MetaBlog

Bleiben Sie auf dem Laufenden über die Themen der Cyber-Awareness-Schulungen und mindern Sie die Risiken in Ihrem Unternehmen.

Warum ist eine Verletzung der Datensicherheit ein Thema für die Vorstandsetage?

Verletzung der Datensicherheit

über den Autor

Auf Linkedin teilen
Auf Twitter teilen
Auf Facebook teilen

Datensicherheitsverletzungen sind längst nicht mehr nur eine Domäne der IT-Abteilung, sondern haben ihren festen Platz in der Vorstandsetage: Im Jahr 2018 erlitt British Airways eine Cybersicherheitsverletzung, die zum Diebstahl von persönlichen und finanziellen Daten von Kunden führte. Das Ergebnis war weitreichend. Neben einer Geldstrafe in Höhe von 20 Millionen Pfund durch das britische Information Commissioner's Office (ICO) könnte eine Sammelklage das Unternehmen am Ende mehrere Milliarden Pfund kosten. Diese Höhe der finanziellen Kosten ist direkt auf der Vorstandsebene anzusiedeln.

Aber es sind nicht nur finanzielle Verluste, die Datenverletzungen verursachen. Kunden, Mitarbeiter, Betriebe und Lieferanten des Unternehmens sind potenziell betroffen. Der Stand der Sicherheit ist so, dass sie jetzt zu einem wichtigen Geschäftsfaktor für das Unternehmen geworden ist. Die Vorstandsmitglieder müssen sich der Auswirkungen einer Sicherheitsverletzung bewusst sein und bereit sein, positive Maßnahmen zu ergreifen.

Was ein Vorstand über die Auswirkungen einer Verletzung der Datensicherheit wissen muss

Vorstandsmitglieder haben eine Sorgfaltspflicht gegenüber dem Unternehmen und seinen Aktionären. Dazu gehört auch, dass sie dafür sorgen, dass sich das Unternehmen vor böswilligen oder zufälligen Bedrohungen schützt. Im Vereinigten Königreich sind die treuhänderischen Pflichten von Vorstandsmitgliedern im Companies Act 2006 festgelegt, der die Verpflichtung enthält, "den Erfolg des Unternehmens zu fördern" und "bei der Ausübung ihrer Rolle angemessene Sorgfalt, Geschicklichkeit und Gewissenhaftigkeit walten zu lassen"; Cyberrisiken und die Reaktion auf solche Bedrohungen fallen genau unter diese Sorgfaltspflicht. Die verschiedenen Arten von Auswirkungen, die ein Cyberangriff haben kann, sind im Folgenden aufgeführt und können jeweils weitreichende Auswirkungen auf den anhaltenden Erfolg eines Unternehmens haben:


Arbeitsmoral

Unternehmen laufen besser, wenn die Mitarbeiter zufrieden und effizient sind. Wenn die Arbeitsmoral niedrig ist, sinkt die Produktivität. Ein Bericht von Carbonite, in dem untersucht wird, wie sich eine Datenschutzverletzung auf die Mitarbeiter auswirkt, zeigt deutlich, dass die Arbeitsmoral nach einer Datenschutzverletzung sinkt:

  • 25 % der Mitarbeiter erleben eine Beeinträchtigung ihrer Work-Life-Balance
  • 24 % der Mitarbeiter erlebten einen Rückgang der Arbeitsmoral
  • 15 % der Unternehmen haben nach dem Einbruch Mitarbeiter entlassen oder ihnen gekündigt
  • Bei 11 % der Unternehmen kündigten Mitarbeiter nach einem Verstoß


Aktienkurs

Die Vorstände stehen unter dem Druck, dafür zu sorgen, dass die Aktienanteile hoch bleiben, um das Vertrauen der Aktionäre zu erhalten. Es gibt jedoch Belege dafür, dass sich Datenschutzverletzungen negativ auf die Aktienkurse auswirken. Einer der deutlichsten Beweise dafür war der Absturz der Equifax-Aktie nach der Datenpanne des Unternehmens im Jahr 2017, die insgesamt um über 30 % fiel, bevor sie sich wieder erholte.

Untersuchungen von Comparitech, die über mehrere Jahre hinweg durchgeführt wurden, zeigen, dass die Auswirkungen auf die Aktienkurse weit verbreitet sind. Die Untersuchung bezog sich auf Unternehmen, die an der New Yorker Börse notiert sind, und ergab, dass die Aktienkurse im Durchschnitt um -3,5 % fielen und an der NASDAQ um -3,5 % unterdurchschnittlich abschnitten.


Einhaltung der Vorschriften und Geldbußen

Vorschriften zum Datenschutz sind bei Nichteinhaltung oft mit hohen Geldstrafen verbunden. Zwei Beispiele britischer Unternehmen, die im Rahmen der EU-Datenschutz-Grundverordnung (GDPR) mit Geldstrafen belegt wurden, zeigen die Kosten der Nichteinhaltung:

Unternehmen: Ticketmaster

Geldstrafe: 1,4 Millionen Euro (1,2 Millionen Pfund)

Warum: Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit

Unternehmen Marriott International, Inc.

Geldstrafe: 20,5 Millionen Euro (17,8 Millionen Pfund)

Warum: Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit

Allein im Jahr 2020stiegen die GDPR-Bußgelder um 19 %, wobei seit dem Inkrafttreten des Gesetzes im Jahr 2018 Bußgelder in Höhe von insgesamt 332,4 Millionen US-Dollar verhängt wurden.


Reputation und Kundenverluste

Ein Bericht von Lloyds und KPMG über den Schutz immaterieller Vermögenswerte hat ergeben, dass in den letzten 10-15 Jahren 80 % der Unternehmenswerte als immateriell bezeichnet werden können - dazu gehören Marken, geistiges Eigentum und technologiegestützte Dienstleistungen. Eine der am schwierigsten zu quantifizierenden Folgen eines Datenlecks oder einer Datenschutzverletzung sind jedoch die Auswirkungen auf den Ruf und der Verlust von Kunden. Eine Umfrage von PwC hat ergeben, dass 87 % der Verbraucher angeben, dass sie im Falle einer Datenschutzverletzung ihr Unternehmen wechseln würden.


Entlassungen von Mitarbeitern und C-Suite

Letztlich kann eine Sicherheitsverletzung zum Verlust von Fähigkeiten und Wissen führen. Aus einem Bericht von Radware zum Stand der Webanwendungssicherheit geht hervor, dass 23 % der Unternehmen nach einer Sicherheitsverletzung Führungskräfte entlassen haben. Ein Beispiel dafür ist wiederum die Datenpanne bei Equifax im Jahr 2017. Der damaligeCIO von wurde zu einer Geldstrafe von 55.000 US-Dollar und einer viermonatigen Haftstrafe verurteilt, weil er Insiderhandel betrieben hatte, bevor die Öffentlichkeit über den Verstoß informiert wurde.


Kosten für Ausfallzeiten

Verstöße gegen die Datensicherheit haben weitreichende Auswirkungen auf das gesamte Unternehmen. Die oben genannten Auswirkungen einer Sicherheitsverletzung schließen andere betroffene Bereiche wie Ausfallzeiten und den Verlust von geistigem Eigentum/sensiblen Unternehmensdaten nicht ein: Datto untersuchte die Kosten für Ausfallzeiten nach einer Verletzung der Cybersicherheit und stellte fest, dass diese zwischen 2018 und 2020 um 486 % gestiegen sind.

Schulung zum Thema Datenschutzverletzungen

Wie sich eine Datenschutzverletzung auf einen Vorstand auswirken kann

Eine Sicherheitskultur, die durch einen Ton an der Spitze gefördert wird: Die Cybersicherheit liegt in der Verantwortung des gesamten Unternehmens, vom Vorstand über die Mitarbeiter bis hin zu externen Beratern und darüber hinaus. Kein Einzelner, kein IT-Team und kein Sicherheitsanalytiker kann sich allein mit Cybersicherheitsbedrohungen befassen, sondern es ist wichtig, den Vorstand für die Sicherheit zu gewinnen. Eine robuste und solide Sicherheitslage im Vorstand wird von der Führungsebene vorgegeben. Wenn ein Vorstand die Cybersicherheit ernst nimmt, entsteht eine Sicherheitskultur, die das gesamte Unternehmen durchdringt. Diese Kultur ist der Grundstein für den Aufbau eines Bewusstseins für Cybersicherheit im gesamten Unternehmensnetz.

Daten sind wertvoll: Daten und das Potenzial für Datenverletzungen sind ein entscheidender Aspekt der Aufsicht durch den Vorstand. Datenschutzverletzungen sind eine kostspielige Angelegenheit: Die durchschnittlichen Kosten einer Datenschutzverletzung im Vereinigten Königreich betragen 2,8 Millionen Pfund (3,9 Millionen Dollar).

Fehlende Cybersicherheitsschulung auf Vorstandsebene: Das Wissen über Cybersicherheit kann ein Problem für den Vorstand sein. Vorstandsmitglieder haben selten einen Sicherheitshintergrund. Dennoch sollten die Vorstandsmitglieder ebenso wie die übrigen Mitarbeiter der Organisation an einer Sicherheitsschulung teilnehmen. Die Schulungen sollten relevant und auf ihre Rolle als Vorstandsmitglieder zugeschnitten sein und nicht nach dem Gießkannenprinzip ablaufen. Für die Schulung von Vorstandsmitgliedern können Mitarbeiter des Unternehmens eingesetzt werden, die über Kenntnisse im Bereich der Cybersicherheit und über ausgezeichnete Kommunikationsfähigkeiten verfügen.

Auswirkungen von Datenschutzverletzungen auf den Aktienkurs: Wie gezeigt, wirken sich Verstöße gegen die Cybersicherheit auf die Aktionäre aus, da die Aktienkurse nach einem Verstoß beeinträchtigt werden. Daher haben die Vorstandsmitglieder die Pflicht, die Auswirkungen von Datenschutzverletzungen auf den Wert der Aktionäre zu verstehen.

Unterzeichnung von Richtlinien: Cybersicherheitsrichtlinien, von denen einige sensible Unternehmensdaten berühren können, sind ein grundlegender Bestandteil einer unternehmensweiten Sicherheitsstrategie, die vom Vorstand oder einem Vorstandsmitglied anerkannt und möglicherweise unterzeichnet werden sollte.

Ein kollektives Verantwortungsbewusstsein: Das Führungsteam muss bei der Bekämpfung von Cyberangriffen die Führung übernehmen. Die Führungsetage und der Vorstand können ein gemeinsames Verantwortungsbewusstsein fördern, das sich auch auf die versehentliche Offenlegung von Daten und einfache Sicherheitsfehler erstreckt, die ein Unternehmen einem erhöhten Risiko aussetzen können.

Alles für die Verantwortlichkeit: Das Unternehmen und die einzelnen Mitarbeiter sind für die Cybersicherheitshygiene verantwortlich und rechenschaftspflichtig. Die vom Vorstand geförderte Kultur des Bewusstseins für Cybersicherheit trägt dazu bei, die erforderlichen Schulungen zu gestalten, um sicherzustellen, dass die Sicherheitshygiene von allen befolgt wird.

Geldstrafe wegen Verletzung der Datensicherheit

Vorbeugung von Datenschutzverletzungen

Einem Bericht von Grant Thornton zufolge meldeten 73 % der Unternehmen nach einem Cyberangriff Einbußen von rund 25 % des Umsatzes. Dies allein ist ein wichtiger Grund, warum die Cybersicherheit einen festen Platz in der Vorstandsetage hat. Ein Cyberangriff hat erhebliche Auswirkungen auf alle Aspekte eines Unternehmens. Der Vorstand spielt eine entscheidende Rolle bei der Schaffung einer soliden Sicherheitslage und muss sicherstellen, dass ein Budget für die richtigen Sicherheitsmaßnahmen und Schulungen zur Verfügung steht.

Die Folgen einer Datenschutzverletzung können für Unternehmen verheerend sein, und nach jedem Cybervorfall kommt es unweigerlich zu einem Schuldzuweisungsspiel. Unser nächster Webcast mit dem Titel "The Data Breach Blame Game: Employees or Employers?" am 27. Mai um 15.00 Uhr (MESZ) erörtert das immer komplexer werdende Thema der Haftung und der Frage, wer im Falle einer Datenpanne verantwortlich ist.

Webcast: Die Schuldzuweisung bei Datenschutzverletzungen

könnte Ihnen diese Lektüre gefallen