Thought Leadership

Image
Ulf Camehn
Cybercrime & Co: Gegenfinanzierung statt Angreifbarkeit!

Von DC Mitglied Ulf Camehn*

Hackerangriff gibt Traditionsunternehmen den Rest

Die Schumag AG, Stahl-Präzisionshersteller und Traditionsunternehmen, wurde lt. einem Bericht von t-online vom 11.10.2024 im laufenden Restrukturierungsverfahren durch eine Cyberattacke endgültig zu Fall gebracht. Der aktuelle Fall zeigt leider wiederholt, dass Unternehmen nachhaltig mehr in die Resilienz Ihrer IT-Security und IT-Sicherheit investieren müssen. Und das on top zu den ohnehin schon hohen regulatorischen Hürden.

Cyberangriff und Managerhaftung

Angelehnt an den o. g. Fall beschreibt Prof. Dr. Daniel Graewe in seinem LinkedIn-Post "Cyberangriff und Managerhaftung: the evil twins" insbesondere die Verantwortung zur Vorsorge von Organträgern (§ 1 StaRUG, § 43 GmbHG, § 93 AktG etc.). Darüber hinaus Maßnahmen zur Abhilfe und Haftungsbeschränkung. Entsprechend belasten auch Managerhaftpflichtversicherungen (D&O), Spezial Strafrechtsschutzpolicen und Cyber-Versicherungen das Unternehmensergebnis und die Liquidität.

 Gegenfinanzierung vor Angreifbarkeit

In einer zunehmend regulierten Unternehmenslandschaft fällt es vielen Unternehmen schwer, den Überblick über die Vielzahl an Anforderungen zu behalten. 

Mit Regularien wie der DSGVO (Datenschutz-Grundverordnung), Vorgaben aus der CSRD (EU-Richtlinie zur Unternehmens-Nachhaltigkeitsberichterstattung), dem Lieferkettensorgfaltspflichtengesetz (LkSG), dem Hinweisgeberschutzgesetz (HinSchG) und dem Aufbau eines adäquaten Risikomanagementsystems sehen sich Unternehmen mit einer Flut von Compliance-Auflagen konfrontiert. 

Darüber hinaus gilt es auch, die Vorschriften zur Arbeitssicherheit, Arbeitsmedizin (Angebots- und Pflichtuntersuchungen), Brandschutz, Ersthelfer-Ausbildungen sowie umfangreiche Betreiber- und Unternehmerpflichten nachhaltig organisatorisch und prozessual im Unternehmen zu verankern. Doch abseits dieser regulatorischen Herausforderungen – die Aufzählung ist keineswegs abschließend – lauert eine noch weitere, unmittelbarere Bedrohung: Cyberangriffe.

Cybersecurity kein „nice to have"

Cyber- und Informationssicherheit sind mittlerweile eine unabdingbare Notwendigkeit, um in der heutigen digitalen Welt bestehen zu können. Tatsächlich kann die Vernachlässigung von Sicherheitsmaßnahmen die Existenz eines Unternehmens gefährden. So verursacht ein Cyberangriff nicht nur direkte Schäden wie Datendiebstahl, Produktionsausfälle oder eingeschränkte Dienstleistungen, sondern auch indirekte Kosten durch Imageschäden und Vertrauensverlust bei Kunden und Partnern.

Die Kosten eines Cyberangriffs

Die finanziellen Auswirkungen eines Cyberangriffs sind zunehmend verheerend. Laut dem Forschungsbericht "Kosten und Schäden durch Cyber-Kriminalität in Deutschland" (Stand August 2023 & redaktionelle Überarbeitung im März 2024) können die Kosten im Jahr 2022 – für Privatpersonen und Unternehmen – auf mindestens 3,1 - 3,7 Mrd. Euro geschätzt werden.

Laut dem "Cost of a Data Breach Report 2024" von IBM beträgt allein der durchschnittliche finanzielle Schaden eines Datenlecks mittlerweile mehrere Millionen Euro. Diese Summen umfassen nicht nur die unmittelbaren Kosten für IT-Sicherheitsexperten und Systemwiederherstellungen, sondern auch langanhaltende Verluste durch Produktionsausfälle, Vertragsstrafen und Bußgelder. Unternehmen, die bereits durch den enormen Compliance-Aufwand belastet sind, haben oft nicht die Kapazitäten, sich auch noch um umfassende Cybersecurity-Lösungen zu kümmern. Doch genau hier liegt das Problem.

Liquiditätsabfluss und Ablenkung vom Kerngeschäft

Je mehr Ressourcen Unternehmen in das Einhalten gesetzlicher Anforderungen und den Schutz vor Cyberbedrohungen investieren müssen, desto mehr werden sie von ihrem eigentlichen Kerngeschäft abgelenkt. Statt sich auf die Herstellung ihrer Produkte oder die Erbringung von Dienstleistungen konzentrieren zu können, verbringen sie immer mehr Zeit und Geld mit der Erfüllung externer Vorgaben und der Abwehr von Cyberrisiken. 

Diese Ablenkung wird auf Dauer zur Belastung – nicht nur in Bezug auf Zeit, sondern vor allem auch finanziell. Wenn Unternehmen gezwungen sind, große Teile ihrer Ressourcen und Liquidität in Sicherheit und Compliance zu investieren, verlieren sie Spielraum für Innovationen, Expansion oder andere strategische Maßnahmen.

Nicht lamentieren – handeln!

Es ist verständlich, dass Unternehmen angesichts der wachsenden Anforderungen das Gefühl haben, nur noch reaktiv unterwegs zu sein. Allerdings wäre es fatal, diese Herausforderungen zu ignorieren. Stattdessen ist es ratsam, proaktiv zu handeln und die steigenden Anforderungen als Anlass zu nehmen, eine solide Basis zu schaffen. Gibt es doch viele Maßnahmen, die Unternehmen ergreifen können, um sich sowohl vor den rechtlichen als auch vor den digitalen Bedrohungen zu schützen. 

Gegenfinanzierung als Lösung

Statt sich in einem endlosen Kreislauf aus Lamentieren und Krisenbewältigung zu verlieren, sollten Unternehmen Wege suchen, wie sie die finanziellen Belastungen aus Cybersecurity und Compliance gegenfinanzieren. 

Das Problem ist doch, dass dem Fixkostenblock aus Compliance-Abteilung (mit Ausnahme einer leistungsfähigen Revision und einem strategisch gut gespielten Nachhaltigkeitsmanagement), zahlreichen Dienstleistern, Hostingkosten, Schulungsaufwendungen etc. keinerlei Wertschöpfung gegenübersteht. Im Gegenteil: Die Unternehmen produzieren gezwungenermaßen Leerkosten – mit steigender Tendenz. 

Die in den letzten Jahren ausgeuferte Regulatorik – einhergehend mit der wachsenden Bedrohung im virtuellen Raum  – gab es früher so nicht. Da davon auszugehen ist, dass die Belastungen weiter steigen, hat sich dieser "neue" Fixkostenblock in der Gewinn- und Verlustrechnung etabliert. 

Abseits der klassischen Kostensenkungsthemen ist insbesondere der Mittelstand mit seinen Familienunternehmen gut beraten, die über die Jahre angewachsenen "Komfortpositionen" in Frage zu stellen. Damit meine ich ausgeuferte Organigramme, z. B. mit einer Vielzahl an Stabs- und Assistenzstellen. Streichen, reduzieren und zusammenlegen sind diesbezüglich probate Mittel – Stichwort Leistungsverdichtung. 

Analog dazu die gleiche Thematik bei den Sachkosten, z. B. bei der Dienstwagenberechtigung: Solange Ehepartnern von Organmitgliedern Dienstwagen zustehen und der Ehefrau die Tankkarte in den Urlaub nachgeschickt wird, ist definitiv noch Luft nach oben. Das waren lediglich zwei Beispiele, die sich über Jahre entwickelt haben. In Dekaden, als die Flut noch alle Boote gehoben hat. 

Was ich damit sagen möchte: Gesellschafter und Geschäftsführer sollten Ihre Organisation auf das Verhältnis produktiver zu unproduktiver Mitarbeiter (oder direkter vs. indirekter Bereich) unter die Lupe nehmen, Komfortzonen aufbrechen und ihre Struktur sukzessive auf "Werkseinstellung" zurücksetzen.

Fazit: Sicherheit durch proaktive Maßnahmen

Unternehmen stehen heute vor der doppelten Herausforderung, gesetzliche Regularien einzuhalten und sich vor Cyberangriffen zu schützen. Wer jedoch diese Themen vernachlässigt, läuft Gefahr, nicht nur seine Liquidität, sondern auch seine Existenz zu riskieren. Es ist daher entscheidend, nicht in Resignation zu verfallen, sondern aktiv in die Zukunft des Unternehmens zu investieren. Gegenfinanzierung statt Angreifbarkeit sollte das Leitmotiv sein – denn nur wer heute klug handelt, bleibt morgen handlungsfähig.

 

* Ulf Camehn gehört zu den etabliertesten Interim Managern im deutschsprachigen Raum. Er ist spezialisiert auf C-Level-Vakanzen (CFO/CRO), die Übernahme von Personalleitungen, Re-Organisationen im HR-Bereich und auf anspruchsvolles, spartenübergreifendes Projektmanagement (z. B. ESG-Implementation). Im Jahr 2021 wurde er in einer Beilage des manager magazins als TOP INTERIM MANAGER in der D-A-CH-Region aufgeführt. In der Kategorie ESG gewann Ulf Camehn den Wettbewerb zum „Expert of the Year 2024 - Interim Management“, verliehen durch die Steinbeis Augsburg Business School und United Interim. Für zwei außerordentliche Fachbeiträge in der Buchreihe „Von Interim Managern lernen“ wurde er durch das Diplomatic Council mit dem Quality Writers Award ausgezeichnet.