Seit Jahren warnen Experten vor den immensen Gefahren, die von Cybercrime-Angriffen ausgehen. Zwei großangelegte Hackerattacken binnen weniger Wochen haben nun gezeigt, dass die Risiken für CFOs und ihre Unternehmen tatsächlich beträchtlich sind.
So legte im Mai ein Schadprogramm namens „Wanna Cry“ hunderttausende Rechner weltweit lahm. Einen Monat später folgte ein weiterer schwerer Angriff auf Unternehmen. Die Schadsoftware „Petya“ attackierte unter anderem Industrieschwergewichte wie die Reederei Maersk, den Hamburger Konsumgüterkonzern Beiersdorf („Nivea“) sowie dessen britischen Konkurrenten Reckitt Benckiser („Sagrotan“, „Durex“).
Beiersdorf leidet unter Hackerangriff Petya
Bei den beiden Angriffen handelte es sich um sogenannte Ransomware, die eine Erpressersoftware ist. Dabei wird Mitarbeitern der Unternehmen der Zugriff auf ihre Computer verwehrt. Dieser wird erst durch eine Geldzahlung – meistens in Bitcoin – wieder freigegeben. Bei Petya lag die Forderungssumme bei 300 Dollar pro Rechner. Der Virus wurde über eine Buchhaltungssoftware in die Unternehmensnetzwerke eingeschleust.
Beiersdorf war von dem Angriff besonders hart getroffen. Medienberichten zufolge stand die Produktion der Hamburger viereinhalb Tage still, Gehaltszahlungen verspäteten sich. Ein Insider sagte dem Magazin „Stern“, der Angriff werde viele Millionen Kosten. Beiersdorf-Konkurrent Reckitt Benckiser musste in Folge des Angriffs sogar eine Umsatzwarnung ausgeben, der anschließende Rückgang des Aktienkurses kostete die Briten mehrere Milliarden Euro an Börsenwert.
CFOs fremdeln mit dem IT-Ressort
Das IT-Ressort betrachten viele CFOs nicht als ihre Kernaufgabe – entsprechend fremdeln sie mit ihm. Allerdings liegt der IT-Bereich oft in ihrer persönlichen Verantwortung, ebenso wie das Risikoressort. Petya und Wanna Cry zeigen, wie wichtig es ist, dass Finanzchefs sich mit dem Thema Cyberrisiken auskennen.
Viele Unternehmen haben bereits reagiert. So hat eine weltweite Umfrage des IT-Sicherheitsspezialisten NTT Security unter 1.350 Nicht-IT-Entscheidern (250 aus Deutschland und Österreich) ergeben, dass 56 Prozent der Firmen eine offizielle Richtlinie für die IT haben. Ein weiteres Viertel implementiert diese gerade.
Doch nach einer Cyberattacke schnell reagieren können nur wenige Unternehmen. Nur rund die Hälfte der Befragten gab an, dass es einen Notfallplan für einen Hackerangriff gibt. Das bedeutet, dass die andere Hälfte im Ernstfall nicht schnell reagieren kann – immerhin mit sinkender Tendenz: 31 Prozent der befragten Unternehmen arbeiten derzeit an einem Notfallplan.
Viele Unternehmen gehen für die Digitalisierung ins Risiko
Doch auch ein Notfallplan wird CFOs nicht vor Hackern und Sicherheitslücken schützen, denn Finanzchefs und ihre Unternehmen stehen unter einem enormen Innovationsdruck. Die Digitalisierung bedroht die Geschäftsmodelle vieler Konzerne und zwingt sie zur schnellen Einführung neuer IT-Lösungen.
Das geht auch auf Kosten der Sicherheit, wie eine Studie des IT-Beraters Sopra Steria Consulting jüngst ergeben hat. So gaben 32 Prozent der befragten 205 deutschen IT-Entscheider an, dass neue Technologien im Zweifel auch dann eingeführt werden, wenn noch nicht alle Sicherheitsrisiken bekannt und bewertet sind. Jeder Zehnte sagte sogar, dass die IT-Sicherheitsstrategien erst nach der Einführung einer App oder einer anderen Technologie erarbeitet werden.
Die Ransomware-Angriffe von Petya und Wanna Cry zeigen, wie teuer eine solche Laissez-Faire-Einstellung werden kann. CFOs sollten daher sehr genau abwägen, wann sie Risiken eingehen, um die Digitalisierung nicht zu verpassen, und wo sie sich mit der Einführung einer neuen Technologie mehr Zeit lassen wollen.
Info
Mit welchen Methoden Angreifer auf die Unternehmens-IT abzielen und wie CFOs sich schützen können, das lesen Sie auf unserer Themenseite Cybercrime.
Jakob Eich ist Redakteur der Fachzeitungen FINANCE und DerTreasurer des Fachverlags F.A.Z Business Media, bei dem er auch sein Volontariat absolviert hat. Eich ist spezialisiert auf die Themen Digitalisierung im Finanzbereich und Treasury. Durch seine Zwischenstation bei der Schwesterpublikation „Der Neue Kämmerer“ ist der 1988 geborene Journalist auch versiert beim Thema Kommunalfinanzen. Erste journalistische Erfahrungen hat der gebürtige Schleswig-Holsteiner in den Wirtschaftsmedien von Gruner+Jahr sowie in der Sportredaktion der Hamburger Morgenpost gesammelt.