Deutsche Post DHL, Metro, Maersk, Rosneft, Mondelez – erst in dieser Woche sind wieder zahlreiche Unternehmen Opfer eines Hackerangriffs geworden. Ähnlich wie bei der „Wanna Cry“-Attacke im Mai legte erneut ein Trojaner weltweit etwa 18.000 Rechner lahm. Die Schadsoftware „Petya“, die hinter dem Angriff stecken soll, verschlüsselt die Computer ihrer Opfer und verlangt Lösegeld für die Freigabe der Daten.
Solche Angriffe können die betroffenen Unternehmen teuer zu stehen kommen: Onlineshops sind nicht erreichbar, Lieferketten werden unterbrochen, hinzu kommen große Reputationsschäden. Im Falle der Fake-President-Masche, bei der sich Betrüger als CFO ausgeben und falsche Zahlungen initiieren, verlieren die Unternehmen sogar bares Geld. Investoren, Geschäftspartner und Regulierungsbehörden wollen deshalb genau wissen, welchen Cyberrisiken Konzerne ausgesetzt sind und wie sie sich davor schützen.
Nur wenige CFOs adressieren Cyberrisiken im Geschäftsbericht
Ein Blick in den Geschäftsbericht gibt den Stakeholdern allerdings kaum Aufschluss über den Umgang mit Cyberrisiken, wie eine aktuelle Studie von KPMG zeigt: Die Wirtschaftsprüfungsgesellschaft hat die Jahresreports von 800 Unternehmen in 28 vornehmlich europäischen Ländern untersucht. Das Ergebnis: Lediglich ein Viertel der Firmen hat dem wichtigen Thema Cybersicherheit mindestens einen Absatz gewidmet. 56 Prozent thematisieren IT-Risiken in ihrem Geschäftsbericht gar nicht.
Dabei haben die Prüfer für die Auswertung nur die Berichte großer, börsennotierter Konzerne zu Rate gezogen – kleinere Firmen mit weniger ausführlichen Reports wurden gar nicht berücksichtigt. Noch erschreckender: Nur in jedem fünften von KPMG untersuchten Unternehmen sind Cyberrisiken ein Vorstandsthema. In Deutschland haben immerhin 28 Prozent die Verantwortung für IT-Sicherheit im Top-Management aufgehängt.
Deutsche Unternehmen informieren vergleichsweise gut
Auch regional zeigen sich große Unterschiede: Während Osteuropa besonders schlecht abschneidet – drei Viertel der untersuchten Unternehmen in dieser Region erwähnen Cyberrisiken in ihrem Geschäftsbericht nicht – räumen deutsche CFOs dem Thema einen vergleichsweise großen Raum ein, zeigt die Analyse: 76 Prozent widmen dem Umgang mit Cybercrime mindestens einen Absatz in ihrem Risikobericht.
Der Handelskonzern Metro etwa, dessen Geschäft in der Ukraine von der jüngsten Attacke betroffen war, informiert in seinem aktuellen Geschäftsbericht vergleichsweise ausführlich und konkret über „informationstechnische Risiken“. Der MDax-Konzern berichtet auf gut einer Seite über Krisenpläne zur Wiederherstellung von Rechenzentren, externe Prüfungen von IT-Systemen sowie Informationskampagnen zum Thema IT-Sicherheit, Datenschutz und Identitätsdiebstahl. Im Onlinehandel sind funktionierende IT-Systeme besonders wichtig, und der Verlust von Kreditkartendaten von Kunden wäre besonders kritisch.
Banken haben Nachholbedarf bei Cyberrisiken
Entsprechend stellt die KPMG-Analyse auch Branchenunterschiede im Reporting fest: Während Telekommunikations- und Technologieunternehmen am ausführlichsten über Cyberrisiken berichten, findet das Thema bei Industriekonzernen sowie Unternehmen aus der Öl- und Gasbranche nur selten Einzug in den Geschäftsbericht.
Erstaunlich ist, dass fast die Hälfte aller untersuchten Banken Cyberrisiken gar nicht erwähnt. Dabei sind Finanzdienstleister ein besonders beliebtes Ziel der Hacker. Laut Studienautoren ziehen vor allem die in der Karibik ansässigen Banken den Schnitt nach unten. In der hochvernetzten Bankenbranche kann ein Mangel an Schutzvorkehrung aber auch für Geschäftspartner ein Problem werden. Viele große Banken schauen sich deshalb genau an, mit welchen Instituten sie noch Geschäfte machen.
Info
Mit welchen Methoden Angreifer auf die Unternehmens-IT abzielen und wie CFOs sich schützen können, das lesen Sie auf unserer Themenseite Cybercrime.
