Gastbeitrag von Karl-Heinz Schulte, Daniela Hellwig
Digitalisierungsprojekte in Deutschland nehmen zu.
KI befeuert diese Entwicklung und ermöglicht immer mehr in immer kürzerer Zeit. Zeitgleich erfahren wir eine massive Erhöhung der Cyberangriffe auf Unternehmen. Täglich. Zwei unterschiedliche Baustellen?
Wohl kaum, wenn wir einen Blick auf die offensichtlichen Zusammenhänge legen: Mit jedem neuen, „digitalisierten Zentimeter“ erschaffen wir einen neuen „angreifbaren Zentimeter“ in unserem Unternehmen. Produktionshallen, die jahrzehntelang abgeschottet produziert haben, werden Teil des Internet of Things – und damit angreifbar aus der Cyberwelt. Automatisierte Services lassen sich per Mausklick stilllegen. Und mit Einzug der KI wird Schadsoftware so intelligent und personalisiert, dass auch die digital versiertesten Mitarbeitenden zu leicht überwindbaren Opfern werden.
Digitalisierung ist der Business Booster aller Transformationen.
Der #Digitalisierung den Rücken kehren ist also keine Option. Das wissen inzwischen alle Aufsichts- und Kontrollgremien. Digitalisierung, Automatisierung und der Einsatz von KI sind gesetzt, um ein Unternehmen zukunftssicher und wettbewerbsfähig aufzustellen. Richtig angewendet bringt uns Digitalisierung deutliche Effizienzvorteile im eigenen Unternehmen sowie auch in der Zusammenarbeit mit Partnern und Kunden. Allerdings bringt sie ein ungleich größeres Risiko mit sich: Ein Cyberangriff bringt die Existenz des gesamten Unternehmens in akute Gefahr: Je digitaler, desto anfälliger sind wir. Je digitaler, desto größer die Auswirkungen des Angriffs. Der vollständige Unternehmensstillstand in der Regel die Folge. Eine Insolvenz kommt oft schneller als eine Wiederherstellung der IT. Das darf nicht sein.
Beide Seiten sind existenziell für Unternehmen und damit durch den #Aufsichtsrat zu fokussieren. Denn: Er hat sich dem Ziel der Unternehmenssicherung verschrieben. Das gilt sowohl für die Wettbewerbsfähigkeit als auch die Existenzsicherung. Dabei spielt auch die Außenwirkung eine immense Rolle: Digitale Zusammenarbeit mit Externen eröffnet völlig neue Risikobereiche und Potentiale. Ein Angriff bedeutet im schlimmsten Fall nicht nur den Totalverlust für das eigene Unternehmen, sondern auch für vernetzte Kunden, Partner und Zulieferer.
Die Zahlen des BSI
sprechen dabei für sich: Mit einem täglichen (!) Zuwachs von über 300.000 Schadprogrammvarianten ist die Cyber-Bedrohungslage so hoch wie nie zuvor. KI wirkt hier verstärkend auf beiden Seiten: Als Digitalisierungsschub, aber auch auf der dunklen Seite der Angreifer: Wir erleben eine noch nie dagewesene Professionalisierung und Automatisierung im Cybergewerbe. Die Cyberwelt ist heute eine professionell aufgestellte „Industrie“ mit professioneller Arbeitsteilung in der Wertschöpfungskette. Verschiedene Partner arbeiten zusammen, sind in Gruppen organisiert und mit nötigen finanziellen und intellektuellen Mitteln ausgestattet. Inzwischen gibt es Crime-as-a-Service, Schadsoftware im Abo und vieles mehr. Was früher hochintelligenten und begabten Hackern vorbehalten war, ist heute erwerblich. Und wie gut es darauf vorbereitet ist.
Besonders Mittelständler
sind von dieser Entwicklung besonders bedroht. Das volkswirtschaftliche Massenphänomen #Cyberattacke kann nun im großen Stil auf jene losgelassen werden, die historisch wenig Energie in die Abwehr gesteckt haben.
Es wird Zeit, diesen Umstand zu ändern.
Der digital versierte #Aufsichtsrat muss hierbei zur Schlüsselfigur werden. Er hat die notwendigen Mittel, das Thema auf die Agenda zu bringen. Transparenz einzufordern. Notwendige Analysen anzustoßen. Cybersecurity-Pläne zu hinterfragen. Und das Thema in der gesamten Führungsebene zu verankern.
Analyse und Prävention muss der Fokus sein. Wir wiederholen: Den 100% Schutz gibt es nicht. Doch wie im Falle eines Brands, ist es überlebensnotwendig, den Notausgang zu kennen und Brandschutztüren zu aktivieren. Übertragen auf Cybersecurity bedeutet das, den Zustand des eigenen Unternehmens zu kennen und zu wissen, wo im Ernstfall die richtigen Hebel betätigt werden können, um einen Totalverlust zu verhindern. Wenn diese Hebel noch nicht existieren, ist es vor allem die Pflicht des Aufsichtsrats, deren Ausbau und dafür die notwendigen Ressourcen einzufordern. Cyberabwehr ist ein kostspieliges Unterfangen. Darin nicht zu investieren, wird über kurz oder lang der teurere Weg.
Wagt sich ein Aufsichtsratsmitglied erstmalig in die Sphären der IT und Cybersecurity vor, kann es zunächst von Fachjargon und technischen Spezifika abgeschreckt werden. Es entsteht der Eindruck: Hier kann ich nicht wirken. Mir fehlt das Verständnis. Wir möchten an dieser Stelle dringendst appellieren, diesen Glaubenssatz zu streichen – und genau dieses Verständnis bei den Spezialisten einzufordern.
Wie kann ein Aufsichtsrat oder Beirat wirken in der Cyberabwehr?
Lassen Sie uns Ihnen einige plakative Beispiele geben, wie ein Mitglied oder Gremium wirken kann:
– Bringen Sie das Thema aktuelle „Cyber-Bedrohungslage“ auf die Agenda einer jeden Aufsichtsratssitzung. So wie sie auch auf finanzielle Zahlenlage schauen, betrachten sie auch die Bedrohungslage. Behalten Sie kritische Entwicklungen im Blick und diskutieren Sie Trends.
– Fordern Sie bei jedem zustimmungspflichtigen Geschäft mit digitaler Komponente eine transparente Risikobewertung ein: Welche neuen oder größeren Cyberrisiken wollen wir bewusst eingehen mit dem digitalen Projekt und wie mitigieren wir dieses Risiko? Vergrößert sich etwa die Angriffsfläche durch das Vorhaben? Wird gar die potentielle Ausbreitung vergrößert? Können bspw. jetzt auch unsere Kunden durch uns zu Schaden gebracht werden? Ohne Transparenz des Risikos und seiner Mitigation keine Zustimmung durch den Aufsichtsrat.
– Fordern Sie Einblick in die Verteidigungsstrategie und den Schutzplan des Unternehmens. Hinterfragen Sie deren Aktualität und Wirkung. Wann und wie wurden diese getestet?
– Lassen Sie sich den Business Continuity Plan und Incident Response Plan zeigen und prüfen Sie deren Aktualität sowie Verbreitung im Unternehmen. Dort sollte auch geregelt sein, wann sie als Gremium informiert werden wollen.
– Befürworten und unterstützen Sie die Auswahl von strategischen (Cyberabwehr-) Partnern.
– Fordern Sie eine dedizierte Informationsveranstaltung durch den CISO bzw. CIO ein – lassen Sie sich über den Status Quo informieren.
– Öffnen Sie Türen für einen möglichen Best-Practice Austausch mit Unternehmen aus Ihrem Aufsichtsrats-Netzwerk.
Mit diesen Punkten seien nur einige, wenige Möglichkeiten genannt, wie sie insbesondere die Cyberprävention in Ihrem Unternehmen treiben und verbessern können. Gibt der Aufsichtsrat dem Thema dauerhaft eine Bühne und fordert Transparenz, ist dies oftmals bereits die entscheidende Botschaft.
Drei Stufen der Entwicklung für Gremien und Mitglieder
Persönliches Grundlagenwissen aufbauen: Ein jedes Aufsichtsratsmitglied wird das Thema Teil der persönlichen Agenda werden lassen. Know-how in Digitalisierung und Cybersecurity sollte ebenso selbstverständlich werden wie Finanz- und Prozesswissen. Einen empfehlenswerten Einstieg bietet unser Buch „IT und Digitales für Aufsichtsräte & Beiräte“. Modular aufgebaut holt es die Zielgruppe ab, schafft generelles Verständnis und bietet Deep-dives wo sinnvoll. Als „praxisnahes Handbuch“ bietet es zahlreiche direkt einsetzbare Maßnahmenpläne für Digitalisierungsvorhaben und Cyberabwehr. Es hat sich damit beiden Seiten der Medaille verschrieben.
Das Mandatsunternehmen verstehen: Neben allgemeinen Grundkenntnissen werden Sie ein besonderes Interesse an der Ausprägung in Ihrem Mandatsunterhemen haben. Fordern Sie bspw. einen dedizierten Workshop im Kreise Ihres Gremiums ein, der Ihre Unternehmensrealität in den Fokus nimmt. Holen Sie sich bei Bedarf externe Unterstützung dazu. Sorgen Sie dafür, dass jeder den Status Quo kennt, um die Themen langfristig in den Köpfen zu platzieren.
Das Gremium stärken: Auf Basis der Ergebnisse und der Besetzung kann es eine Überlegung wert sein, das Gremium zu erweitern um eine Rolle mit speziellem Fokus auf Digitales und Cyberabwehr. Dies kann womöglich eine sinnvolle Ergänzung sein, um Ihr Unternehmen zukunftsfähig und zukunftssicher aufzustellen.
Autoren: Daniela Hellwig & Karl-Heinz Schulte
Homepage: www.somapro.de