Cybersicherheit bei Kapitalmarktpflichten des Boardrooms

Cyberkriminalität stellt eine diffuse Bedrohung dar. Cyberangriffe können den Aktienkurs und damit die Bewertung börsennotierter Unternehmen beeinflussen.

In den letzten Jahren ist das Thema Cybersicherheit immer präsenter geworden und die Bedrohungslage hat sich verschärft. Cyberangriffe können den Aktienkurs und damit die Bewertung börsennotierter Unternehmen beeinflussen. Daher müssen Unternehmen in ihrer Berichterstattung an die Kapitalmärkte zunehmend über spezifische Cyberrisiken informieren. Unternehmen, die an US-Börsen gelistet sind, müssen auch Zwischenfälle melden.

Cyberkriminalität stellt eine diffuse Bedrohung dar. Angriffe erfolgen überraschend und aus dem Verborgenen. Es lohnt sich daher, auf das Unerwartete vorbereitet zu sein.

Handeln müssen Unternehmen auf vielen Ebenen, um ihre Wertschöpfung vor Schäden und ihre Vorstände und Aufsichtsräte vor Strafen und Schadensersatzforderungen zu schützen. Hier zeichnet sich ein durchwachsenes Bild. EY hat Führungskräfte weltweit zur Cybersicherheit befragt (EY Global Cybersecurity Leadership Insights Study 2023). Obwohl zuletzt viel Geld in Cybersecurity investiert wurde, sind weniger als die Hälfte der befragten Führungskräfte damit zufrieden oder fühlen sich auf zukünftige Gefahren vorbereitet.

An der Börse ist im Boardroom und in der Investor-Relations-Funktion potenziell die Erfüllung vieler Kapitalmarktpflichten bzw. deren Prozesse und Infrastrukturen betroffen. Die bei Cyberangriffen direkt beeinträchtigte Landschaften an Systemen, Software und Applikationen können hier z. B. die folgenden sein:
Im Bereich der Finanzberichterstattungspflichten:

• Erstellung jährlicher und unterjähriger Finanzabschlüsse
• rechtzeitige Veröffentlichung innerhalb der Berichterstattungsperioden
  
• Prognoseermittlung für die Analyst Guidance

Im Bereich der Corporate-Governance-Pflichten:

• internes Kontrollsystem
• Risiko- und Compliance-Management-Systeme
• Kommunikationsinhalte und -wege durch Verschlüsselung insbesondere innerhalb des Boardrooms

Im Bereich der fortlaufenden Meldepflichten:

• Einhaltung von Insiderregularien inkl. Management der Zugriffsrechte auf aktienkursrelevante und sensible Daten und deren Sicherung
• Veröffentlichung von Ad-hoc-Meldungen
• die Unternehmens-Website, insb. Inhalte der Investor-Relations-Seiten und Insider-Verzeichnis

Bedrohungen auf diese für die Börsenpflichten relevanten Systeme und Infrastrukturen sind vielfältig: Phishing-Angriffe über E-Mails, professionelle Ransomware-Angriffe über Malware-Programme, die Computer infizieren und Dateien verschlüsseln, CEO-Fraud mit vermeintlichen E-Mail-Aufträgen aus der C-Suite, Distributed-Denial-of-Service -Angriffe, die Server oder eine Website durch den massenhaften Zugriff von Computern überlasten, die Teil eines Botnets sind, oder Man-in-the-Middle-Angriffe. Wie die Angriffsszenarien verdeutlichen, ist Cybersicherheit kein zu erreichender Zustand, sondern ein laufender Prozess mit dem Ziel der beständigen Verbesserung.

Ein erfolgreicher Cyberangriff kann nicht nur finanzielle Einbußen und regulatorische Sanktionen zur Folge haben, sondern auch das Vertrauen von Investoren und Kunden negativ beinträchtigen. Zudem sind Meldepflichten gegenüber Aufsichtsbehörden und Börse im Hinblick auf Kapitalmarktpflichten und Betroffene zu erfüllen. Die DSGVO verpflichtet Unternehmen zur Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. Das IT-Sicherheitsgesetz in Deutschland wiederum verpflichtet Betreiber kritischer Infrastrukturen, entsprechende Maßnahmen gegenüber Aufsichtsbehörden nachzuweisen. Die bis Oktober 2024 umzusetzende NIS2-Regulierung wird in Deutschland schätzungsweise 30.000 bis 40.000 weitere Unternehmen betreffen. Zu den Pflichten des ordnungsgemäß handelnden Geschäftsleiters gehört es dann, Cybersecurity sicherzustellen. Verstöße können hohe Bußgelder auslösen.

So sollten gerade gelistete Unternehmen ihre Systeme regelmäßig testen, Haftungsrisiken für Unternehmen, Vorstand und Aufsichtsrat prüfen und bei Sicherheitsverletzungen schnell und effektiv reagieren. Das Verhindern von Schäden und das schnelle Erkennen von Angriffen sind dabei die beiden klassischen Disziplinen der Cybersicherheit.

Es bildet den Rahmen und die zentrale Orchestrierung aller mit Cybersicherheit im Zusammenhang stehenden Aktivitäten. Das Verhindern des Risikoeintritts beginnt damit, die Risiken systematisch zu erkennen und die Umsetzung der risikoreduzierenden Maßnahmen zu priorisieren.

Ein guter Startpunkt für den Boardroom und die Investor-Relations-Funktion ist eine Bestandsaufnahme im Rahmen eines Kapitalmarkt-Cybersicherheit-Readiness-Checks. Wichtige Fragen hierbei sind: Wie effektiv sind wir vorbereitet? Wie gelingt es, Schäden zu minimieren? Wie lernt man aus Attacken und wird widerstandsfähiger? Wie schützten wir unsere Finanzdaten und ­systeme vor Cyberangriffen und Datenlecks? Wie wird die Cybersicherheit mit externen Dienstleistern und Geschäftspartnern gewährleistet? Gibt es klare Richtlinien und Verfahren im Falle eines Sicherheitsvorfalls, um die Auswirkungen auf die Kapitalmarktpflichten zu minimieren? Wie wird der Boardroom über Cybersecurity-Risiken und Schutzmaßnahmen informiert? Wie werden Sicherheitslücken und Schwachstellen in der IT-Infrastruktur des Unternehmens identifiziert und schnell behoben?

Im Ergebnis gilt es, proaktiv und gezielt für die Kapitalmarkt-Compliance in Cybersicherheit zu investieren. Denn wer stillsteht, ist vor allem eines: leichte Beute.