Frankfurter Allgemeine Zeitung | Besprechung von 07.02.2022

Chefsache Cyberresilienz
Zwei Bücher zum Stärken der Abwehr

Cybersicherheit ist zu einer der größten Herausforderungen für die vernetzte Welt geworden. Erst jüngst rief das Bundesamt für Sicherheit und Informationstechnik (BSI) "Warnstufe Rot" aus. Es reift die Erkenntnis, dass Cyberresilienz, Datenschutz und Sicherung der IT-Infrastruktur längst nicht mehr nur als technische Spezialthemen für Datenschutzbeauftragte und IT-Leiter betrachtet werden dürfen. Für Unternehmen resultieren aus den Hackerangriffen zwei Gefahren: teure Betriebsunterbrechungen und erhebliche Haftungsrisiken für das Führungspersonal. Für Unternehmen ist es ein Gebot der Sorgfaltspflicht, alles dafür zu tun, die Cyberresilienz technisch und organisatorisch zu stärken und dabei stets rechtskonform zu handeln. Die vorliegenden beiden praxisorientierten Schriften aus einem Verlag ermöglichen den Zugang zu dem komplexen Thema, das aus technischer und auch juristischer Sicht ein Minenfeld darstellt.

Das von der Bilanzexpertin Carola Rinker herausgegebene Sammelwerk wird etwas vollmundig als Praxisleitfaden für optimiertes IT-Risikomanagement angekündigt. Es ist bei näherer Betrachtung eher ein interessantes Lesebuch mit fünf recht ausführlichen Beiträgen von spezialisierten Wirtschaftsberatern zu bisher in der Fachliteratur eher wenig behandelten Facetten des Themenkomplexes. Man darf den Autoren attestieren, dass sie tief in die Thematik eingestiegen sind. Bedauerlich ist jedoch, dass sich dabei Redundanzen und auch Ausflüge in theoretische Grundlagen und langatmige Begriffsdefinitionen eingeschlichen haben. Eine Straffung durch Herausgeberin und Lektorat hätten dem Buch gutgetan. Dem Leser sei daher eine Lektüre nach dem Prinzip des Rosinenpickens empfohlen, denn Rosinen gibt es tatsächlich zu entdecken.

Der erste Beitrag ist eine lehrbuchhafte Darstellung des Aufbaus eines IT-Risikomanagementsystems in der Praxis und der dabei anstehenden Arbeitspakete. Der zweite Beitrag widmet sich der Identifikation, Bewertung und Beurteilung von Cyber-Risiken und geht auch auf die für Kapitalgesellschaften dringend gebotene Berichterstattung über Cyber-Risiken ein. Der dritte Beitrag behandelt Cyber-Risiken, die sich durch die immer weiter voranschreitende unternehmensübergreifende Vernetzung ergeben. Der vierte Beitrag geht kenntnisreich auf die Entwicklung und Auswahl von Sicherheitskontrollen ein und bewertet die in diesem Zusammenhang relevanten Auditberichte, Zertifikate und Testate, die hilfreich sind, aber natürlich keinen ultimativen Schutz gegen Cyberattacken bieten können. Der Autor gibt zudem einen interessanten Ausblick auf rechtliche Entwicklungen in der Cybersicherheit. Der fünfte leider zu deskriptive Beitrag, der von der Herausgeberin verfasst wurde, enthält eine statistische Auswertung der Darstellung der Cyber-Risiken in den Geschäftsberichten deutscher börsennotierter Unternehmen. Es wird deutlich, dass hier weiterer Handlungsbedarf besteht. Man hätte gerne noch mehr darüber erfahren, was aus der Sicht der Autorin eine gute Berichterstattung ausmacht.

Das nunmehr in der zweiten Auflage erschienene umfangreiche Handbuch Datenschutz und IT-Sicherheit, an dem unter der Ägide von Uwe Schläger und Jan-Christoph Thode zahlreiche Experten mitgewirkt haben, verbindet die juristischen und die technischen Aspekte des Datenschutzes und der IT-Sicherheit miteinander. Die steigende Zahl von Cybervorfällen und der lasche Umgang mit sensitiven (personenbezogenen) Daten haben den Gesetzgeber auf den Plan gerufen. So wurden seit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 die regulatorischen Daumenschrauben immer mehr angezogen. Dies zeigt sich an deutlich erhöhten Bußgeldern, die von Datenschutz-Aufsichtsbehörden schon mehrfach verhängt wurden. Mit der DSGVO und dem neuen Bundesdatenschutzgesetz wurde der Datenschutz auf völlig neue Grundlagen gestellt. Im ersten Teil der umfangreichen Schrift geht es vor allem um die gesetzeskonforme Sorgfalt beim Umgang mit personenbezogenen Mitarbeiter- und Kundendaten. Im zweiten Teil werden die rechtlichen Grundlagen der IT-Sicherheit und technisch-organisatorische Maßnahmen, die im Kampf gegen Sicherheitsvorfälle wichtig sind, behandelt. Die überarbeitete und erweiterte zweite Auflage des Handbuchs hat die Entwicklungen der letzten drei Jahre gut eingearbeitet. So werden sowohl neue Gerichtsurteile zum Datenschutz als auch Ansätze der IT-Sicherheit behandelt, die sich herauskristallisiert und bewährt haben. Letztere verdienen im aktuellen Bedrohungsumfeld besondere Beachtung. Insgesamt liegt ein wertvolles Nachschlagwerk für die Praxis vor, das klarmacht: Cyberresilienz ist heute Chefsache! Warnungen hat es genug gegeben.

Die Lektüre der beiden verwandten Schriften weist zwar nicht den Königsweg zur Immunität gegen Angriffe aus dem Netz, sie zeigt jedoch Ansatzpunkte für den Aufbau einer gestärkten Defensive auf. Hierzu bedarf es einer konzertierten Aktion von Unternehmensleitung, IT-Experten, Juristen, Abschlussprüfern und vor allem auch der Mitarbeiter. ROBERT FIETEN

Carola Rinker (Hrsg.): Cyber Security in der Risikoberichterstattung. Praxisleitfaden für optimiertes IT-Risikomanagement. Erich Schmidt Verlag, Berlin 2021, 224 Seiten, 40 Euro.

Uwe Schläger, Jan-Christoph Thode (Hrsg.): Handbuch Datenschutz und IT- Sicherheit. 2., neu bearbeitete und erweiterte Auflage. Erich Schmidt Verlag, Berlin 2022, 732 Seiten, 98 Euro.

Alle Rechte vorbehalten. © F.A.Z. GmbH, Frankfurt am Main…mehr