WIRTSCHAFTSSCHUTZ GEHT UNS ALLE AN! – TEIL 1

Wir verwenden den in Deutschland etablierten Fachbegriff ganz bewusst, weil übergreifende Sicherheitsthemen aus den Cyber- und physischen Dimensionen verbunden und über einen Zeitraum betrachtet werden. Wie ist das mit den Dimensionen zu verstehen? Der erste Angriff auf ein Unternehmen oder eine Organisation findet in der Cyber-Dimension statt. Die Auswirkungen hingegen finden in physischen Dimensionen mit leichten bis schweren Folgen auf ökonomische und soziale Dimensionen statt. Ein Beispiel dafür liefert die amerikanische Bundesbehörde F.B.I.[1]: So sind Überfälle auf Bankfilialen über einen Zeitraum von 14 Jahren von 6.530 (im Jahr 2003) auf 2.707 (im Jahr 2018) zurückgegangen. Gemäß einem Arbeitspapier des Internationalen Währungsfonds[2] finden Cyber-Angriffe auf Zentralbanken seit 2010 statt, Cyber-Angriffe auf Crypto-Währungs-Börsen seit 2013 und Cyber-Angriffe auf elektronische Zahlungssysteme (SWIFT) seit ca. 2015 statt. Auch bei Banküberfällen ist somit der Trend zur Digitalisierung zu erkennen!

Wirtschaftsprüfer und Berater beschäftigen sich mit der Identifizierung von Risiken und leiten Empfehlungen zur Vermeidung, Milderung oder Überwälzung ab. In den letzten Jahren wurde dem „Reputationsrisiko“ eine immer höhere Gewichtung zugeteilt, da es sich mittelbar auf Stakeholder[3], unmittelbar auf die Kreditwürdigkeit[4] bzw. den Aktienkurs bei börsennotierten Unternehmen auswirkt. Reputation kann mit der Integrität von handelnden Personen (z.B. Geschäftsführer, Mitarbeiter, Kunden) und von verbundenen Unternehmen (z.B. Geschäftspartnern, Subdienstleister, Fremdkapitalgebern) evaluiert werden. Mangelnde Integrität wie negative Medienberichte, Betrugsvorwürfe, Geldwäsche, Korruption, Datenlecks von Kundendaten, Zahlungsprobleme oder egozentrisch-politische Verflechtungen schaden bekannter Weise der Reputation. Die Integrität einer Person oder eines Unternehmens kann über Kontrollhandlungen (z.B. „Integrity Due Diligence“, „Business Partner Management“) überprüft und mit entsprechenden Empfehlungen zur Risikobehandlung vom Kunden umgesetzt werden.

Wirtschaftsschutz bringt die klassische Stakeholder-Sichtweise in Einklang mit Cyber- und physischen Dimensionen. Können wir im Zeitalter totaler Massenüberwachung, staatlich-sanktionierter Hacker-Gruppierungen und „kritischer Schwachstellen in kritischer Infrastruktur“ unsere wirtschaftlichen Interessen überhaupt noch adäquat schützen? Die Antwort darauf muss „Ja!“ lauten, denn jede andere Antwort wäre fahrlässig.

Wirtschaftsschutz kann als interne Stabstelle oder extern über Co-/Out-Sourcing mit dem Vorstand bzw. Management, der IT- und Rechtsabteilung interagieren. Eine ähnliche Vorgehensweise gibt es bereits im Bereich der Internen Revision, wo mit externer Unterstützung beispielsweise die Geschäftsprozesse einer Organisation mit Daten-Analyse durchleuchtet werden. Wirtschaftsschutz kann also durch kontinuierliche Überwachung im Sinne eines Risiko-Monitorings, somit in Folge einer stetigen Reduktion von Reputationsrisiken sowie letztendlich der Abwälzung von ökonomischen, rechtlichen und sozialen Folgeschäden unterstützen. 

Im nächsten Beitrag beleuchten wir mit aktuellen Beispielen aus der Praxis, wie etwa Hacker-Angriffe auf eine Organisation minimiert werden können bzw. wie hier im Wirtschaftsschutz mehrere Fachthemen (z.B. IT-Forensik, IT-Sicherheit, Recht, etc.) kombiniert werden.

[1] https://www.fbi.gov/file-repository/bank-crime-statistics-2018.pdf/view

[2] https://www.imf.org/~/media/Files/Publications/WP/2018/wp18143.ashx

[3] Im „Stakeholder-Ansatz“ werden die Interessen der internen Anteilseigner genauso berücksichtigt, wie die externen Interessen von Fremdkapitalgebern, Mitarbeitern, Kunden, Lieferanten, Medien, Aufsichtsbehörden, u.v.a.

[4] Siehe „Image und Reputation – Werttreiber für das Management“ – https://link.springer.com/chapter/10.1007%2F978-3-8349-9164-5_11