Wer nicht mit Plattitüden abgespeist werden will, muss deshalb Basiswissen in Sachen IT und Cybersicherheit mitbringen. Und es sollte vor nicht allzu langer Zeit aufgefrischt worden sein, weil es wohl kaum einen schnelllebigeren Bereich gibt.
Sicher: Nicht alle Mitglieder müssen im selben Masse im Thema stecken. Experten im Gremium oder auch hinzugezogene Fachleute können Wissenslücken ausgleichen. Aber je weiter grundlegende Kenntnisse verbreitet sind, desto höher ist die Wahrscheinlichkeit von positiven Impulsen. Und dies würde nicht wenigen Unternehmen zugutekommen.
Handlungsbedarf überprüfen
So ist vielerorts eine Überprüfung von IT-Systemen und Softwareprogrammen angezeigt, wie im März die eindringliche Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor den Anti-Viren-Produkten eines russischen Anbieters zeigte. Zudem empfiehlt das BSI mit Blick auf die Lage in der Ukraine unter anderem, Systeme auf den neuesten Stand zu bringen, interne Kapazitäten zur Bewältigung etwaiger Schäden aufzubauen und die Authentifizierungsvorgaben für Zugriffe von aussen zu verschärfen. Verschaffen Sie sich hier einen Überblick über die aktuelle Lageentwicklung und die empfohlenen Massnahmen des BSI.
Höchste Vorsicht ist aber nicht nur in Unternehmen, sondern auch im Aufsichtsrat selbst geboten. So macht es Sinn, die IT-Sicherheitsstandards bei Kommunikation und Kollaboration jetzt erneut zu überprüfen – und über moderne und sichere Softwarelösungen nachzudenken. (Brainloop/mc/ps)