Warum ist ein Verstoß gegen die Datensicherheit ein Thema für die Vorstandsetage?
Veröffentlicht am: 4 Mai 2021
Zuletzt geändert am: 24 Juli 2025
Verstöße gegen die Datensicherheit sind schon lange nicht mehr nur eine Domäne der IT-Abteilung, sondern haben ihren festen Platz in der Vorstandsetage: Im Jahr 2018 kam es bei British Airways zu einem Cyber-Sicherheitsverstoß, der zum Diebstahl von persönlichen und finanziellen Daten von Kunden führte. Das Ergebnis war weitreichend. Neben einer Geldstrafe in Höhe von 20 Millionen Pfund durch das britische Information Commissioner’s Office (ICO) könnte eine Sammelklage das Unternehmen am Ende Milliarden Pfund kosten. Diese Höhe der finanziellen Kosten ist auf der Vorstandsebene angesiedelt.
Aber es sind nicht nur finanzielle Verluste, die Datenschutzverletzungen verursachen. Die Kunden des Unternehmens, die Mitarbeiter, der Betrieb und die Lieferanten sind alle potenziell betroffen. Das Thema Sicherheit ist so wichtig, dass es mittlerweile zu einer der wichtigsten geschäftlichen Überlegungen im Unternehmen geworden ist. Die Mitglieder des Vorstands müssen sich der Auswirkungen einer Sicherheitsverletzung bewusst sein und bereit sein, positive Maßnahmen zu ergreifen.
Was ein Vorstand über die Auswirkungen einer Verletzung der Datensicherheit wissen muss
Vorstandsmitglieder haben eine Sorgfaltspflicht gegenüber dem Unternehmen und seinen Aktionären. Dazu gehört auch, dass sie dafür sorgen, dass sich das Unternehmen vor böswilligen oder zufälligen Bedrohungen schützt. In Großbritannien sind die treuhänderischen Pflichten von Vorstandsmitgliedern im Companies Act 2006 festgelegt, der die Verpflichtung enthält, „den Erfolg des Unternehmens zu fördern“ und „bei der Ausübung ihrer Rolle angemessene Sorgfalt, Geschicklichkeit und Gewissenhaftigkeit walten zu lassen“; Cyber-Risiken und die Reaktion auf solche Bedrohungen fallen genau unter diese Sorgfaltspflicht. Die verschiedenen Arten von Auswirkungen, die ein Cyberangriff haben kann, werden im Folgenden detailliert beschrieben und können weitreichende Auswirkungen auf den anhaltenden Erfolg eines Unternehmens haben:
Arbeitsmoral
Unternehmen laufen besser, wenn die Mitarbeiter zufrieden und effizient sind. Wenn die Moral niedrig ist, sinkt die Produktivität. Ein Bericht von Carbonite, in dem untersucht wird, wie sich ein Datenschutzverstoß auf die Mitarbeiter auswirkt, zeigt deutlich, dass die Moral der Mitarbeiter nach einem Datenschutzverstoß sinkt:
- 25% der Mitarbeiter erleben eine Beeinträchtigung ihrer Work-Life-Balance
- 24% der Mitarbeiter erlebten einen Rückgang der Arbeitsmoral
- 15% der Unternehmen haben nach dem Einbruch Mitarbeiter entlassen oder ihnen gekündigt
- Bei 11% der Unternehmen haben Mitarbeiter nach einem Verstoß gekündigt
Aktienkurs
Die Vorstände stehen unter dem Druck, sicherzustellen, dass die Aktienkurse hoch bleiben, um das Vertrauen der Aktionäre zu erhalten. Es gibt jedoch Anzeichen dafür, dass sich Datenschutzverletzungen negativ auf die Aktienkurse auswirken. Einer der deutlichsten Beweise dafür war der Absturz der Equifax-Aktie nach dem Datenschutzverstoß des Unternehmens im Jahr 2017, die insgesamt um über 30% fiel, bevor sie sich wieder erholte.
Untersuchungen von Comparitech, die über mehrere Jahre hinweg durchgeführt wurden, zeigen, dass die Auswirkungen auf die Aktienkurse häufig sind. Die Untersuchung bezog sich auf Unternehmen, die an der New Yorker Börse notiert sind, und ergab, dass die Aktienkurse im Durchschnitt um -3,5% sanken und an der NASDAQ um -3,5% unterdurchschnittlich abschnitten.
Compliance und Geldbußen
Vorschriften zum Datenschutz sind bei Nichteinhaltung oft mit hohen Geldstrafen verbunden. Zwei Beispiele für britische Unternehmen, die im Rahmen der EU-Datenschutzgrundverordnung (GDPR) zu Geldstrafen verurteilt wurden, zeigen die Kosten der Nichteinhaltung:
Unternehmen: Ticketmaster
Geldstrafe: 1,4 Millionen Euro (1,2 Millionen Pfund)
Warum: Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit
Unternehmen Marriott International, Inc.
Geldstrafe: 20,5 Millionen Euro (£17,8 Millionen)
Warum: Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit
Allein im Jahr 2020stiegen die GDPR-Bußgelder um 19 %. Insgesamt wurden seit dem Inkrafttreten des Gesetzes im Jahr 2018 Bußgelder in Höhe von 332,4 Millionen Dollar verhängt.
Reputation und Kundenverluste
Ein Bericht von Lloyds und KPMG über den Schutz immaterieller Vermögenswerte hat ergeben, dass in den letzten 10-15 Jahren 80 % der Vermögenswerte von Unternehmen als immateriell bezeichnet werden können – dazu gehören Marken, geistiges Eigentum und technologiebasierte Dienstleistungen. Eine der am schwierigsten zu quantifizierenden Folgen eines Datenlecks oder einer Datenschutzverletzung sind jedoch die Auswirkungen auf den Ruf und der Verlust von Kunden. Eine Umfrage von PwC hat ergeben, dass 87% der Verbraucher angeben, dass sie im Falle eines Datenverlustes ihr Unternehmen wechseln würden.
Entlassungen von Mitarbeitern und C-Suite
Letztlich kann eine Sicherheitsverletzung zum Verlust von Fähigkeiten und Wissen führen. Ein Bericht von Radware zum Stand der Webanwendungssicherheit zeigt, dass 23 % der Unternehmen nach einer Sicherheitsverletzung Führungskräfte entlassen haben. Ein weiteres Beispiel ist der Datenschutzverstoß bei Equifax im Jahr 2017. Die damalige CIO wurde zu einer Geldstrafe von 55.000 Dollar und einer 4-monatigen Haftstrafe verurteilt, weil er Insiderhandel betrieben hatte, bevor die Öffentlichkeit über den Verstoß informiert wurde.
Kosten für Ausfallzeiten
Verstöße gegen die Datensicherheit haben weitreichende Auswirkungen auf das gesamte Unternehmen. Die oben genannten Auswirkungen einer Sicherheitsverletzung umfassen nicht andere betroffene Bereiche wie Ausfallzeiten und den Verlust von geistigem Eigentum/empfindlichen Unternehmensdaten: Datto untersuchte die Kosten für Ausfallzeiten nach einer Verletzung der Cybersicherheit und stellte fest, dass diese zwischen 2018 und 2020 um 486% gestiegen sind.
Wie sich eine Datenschutzverletzung auf einen Vorstand auswirken kann
Eine Sicherheitskultur, die durch einen Ton an der Spitze gefördert wird: Die Cybersicherheit liegt in der Verantwortung des gesamten Unternehmens, vom Vorstand über die Mitarbeiter bis hin zu externen Beratern und darüber hinaus. Kein Einzelner, kein IT-Team und kein Sicherheitsanalyst kann sich allein mit den Bedrohungen der Cybersicherheit befassen, sondern nur der Vorstand. Eine robuste und solide Sicherheitslage im Vorstand wird von der Führungsebene vorgegeben. Wenn ein Vorstand die Cybersicherheit ernst nimmt, entsteht eine Sicherheitskultur, die das gesamte Unternehmen durchdringt. Diese Kultur ist der Grundstein für den Aufbau eines Bewusstseins für Cybersicherheit im gesamten Unternehmensnetzwerk.
Daten sind wertvoll: Daten und das Potenzial für Datenverletzungen sind ein entscheidender Aspekt der Aufsicht des Vorstands. Datenschutzverletzungen sind eine kostspielige Angelegenheit: Die durchschnittlichen Kosten einer Datenschutzverletzung in Großbritannien belaufen sich auf £2,8 Millionen ($3,9 Millionen)
Fehlende Schulungen zum Thema Cybersicherheit auf Vorstandsebene: Das Wissen über Cybersicherheit kann ein Problem für den Vorstand sein. Vorstandsmitglieder haben selten einen Sicherheitshintergrund. Die Mitglieder des Vorstands sollten jedoch ebenso wie die übrigen Mitarbeiter des Unternehmens an einer Sicherheitsschulung teilnehmen. Die Schulungen sollten relevant und auf die Rolle des Vorstandsmitglieds zugeschnitten sein und nicht nach dem Motto „Einheitsgröße für alle“ ablaufen. Mitarbeiter des Unternehmens, die über Kenntnisse im Bereich Cybersicherheit und ausgezeichnete Kommunikationsfähigkeiten verfügen, können für die Schulung von Vorstandsmitgliedern eingesetzt werden.
Auswirkungen von Datenschutzverletzungen auf den Aktienkurs: Wie gezeigt, wirken sich Verstöße gegen die Cybersicherheit auf die Aktionäre aus, da die Aktienkurse nach einem Verstoß beeinträchtigt werden. Daher haben Vorstandsmitglieder die Sorgfaltspflicht, die Auswirkungen von Datenschutzverletzungen auf den Unternehmenswert zu verstehen.
Unterzeichnung der Richtlinien: Cybersicherheitsrichtlinien, von denen einige sensible Unternehmensdaten berühren können, sind ein grundlegender Bestandteil einer unternehmensweiten Sicherheitsstrategie, die vom Vorstand oder einem Vorstandsmitglied anerkannt und möglicherweise unterzeichnet werden sollte.
Ein kollektives Gefühl der Verantwortung: Das Führungsteam muss den Kampf gegen Cyberangriffe anführen. Die C-Suite und der Vorstand können ein gemeinsames Verantwortungsbewusstsein fördern, das sich auch auf die versehentliche Preisgabe von Daten und einfache Sicherheitsfehler erstreckt, die ein Unternehmen einem erhöhten Risiko aussetzen können.
Alles für die Verantwortlichkeit: Die Organisation und die Personen, die diese Organisation bilden, sind rechenschaftspflichtig und verantwortlich für die Cybersicherheitshygiene. Die vom Vorstand geförderte Kultur des Bewusstseins für Cybersicherheit trägt dazu bei, die Schulungen zu gestalten, die erforderlich sind, um sicherzustellen, dass die Sicherheitshygiene von allen befolgt wird.
Vorbeugung von Datenschutzverletzungen
In einem Bericht von Grant Thornton wurde festgestellt, dass 73% der Unternehmen nach einem Cyberangriff Einbußen von etwa 25% des Umsatzes hinnehmen mussten. Dies allein ist ein wichtiger Grund, warum die Cybersicherheit einen festen Platz in der Vorstandsetage hat. Ein Cyberangriff hat erhebliche Auswirkungen auf alle Aspekte eines Unternehmens. Der Vorstand spielt eine entscheidende Rolle, wenn es darum geht, eine solide Sicherheitslage zu schaffen und dafür zu sorgen, dass ein Budget für die richtigen Sicherheitsmaßnahmen und Schulungen zur Verfügung steht.
Die Folgen einer Datenschutzverletzung können für Unternehmen verheerend sein, und nach jedem Cybervorfall kommt es unweigerlich zu einem Schuldzuweisungsspiel. Unser nächster Webcast mit dem Titel ‚The Data Breach Blame Game: Employees or Employers?“ am 27. Mai um 15.00 Uhr BST erörtert das immer komplexer werdende Thema der Haftung und der Frage, wer bei einem Verstoß verantwortlich ist.