Cybersicherheit bei Kapitalmarktpflichten des Boardrooms

Cyberkriminalität stellt eine diffuse Bedrohung dar. Cyberangriffe können den Aktienkurs und damit die Bewertung börsennotierter Unternehmen beeinflussen.

Überblick

• Ein guter Startpunkt für den Boardroom und die Investor-Relations-Funktion ist eine Bestandsaufnahme im Rahmen eines Kapitalmarkt-Cybersicherheit-Readiness-Checks.
• Wichtige Fragen hierbei sind: Wie schützten wir unsere Finanzdaten und -systeme vor Cyberangriffen und Datenlecks?
• Gibt es klare Richtlinien und Verfahren im Falle eines Sicherheitsvorfalls, um die Auswirkungen auf die Kapitalmarktpflichten zu minimieren?

In den letzten Jahren ist das Thema Cybersicherheit immer präsenter geworden und die Bedrohungslage hat sich verschärft. Cyberangriffe können den Aktienkurs und damit die Bewertung börsennotierter Unternehmen beeinflussen. Daher müssen Unternehmen in ihrer Berichterstattung an die Kapitalmärkte zunehmend über spezifische Cyberrisiken informieren. Unternehmen, die an US-Börsen gelistet sind, müssen auch Zwischenfälle melden.

Cyberkriminalität stellt eine diffuse Bedrohung dar. Angriffe erfolgen überraschend und aus dem Verborgenen. Es lohnt sich daher, auf das Unerwartete vorbereitet zu sein.

Handeln müssen Unternehmen auf vielen Ebenen, um ihre Wertschöpfung vor Schäden und ihre Vorstände und Aufsichtsräte vor Strafen und Schadensersatzforderungen zu schützen. Hier zeichnet sich ein durchwachsenes Bild. EY hat Führungskräfte weltweit zur Cybersicherheit befragt (EY Global Cybersecurity Leadership Insights Study 2023). Obwohl zuletzt viel Geld in Cybersecurity investiert wurde, sind weniger als die Hälfte der befragten Führungskräfte damit zufrieden oder fühlen sich auf zukünftige Gefahren vorbereitet.

An der Börse ist im Boardroom und in der Investor-Relations-Funktion potenziell die Erfüllung vieler Kapitalmarktpflichten bzw. deren Prozesse und Infrastrukturen betroffen. Die bei Cyberangriffen direkt beeinträchtigte Landschaften an Systemen, Software und Applikationen können hier z. B. die folgenden sein:
Im Bereich der Finanzberichterstattungspflichten:

• Erstellung jährlicher und unterjähriger Finanzabschlüsse
• rechtzeitige Veröffentlichung innerhalb der Berichterstattungsperioden
  
• Prognoseermittlung für die Analyst Guidance

Im Bereich der Corporate-Governance-Pflichten:

• internes Kontrollsystem
• Risiko- und Compliance-Management-Systeme
• Kommunikationsinhalte und -wege durch Verschlüsselung insbesondere innerhalb des Boardrooms

Im Bereich der fortlaufenden Meldepflichten:

• Einhaltung von Insiderregularien inkl. Management der Zugriffsrechte auf aktienkursrelevante und sensible Daten und deren Sicherung
• Veröffentlichung von Ad-hoc-Meldungen
• die Unternehmens-Website, insb. Inhalte der Investor-Relations-Seiten und Insider-Verzeichnis

Bedrohungen auf diese für die Börsenpflichten relevanten Systeme und Infrastrukturen sind vielfältig: Phishing-Angriffe über E-Mails, professionelle Ransomware-Angriffe über Malware-Programme, die Computer infizieren und Dateien verschlüsseln, CEO-Fraud mit vermeintlichen E-Mail-Aufträgen aus der C-Suite, Distributed-Denial-of-Service -Angriffe, die Server oder eine Website durch den massenhaften Zugriff von Computern überlasten, die Teil eines Botnets sind, oder Man-in-the-Middle-Angriffe. Wie die Angriffsszenarien verdeutlichen, ist Cybersicherheit kein zu erreichender Zustand, sondern ein laufender Prozess mit dem Ziel der beständigen Verbesserung.

Ein erfolgreicher Cyberangriff kann nicht nur finanzielle Einbußen und regulatorische Sanktionen zur Folge haben, sondern auch das Vertrauen von Investoren und Kunden negativ beinträchtigen. Zudem sind Meldepflichten gegenüber Aufsichtsbehörden und Börse im Hinblick auf Kapitalmarktpflichten und Betroffene zu erfüllen. Die DSGVO verpflichtet Unternehmen zur Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. Das IT-Sicherheitsgesetz in Deutschland wiederum verpflichtet Betreiber kritischer Infrastrukturen, entsprechende Maßnahmen gegenüber Aufsichtsbehörden nachzuweisen. Die bis Oktober 2024 umzusetzende NIS2-Regulierung wird in Deutschland schätzungsweise 30.000 bis 40.000 weitere Unternehmen betreffen. Zu den Pflichten des ordnungsgemäß handelnden Geschäftsleiters gehört es dann, Cybersecurity sicherzustellen. Verstöße können hohe Bußgelder auslösen.

So sollten gerade gelistete Unternehmen ihre Systeme regelmäßig testen, Haftungsrisiken für Unternehmen, Vorstand und Aufsichtsrat prüfen und bei Sicherheitsverletzungen schnell und effektiv reagieren. Das Verhindern von Schäden und das schnelle Erkennen von Angriffen sind dabei die beiden klassischen Disziplinen der Cybersicherheit.

Cybersicherheitsmaßnahmen lassen sich grob in drei Kategorien unterteilen:

1. Maßnahmen, um Angriffe bzw. Schäden zu verhindern und Angriffsversuche zeitnah zu erkennen, um das Schadensausmaß gering zu halten
2. Maßnahmen, um auf (erfolgreiche) Angriffe schnell, effizient und effektiv reagieren zu können; dazu zählen auch die Vorbereitung auf einen solchen Fall, die konkrete Reaktion in der Situation und das Wiederherstellen eines sicheren Betriebszustands, nachdem die akute Gefahr gebannt wurde
3. der richtige Umgang mit den (internationalen) rechtlichen Vorgaben zu Cybersicherheit und Datenschutz; dies umfasst die Identifikation, welcher rechtliche Rahmen für den Betrieb, Produkte und Dienstleistungen zu beachten sind, sowie das Konzeptionieren und Umsetzen von Vorgaben auf juristischer, operativer und technischer Ebene

Es gibt mehrere präventive Maßnahmen, die börsennotierte Unternehmen ergreifen können, um sich gegen Cyberbedrohungen zu stärken:

• regelmäßiges Training und Schärfung des Bewusstseins der Mitarbeitenden und Führungskräfte, um Bedrohungen und Angriffe zu erkennen und angemessen darauf zu reagieren
• Implementierung von Multi-Faktor-Authentifizierung mit Passwort und einer zweiten Identitätsüberprüfung zum Schutz vor Phishing
• 24/7-Angriffserkennung und Frühwarnsysteme im Bereich der IT-, OT- und Cloud-Infrastruktur sowie Prüfung auf Schadprogramme
• kontinuierliche Aktualisierung der IT-Systeme, Infrastrukturen und Sicherheitssoftware durch ein wirksames Schwachstellen- und Patch-Management
• sichere Speicherung von Backups und regelmäßige Wiederherstellungstests

Neben der Prävention müssen sich Unternehmen auch auf den Ernstfall vorbereiten. Ein guter Notfallplan hilft, schnell und effektiv zu handeln und den Schaden so gering wie möglich zu halten. Der Plan sollte Verfahren enthalten, um das Ausmaß des Vorfalls zu bewerten, das Netzwerk zu isolieren, die Angriffsquelle zu ermitteln und die betroffenen Systeme und Daten zu reparieren oder wiederherzustellen.

Börsennotierte Unternehmen müssen sich umfassend rund um ihre Kapitalmarktpflichten schützen, um der Cyberbedrohung wirksam zu begegnen. Sie haben die Verantwortung, ihre Investoren über mögliche Bedrohungen und kursbeeinflussende Entwicklungen zu informieren und Maßnahmen zu ergreifen, um ihre Finanzdaten zu schützen. In Anbetracht der steigenden Zahl von Angriffen sollten Unternehmen ihre Cybersecurity-Maßnahmen regelmäßig aktualisieren und überprüfen, um gegen die jeweils neuesten Bedrohungen gerüstet zu sein. Kern dafür ist das Informationssicherheits- und Notfallmanagementsystem.

Es bildet den Rahmen und die zentrale Orchestrierung aller mit Cybersicherheit im Zusammenhang stehenden Aktivitäten. Das Verhindern des Risikoeintritts beginnt damit, die Risiken systematisch zu erkennen und die Umsetzung der risikoreduzierenden Maßnahmen zu priorisieren.

Ein guter Startpunkt für den Boardroom und die Investor-Relations-Funktion ist eine Bestandsaufnahme im Rahmen eines Kapitalmarkt-Cybersicherheit-Readiness-Checks. Wichtige Fragen hierbei sind: Wie effektiv sind wir vorbereitet? Wie gelingt es, Schäden zu minimieren? Wie lernt man aus Attacken und wird widerstandsfähiger? Wie schützten wir unsere Finanzdaten und ­systeme vor Cyberangriffen und Datenlecks? Wie wird die Cybersicherheit mit externen Dienstleistern und Geschäftspartnern gewährleistet? Gibt es klare Richtlinien und Verfahren im Falle eines Sicherheitsvorfalls, um die Auswirkungen auf die Kapitalmarktpflichten zu minimieren? Wie wird der Boardroom über Cybersecurity-Risiken und Schutzmaßnahmen informiert? Wie werden Sicherheitslücken und Schwachstellen in der IT-Infrastruktur des Unternehmens identifiziert und schnell behoben?

Im Ergebnis gilt es, proaktiv und gezielt für die Kapitalmarkt-Compliance in Cybersicherheit zu investieren. Denn wer stillsteht, ist vor allem eines: leichte Beute.