Bildnachweis: Ben – stock.adobe.com, Dirschl – stock.adobe.com, EY.
In den letzten Jahren ist das Thema Cybersicherheit immer präsenter geworden und die Bedrohungslage hat sich verschärft. Cyberangriffe können den Aktienkurs und damit die Bewertung börsennotierter Unternehmen beeinflussen. Daher müssen Unternehmen zunehmend über spezifische Cyberrisiken in ihrer Berichterstattung an die Kapitalmärkte informieren. Unternehmen, die an US-Börsen gelistet sind, müssen auch Zwischenfälle melden. Von Martin Steinbach, Partner, EY und Matthias Bandemer, Partner, EY
Cyberkriminalität stellt eine diffuse Bedrohung dar. Angriffe erfolgen überraschend und aus dem Verborgenen. Es lohnt sich daher, auf das Unerwartete vorbereitet zu sein. Handeln müssen Unternehmen auf vielen Ebenen, um ihre Wertschöpfung vor Schäden und ihre Vorstände und Aufsichtsräte vor Strafen und Schadensersatz zu schützen. Hier ergibt sich ein durchwachsenes Bild: EY hat Führungskräfte weltweit zur Cybersicherheit befragt (EY Global Cybersecurity Leadership Insights Study 2023). Obwohl zuletzt viel Geld in Cybersecurity investiert wurde, sind weniger als die Hälfte der befragten Führungskräfte damit zufrieden oder fühlen sich auf zukünftige Gefahren vorbereitet.
Die Auswirkungen von Cyberangriffen sind vielfältig
An der Börse ist im Boardroom und in der Investor-Relations-Funktion potenziell die Erfüllung von vielen Kapitalmarktpflichten bzw. deren Prozesse und Infrastrukturen betroffen. Die bei Cyberangriffen direkt beeinträchtigte Landschaft an Systemen, Software und Applikationen können hier z.B. sein:
Im Bereich der Finanzberichterstattungspflichten:
- Für die Erstellung von jährlichen und unterjährigen Finanzabschlüssen
- Für die rechtzeitige Veröffentlichung innerhalb der Berichterstattungsperioden
- Der Prognoseermittlung für die Analyst Guidance
Im Bereich der Corporate Governance Pflichten:
- Internes Kontrollsystem
- Risiko- und Compliance-Managementsysteme
- Kommunikationsinhalte und -wege durch Verschlüsselung insbesondere innerhalb des Boardrooms
Im Bereich der fortlaufenden Meldepflichten:
- die Einhaltung von Insiderregularien inkl. Zugriffsrechtemanagement auf und Sicherung von Aktienkurs-relevanten und sensiblen Daten
- die Veröffentlichung von Ad-hoc Meldungen
- die Corporate Webseite insb. auf Inhalte der Investor Relations Seiten und dem Insiderverzeichnis
Cybersicherheit ist ein laufender Prozess
Bedrohungen auf diese für die Börsenpflichten relevanten Systeme und Infrastrukturen sind vielfältig: Phishing-Angriffe über E-Mails, professionelle Ransomware-Angriffe über Malware-Programme, die Computer infizieren und Dateien verschlüsseln oder CEO-Fraud mit vermeintlichen E-Mail-Aufträgen aus der C-Suite. Distributed-Denial-of-Service-Angriffe, die Server überlasten oder eine Website durch den massenhaften Zugriff von Computern, die Teil eines Botnets sind und Man-in-the-Middle-Angriffe. Wie die Angriffsszenarien verdeutlichen, ist Cybersicherheit ist kein zu erreichender Zustand, es ist ein laufender Prozess mit dem Ziel der beständigen Verbesserung
Umsetzung von Sicherheitsmaßnahmen ist Pflicht
Ein erfolgreicher Cyberangriff kann nicht nur finanzielle Einbußen und regulatorische Sanktionen verursachen, sondern auch das Vertrauen von Investoren und Kunden negativ beeinträchtigen. Zudem ist die Erfüllung von Meldepflichten gegenüber Aufsichtsbehörden und Börse im Hinblick auf Kapitalmarktpflichten und Betroffene erforderlich. Die DSGVO verpflichtet Unternehmen zur Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. Das IT-Sicherheitsgesetz in Deutschland wiederum verpflichtet Betreiber von Kritischen Infrastrukturen entsprechende Maßnahmen gegenüber Aufsichtsbehörden nachzuweisen. Die bis Oktober 2024 umzusetzende NIS2-Regulierung wird in Deutschland schätzungsweise 30.000 bis 40.000 weitere Unternehmen betreffen. Zu den Pflichten des ordnungsgemäß handelnden Geschäftsleiters gehört es dann, Cybersecurity sicherzustellen. Verstöße können hohe Bußgelder auslösen.
So sollten gerade gelistete Unternehmen ihre Systeme regelmäßig testen, Haftungsrisiken für Unternehmen, Vorstand und Aufsichtsrat prüfen und bei Sicherheitsverletzungen schnell und effektiv reagieren. Das Verhindern von Schäden und das schnelle Erkennen von Angriffen sind dabei die beiden klassischen Disziplinen der Cybersicherheit.
Kategorien von Cybersicherheitsmaßnahmen
Cybersicherheitsmaßnahmen kann man grob in drei Kategorien unterteilen:
- Maßnahmen, um Angriffe bzw. Schäden zu verhindern und Angriffsversuche zeitnah zu erkennen, um das Schadensausmaß gering zu halten
- Maßnahmen, um auf (erfolgreiche) Angriffe schnell, effizient und effektiv reagieren zu können. Dazu zählen auch die Vorbereitung auf einen solchen Fall, die konkrete Reaktion in der Situation und das Wiederherstellen eines sicheren Betriebszustands, nachdem die akute Gefahr gebannt wurde
- Der richtige Umgang mit den (internationalen) rechtlichen Vorgaben zu Cybersicherheit und Datenschutz. Dies umfasst die Identifikation, welcher rechtliche Rahmen für den Betrieb, Produkte und Dienstleistungen zu beachten sind, sowie das Konzeptionieren und Umsetzen von Vorgaben auf juristischer, operativer und technischer Ebene.
Präventive Maßnahmen stärken börsennotierte Unternehmen
Es gibt mehrere präventive Maßnahmen, die börsennotierte Unternehmen ergreifen können, um sich gegen Cyberbedrohungen zu stärken:
- Regelmäßiges Training und Schärfung des Bewusstseins der Mitarbeiter und Führungskräfte, um Bedrohungen und Angriffe zu erkennen und angemessen darauf zu reagieren.
- Implementierung von Multi-Faktor-Authentifizierung mit Passwort und einer zweiten Identitätsüberprüfung zum Schutz vor Phishing
- 24×7-Angriffserkennung und Frühwarnsysteme im Bereich der IT-, OT- und Cloud-Infrastruktur und Prüfung auf Schadprogramme
- Kontinuierliche Aktualisierung der IT-Systeme, Infrastrukturen und Sicherheitssoftware durch ein wirksames Schwachstellen- und Patch-Management
- Sichere Speicherung von Backups und regelmäßige Wiederherstellungstests
Der Ernstfall ist nur einen Schritt entfernt
Neben der Prävention müssen sich Unternehmen auch auf den Ernstfall vorbereiten. Ein guter Notfallplan hilft schnell und effektiv zu handeln und den Schaden so gering wie möglich zu halten. Der Plan sollte Verfahren enthalten, um das Ausmaß des Vorfalls zu bewerten, das Netzwerk zu isolieren, die Angriffsquelle zu ermitteln und die betroffenen Systeme und Daten zu reparieren oder wiederherzustellen.
Börsennotierte Unternehmen müssen sich umfassend rund um ihre Kapitalmarktpflichten schützen, um der Cyberbedrohung wirksam zu begegnen. Sie haben Verantwortung, ihre Investoren über mögliche Bedrohungen und kursbeeinflussende Entwicklungen zu informieren und Maßnahmen zu ergreifen, um ihre Finanzdaten zu schützen. In Anbetracht der steigenden Anzahl von Angriffen sollten Unternehmen ihre Cybersecurity-Maßnahmen regelmäßig aktualisieren und überprüfen, um gegen die neuesten Bedrohungen gerüstet zu sein. Kern dafür ist das Informationssicherheits- und Notfallmanagementsystem.
Es bildet den Rahmen und die zentrale Orchestrierung aller mit Cybersicherheit im Zusammenhang stehenden Aktivitäten. Verhindern von Risiken beginnt damit, die Risiken systematisch zu erkennen und die Umsetzung der risikoreduzierenden Maßnahmen zu priorisieren.
Es gilt in Kapitalmarkt-Cybersicherheit zu investieren
Ein guter Startpunkt für den Boardroom und die Investor Relations Funktion ist eine Bestandsaufnahme im Rahmen eines Kapitalmarkt-Cybersicherheit-Readiness Checks. Wichtige Fragen hierbei sind: Wie effektiv sind wir vorbereitet? Wie gelingt es, Schäden zu minimieren? Wie lernt man aus Attacken und wird widerstandsfähiger? Wie schützten wir unsere Finanzdaten und -systeme vor Cyberangriffen und Datenlecks? Wie wird die Cybersicherheit mit externen Dienstleistern und Geschäftspartnern gewährleistet? Gibt es klare Richtlinien und Verfahren im Falle eines Sicherheitsvorfalls, um die Auswirkungen auf die Kapitalmarktpflichten zu minimieren? Wie wird der Boardroom über Cybersecurity-Risiken und Schutzmaßnahmen informiert? Wie werden Sicherheitslücken und Schwachstellen in der IT-Infrastruktur des Unternehmens identifiziert und schnell behoben?
Im Ergebnis gilt, proaktiv und gezielt für die Kapitalmarkt-Compliance in Cybersicherheit zu investieren. Denn wer stillsteht, ist vor allem eines: leichte Beute.
Autor/Autorin
Dr. Martin Steinbach
Dr. Martin Steinbach ist Partner und IPO-Leader bei EY. Er verantwortet seit April 2011 den Bereich IPO und Listing Services in Deutschland, Österreich und der Schweiz.
Matthias Bandemer
Matthias Bandemer is Cybersecurity Services Leader for Germany. In this capacity, he supports many large corporations and subject-matter experts in all industries on information security, cybersecurity and data protection as part of digital transformation and large programs. Along with the cybersecurity team, he assists clients in protecting their business against cyber risks and helping to create added value by means of technological innovations. Together with our cyber investigation and cyber law teams, EY’s cyber practice is one of the largest practices in the world. Since 2007, Matthias has worked at EY in Consulting. He has prior experience as an Information Technology (IT) security consultant. He began his career in 1995 as a member of senior management at an IT service provider where his responsibilities lay in establishing, operating and further developing managed IT security services.
