Was tun Unternehmen hinsichtlich Cybersecurity?
Zu den Engagement-Aktivitäten des Fondsmanagements von Raiffeisen Capital Management (Raiffeisen KAG) zum Thema Cybersecurity und Gerechtigkeit gehört auch der Dialog mit einigen der größten und für uns interessantesten börsennotierten Unternehmen in diesem Bereich. Insgesamt wurden mehr als 45 Gesellschaften aus unterschiedlichen Branchen kontaktiert, dabei haben wir uns auf die besonders betroffenen Sektoren Versorger, Telekommunikation, Industrie und Finanzen konzentriert. Insbesonders diese Unternehmen sind häufig Opfer von Cyberattacken, aber auch Vorreiter in deren Abwehr.
Dabei wurden unsere Fragen wie folgt beantwortet.
Welchen Stellenwert hat Cybersecurity aktuell in Ihrem Unternehmen und wie hat sich dieser in den letzten beiden Jahren durch die vermehrte Heimarbeit, durch die Pandemie und die angespannte geopolitische Lage verändert?
Die Pandemie mit dem einhergehenden vermehrten Homeoffice sowie die angespannte geopolitische Lage um die Ukraine haben die digitale Sicherheitsstruktur der letzten zwei Jahre nachhaltig verändert. Deshalb mussten sich auch Unternehmen gegen diese wachsende Bedrohung durch Cyberkriminalität wappnen. Global gesehen mussten völlig neue Wege gegangen werden, um erfolgreich gegen diese neuartigen Bedrohungsszenarien vorzugehen. Gleichzeitig gibt es für Unternehmen, aufgrund der durch die ganze Unternehmensstruktur gehende Digitalisierung, mehr zu verlieren denn je.
So betont der österreichische Mineralölversorger im Dialog mit der Raiffeisen KAG, dass Cybersecurity in seiner gruppenweiten IT höchste Priorität hat. Das spiegelt sich in zahlreichen präventiven und reaktiven Maßnahmen wider. Für die OMV ist Cyberabwehr kein starrer Prozess, sondern muss immer weiterentwickelt werden, um für unerwartete Situationen die bestmögliche Abwehr parat zu haben.
Das spanische Versorger-Unternehmen Iberdrola hat in der Pandemie vermehrt auf Cloud-Lösungen und virtualisierte Infrastruktur gesetzt. Für das Unternehmen, das im Bereich der kritischen Infrastruktur tätig ist, hat Cybersicherheit höchste Priorität. So führte der Versorger bereits 2015 eine Cybersecurity Risk Policy ein, um die ständige Verfügbarkeit seiner Dienstleistungen zu gewährleisten. Um die von der geopolitisch angespannten Lage ausgehende Gefahr abzuwenden, hat Iberdrola aktuell die höchste Alarmstufe aktiviert und arbeitet eng mit IT-Sicherheitslieferanten, den Behörden und Partnerunternehmen zusammen. Außerdem werden für die Mitarbeiterinnen und Mitarbeiter erweiterte Sicherheitstrainings durchgeführt, wobei aber nicht nur die Cybersicherheit ein Thema ist, sondern auch weitere Risiken behandelt werden.
Haben Sie Budgeterhöhungen für Cybersicherheit vorgesehen?
Bawag, Elisa:
Als Kapitalgeber sind wir immer daran interessiert, wie diese Gelder gebunden werden. In Anbetracht der steigenden Cyberkriminalität müssen Unternehmen nicht nur neue Wege gehen, sondern oftmals auch massive Investitionen tätigen.
Die Bankengruppe Bawag weitet ihre Kontrollmechanismen und Schutzmaßnahmen in allen drei relevanten Dimensionen aus: Kundinnen bzw. Kunden und Mitarbeitende, Prozess und Technologie. So wird sichergestellt, in allen Bereichen der Cyberabwehr auf modernstem Stand zu sein und somit das Unternehmen, Mitarbeitende und Kundinnen bzw. Kunden zu schützen.
In Telekommunikationsunternehmen ist Cyberabwehr besonders auch für Kundinnen und Kunden wichtig. Deren vermehrte Anfragen zu dem Thema haben beim finnischen Unternehmen Elisa beispielsweise zu einer Erhöhung der Budgets für Cyberabwehr geführt.
Bekommen Sie staatliche Unterstützung in der Bewältigung dieser Herausforderungen?
Im Bereich der Cyberkriminalität gehört die Stilllegung von kritischer Infrastruktur zu den größten Gefahren für einen Staat. Doch wie unterstützen Staaten Unternehmen, die in gesellschaftlich relevanten Bereichen tätig sind? Viele der kontaktierten Unternehmen bekommen keine staatliche Unterstützung, weder finanziell noch auf informationeller Ebene. Der Versicherer Allianz ist Betreiber kritischer Infrastruktur im Sinn des IT-Sicherheitsgesetzes und ist zu einer Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (in Deutschland BSI) verpflichtet. Das BSI wertet gemeldete Informationen aus und erstellt daraus kontinuierlich ein Lagebild, das wiederum der Allianz zur Verfügung gestellt wird. So kann die Allianz erstens von einem gesteigerten internen Know-how-Aufbau profitieren und sich auch ein Bild über die generelle Bedrohungslage machen.
Eines der häufigsten Ziele von staatlich motivierten Cyberangriffen sind Versorger-Unternehmen. Das bereits erwähnte spanische Unternehmen Iberdrola arbeitet in allen Ländern, in denen es tätig ist, eng mit den staatlichen Stellen für Cybersicherheit zusammen, um Informationen über Bedrohungen und bewährte Verfahren für die Cybersicherheit auszutauschen. Außerdem erhält der Versorger Mittel zur Verbesserung der Cybersicherheitskapazitäten in jenen Ländern, die dies auf diese Weise für Versorger vorsehen.
Welche Art von Angriffen auf Ihre digitale Sicherheit ist für Sie am gefährlichsten (Phishing, Social Engineering etc.) und wie schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter, um diese vor Attacken zu schützen?
Betrüger werden immer kreativer und innovativer, um ihre Ziele zu erreichen. So kann sich eine höchst professionelle E-Mail von einem vermeintlichen Kunden schnell als trojanisches Pferd entpuppen und die Sicherheitsumgebung des Unternehmens nachhaltig schädigen. Denn mit dem Öffnen der Verlinkungen ermöglicht man den Cyberkriminellen, schädliche Software auf den Computer zu laden. Genauso sind beim Social Engineering keine Grenzen gesetzt. Beispielsweise könnte der freundliche Jobbewerber, welcher nicht durch das Drehkreuz kommt, ein Betrüger mit dem konkreten Ziel sein, dem Unternehmen Passwörter zu stehlen.
Die Gefahr bei diesen Attacken ist, dass jeder Mitarbeiter bzw. jede Mitarbeiterin zur Sicherheitslücke werden kann, weswegen es unternehmensweiter Schulungen bedarf. Um ein breites Schulungsangebot zu bieten, müssen Unternehmen oft situationsindividuelle Lösungen finden.
Das Logistik- und Schifffahrtsunternehmen Hapag-Lloyd hat im Jahr 2021 ein User-Awareness-Programm zum Umgang mit Phishing-E-Mails eingeführt. Dieses Onlineprogramm ist aufgrund der schlechten Verbindungen auf hoher See technisch nicht immer nutzbar. Um dennoch eine kontinuierliche Weiterbildung der Mitarbeiter zu garantieren, übernehmen die Offiziere die Unterweisungen mithilfe von digitalen Schulungsdokumenten und Videos. Regelmäßige Meldungen von Auffälligkeiten durch die Crews zeigen dem Unternehmen, dass die Sensibilisierungsmaßnahmen funktionieren.
In Fragen der Phishingabwehr ist gut geschultes Personal essenziell, dieses kann vor allem sehr gut durch fortschrittliche Security-Systeme unterstützt werden. So setzt der Versorger Verbund auf technische Abwehrsysteme durch Anomalieerkennung und in weiterer Folge das Sperren verdächtiger E-Mail-Inhalte, die zuerst von der Security überprüft werden müssen.
Welchen Beitrag leistet Ihr Unternehmen zum SDG 16 (Ziel 16 für nachhaltige Entwicklung – Frieden, Gerechtigkeit und starke Institutionen)?
Frieden, Gerechtigkeit und starke Institutionen sind grundlegende Bausteine unserer modernen Gesellschaft, auch Unternehmen sind auf unterschiedlichste Weise mit dem SDG 16 konfrontiert.
Paketdienste werden oft von Kriminellen zur Abwicklung ihrer Geschäfte verwendet. Dessen ist sich auch die Österreichische Post AG bewusst und legt daher einen Schwerpunkt auf Sicherheit und Kriminalitätsprävention. Dazu gehören auch die gesteigerten Aktivitäten im Bereich der Bestechungs- und Korruptionsbekämpfung.
Durch die Post wird der öffentliche Zugang zu Informationen sichergestellt. Das ist nicht nur ein wichtiger Beitrag zur Sozialhygiene einzelner Staaten, sondern steht auch im Einklang mit nationalen Rechtsvorschriften und völkerrechtlichen Übereinkünften.
Das Telekommunikationsunternehmen A1 Telekom hat Produkte für Gehörlose und stark Sehbeeinträchtigte auf den Markt gebracht. Bei diesen Produkten wird die allerneueste Technologie eingesetzt, und sie sollen einen Beitrag dazu leisten, die Chancengleichheit zu steigern und einen gerechten Zugang zu moderner Kommunikation zu ermöglichen.
Herbert Perus
Fondsmanagement/Corporate Responsibility, Raiffeisen Kapitalanlage GmbH