Wichtiger denn je: Cybersicherheit

Der nächste Digital Summit findet am 20. Oktober 2022 statt und wird wieder ein aktuelles Digitalisierungsthema in den Mittelpunkt stellen.
Um Unternehmen und Wirtschaftsprüfer bei der Bekämpfung von Cybergefahren zu unterstützen, hat das IDW in einem Knowledge Paper eine faktenbasierte Grundlage zum Thema zusammengestellt.
Cybercrime as a Service
Die Coronapandemie hat als Digitalisierungskatalysator gewirkt und damit die Risiken noch verstärkt. Cyberkriminelle nutzen Sicherheitslücken, die sich durch großflächige Homeoffice-Arbeit auftun, insbesondere die Schwachstelle Mensch bietet fern vom Office ganz neue Angriffspunkte. Dabei benötigen Cyberkriminelle nicht einmal eigenes Know-How – viele Leistungen können zugekauft werden, sodass mittlerweile schon von „Cybercrime as a Service“ gesprochen wird.
Grund genug, dass das IDW seinen Digital Summit am 1. Oktober 2021 ganz ins Zeichen der Cybersicherheit gestellt hat und dort Wirtschaftsprüfer, Unternehmensvorstände und Aufsichtsräte zu Wort kommen ließ, die ihren Erfahrungsschatz geteilt haben.
Wirtschaftsprüfungsbranche ist vielfältig betroffen
Wirtschaftsprüfer*innen betrachten das Thema Cybersicherheit aus mehreren Blickwinkeln und nehmen unterschiedliche Rollen ein: Zunächst gilt es, die eigene Praxis zu schützen und als Digitalisierungsprofi mit gutem Beispiel voranzugehen – dies um so mehr, als es dabei auch um den Schutz sensibler Mandantendaten geht (wie die digitale WP-Praxis sicher gestaltet werden kann, lesen Sie in unserem Beitrag "Nichts riskieren"). Auch im Rahmen der Abschlussprüfung wird Cybersicherheit mehr und mehr zum Thema: Nicht nur bei Digital-Unternehmen gilt Cybercrime als Geschäftsrisiko. Ist ein Unternehmen angegriffen worden, stellt sich auf jeden Fall die Frage, wie sich die Schadensfolgen auf den Jahresabschluss auswirken. Viele Wirtschaftsprüfungspraxen bieten explizite Dienstleistungen zur Cybersicherheit an, sei es als Assurance-Leistung oder im Beratungsbereich.
Lieferketten schützen
Dass es in einer vernetzten Welt nicht allein damit getan ist, in seinem eigenen Haus für Sicherheit zu sorgen, wurde beim Digital Summit in mehreren Beiträgen deutlich – der Schaden für die eigene Produktion oder den eigenen guten Ruf kann auch per Angriff auf einen (IT-)Dienstleister oder Lieferanten oder auf dessen Dienstleister oder Zulieferer ins eigene Unternehmen getragen werden (sog. Third-Party-Risk). Der Schutz der Wertschöpfungsketten ist Chefsache, so Lumir Boureanu, Geschäftsführer von compacer, und Sven Lammers, Berater bei s-consit. Hier ist ein planvolles und vor allem kontinuierliches Handeln nötig. Abhilfe in einem ersten Schritt können Selbstauskünfte von Geschäftspartnern bieten, wie Alexander Geschonneck, Partner bei KPMG, berichtete. Darüber hinausgehende (wenn auch nicht absolute) Sicherheit bietet eine Bescheinigung eines unabhängigen Dritten. Daher empfiehlt Geschonneck zusätzlich, sicherheitsrelevante Ereignisse einem Monitoring zu unterziehen, um Angriffe möglichst frühzeitig zu erkennen und für den Fall des Falles einen Notfallplan aufzustellen.
Was tun, wenn es brennt?
Selbst wenn ein Notfallplan in der Schublade liegt: Wie fühlt es sich an, wenn plötzlich alle Netzverbindungen zu Geschäftspartnern gekappt werden müssen oder Daten verschlüsselt sind und Erpresser sich mit Lösegeldforderungen melden?
Jan-Hendik-Otte, Revisionsleiter bei der Funke Mediengruppe, sprach offen über seine Erfahrungen mit einer Attacke, die das Unternehmen zu einem denkbar ungünstigen Zeitpunkt traf, zwei Tage vor Heiligabend 2020. Alle Systeme, die für die tägliche Arbeit gewöhnlich genutzt werden, standen nicht mehr zur Verfügung. In dieser kritischen Situation hat Otte es zu schätzen gelernt, dass die Funke Mediengruppe im Vorfeld einen Notfallplan aufgestellt hatte. So war immerhin bekannt, wer zu informieren ist und welche ersten Schritte geboten sind. Daher konnte der Krisenstab schnell zusammenkommen und die Entscheidung treffen, angesichts der Schwere des Angriffs externe Hilfe in Anspruch zu nehmen und sich an das Kompetenzzentrum für Cybercrime des Landeskriminalamtes zu wenden.
Auch die Gespräche mit dem Abschlussprüfer des Unternehmens hat Otte als sehr hilfreich empfunden. Da ein Cyberangriff dieses Ausmaßes auch Implikationen auf den Jahresabschluss nach sich zieht, war es naheliegend, den Prüfer einzubeziehen. Die erste Maßnahme bestand darin, alle Systeme zu kappen, um eine weitere Ausbreitung des Virus einzudämmen, bevor in einem zweiten Schritt das Wiederanlaufen der Produktion geplant werden konnte – bei einer Zeitung, die tagesaktuell produziert wird, kein leichtes Unterfangen. Dass dies rasch gelang, führt Otte darauf zurück, dass man sich unternehmensintern schon vorher Gedanken darüber gemacht hatte, wie das Printmedium gedruckt werden könnte, wenn die Datenverbindung zur Druckerei ausfällt.
Eine der wichtigsten Lessons learned, verriet Otte, ist es, die Mitarbeiterinnen und Mitarbeiter noch intensiver für die Gefahren aus dem Cyberraum zu sensibilisieren.
Cybersicherheit im Fokus – Referenten. Diskussionen und Ergebnisse vom IDW Digital Summit 2021: