Informationssicherheit wird häufig vernachlässigt, so dass sie hinter dem Tagesgeschäft zurückfällt. Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem ,Problem anderer Leute‘ wird. Damit wird die Verantwortung für Informationssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt“, so äußert sich das Bundesamt für Sicherheit in der Informationstechnik [BSI; Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)] in seinem Standard 200-2 zur IT-Grundschutz-Methodik.
Die fehlende Priorisierung der Cybersecurity im Managementsystem ist häufig die Ursache für Cybervorfälle in Unternehmen. Im Fall eines erfolgreichen Angriffs auf die IT-Infrastruktur sind die Versäumnisse schließlich nur noch schwer zu korrigieren. Dann drohen Schadensersatzansprüche und auch die persönliche Haftung bis hin zum Vorwurf eines Strafrechtsverstoßes. Das BSI hat die Gefahr erkannt und mit dem obenstehenden Zitat eine der großen Ursachen gegenüber den Sicherheitsverantwortlichen und entsprechenden Führungskräften adressiert – es fehlt an IT-Governance und konsequenter Aufgabenverteilung. In einer Frage sind sich Expertinnen und Experten mittlerweile einig: Jedes Unternehmen wird Opfer eines Cyberangriffs werden. Offen ist nur, wann dies der Fall sein wird.
Zuständigkeiten schaffen: der Cybervorstand
Um Schäden für das Unternehmen und auch Personen möglichst gering zu halten, ist es heute nicht mehr ausreichend, sich auf die IT–Abteilung allein zu verlassen. Die Gewährleistung von Cybersecurity ist Sache der Chefetage. Ein Cybervorstand muss in der Vorstandsebene etabliert und ausreichend mit Ressourcen und Kompetenz ausgestattet werden. Nach unserer Erfahrung ist schon auf dieser Stufe in vielen Unternehmen Optimierung möglich.
Unsere Erfahrung zeigt auch: Der Cybervorstand muss nicht selbst IT-Experte oder Informatiker sein. Wichtig ist die Bereitschaft, sich das Wissen anzueignen, um ein für das eigene Unternehmen passendes Managementsystem für Informationssicherheit (ISMS) zu etablieren und Gefahrenpotentiale zu erkennen.
Ein systematisches Vorgehen ist dabei sinnvoll: Zunächst wird das notwendige Wissen erarbeitet, dann können Aufgaben passgenau delegiert und interne wie externe Spezialisten einbezogen werden. Mit im Boot sind Spezialisten aus den Bereichen Informationssicherheit, Datenschutz und Compliance, im Anschluss ist die Belegschaft insgesamt mitzunehmen und vor allem zu sensibilisieren. Die meisten Hacker gelangen über interne Türen auf die IT-Systeme. Auslöser sind zum Beispiel der unbesorgte „Klick“ auf eine nicht erkannte Phishing-Mail oder auch das bewusste Öffnen digitaler Türen, wenn Mitarbeiter unzufrieden oder abwanderungswillig sind.
Die erweiterte Haftung: § 38 BSIG-E
Die Digitalisierung hat enorme Vorteile gebracht, zugleich aber neue Angriffspunkte geschaffen. Eine Cyberattacke kann schnell dazu führen, dass ein Unternehmen über Tage oder gar Wochen nicht mehr produktiv arbeiten kann. Es drohen enorme Umsatzverluste und Schadensersatzklagen von betroffenen Personen und Kunden, die zum Beispiel Lieferungen nicht rechtzeitig erhalten. Der potentielle Imageverlust ist kaum zu beziffern.
Für all das steht zunächst das betroffene Unternehmen ein. Eine Haftung droht aber auch den handelnden (verantwortlichen) Personen, wenn sie etwa nicht hinreichend für die Cybersicherheit Sorge getragen haben. In diesem Zusammenhang kann es auch zu Strafverfahren kommen. Schwerer wiegt jedoch das neue IT-Sicherheitsrecht. Der Gesetzgeber hat im Mai 2023 das Anpassungsgesetz für die europäische NIS-Richtlinie 2.0 präsentiert. Darin ist vorgesehen, dass die Verantwortlichen direkt in die Pflicht genommen werden. § 38 BSIG-E normiert für Geschäftsleiter besonders wichtiger Einrichtungen eine Überwachungspflicht: Konkret bedeutet das, dass sie Risikomaßnahmen zu billigen und ihre Umsetzung zu überwachen haben.
Auf einmal wird es persönlich
Darin mag man auf den ersten Blick nichts spektakulär Neues erkennen. Allerdings enthält § 38 BSIG-E weitere Verschärfungen der Haftung von Leitungsorganen. So darf die Billigung und Überwachung des Risikomanagements nicht mehr auf Dritte übertragen werden. Weiterhin schreibt § 38 Abs. 2 BSIG-E ausdrücklich vor, dass die Geschäftsleiter der Einrichtung für den entstandenen Schaden – damit sind Regressforderungen und Bußgeldforderungen gemeint – haften. Ein Verzicht des Regresses durch das Unternehmen wird von Gesetzes wegen in § 38 Abs. 3 BSIG-E ausgeschlossen, außer der Geschäftsleiter ist insolvent. Die persönliche Haftung der Geschäftsleiter für Schäden aus Verletzungen der Cybersicherheit soll somit massiv ausgeweitet werden. Aus diesem Grund plant der Gesetzgeber ferner, dass die Geschäftsleiter und deren Mitarbeiter regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken sowie um Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben. Sollte der Entwurf in dieser Form gesetzt werden, wird der Cybervorstand damit rechtlich vorgeschrieben.
Cybersecurity leben
Umso wichtiger wird es, schon jetzt für eine ausreichende Cybersecurity im eigenen Unternehmen Sorge zu tragen. Der Cybervorstand fokussiert sich auf die Datenschutz-compliance und IT-Sicherheit des Unternehmens. Die Datenschutz-Grundverordnung (DSGVO) verlangt eine angemessene Datensicherheit, die neue Sicherheitsrichtlinie der EU (NIS-2) fordert die Etablierung von Monitoring- und Auditprozessen neben einer robusten IT-Sicherheit. Verletzungen von DSGVO und NIS-2 können mit empfindlichen Bußgeldern geahndet werden. Angesichts der Komplexität technischer Systeme folgt auf ein Bußgeldverfahren folglich auch schnell ein Strafverfahren. Das kann vermieden werden, wenn vorab alle erforderlichen, zumutbaren Aufsichtsmaßnahmen ergriffen wurden, um Verletzungen der Cybersicherheit gar nicht erst entstehen zu lassen. Und das muss nachweisbar sein!
Orientieren kann sich der Cybervorstand an den Bausteinen und Leitlinien des BSI. Das BSI gibt jährlich das sogenannte Grundschutz-Kompendium heraus. Es enthält Bausteine zur Umsetzung eines Managementsystems für Informationssicherheit, des ISMS. Im BSI-Grundschutzkompendium werden die verschiedenen Risiken benannt und Handlungsempfehlungen ausgesprochen, um diese Risiken zu minimieren. Ähnliches leistet auch die ISO-Norm 27001, nach der sich ein Unternehmen zertifizieren lassen kann. Die Erfüllung eines solchen Standards ist die wichtigste Säule eines professionellen Cybermanagements.
Wenn der Grundstein gelegt ist, muss der Ernstfall geprobt werden: Die Cyberverteidigung besteht aus zwei Elementen. Zunächst ist ein Überwachungssystem einzurichten. Das ermöglicht, Angriffe zu erkennen. Verschiedene Dienstleister bieten sogar externe 24/7-Überwachungen der Systeme an. Flankiert wird das durch Element 2, einen Notfallplan, der regelt, wie sich das Unternehmen im Fall eines Cyberangriffs aufstellt (im besten Fall mit Ablaufdiagramm). Erste Priorität hat stets die Wiederherstellung der IT-Systeme, zweite Priorität die forensische Aufarbeitung. Parallel läuft die rechtskonforme Behörden- und Betroffenenkommunikation. Datenschutzaufsichtsbehörden sind unverzüglich, spätestens innerhalb von 72 Stunden zu informieren. Diese Meldung ist oft die erste offizielle Außenkommunikation. Sie markiert die Ausgangslinie, ab der über potentiell anschließende Bußgeld- und Schadensersatzrisiken bestimmt wird. Die Formulierung der Behördenmitteilung ist enorm wichtig, denn sie ist für jede weitere Außenkommunikation entscheidend. Diese Krisenkommunikationsstrategie leitet und verantwortet der Cybervorstand.
Stellt ein Cybervorstand sein Unternehmen professionell auf, reduziert er effektiv den drohenden Schaden für das Unternehmen und für sich selbst. Mit einem guten Konzept werden und bleiben Cyberrisiken versicherbar – und genau darum geht es.
Checkliste: Cybersecurity
Die rechtlichen Vorgaben und tatsächlichen Entwicklungen der vergangenen Jahre verdeutlichen, wie wichtig eine Cyber-Governance ist, die vom Cybervorstand geleitet und überwacht wird. Er oder sie sollte sich die entscheidenden drei Elemente einer erfolgreichen Absicherung seines Unternehmens vor Augen halten:
Kompetenz
Das nötige Know-how muss beim Cybervorstand vorhanden sein. Es kann und muss demnächst durch Schulungen und externe Unterstützung geschaffen werden. Mit einer Grundkenntnis, die entscheidungsfähig macht, kann effektiv delegiert und können Spezialisten bewertet werden.
Prozesse
Der Ernstfall muss ebenso vorbereitet sein wie der fortlaufend optimierte Schutz des Unternehmens. Der Stand der Technik entwickelt sich weiter – der Maßnahmenkatalog muss angepasst werden. Notfallpläne und Informationssicherheitsrichtlinien müssen klar strukturiert sein und es muss festgelegt werden, wer wann was tut. Dazu gehört die ständige Sensibilisierung der Belegschaft.
Agieren
Kommt es zu einem Cybervorfall, zählen Minuten. Je früher ein Cyberangriff erkannt wird, desto weniger weitreichend sind die Folgen. Der Angreifer kann dann weniger Daten verschlüsseln, jüngere Updates sind noch ohne Zugriff, ein schneller Shut-down aller Systeme hat schon oft Schlimmeres verhindert. Final ist zwingend die Aufbereitung durch die IT-Forensik im Hinblick auf die interne und externe Kommunikation bis hin zur robusteren Wiederaufstellung der eigenen Systeme.
Evaluieren
Sind die ersten Schritte so vollzogen, enden die Aufgaben des Cybervorstands und der von ihm eingesetzten Fachleute indes nicht. Es ist fortlaufend zu monitoren, ob das gewählte Set-up für den Cyberschutz im eigenen Unternehmen noch angemessen ist und wo nachgebessert werden sollte. Cybersecurity ist und bleibt Daueraufgabe.
kristina.schreiber@loschelder.de
