Datenmissbrauch, Attacken auf das IT-System oder sogar Spionage? Was nach Agentenfilm klingt oder Eingriffen russischer Hacker in den US-Wahlkampf, zählen deutsche Firmenchefs heute zur größten Bedrohung für ihren Betrieb überhaupt. Die für das „Allianz-Risikobarometer 2017“ befragten Unternehmen stufen Cyberangriffe weitaus gefährlicher ein als Lieferantenprobleme, Börsenturbulenzen oder Euro-Risiken. Dafür gibt es gute Gründe. Datenvernetzung und digitalisiertes geistiges Eigentum sind für die Wirtschaft von heute herausragende Erfolgsfaktoren. Gleichzeitig wächst die Netzkriminalität und wird zum Hochrisikofaktor, weil sie ganze Fabrikhallen und Maschinen lahmlegen oder Online-Shops sogar in ihrer Existenz gefährden kann.
Allein in den vergangenen zwei Jahren waren mehr als zwei Drittel der deutschen Industrieunternehmen einmal Opfer von Cyberangriffen. Kein Wunder also, dass jetzt immer mehr Unternehmen ganzheitliche Schutzstrategien entwickeln. Am Anfang steht die Risikoanalyse, wobei von Beginn an interne wie externe Experten eng zusammenarbeiten. „Dabei ist es hilfreich, wenn ein neutraler Dritter wie Ecovis in alle Schritte und vor allem auch bei der objektiven Beurteilung der Leistungen interner und externer IT-Dienstleister eingebunden ist“, sagt Christoph Zehme, Vorstand der ECOVIS Europe AG, Leiter Organisation und EDV bei Ecovis in München.
Expertenwissen nutzen
Unterstützung bieten die Berater von der Risikoanalyse über den Aufbau des Sicherheitskonzepts bis hin zur Installation von Kontrollsystemen. Ecovis schult kontinuierlich seine Mitarbeiter, um sie für IT-Risiken zu sensibilisieren. Spezialisten mit der Zusatzqualifikation eines Certified Information System Auditor verfügen zudem über profundes Wissen zur Kontrolle und Optimierung von IT-Systemen. Je nach Geschäftstätigkeit des Unternehmens können Teilrisiken besonders in den Fokus der Beratung rücken. Welche Konsequenzen haben Änderungen betrieblicher Prozesse für den Datenfluss? Wo ist die Abhängigkeit von einer funktionierenden IT besonders ausgeprägt? Welche Sicherheitsvorkehrungen für die Infrastruktur und die Schnittstellen zu externen Dienstleistern sind unverzichtbar? „Unsere Mandanten wünschen sich zunehmend Unterstützung im Bereich IT-Sicherheit, die wir bereitstellen und weiter ausbauen“, sagt André Rogge, Steuerberater bei Ecovis in Dresden.
Attacken von Goldeneye
Wie schnell Cyberattacken gefährlich werden können, zeigt die Welle von Phishing-Mails an die Personalabteilungen deutscher Unternehmen Ende 2016. Als täuschend echt gestaltete Bewerbungen um tatsächlich ausgeschriebene Stellen forderten sie die Personaler zum Öffnen anhängender, mit dem Logo der Bundesanstalt für Arbeit versehener Excel-Dateien auf. Tatsächlich aber waren diese verseucht und verschlüsselten wichtige Teile der Systemplatte und Datendateien. Hinter den Trojanern, unter Anspielung auf einen James-Bond-Film „Goldeneye“ genannt, steht ein Erpressungsversuch. Wer bezahlt, bekommt (vielleicht) seine Daten wieder entschlüsselt. Die Angriffe zeigen unter anderem, dass es unabdingbar ist, die Mitarbeiter immer wieder für diese Risiken zu sensibilisieren. Motto: Sorgloses Anklicken von Nachrichten aus unsicheren Quellen kann verheerende Folgen haben.
Auf Datenschutzrisiken achten
Doch auch in anderer Hinsicht sind alle Beschäftigten gefordert. „Viele Mitarbeiter erkennen oft nicht, wenn sie es mit personenbezogenen Daten zu tun haben und in der Folge Rechtsverstöße begehen“, warnt der Datenschutzexperte und Diplom-Jurist Christian Seidel von Ecovis in Düsseldorf. Das kann weitreichende Folgen haben. Neben der Verhängung von Bußgeldern durch Aufsichtsbehörden reagieren zunehmend Wettbewerber mit Abmahnungen, wenn sie datenschutzrechtliche Verstöße der Konkurrenz wittern. Insbesondere in Online-Shops sollte der Datenschutz fest verankert sein, da beim Bestellvorgang personenbezogene Daten der Kunden erhoben, verarbeitet und gespeichert werden. Zusätzliche Risiken bringt das Cloud Computing mit sich, weil Daten dabei nicht mehr im Unternehmen verbleiben. „Wer Dritte mit der Speicherung von Daten beauftragt, sollte diese auf die Einhaltung der datenschutzrechtlichen Bestimmungen verpflichten“, rät Christian Seidel. Nicht zuletzt erfordert die technische Umsetzung datenschutzkonformer Lösungen eine enge Zusammenarbeit der IT-Zuständigen mit Rechtsberatern. Welche Daten werden erhoben, wie werden diese verarbeitet und wo werden sie gespeichert? Die Experten von Ecovis können das juristisch bewerten und Orientierungshilfe geben.
Vertrauen und Erfahrung sind unbezahlbar
Die Herausforderungen an das betriebliche Risikomanagement in Zeiten der Digitalisierung reichen vom personenbezogenen Datenschutz bis zur IT-Sicherheit, die den Verlust von Daten verhindern soll. Ecovis leistet dabei im Rahmen der Steuer-, Unternehmens- und IT-Beratung wertvolle Unterstützung. Das gilt für den automatisierten Informationsaustausch zwischen Steuerberater und Finanzamt ebenso wie für die Vorhaltung von elektronischen Unterlagen. „Alle vom Mandanten auf das Ecovis-System übertragenen Daten sind in ausfallsicheren Rechenzentren untergebracht, gleichzeitig ist stets für Vertraulichkeit und Verfügbarkeit gesorgt“, erläutert Christoph Zehme. Hinzu kommt die Unterstützung bei technischen und rechtlichen Fragestellungen in den Mandantenbetrieben. „Unsere Spezialisten informieren sich über aktuelle Entwicklungen. Dieses Wissen geht unmittelbar in die interdisziplinäre Beratung ein, sodass alle Ecovis-Berater immer auf dem neuesten Stand sind“, erklärt Zehme.
Checkliste IT-Sicherheit
• Finanzielle Risiken eines IT-Ausfalls abschätzen und Vorkehrungen treffen
• Zuständigkeiten und Umgang mit Themen wie E-Mail, Internetnutzung, Passwörter klar regeln
• Verhaltensregeln für Notlagen wie Systemausfall, Datenverlust, Stromausfall, Hackerangriff, Feuer und Virenbefall festlegen
• Permanent Anti-Viren-Programme aus sicheren Quellen nutzen und regelmäßige Updates durchführen
• Sicherheitsrelevante Software regelmäßig aktualisieren
• Mitarbeiter für die Risiken, insbesonders von Phishing-Mails, sensibilisieren
• Firewalls und Backup-Systeme installieren
Christoph Zehme, Vorstand der ECOVIS Europe AG, Leiter Organisation und EDV bei Ecovis in München
André Rogge, Steuerberater bei Ecovis in Dresden
Christian Seidel, Datenschutzexperte und Diplom-Jurist bei Ecovis in Düsseldorf