Management von Cyber-Risiken: Die Rolle der Innenrevision

June 28, 2023

Doron Rozenblum, geschäftsführender Partner bei Kreston-Ezra Yehuda-Rozenblum, wurde kürzlich in Accounting Today vorgestellt und teilte seine Erkenntnisse darüber, warum die Innenrevision der Schlüssel zum Cyber-Risikomanagement ist. Cybervorfälle, wie IT-Ausfälle, Datenschutzverletzungen und Ransomware-Angriffe, stellen das größte globale Risiko dar. Datenschutzverletzungen sind für Unternehmen besonders besorgniserregend, da die Kosten im Jahr 2022 ein Rekordhoch von 4,4 Millionen Dollar erreichen und im Jahr 2023 voraussichtlich 5 Millionen Dollar übersteigen werden. Weitere wichtige Risiken sind Ransomware-Angriffe und Ausfälle in digitalen Lieferketten oder Cloud-Diensten. Cyber-Vektoren, einschließlich krimineller Angriffe, menschlicher Fehler und technischer Pannen, können schwere Störungen in Unternehmen verursachen. Hacker haben es inzwischen sowohl auf digitale als auch auf physische Lieferketten abgesehen und stellen eine größere Bedrohung für kleine und mittelständische Unternehmen dar, während große Unternehmen mehr in die Cybersicherheit investieren.

Die sich entwickelnde Landschaft der Cyberrisiken: Bedrohungen und Trends

In der digitalen Landschaft ist jedes Unternehmen, unabhängig von seiner Größe, anfällig für Sicherheitsverletzungen, die den Betrieb, den Ruf, die Marke und den Umsatz gefährden können. Die Cyber-Risikolandschaft im Jahr 2023 ist vielfältig und entwickelt sich ständig weiter, wobei die Kosten für Cyberkriminalität bis 2023 auf 8 Billionen Dollar und bis 2025 auf 10,5 Billionen Dollar steigen sollen.

Ransomware-Angriffe, insbesondere durch Phishing, stellen sowohl im öffentlichen als auch im privaten Sektor die größte Gefahr dar. Diese Angriffe nehmen nicht nur zahlenmäßig zu, sondern auch hinsichtlich der finanziellen und rufschädigenden Kosten. Beim Phishing verleiten Hacker Einzelpersonen dazu, wertvolle Daten weiterzugeben oder Malware über betrügerische E-Mails zu verbreiten, wobei sie sich häufig als hochrangige Personen oder vertrauenswürdige Institutionen ausgeben. Business Email Compromise (BEC) ist ein weiteres ernstes Problem, das oft mit Phishing in Verbindung gebracht wird. Die Angreifer nutzen nicht nur E-Mail-Tools für die Zusammenarbeit, sondern auch Chat- und mobile Messaging-Anwendungen, um ihre Angriffe auszuführen. Hacker missbrauchen die Marke Microsoft häufig für Phishing-Angriffe, und Angriffe auf die Markenidentität sind aufgrund schlechter Sicherheitsgewohnheiten und mangelnder Kenntnisse der Benutzer besorgniserregend.

Betrügereien, insbesondere Identitätsdiebstahl, nehmen in dem Maße zu, in dem immer mehr Menschen Online-Banking und -Einkäufe tätigen. Im Jahr 2022 meldeten die Verbraucher, dass sie fast 9 Milliarden Dollar durch Betrug verloren haben, was einem Anstieg von 30 % gegenüber dem Vorjahr entspricht, wobei eine beträchtliche Zahl von Identitätsdiebstählen gemeldet wurde.

Stärkung des Cyber-Risikomanagements: Strategien für die Innenrevision

Unternehmen sind aufgrund ihrer Größe, Komplexität und Vernetzung besonders anfällig für Cyberrisiken. Die Nutzung von Cloud-Diensten und des Internets der Dinge (IoT) schafft neue Angriffsvektoren, die schwer zu sichern sind. Robuste Strategien für das Cyber-Risikomanagement, die alle Beteiligten einbeziehen, sind für die Bewältigung dieser Risiken entscheidend.

Künstliche Intelligenz (KI) birgt zwar Potenzial, kann aber auch eine Bedrohung darstellen. Bei der Implementierung von KI-Systemen und -Plattformen ist Vorsicht geboten, da die Gefahr besteht, dass ungenaue Annahmen getroffen und Schlussfolgerungen aus unzuverlässigen Quellen gezogen werden.

Die Innenrevision hat sich zu einem wichtigen Instrument zur Abwehr von Cyberrisiken entwickelt. Sie geht über den Finanzbereich hinaus und umfasst auch die Cybersicherheit. Für eine wirksame Prüfung von Cyber-Risiken muss die Innenrevision die neuesten Bedrohungen verstehen, die IT-Umgebung und den Cybersicherheitsrahmen des Unternehmens kennen, über Fachwissen in den Bereichen Risikomanagement und Datenanalyse verfügen und mit der IT-Abteilung, dem Risikomanagement und den Compliance-Funktionen zusammenarbeiten.

Ein risikobasierter Ansatz ist für eine solide interne Prüfung von Cyberrisiken erforderlich. Kritische Anlagen und Systeme müssen identifiziert und geschützt werden, bestehende Kontrollen sollten bewertet und verbesserungsbedürftige Bereiche ermittelt werden. Das Cyber-Risikomanagement sollte in die Gesamtstrategie des Unternehmens für das Risikomanagement integriert werden, und der Vorstand und die Geschäftsleitung sollten regelmäßig über das Cyber-Risikoprofil und neue Bedrohungen informiert werden. Das Management der Lieferkette ist ein weiterer kritischer Bereich, der eine Bewertung der Cybersicherheitspraktiken von Anbietern und Zulieferern erfordert.

Zusammenfassend lässt sich sagen, dass Cyber-Risiken eine wachsende Bedrohung für Organisationen darstellen und die Innenrevision eine wichtige Rolle bei der Bewältigung dieser Risiken spielt. Die Bewertung der Risikolandschaft, die Überprüfung der internen Kontrollen und der Einsatz von Datenanalysetools sind für ein effektives Management von entscheidender Bedeutung. Durch einen kooperativen und risikobasierten Ansatz kann die Innenrevision Unternehmen dabei helfen, sich in der komplexen und sich weiterentwickelnden Landschaft der Cyberrisiken zurechtzufinden.

Für weitere Informationen klicken Sie bitte hier.