Edgar Bernardi von der Unternehmensberatung Avant und Oliver Maaß von der Kanzlei Eversheds Sutherland skizzieren, wie Aufsichtsräte Cyber-Risiken  und -Attacken begegnen müssen und liefern eine Check-Liste. 

.

Ist Ihr Unternehmen schon mal Opfer eines Hackerangriffs geworden? Und wenn ja, wie lange war das IT-System oder ein Teil des Unternehmens deshalb nicht mehr arbeitsfähig? Und sind Sie nun gegen einen neuen Angriff gewappnet?

Wenn nicht, dann steigt mit jeder Stunde die Wahrscheinlichkeit, dass das IT-System Ihres Unternehmens von Hackern angegriffen wird oder sich bereits ein Virus oder eine Schadsoftware ins IT-System eingeschlichen hat und nur auf den Tag wartet, an dem es angreift.

.

Die Schwachstellen sind meistens E-Mails mit dubiosen Anhang, die leichtfertig von den Mitarbeitern geöffnet werden oder Netzwerkverbindungen zu den Lieferanten, über die Viren oder Schadsoftware ins Unternehmensnetz gebracht: So werden Kunden- oder andere persönliche Daten abgegriffen, die die Produktion – die inzwischen netzwerkgesteuert arbeitet – lahmlegt oder auf sensible Unternehmens und Finanzdaten zugegriffen wird.

So eine Schadsoftware kann sich schon Monate vor ihrer Wirksamkeit eingeschlichen haben und die Auswirkung macht sich meist schleichend bemerkbar. Für das operative Management ist es also sehr schwierig, eine solche „Infektion“ und den folgenden schleichenden Ausbruch zu erkennen, das Ausmaß und die Behebung des Schadens abzuschätzen und wirksame Gegenmaßnahmen zu ergreifen.

.

Tagesordnungspunkt: Cyber Risk Management

Unternehmenslenker müssen also vorbeugen, um den Betrieb gegen Cyber-Angriffe zu wappnen, auf neudeutsch ‚Cyber Resilience‘. Der Aufsichtsrat muss sich regelmäßig über die Sicherheit des IT-Systems gegen Cyber-Angriffe und potentielle Risiken vom Management berichten zu lassen. Damit gehört der Tagesordnungspunkt‚ Cyber Risk Management‘ auf die Agenda jeder Aufsichtsratssitzung.

.

Produktivitätsverluste, Imageschäden

Wie sich das Cyber-Risiko bewerten und minimieren lässt? CEO und Aufsichtsrat müssen zunächst gemeinsam das Bewusstsein und Verständnis entwickeln und schärfen: Dass neben Strategie, Budget und Umsatz auch das Risiko für das Unternehmen zu betrachten ist, wenn Server und Netzwerk ausfallen. Denn inzwischen stützt sich jeder Prozess im Unternehmen auf irgendein vernetztes IT-System ab. Und der Ausfall des IT-Systems führt nicht nur zu Produktivitätsverlust, sondern lässt sich – insbesondere bei öffentlich agierenden Unternehmen – kaum verheimlichen und führt obendrein zu Imageverlusten. Im Ernstfall müssen IT-Verantwortlicher, CEO und  zuständiger Aufsichtsrat laufend kommunizieren. Je nach Vorfall zusammen mit der Rechts- und der PR-Abteilung.

.

Notfallplan und Wiederherstellungsplan

Unternehmen brauchen einen Notfallplan, der bei Ausfällen des IT-Systems einen minimalem operativen Betrieb gewährleistet. Wenn zum Beispiel das Eincheck-System des Hotels ausfällt, muss eine ausgedruckte Buchungsliste vorliegen, mit der die Gäste an der Rezeption manuell einchecken können. Die Liste wird dann im System nachgetragen, wenn es wieder funktioniert. 

Weiter ist ein Wiederherstellungsplan nötig, im Fachjargon ein Disaster Recovery Plan, der diesen Prozess in Einzelschritten definiert.

.

Wie bei einer Feuerwehrübung muss der Notfall- und der Wiederherstell-Plan regelmäßig überprüft, getestet und bei Bedarf angepasst werden. Zu den minimalen Präventivmaßnahmen gehören die ausführliche und stets aktuelle Dokumentation zu Zustand und Veränderungen an der IT-Infrastruktur (Hardware-Konfigurations-Änderungen, Software-Updates) und die entsprechende Überprüfung. Ebenso müssen Statistiken (in Form von Key Performance Indicators) speziell zu Cyber Aktivitäten, aber auch zu Routine-Prozessen wie Backup, Passwortschutz, Mitarbeitertraining regelmäßig dokumentiert und überprüft werden.

.

Cyber-Komitee

Damit die normale Aufsichtsratssitzung nicht allein für den Tagesordnungspunkt Cyber Risk draufgeht, sollte ein Cyber-Komitee innerhalb des Aufsichtsrats installiert werden. Dies prüft die festgelegten Maßnahmen, erweitert sie gegebenenfalls und gibt regelmäßig einen Bericht an alle Aufsichtsräte. Sinnvoll ist, auch einen Verantwortlichen für Cyber Sicherheit zu bestimmen, den Chief Information Security Officer (CISO).

 

Zustand und Sicherheit der IT-Infrastruktur ist heute auch Teil der Wirtschaftsprüfung. Neben dem Bericht der Compliance zur Corporate Governance sollte auch über die Cyber-Risiko-Absicherung des Unternehmens berichtet werden.

Was neuerdings auch zur Cyber-Sicherheit von Unternehmen gehört: die Einhaltung der EU-Datenschutz-Grundverordnung (EU-DSGVO), die ab dem 25. Mai 2018 in der EU gilt. Darin ist unter anderem das „Recht auf Vergessen“ festgelegt, also das Löschen der Daten von Personendaten im Netz. Denn Verstösse werden extrem teuer: Maximal vier Prozent vom weltweiten Konzernumsatz beziehungsweise 20 Millionen Euro sind die neue Obergrenze.

 

Checkliste

Leitfaden und Checkliste für Aufsichtsräte

1. Etablieren Sie ein Cyber-Komitee aus einem Aufsichtsrat, dem CIO – Chef Information Officer – und dem Wirtschaftsprüfer, der für die IT verantwortlich ist.
2. Seien Sie kritisch gegenüber dem CEO und dem CIO:  Stellen Sie beiden einfache und präzise Fragen wie diese: 

• Wie viele Cyber-Angriffe gab es im vergangenen Jahr pro Monat?
• Wie lange haben Sie im Schnitt gebraucht, diesen Angriff zu identifizieren?
• Wie lange war das System oder ein Teils des Systems außer Betrieb?
• Welche Vorkehrungen haben Sie daraufhin getroffen, dies künftig zu verhindern, was haben Sie daraus gelernt?

3. Stellen Sie Nachfragen zur Plausibilität und fordern Sie den IT-Verantwortlichen heraus.

4. Lassen Sie sich die Fragen zur IT-Infrastruktur, zu Abwehrprogrammen, zu Prozessen – Backup, Notfall- und Wiederherstellplan – immer so beantworten, dass sie diese ohne ein detailliertes IT-Verständnis verstehen.

.

Fragen können sein:

• Welche Netzübergänge sind wie abgesichert in Bezug auf Cyber Sicherheit? Haben Sie sie an ihrer IT-Infrastruktur durchgeführt?
  • Welche Veränderungen / Verbesserungen ?
• Haben Sie den Notfall und den Prozess der Wiederherstellung (sogenannte Disaster Recovery) einmal erprobt?
• Wenn ja, welche Auffälligkeiten / Verbesserungen / Dauer zur Wiederherstellung des Systems wurden festgestellt?

.

5.  IT-Techies‘ benutzend laufend Fremdworte. Lassen sie sich darauf nicht ein, sondern fordern Sie einfache Erklärungen und Beispiele, bis Sie die Antwort selbst verstehen und auch anderen in Umgangssprache erklären können.

6. Lassen Sie sich auf keine Detail-Diskussion beispielsweise über spezielle Software-Programme, Hardware-Ausstattungen, Router-Konfigurationen undsoweiter mit dem CIO ein. Die kann man nicht gewinnen.

7. Fordern Sie zu allen Antworten aktuelle Dokumente als Nachweise. IT ist zu schnelllebig und zu unscharf‚ sorgfältige und aktuelle Dokumentation also ein Muss, um im Notfall die zuletzt gültige Konfiguration zu kennen und wieder herstellen zu können, um die identifizierte Schwachstelle innerhalb einer vorgegebenen Zeit durch einen Patch, einen SW-update undsoweiter zu beseitigen, deren wirksame Behebung überprüfen (testen) zu können und um für künftige Problemfälle später noch zu wissen, welche Schwachstelle durch welche Maßnahme versucht wurden zu beheben.

8. Beauftragen Sie ein externes Beratungsunternehmen mit einer  ‚IT-Due Diligence‘, an der Sie auch stichprobenweise persönlich teilnehmen: Damit Sie neben dem Due- Diligence–Bericht persönlich ein Gefühl für die Tiefe / den Umfang der Due Diligence und den Grad der aufgedeckten Unzulänglichkeiten bekommen. Damit erkennen Sie neben der Dokumenten-Lektüre auch durch eigene Erfahrung und auch als Nicht-IT-Experte das Niveau des Cyber-Risikos des Unternehmens, das sie als Aufsichtsrat überwachen.

9. Dokumentieren Sie stets akribisch entdeckte Schwachstellen, fordern Sie die Behebung innerhalb einer Frist und verfolgen Sie, ob die Schwachstelle behoben wurde.

.

Wo in der IT-Infrastruktur potentielle Schwachstellen sind:

• Netzübergänge sind nicht abgesichert (es fehlen Verschlüsselung, Sicherheitsgateways, insbesondere für mobile Zugängeundsoweiter)
• Abwehrprogramme gegen Hacker fehlen.
• Die IT-Systeme und deren Komponenten (Software, Hardware) sind im Unternehmen sind nicht inventarisiert, oder es werden die erlaubten und bekannten Systeme beziehungsweise Komponenten nicht überwacht, das heißt Mitarbeiter haben unbewusst auf eigene Faust Systeme oder Komponenten installiert, die eine Gefahr für die Firma darstellen, weil jede Fremdinstallation die Gefahr in sich birgt, dass Schadsoftware ins System eingeschmuggelt werden.
• Es gibt keine Regel, wann Datensicherung  wie Back-ups stattfinden müssen und es ist nicht sicher gestellt, wo die Daten sicher aufbewahrt werden. Denn: Dann besteht die Gefahr, dass im Ernstfall beim Wiederherstellen des Systems entweder die falsche oder veraltete  Konfiguration aufgespielt wird oder das richtige Backup erst gar nicht gefunden wird.
• Es gibt offene Sicherheitslücken wie veraltete Virensoftware, nicht durchgeführte Updates, Workarounds, die nicht durch endgültige Lösungen ersetzt wurden. Wie man das als Digital-Laie erkennt? Hier hilft nur die Abfrage nach dem Update-Prozess und nach einer Liste beispielsweise der letzten Updates oder Patches und deren Einspieldatum, die in der Regel monatlich erfolgen, die man im Zweifel dann auch durch ein externes Beratungsunternehmen gegenprüfen lassen kann.
• Die Interaktionen zum Internet – Browser, E-Mail, abgesicherte Cloud-Services undsoweiter – sind unsicher: Fragen Sie nach Verschlüsselungsverfahren? Dem VPN-Zugang von außen (sogenannter Tunnel-Zugang)? Der MPLS-Vernetzung (eigenes Verbindungsnetz statt öffentlichem Internet) undsoweiter.
• Die Logdatenerfassung und -auswertung geschieht nicht regelmäßig. Hintergrund: Nicht nur das Einloggen, sondern generell die Vorgänge im System, insbesondere die sicherheitsrelevanten, werden in einem automatisch geführten elektronischen Logbuch erfasst. Sichergestellt sein muss: Die Zugangskontrollen sich nicht überwacht, der Datenraum (das Rechenzentrum) ist nicht physikalisch zutrittsgesichert, also durch Zutrittskontrolle per PIN, biometrische Daten, Videokontrolle undsoweiter abgesichert beziehungsweise nicht logisch abgesichert per Eingabe von sicheren und starken Paßworten.
• Es ist nicht sichergestellt, dass der jeweils aktuelle IT-Standard eingehalten wird:  Die Systeme sind nicht auf dem neuesten Stadt der Cyber-Sicherheit, die Maßnahmen sind den Mitarbeitern nicht bekannt, ebenso wie aktuelle Viren und Angriffe)