Dr. Carola Rinker und Manuel Dinis zeigen im aktuell erschienenen Buch „Cyber Security in der Risikoberichterstattung“, worauf es bei der Bewertung, Darstellung und Vermeidung von Cyber-Risiken ankommt.
Lesen Sie hier den ersten Teil des Interviews auf ESV.info.
Es gibt zahlreiche gesetzliche Vorschriften, die direkt und indirekt die IT-Sicherheit stärken sollen. Welche sind für Unternehmen besonders relevant?
Manuel Dinis: Ich bin in meiner Tätigkeit als Berater überwiegend bei KRITIS-Betreibern tätig. Hier spielen insbesondere die Rahmenwerke 2700x, BSI IT-Grundschutz, ISO 2000 und teilweise branchenspezifische Standards wie IDW PS oder MaRisk eine Rolle. Das führt sehr schnell zu einer Überforderung bei Unternehmen, weil das Thema zu komplex wird.
Inwiefern sind in absehbarer Zeit gesetzliche Verschärfungen zu erwarten?
Manuel Dinis: Eine Verschärfung hat es mit dem IT-Sicherheitsgesetz 2.0 bereits gegeben, es ist am 28.5.2021 in Kraft getreten ist. So gehören Systeme zur Angriffserkennung nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen. Außerdem müssen KRITIS-Betreiber den Einsatz kritischer Komponenten anzeigen. Das betrifft alle IT-Systeme, deren Ausfall die Funktion der Anlage erheblich beeinträchtigen würde.
In einer empirischen Studie haben Sie sich speziell mit der Cyber-Security in der Risikoberichterstattung befasst. Welche zentralen Punkte haben Sie beobachtet?
Carola Rinker: Die meisten Unternehmen berichten über Cyber-Risiken. Auffallend ist allerdings, dass diese oftmals noch den IT-Risiken zugeordnet werden und nicht als separates Risiko im Risikobericht abgegrenzt werden. Software-Unternehmen berichten mitunter besonders häufig über Cyber-Risiken.
Wie schätzen Sie das durchschnittliche Niveau in der Berichterstattung ein?
Carola Rinker: Ich schätze das Niveau so ein, dass noch einiges an Luft nach oben besteht. Nur wenige Unternehmen berichten detailliert über die bestehenden Cyber-Risiken. Ebenfalls selten finden sich Angaben über die Präventionsmaßnahmen und Hackerangriffe. Das hat jedoch möglicherweise den Grund, für mögliche Angriffe nicht zu viele Informationen offenlegen zu wollen.
Wie lassen sich Cyber-Risiken am besten erfassen und bewerten?
Manuel Dinis: Die Abgrenzung der Cyber-Risiken von anderen IT-Risiken erscheint in der Praxis möglicherweise nicht immer so leicht zu sein. Andernfalls würden vermutlich mehr Unternehmen Cyber-Risiken von den sonstigen IT-Risiken im Risikobericht abgrenzen. Bei der Bewertung des Risikos kann davon ausgegangen werden, dass im Falle eines Hackerangriffs der Schaden teilweise erheblich sein kann. Bei den aktuellen Cyber-Attacken zeigt sich zunehmend die Vorgehensweise der Täter, was bei der Bewertung der Risiken auch berücksichtigt werden sollte.
Auf welche Schlüsselfaktoren sollten Unternehmen in der Risikoberichterstattung besonders achten?
Carola Rinker: Insbesondere bei Cyber-Risiken gibt es für Unternehmen die Herausforderung, dass die Berichterstattung für die Stakeholder transparent sein sollte. Andererseits kann die Offenlegung zahlreicher Informationen auch Hackern wichtiges Wissen liefern, um die Erfolgsquote der Angriffe zu erhöhen. Dieses Spannungsfeld beeinflusst die Berichterstattung über Cyber-Risiken. Allgemein finde ich es hilfreich, wenn im Risikobericht alle Risiken des Unternehmens in einer Übersicht dargestellt werden. Das ermöglicht, einen ersten Überblick zu erhalten, bevor ich mir die Informationen zu den einzelnen Risiken im Detail anschaue.
Zur Person |
Dr. Carola Rinker ist Unternehmensberaterin und Coach. Sie ist spezialisiert auf Unternehmensbewertungen und -analysen. Die Bilanzexpertin erstellt Studien zu aktuellen Themen der Rechnungslegung, auch zur Berichterstattung von Cyber-Risiken. Die die Volkswirtin leitet Seminare und Inhouse-Schulungen im Themenfeld der Rechnungslegung. Manuel Dinis ist Senior Consultant und Programm-Manager für Digital-Workplace-Konzepte bei der Digitalberatung Fichtner IT Consulting. Im Schwerpunkt beschäftigt er sich mit den Themen IT-Sicherheit (Datenschutz, Informationssicherheit, Geschäftsgeheimnisgesetz, E-Government-Verordnung) und IT-Strategie (Risikomanagementsysteme, Prozessdigitalisierungen, digitale Geschäftsmodelle). Er berät Unternehmen zu dem Thema „Kollaboration“ auf Basis von Microsoft365-Technologien. |
Lesen Sie hier den ersten Teil des Interviews auf ESV.info.
(ESV/fab)
Cyber Security in der RisikoberichterstattungHerausgegeben von: Dr. Carola RinkerBeiträge von Helmut Brechtken, Manuel Dinis, Dr. Dominique Hoffmann, Patrick Król, Chris Lichtenthäler, Dr. Carola Rinker, Thomas Zimmerer Der digitale Wandel und die Vorteile unternehmensübergreifender Vernetzung haben die Gefahren von Hackerangriffen und vergleichbaren Bedrohungen massiv erhöht. Auch bei den Methoden von Cyberkriminellen ist eine kritische Professionalisierung zu beobachten, der sich jedes Unternehmen stellen muss.
Pflichtlektüre mit vielen Umsetzungstipps für alle, die sich bei der Verbesserung und Absicherung der Unternehmens-IT erfolgreich einbringen. |
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: