Cyberangriffe verursachen jährlich Schäden in Milliardenhöhe – und sind längst kein Technikproblem mehr. Doch viele Gremien behandeln Cybersicherheit immer noch wie eine IT-Angelegenheit. Ein riskanter Irrtum.
In vielen Aufsichtsräten wird Cybersicherheit implizit an die IT-Abteilung delegiert. Die Verantwortung scheint klar verteilt: Die IT baut Firewalls, prüft Backups, schult Mitarbeitende. Im Zweifel muss der CIO Rede und Antwort stehen – nicht der CFO, nicht der Vorstandsvorsitzende, schon gar nicht das Aufsichtsgremium. Ein nachvollziehbares, aber trügerisches Bild: Die technische Komplexität schreckt ab, Cyberangriffe wirken wie Einzelfälle. Doch gerade diese Haltung macht Unternehmen angreifbar – und Gremien blind für reale Haftungsrisiken.
Cybercrime ist längst zu einem der profitabelsten Geschäftsfelder organisierter Kriminalität avanciert – mit steigender Professionalisierung und internationaler Arbeitsteilung. Laut BITKOM ist der Schaden durch Cyberangriffe für deutsche Unternehmen allein 2023 auf über 266 Milliarden Euro gestiegen. Schadenskategorien sind dabei Lösegelder, Betriebsausfälle, Imageschäden und regulatorische Sanktionen. Es geht nicht mehr um technische Details, sondern um Geschäftskontinuität, Liquidität und Glaubwürdigkeit. Wer hier nicht die unternehmerische Dimension erkennt, versäumt seine Verantwortung – gerade im Aufsichtsrat.
Neue regulatorische Rahmen wie DORA, NIS2 oder der Cyber Resilience Act (CRA) fordern nicht nur robuste Schutzmaßnahmen, sondern auch klare Zuständigkeiten – bis in die Unternehmensführung. Die Haftung wandert: vom IT-Leiter zu den Organen der Geschäftsleitung – und indirekt auch in den Aufsichtsrat. Denn das Gremium trägt die Verantwortung für Überwachung, Kontrolle und Angemessenheit der Risikovorsorge. Cybersecurity kann nicht mehr an Spezialausschüsse oder externe Gutachten ausgelagert werden. Der gesamte Aufsichtsrat ist gefordert – nicht nur technisch, sondern strategisch.
Cyberangriffe wirken längst nicht mehr nur über Trojaner oder E-Mail-Anhänge. Neue Taktiken setzen gezielt auf psychologische Täuschung und Schwachstellen in der Unternehmensorganisation. Zwei Beispiele zeigen, wie kreativ und gefährlich Cybercrime inzwischen operiert – und warum Gremien hinschauen müssen:
1. Deepfake-CEO-Anrufe – der Betrug klingt “von oben”
In einem beunruhigenden Fall aus Westeuropa erhielt die Leiterin der Finanzabteilung eines international tätigen Mittelständlers einen dringenden Anruf. Die Stimme am Telefon klang exakt wie die des Vorstandsvorsitzenden – Tonfall, Sprachrhythmus, sogar Hintergrundgeräusche wirkten vertraut. Der vermeintliche CEO erklärte, man sei in vertraulichen Verhandlungen über eine internationale Akquisition. “Diskretion ist oberstes Gebot”, sagte er – und bat darum, kurzfristig einen mittleren zweistelligen Millionenbetrag auf ein angeblich projektbezogenes Konto zu überweisen.
Nur durch Zufall wurde der Betrug aufgedeckt, bevor das Geld floss. Es handelte sich um einen Deepfake-Anruf – künstlich erzeugt auf Basis öffentlich verfügbarer Audioaufnahmen. Relevanz für Gremien: Wie robust sind die internen Prozesse für Zahlungsfreigaben – gerade bei vermeintlichen Ausnahmesituationen? Sind Kontrollmechanismen auch dann wirksam, wenn der “Auftrag” von der Unternehmensspitze zu kommen scheint?
2. Angriff über Dienstleister – unterschätzte Risiken in der Lieferkette
Ein anderer Fall betrifft ein deutsches Industrieunternehmen, das seine IT-Wartung an einen regionalen Dienstleister ausgelagert hatte. Über Fernzugriffstools konnte der externe Partner routinemäßig auf zentrale Systeme zugreifen – ein effizientes Setup, bis es den Angreifern gelang, die Zugangsdaten des Dienstleisters zu kompromittieren.
Von dort aus verschafften sie sich systematisch Zugriff auf unternehmenskritische Daten, legten Server lahm und verlangten ein Lösegeld für die Entschlüsselung. Besonders perfide: Der Angriff wurde über Wochen hinweg nicht bemerkt, weil die Aktivitäten als “normaler Fernzugriff” erschienen. Relevanz für Gremien: Wie werden externe Dienstleister und ihre IT-Zugriffe kontrolliert? Gibt es ein Risikomanagement für die digitale Lieferkette? Werden Zugriffsrechte regelmäßig geprüft und im Notfall schnell entzogen?
Die Gretchenfrage lautet: Haben wir im Gremium die nötige Expertise, um Cyberrisiken adäquat zu verstehen und zu bewerten? Und wenn nicht: Wie sichern wir dennoch unsere Entscheidungsfähigkeit? Digitalkompetenz muss nicht bedeuten, selbst programmieren zu können – wohl aber, die richtigen Fragen zu stellen, Risiken realistisch einzuordnen und strategische Konsequenzen zu antizipieren. Es geht um Governance-Kompetenz, nicht um Codeverständnis. Aber: Ohne Weiterbildung, ohne regelmäßigen Abgleich mit der aktuellen Bedrohungslage bleibt das Gremium im Blindflug.
Diese Fragen öffnen Räume für Diskussion – und bringen das Thema aus der IT-Ecke in den strategischen Dialog.
Es braucht keine flächendeckenden Tech-Workshops – aber gezielte Impulse und strukturierten Dialog. Nur so lässt sich verhindern, dass Cyberrisiken zur strategischen Achillesferse werden. Der Aufsichtsrat muss als Frühwarnsystem und Sparringspartner für das Management fungieren – gerade in Fragen digitaler Sicherheit. directors academy unterstützt mit Formaten, die Aufsichtsräte stärken und auf Augenhöhe mit der digitalen Realität bringen.
Autoren: Gero Güllmeister und Hans-Peter Fischer, FTI-Andersch.
Dieser Beitrag basiert auf den Ergebnissen des virtuellen Round Tables der Directors Academy in Zusammenarbeit mit Experten von FTI-Andersch am 20. März 2025.
Mit dem kostenlosen Governance-Newsletter Directors Essentials erhalten Sie Wissenswertes aus der Welt der Corporate Governance: Von aktueller Rechtsprechung und neuen Regularien bis hin zu Veranstaltungshinweisen.
Krisen erzeugen psychologisch das Bedürfnis nach Klarheit. Wenn Unternehmen in solchen Phasen nicht aktiv kommunizieren, wird dies unbewusst als Instabilität oder Intransparenz gedeutet. Besonders...
Ein Plädoyer für digitale Wachsamkeit im Aufsichtsrat. Cyberangriffe verursachen jährlich Schäden in Milliardenhöhe – und sind längst kein Technikproblem mehr. Doch viele Gremien behandeln...