Die Fondsbranche hat ihren Mitgliedern Cyberschutz empfohlen. Der Rat, sich mit "speziellen Cyber-Versicherungen" zu beschäftigen, findet sich im aktuellen "BVI-Leitfaden für Cybersicherheit". Die Broschüre hat der Frankfurter Bundesverband Investment und Asset Management (BVI) herausgegeben.
"Egal, wie viel Sie in die Cyber-Widerstandsfähigkeit Ihres Unternehmens investieren, Cyber-Angriffe werden vorkommen", warnt der BVI. Wichtig sei es daher für die Kapitalverwaltungsgesellschaften die Netzwerkaktivitäten so umfassend zu überwachen, dass Angriffe frühzeitig erkannt werden. Nach Erkenntnis des BVI würden Fondsgesellschaften über Cyber-Versicherungen einen Zugang zu Expertenwissen erhalten, der "innerhalb des eigenen Unternehmens möglicherweise nicht vorhanden ist".
Eindringliche Warnung, mehr für die Cyber-Sicherheit zu tun
Der Fondsverband verweist darauf, das Cyber-Policen nicht nur Schutz bieten würden, sondern es auch eine "professionelle Soforthilfe" gebe. Versicherte Unternehmen hätten so Zugang zu Cyber-Forensik-Forschern, spezialisierten Rechtsberatern und PR- und Kommunikationsfachleuten. Über weite Strecken liest sich der BVI-Leitfaden als eindringliche Warnung des Verbandes, mehr für Cyber-Sicherheit zu tun. Unter anderem wird angeregt, auf einer gemeinsamen Plattform eine Art Frühwarnsystem einzurichten. Die Plattform könnte allen Branchenteilnehmern aktuelle Informationen zur Bedrohungslage der IT-Sicherheit durch Cyber-Angriffe, aktuell erkannten Schwachstellen in Software oder Sicherheitslücken von Hardwaresystemen liefern.
Anscheinend soll der Verband als Clearingstelle fungieren, damit mögliche Cyber-Pannen und Cyber-Angriffe nicht einem Unternehmen zugeordnet werden können und trotzdem alle die Gefahren erkennen können. Wörtlich heißt es: "Der BVI könnte die eingelieferten Daten sammeln und sie in aufbereiteter Form zur Verfügung stellen."
Besteht hohes Reputationsrisiko
Gleichzeitig erläutert die Lobby der Fondsverwalter ausführlich, wann es für Cyber-Vorfälle nach der Datenschutzgrundverordnung eine Meldepflicht gibt. Sie wäre gegenüber dem bisherigen Bundesdatenschutzgesetz (BDSG) reduziert. So müsste eine Cyber-Panne beispielsweise nicht gemeldet werden, wenn die persönlichen Daten verschlüsselt waren. Hohe Cyber-Sicherheit ist nach Ansicht des BVI für seine Mitgliedsunternehmen auch deshalb wichtig, weil alle Angriffe ein erhebliches Reputationsrisiko bergen würden. Cyber-Sicherheit spiele auch im "Anlageuniversum" der Unternehmen eine wichtige Rolle, denn durch Datendiebstahl oder -missbrauch, der öffentlich wird, könnte der Aktienkurs von Unternehmen dauerhaft gefährdet werden.
Eine Studie von Oxford Economics bestätige, dass Cyber-Angriffe den Aktienkurs eines Unternehmens beeinflussen können. Laut BVI wurden der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) seit 2017 mehr als 400 so genannte Sicherheitsvorfälle von beaufsichtigten Unternehmen gemeldet. Aktuell hat die Deutsche Bank laut der "Süddeutschen Zeitung" eine Panne bei Großzahlern an die Bafin gemeldet.
Praktische Hilfe bei Mitarbeiterschulung
Sehr viel praktische Hilfe gibt der BVI-Leitfaden in Sachen Mitarbeiterschulung. Das Sprichwort, dass ein Unternehmen nur so gut ist wie seine Mitarbeiter, gelte insbesondere für die Cyber-Sicherheit. Gefordert wird daher der Aufbau einer Kultur des Sicherheitsbewusstseins "aus der Chefetage". "Das Ziel muss es sein, informierte Nutzer zu schaffen, die sich der Risiken bewusst sind, Klarheit darüber haben, was von ihnen erwartet wird, und über die Instrumente verfügen, die sie dazu benötigen."
Es sei wichtig, die Botschaften einfach und leicht verständlich zu halten und sie durch persönliche Lebensbeispiele real und relevant erscheinen zu lassen. So sollen die Mitarbeiter etwa mit folgender Frage sensibilisiert werden: "Würden Sie Ihr Online-Banking-Passwort für mehr Cybersicherheit mit einem Bekannten teilen?" Nach "internen Phishing-Tests" rät der BVI zur Einführung einer "Hall of Fame" für Mitarbeiter, die bei der Identifizierung und Meldung von Phishing-E-Mails besonders geholfen hätten.
Autor(en): Uwe Schmidt-Kasparek
