Dr. Carola Rinker und Manuel Dinis zeigen im aktuell erschienenen Buch „Cyber Security in der Risikoberichterstattung“, worauf es bei der Bewertung, Darstellung und Vermeidung von Cyber-Risiken ankommt.

Lesen Sie hier den ersten Teil des Interviews auf ESV.info.

Es gibt zahlreiche gesetzliche Vorschriften, die direkt und indirekt die IT-Sicherheit stärken sollen. Welche sind für Unternehmen besonders relevant?

Manuel Dinis: Ich bin in meiner Tätigkeit als Berater überwiegend bei KRITIS-Betreibern tätig. Hier spielen insbesondere die Rahmenwerke 2700x, BSI IT-Grundschutz, ISO 2000 und teilweise branchenspezifische Standards wie IDW PS oder MaRisk eine Rolle. Das führt sehr schnell zu einer Überforderung bei Unternehmen, weil das Thema zu komplex wird.

Inwiefern sind in absehbarer Zeit gesetzliche Verschärfungen zu erwarten?

Manuel Dinis: Eine Verschärfung hat es mit dem IT-Sicherheitsgesetz 2.0 bereits gegeben, es ist am 28.5.2021 in Kraft getreten ist. So gehören Systeme zur Angriffserkennung nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen. Außerdem müssen KRITIS-Betreiber den Einsatz kritischer Komponenten anzeigen. Das betrifft alle IT-Systeme, deren Ausfall die Funktion der Anlage erheblich beeinträchtigen würde.

In einer empirischen Studie haben Sie sich speziell mit der Cyber-Security in der Risikoberichterstattung befasst. Welche zentralen Punkte haben Sie beobachtet?

Carola Rinker: Die meisten Unternehmen berichten über Cyber-Risiken. Auffallend ist allerdings, dass diese oftmals noch den IT-Risiken zugeordnet werden und nicht als separates Risiko im Risikobericht abgegrenzt werden. Software-Unternehmen berichten mitunter besonders häufig über Cyber-Risiken.

Wie schätzen Sie das durchschnittliche Niveau in der Berichterstattung ein?

Carola Rinker: Ich schätze das Niveau so ein, dass noch einiges an Luft nach oben besteht. Nur wenige Unternehmen berichten detailliert über die bestehenden Cyber-Risiken. Ebenfalls selten finden sich Angaben über die Präventionsmaßnahmen und Hackerangriffe. Das hat jedoch möglicherweise den Grund, für mögliche Angriffe nicht zu viele Informationen offenlegen zu wollen.

Wie lassen sich Cyber-Risiken am besten erfassen und bewerten?

Manuel Dinis: Die Abgrenzung der Cyber-Risiken von anderen IT-Risiken erscheint in der Praxis möglicherweise nicht immer so leicht zu sein. Andernfalls würden vermutlich mehr Unternehmen Cyber-Risiken von den sonstigen IT-Risiken im Risikobericht abgrenzen. Bei der Bewertung des Risikos kann davon ausgegangen werden, dass im Falle eines Hackerangriffs der Schaden teilweise erheblich sein kann. Bei den aktuellen Cyber-Attacken zeigt sich zunehmend die Vorgehensweise der Täter, was bei der Bewertung der Risiken auch berücksichtigt werden sollte.

Auf welche Schlüsselfaktoren sollten Unternehmen in der Risikoberichterstattung besonders achten?

Carola Rinker: Insbesondere bei Cyber-Risiken gibt es für Unternehmen die Herausforderung, dass die Berichterstattung für die Stakeholder transparent sein sollte. Andererseits kann die Offenlegung zahlreicher Informationen auch Hackern wichtiges Wissen liefern, um die Erfolgsquote der Angriffe zu erhöhen. Dieses Spannungsfeld beeinflusst die Berichterstattung über Cyber-Risiken. Allgemein finde ich es hilfreich, wenn im Risikobericht alle Risiken des Unternehmens in einer Übersicht dargestellt werden. Das ermöglicht, einen ersten Überblick zu erhalten, bevor ich mir die Informationen zu den einzelnen Risiken im Detail anschaue.

Lesen Sie hier den ersten Teil des Interviews auf ESV.info.

(ESV/fab)

Cyber Security in der Risikoberichterstattung Herausgegeben von: Dr. Carola Rinker Beiträge von Helmut Brechtken, Manuel Dinis, Dr. Dominique Hoffmann, Patrick Król, Chris Lichtenthäler, Dr. Carola Rinker, Thomas Zimmerer Der digitale Wandel und die Vorteile unternehmensübergreifender Vernetzung haben die Gefahren von Hackerangriffen und vergleichbaren Bedrohungen massiv erhöht. Auch bei den Methoden von Cyberkriminellen ist eine kritische Professionalisierung zu beobachten, der sich jedes Unternehmen stellen muss. Wie Sie Cyber-Risiken überzeugend bewerten und darstellen, erfahren Sie in diesem Buch mit Fokus auf die Risikoberichterstattung. Carola Rinker und ihr hoch spezialisiertes Expertenteam beleuchten die wichtigsten aktuellen Praxisthemen: Typische Risikoszenarien und wirksame Schutzmaßnahmen IT-Risikomanagement-Systeme im praktischen Einsatz Cyber Security Controls und ihre Relevanz für die Berichterstattung Internes Kontrollsystem und Cyber-Risiken, wichtige Key-Performance-Indikatoren zur Erfolgskontrolle Aufdeckung und forensische Untersuchungen von Vorfällen, kompromittierten Daten, Systemen und Netzwerken Pflichtlektüre mit vielen Umsetzungstipps für alle, die sich bei der Verbesserung und Absicherung der Unternehmens-IT erfolgreich einbringen.