Cyberkriminalität macht auch vor Unternehmen nicht Halt und zählt mittlerweile zu den größten Unternehmensrisiken. Auch das World Economic Forum bezeichnet dies als gefährlichstes Sicherheitsrisiko. Cyberkriminalität kann sogar existenzbedrohende Auswirkungen auf Unternehmen haben. Mit diesem Beitrag möchten wir Sie für das Thema Cyberkriminalität im Unternehmen sensibilisieren und Ihnen einige Tipps für diesbezügliche Vorkehrungen geben.
Warum ist Cyberkriminalität so im Trend?
Cyberkriminelle sind global organisiert und passen sich rasch an die sich ändernden Rahmenbedingungen an bzw entwickeln ständig neue Strategien für ihre Angriffe. Alleine im Jahr 2017 gab es zahlreiche Angriffe wie etwa die Sicherheitslücke „Cloudbleed“, die Ransomware „WannaCry“ oder den Trojaner „Petya/Not-Petya“ in einer Updatefunktion einer Buchhaltungssoftware, um nur einige zu nennen. Die Sicherheitslücke „Cloudbleed“ führte dazu, dass von Millionen Websites sensible Daten im Netz verbreitet wurden. Eine weitere Cyber-Attacke fand etwa auf den amerikanischen Finanzdienstleister Equifax statt und betraf beinahe jeden zweiten Amerikaner. Ein Hacker wiederum entwendete Kryptowährungen und Kundendaten von Handelsplattformen. Im Jahr 2018 kam es dann zur Entdeckung von enormen Schwachstellen bei Computern mit Intel-Prozessoren. Alleine in Österreich sind drei von vier Unternehmen in den letzten 12 Monaten von Cyberkriminellen angegriffen worden.
Wie können sich Unternehmen darauf einstellen?
Als bekanntes Modell zum Schutz von Unternehmensinformationen ist das sog. CIA-Triad Modell (Confidentiality – Integrity - Availability) zu nennen. Einerseits soll die Vertraulichkeit von unternehmensinternen Informationen (zB geplante Investments, Patente) nicht unberechtigt an Dritte gelangen und andererseits auch nicht von Dritten unerlaubt verändert werden können (Widerspruchsfreiheit). Als dritten Aspekt nennt das Modell die Sicherstellung der Verfügbarkeit aller Informationen und Daten bei jedem Abruf.
Die Geschäftsführung bzw der Vorstand sowie auch der Aufsichtsrat sind angehalten, ausreichende Prozesse und Strategien zum Schutz vor Cyberkriminalität zu entwickeln, um nicht uU sogar eine persönliche Haftung aufgrund einer Pflichtverletzung zu riskieren.
TIPP: In der Praxis wird eine Risikoanalyse (RIA) oder eine Business-Impact-Analyse (BIA) zur Risikoerkennung und – vermeidung empfohlen.
Wichtig ist nicht nur, eine ausreichende Kontrolle der Führungsebenen, sondern auch die Kontrolle der Maßnahmen in Bezug auf Mitarbeiter, Technologien und Prozesse in der zunehmend stärker werdenden technologischen Komplexität der Unternehmen. Der Mensch als Teil von Strategien ist notwendiger Bestandteil, denn die Sorglosigkeit und Neugier von Mitarbeitern wird von Cyberkriminellen ausgenutzt.
TIPP: Wichtige Schritte für mehr Sicherheit sind eine offene und umfassende Kommunikation unter den Mitarbeitern, mit der Führungsebene sowie mit den Lieferanten und Kunden.
Viele Unternehmen unterschätzen darüber hinaus das Risiko in Zusammenhang mit IoT-Geräten („Internet of Things“) und deren Kommunikation mit anderen Geräten im Unternehmen.
TIPP: Das Unternehmen soll seine Darstellung der Geschäftsprozesse, IT-Systeme, Datenflüsse und deren Schnittstellen verstehen und kontrollieren.
Häufige zielgerichtete Angriffe sind herbeigeführte Internetausfälle oder Infizierungen durch Mails. Anhänge einer scheinbar vertrauenswürdigen Mail von einer Bank, eines Paketdienstleisters oder gar eines Bewerbers infizieren beim Öffnen bzw. Herunterladen das System. Folge derartiger Cyberattacken sind meist Verschlüsselungen von gespeicherten Daten, Drohungen, Daten zu veröffentlichen sowie Löschungen von Daten, die meist nur mit Lösegeldzahlungen verhindert werden können.
TIPP: Regelmäßige Back-ups verhindern zwar keinen Angriff, aber schützen bei einer Attacke und entkräften Erpressungen. Um aber bereits die Angriffsfläche möglichst gering zu halten, gilt es die Mitarbeiter zu sensibilisieren und regelmäßige Kontrollen der Benutzerberechtigungen durchzuführen (Wer darf was?). Wichtige Schritte in Richtung eines verbesserten Datenschutzes wurden auch mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) gesetzt, zumal auch Datendiebstähle zum Alltag bei Cyberkriminellen gehören.
Was ist also zu tun?
Die wichtigsten Maßnahmen sind eine offene Kommunikation und die Sensibilisierung von Mitarbeitern, Führungskräften sowie Geschäftspartnern. Informieren Sie sich auch laufend bei Ihrem IT-Dienstleister über technische Neuerungen und investieren Sie rechtzeitig in den Schutz Ihres Unternehmens.
In diesem Zusammenhang sei weiters darauf hingewiesen, dass gemäß § 243 Abs 1 UGB auch im Lagebericht die wesentlichen Risiken und Ungewissheiten, denen das Unternehmen ausgesetzt ist, zu beschreiben sind. Technologische Risiken zählen zu den operativen Risiken. Eine Beschreibung der Risiken und Chancen im Zusammenhang mit der IT-Sicherheit bzw. IT-Netzwerken in qualitativer Form und deren Verhinderungsmaßnahmen scheint aus unserer Sicht in angemessener Form durchaus notwendig und hat wesentlichen Einfluss auf rechnungslegungsbezogene Prozesse.
