Die Bedrohung durch Cyberangriffe auf Unternehmen ist so hoch wie nie zuvor. Betroffen sind vor allem Finanzabteilungen. Hinzu kommt die Tatsache, dass in vielen Unternehmen der CFO auch den Bereich IT mitverantwortet. Um die Daten und Informationen vor Angreifern zu schützen, sind Unternehmensentscheider deshalb mehr denn je gefragt, darüber waren sich die Referenten beim FINANCE-Roundtable „Security ist Chefsache“ mit dem IT-Dienstleister Bechtle einig.
CFO muss Überblick über Daten behalten
Um als Finanzchef in der Cybersicherheit mitwirken zu können, sei es wichtig, mit dem – falls vorhanden – Chief Information Security Officer (CISO) zusammenzuarbeiten, findet David Thornewill, Cyber Security Expert bei Grey Beard Advisory. Der ehemalige CISO der DHL-Group berät Unternehmen bei der Aufstellung von IT-Sicherheitskonzepten. „Ein CFO kann nur schützen, worüber er auch Bescheid weiß“, sagt Thornewill. „Es geht in der Cybersecurity immer um die Vermeidung von Angriffen und den Aufbau der Resilienz der eigenen Firma.“ Dafür benötigen Finanzentscheider eine durchgängige Transparenz des Asset-Zustands des Unternehmens.
Ein wichtiger Faktor beim Schutz vor Cyberangriffen sind zudem die Mitarbeiter. „Human Firewall ist ein wichtiges Thema, weil man sagt, dass der Mensch das schwächste Glied ist”, betont Thornewill. „Unternehmen sollten den Menschen in das stärkste Glied umwandeln.“ Darüber hinaus sollte jedes Unternehmen ein leichtzugängliches Regelwerk zur Cybersecurity besitzen, wonach die Mitarbeiter agieren sollten.
„Human Firewall ist ein wichtiges Thema, weil man sagt, dass der Mensch das schwächste Glied ist”
David Thornewill, Cyber Security Expert, Grey Beard Advisory
Und das Wichtigste: Es muss allen bekannt sein. „Eine durchgängige Kommunikation mit den Mitarbeitern ist sehr wichtig; die Leute müssen immer wieder daran erinnert werden, was wichtig ist, was Stand der Dinge ist und wie sie sich in Krisen zu verhalten haben“, sagt Thornewill. Ihm zufolge ist bei der Aufstellung eines Cybersecurity-Konzepts auch die Lieferkettenüberwachung essentiell, bei der Lieferanten genauer begutachtet werden sollten. In das Aufgabenfeld des CFOs fällt zudem die Priorisierung der technologischen Maßnahmen. Der Finanzchef soll sicherstellen, dass Investitionen zum Betriebsprofil passen und messbar zur Risikoreduktion beitragen.
Die Auswertung der Daten sowie die Berichterstattung sind Thornewill zufolge ebenfalls wichtig. Mögliche Aufgabenstellungen könnten für den CFO sein, eine Risikoerkennung und -bewertung zu erstellen. CFOs sollten wissen, wo das Unternehmen steht und wohin die oft mehrjährige Reise gehen soll. Zudem sollte es innerhalb des Vorstands und der Geschäftsführung eine ernsthafte Diskussion zum Thema Cybersicherheit geben – um Cyberangriffe zu erschweren und im Falle eines Falles gut vorbereitet zu sein. Vor allem weil es um die Daten und die Datenverantwortung beim CFO liegt, wird der Finanzchef primär mit einbezogen.
SAF-Holland-CFO Lorenz-Dietz berichtet aus der Praxis
Das Krisenszenario Cyberangriff hat Finanzchef Frank Lorenz-Dietz von SAF-Holland bereits erlebt – und berichtet direkt aus der Praxis. Gerade einmal drei Monate im Amt, musste der Finanzmanager im März vergangenen Jahres die Auswirkungen eines erfolgreichen Hackerangriffs auf das Unternehmen bewältigen. Dabei kam SAF-Holland vergleichsweise glimpflich davon. Der Grund: existierende Notfallpläne und das schnelle Handeln des Vorstands.
Welche Rolle nahm er als Finanzchef ein? „Der IT kommt eine hohe Bedeutung im Unternehmen zu. In meiner Funktion als CFO fällt dies auch in meinen Ressortbereich. Letztendlich bin ich für den reibungslosen Betrieb der unternehmensinternen IT-Systeme zuständig. Und das ist bei vielen CFOs der Fall.“, sagt Lorenz-Dietz.
Nachdem das globale IT-Team eine erhöhte Serveraktivität feststellte und anschließend einen Angriff bestätigte, benachrichtigte es unmittelbar die Geschäftsführung. „Als Vorstand sind wir verpflichtet, immer erreichbar zu sein.“ Die Entscheidungen an jenem Samstagabend im März fielen schnell: „Wir haben die Verbindung zum Netzwerk direkt nachts getrennt und die Systeme abgeschaltet”, erinnert sich der Finanzchef.
Es folgten Schadensanalysen, außerordentliche Vorstandssitzungen sowie die Kommunikation mit den Kunden und den zuständigen Behörden. Bereits am darauffolgenden Tag konnte SAF-Holland mit der schrittweisen Wiederinbetriebnahme der Systeme beginnen.
„Man sollte sich darüber im Klaren sein, dass die Frage nicht ist, ob das eigene Unternehmen Opfer eine Cyberangriffs werden könnte, sondern wann.”
Frank Lorenz-Dietz, CFO von SAF-Holland
Lorenz-Dietz‘ Erfahrungen zufolge sollte der CFO im Ernstfall eine aktive Rolle im Krisenmanagement einnehmen und eng mit dem CIO und externen Beratern zusammenarbeiten, aber auch Entscheidungen rund um Gegenmaßnahmen und Kommunikationswege liegen im Aufgabenbereich des Managements. Hinzu kommt die Sicherstellung der Geschäftskontinuität. Durch schnelles Handeln sowie eine gute Vorbereitung inklusive eines Maßnahmen- und Reaktionsplans für den Ernstfall habe man bei SAF-Holland Schlimmeres verhindern können.
In einem ist sich der SAF-Holland-Finanzchef allerdings sicher: „Man sollte sich als Vorstand darüber im Klaren sein, dass die Frage nicht ist, ob das eigene Unternehmen Opfer eine Cyberangriffs werden könnte, sondern vielmehr wann.”
EU-Gesetze für Cybersicherheit stehen an
Auch Sandra Karger vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ist alarmiert. „Die Bedrohung im Cyberraum ist aktuell so hoch wie nie zuvor. Wir registrieren immer mehr neue Schwachstellen und knapp 70 Sicherheitslücken pro Tag”, berichtet Karger. Jeder sechste Angriff werde dabei als kritisch eingestuft. Besonders die Abhängigkeiten in den Lieferketten erhöhen das Risiko laut der Expertin. Der jährliche Schaden für die deutsche Wirtschaft belaufe sich auf mehr als 200 Milliarden Euro.
„Wir stehen vor einer Regulierungswelle“, prognostiziert die Informationssicherheits-Expertin. Bereits jetzt gibt es eine Vielzahl an Gesetzen, an die sich Unternehmen zur Prävention halten sollten. Auf EU-Ebene gibt es zum einen bereits den Cyber Resilience Act (CRA), der den Marktzugang mit europäischen Cybersicherheitsanforderungen für digitale Produkte und Dienstleistungen regelt.
CFOs müssen mit Geldstrafen rechnen
Ein weiteres Gesetz, das künftig eine Rolle spielen wird, ist die Network and Information Security Directive (NIS-2) der Europäischen Union, die bis Oktober dieses Jahres in Landesrecht überführt werden muss. Nach dem vorliegenden Entwurf sollen kritische Branchen neu definiert und eingeteilt sowie die Lieferkettensicherheit mit einbezogen werden.
Bei schweren Verstößen können den Unternehmen hohe Geldstrafen drohen. Zudem sollen die Anforderungen an das Management im Unternehmen detaillierter aufgenommen werden, inklusive einer möglichen Haftung. „Unternehmen sollten künftig das Cyber-Risikomanagement auf ihre gesamten Prozesse erweitern. Zudem sollten Assets detailliert dokumentiert werden sowie Kontakte zu Dienstleistern gepflegt werden“, so Karger. Zudem sollten Unternehmen in ihre IT-Sicherheit investieren. Insgesamt sollten 17 Prozent des IT-Budgets für die Cybersicherheit im Unternehmen ausgegeben werden, nennt die Expertin als Richtwert.
Jasmin Rehne ist Redakteurin bei FINANCE und verfolgt schwerpunktmäßig die Themen Controlling, Gehalt und Personal. Sie hat in Marburg Sprache und Kommunikation studiert. Neben ihrem Studium arbeitete Jasmin Rehne bereits als studentische Hilfskraft bei FINANCE.
