Cyber-Sicherheit aus Accounting-Sicht
Cyber-Sicherheit aus Accounting-Sicht
Hat auch jemand an die Finanzberichterstattung gedacht?
Die digitale Transformation ist unstrittig einer der großen Megatrends der Gegenwart. Sie bietet sowohl im privaten, aber vor allem auch beruflichen Kontext immense Vorteile – kann jedoch auch gleichzeitig große Risiken für die Datensicherheit bergen. Immer dann, wenn Unternehmen nicht ausreichende und/oder wirksame Schutzvorkehrungen getroffen haben, kann die Digitalisierung – neben gestiegener Effizienz und Flexibilität in den Betriebsabläufen – auch schnell zum Einfallstor für Cyber-Angriffe werden. Die Motivation für solche Handlungen ist vielfältig und reicht von persönlichen über rein kriminelle bis hin zu politischen Beweggründen.Für betroffene Unternehmen können Cyber-Attacken weitreichende Eigen- und Fremdschäden bedeuten. Welche Ausmaße es annehmen kann, wenn Cyber-Kriminelle sich beispielsweise Zugang zu medizinischen Geräten eines Krankenhauses verschaffen, haben wir in einem anderen Beitrag dieser Magazinausgabe bereits anschaulich beschrieben. Aber was ist eigentlich mit der Finanzberichterstattung von Unternehmen oder den zuvor beschriebenen Krankenhäusern – wie werden Ausgaben für Cyber-Sicherheit und vor allem Risiken sowie Schäden aus Cyber-Angriffen bilanziell abgebildet bzw. berichtet (nach IFRS und HGB)?
Implikationen für die Finanzberichterstattung vor einem Cyber-Angriff
Geeignete Schutzmaßnahmen für Cyber-Sicherheit können in Abhängigkeit von der Ausgangssituation kostspielig sein und umfassen nicht nur Risikoanalysen, das Nachrüsten der unternehmenseigenen Systemlandschaft oder die Implementierung eines Informationssicherheitsmanagementsystems, sondern auch die Sensibilisierung der Belegschaft sowie Einstellung bzw. Beauftragung von Spezialistinnen und Spezialisten für das Thema. Während Ausgaben für Schulungsmaßnahmen, interne Personaleinstellungen und/oder Beauftragungen von externen Spezialistinnen und Spezialisten periodengerecht als (Personal-)Aufwand erfasst werden, besteht Aktivierungspotenzial für Ausgaben der Informationstechnologie.Entgeltlich erworbene Software für Cyber-Sicherheit erfüllt regelmäßig die Ansatzkriterien für einen immateriellen Vermögenswert bzw. Vermögensgegenstand. Entwicklungskosten für selbst geschaffene Cyber-Sicherheitssoftware sowie Weiterentwicklungen von bestehenden Applikationen können unter bestimmten Voraussetzungen ebenfalls aktiviert werden. Hierüber ist in der Bilanz sowie im Anhang zu berichten.
Auch wenn ausreichende Maßnahmen zur Cyber-Resilienz, d. h. Prävention von Cyber-Angriffen sowie Widerstandsfähigkeit für den Ernstfall, im Unternehmen implementiert wurden, verbleibt immer ein Restrisiko. Nicht alle Szenarien oder etwaige Sicherheitslücken können antizipiert werden, insbesondere wenn das Vorgehen und die Techniken von Cyber-Kriminellen sich schneller weiterentwickeln als die eigenen Schutzmaßnahmen. Sofern Unternehmen zunehmend einzelne Applikationen oder sogar ganze Bereiche der kritischen Infrastruktur nicht mehr auf eigenen Servern betreiben (on-premise), sondern Cloud-Dienste in Anspruch nehmen oder umfangreiches Outsourcing betreiben (z. B. Software as a Service, Platform as a Service, Infrastructure as a Service), können sich hieraus weitere Sicherheitsrisiken aufseiten des IT-Dienstleisters ergeben.
Des Weiteren verbleibt immer ein Restrisiko durch die handelnden Personen im Unternehmen, wenn beispielsweise Mitarbeiterinnen und Mitarbeiter in der Hektik des Arbeitsalltags eine eingehende Spam-Mail nicht richtig deuten und schädliche Anhänge öffnen oder sich mit unternehmenseigener Hardware, außerhalb der klassischen Büroräume, in unsichere Netzwerke einwählen.
Diese (Rest-)Risiken gilt es laufend zu identifizieren und zu beurteilen. Hierüber ist neben einer Erläuterung der getroffenen Schutzmaßnahmen im Chancen-Risiken-Bericht innerhalb des Lageberichts zu berichten. Für einige Branchen bestehen weitere (Mindest-)Anforderungen an das Risikomanagement und die Berichterstattung (z.B. Kreditinstitute). Wirft man einen Blick in die Jahresabschlüsse von DAX-Unternehmen, fällt schnell auf, dass über das Thema mit unterschiedlicher Intensität berichtet wird. Die im vergangenen Jahr in Kraft getretene EU-weite Gesetzgebung zur Cyber-Sicherheit (NIS2-Richtlinie) verpflichtet Unternehmen zu Maßnahmen der Resilienz. Damit steigt auch die Relevanz für effiziente Notfallbewältigung und die Einführung eines sogenannten Business Continuity Managements.1 Konkrete Vorgaben zur Offenlegung von Mindestinformationen im Umgang mit Cyber-Risiken bestehen damit (noch) nicht. Die US-amerikanische Wertpapier- und Börsenaufsichtsbehörde SEC hat das Thema bereits weiter in den Fokus gerückt und ebenfalls im vergangenen Jahr erste Vorschriften zur Verbesserung und Standardisierung der Offenlegung von Informationen zum Risikomanagement, zur Strategie, Governance und zu Vorfällen im Bereich der Cyber-Sicherheit durch börsennotierte Unternehmen erlassen, die den Meldevorschriften des Securities Exchange Act von 1934 unterliegen.2
Implikationen für die Finanzberichterstattung nach einem Cyber-Angriff
Viele Cyber-Angriffe fallen in die Kategorie der sogenannten Ransomware-Angriffe, wobei Cyber-Kriminelle ausgewählte Unternehmensdaten mittels Schadprogrammen verschlüsseln und damit den Zugriff blockieren. Die Herausgabe bzw. Entschlüsselung der Daten ist dabei an eine Lösegeldforderung (ransom) gekoppelt. Kommt das Unternehmen der Lösegeldforderung nicht (zeitnah) nach oder kann es die Daten mithilfe von Expertinnen oder Experten wieder zugänglich machen, können in Abhängigkeit von Daten und Branche erhebliche Störungen der Betriebsabläufe drohen. Die Zahlung von Lösegeld schlägt sich unmittelbar liquiditätsmindernd im Zahlenwerk nieder, sofern in Abhängigkeit von der Lösegeldhöhe nicht sogar kurzfristig Kredite aufgenommen werden müssen (eine etwaige Strafbarkeit von Lösegeldzahlungen ausgeklammert). Auch ohne Lösegeldzahlung oder -forderung können erhebliche Schäden für das betroffene Unternehmen entstehen:
Nach Wiederherstellung des Datenzugriffs verbleiben potenzielle Verpflichtungen zur Begleichung von Eigen- und Fremdschäden (z. B. Ausgaben zu Wiederherstellung/Ersatz der Infrastruktur, Ausgaben für behördliche Untersuchungen und Strafzahlungen, Schadensersatz für Kundinnen und Kunden und Geschäftspartnerinnen und -partner), für die die Bilanzierung einer finanziellen Verbindlichkeit bzw. (Verbindlichkeits-)Rückstellung zu beurteilen ist.
Gestohlene Daten können bei Verwendung (z. B. Forschungsergebnisse) zu Wettbewerbsnachteilen oder in den Händen Unbefugter bzw. bei Veröffentlichung (z. B. sensible Kundendaten) zu Datenschutzverletzungen führen. Werden durch den Cyber-Angriff Vermögenswerte bzw. Vermögensgegenstände der Produktion manipuliert, z. B. patentierte und aktivierte Software zum Betrieb einer Windenergieanlage oder der Elektronik eines Kraftfahrzeugs, können erhebliche Betriebsstörungen drohen und Kundenaufträge mitunter nicht pünktlich erfüllt werden. Wird die jeweilige Software ausgetauscht, ist mitunter eine Vollabschreibung der manipulierten Software geboten. Ein solcher Vorfall gibt in jedem Fall Anlass für einen Werthaltigkeitstest von einzelnen (immateriellen) Vermögenswerten bzw. -gegenständen oder der zugrunde liegenden zahlungsmittelgenerierenden Einheit.
Der durch einen Cyber-Angriff zusätzlich verursachte Image-Verlust ist schwer in Geldeinheiten zu messen. Börsennotierte Unternehmen werden erste Reaktionen unmittelbar nach Bekanntgabe der Ad-hoc-Mitteilung aus dem Aktienkurs ableiten können. Letztendlich kann der kumulierte Eigen- und Fremdschaden so materiell sein, dass mitunter die Fortführung der Unternehmenstätigkeit gefährdet ist und folglich besonderer Berichterstattungserfordernisse bedarf.
Die aufgeführten Implikationen für die Finanzberichterstattung stellen keine abschließende Liste dar, sondern werden vielmehr durch das Ausmaß und die durch den Cyber-Angriff betroffenen Bereiche sowie branchenspezifischen Besonderheiten des Unternehmens bestimmt. Es bedarf daher auf den Fall zugeschnittener Angaben im Jahresabschluss und Lagebericht unter Wahrung der Mindestberichterstattungserfordernisse nach IFRS und HGB. Voraussetzung dafür ist, und hier schließt sich der Kreis, dass die Aufbereitung von vollständigen Finanzdaten und Erfüllung von Dokumentationserfordernissen nicht durch die Auswirkungen des Cyber-Angriffs nachhaltig gestört sind.
Die gestiegene Bedrohung durch Cyber-Kriminelle soll keinen Anlass geben, die digitale Transformation nicht (wie geplant) voranzutreiben. Hierzu gehört aber nicht nur die Standardisierung und Automatisierung von Unternehmensprozessen, Harmonisierung der IT-Landschaft oder Bereitstellung von virtuellen Arbeits- und Kommunikationsmöglichkeiten. Einen ebenso hohen Stellenwert sollte dabei die Datensicherheit durch die Implementierung von ausreichenden und vor allem wirksamen Schutzmaßnahmen einnehmen, die es regelmäßig zu überprüfen und an sich ändernde Rahmenbedingungen anzupassen gilt. Letztlich stehen die zusätzlich einzuplanenden Budgets für Cyber-Sicherheit in keinem Verhältnis zu den sich aus einem Cyber-Angriff ergebenden (nicht-) monetären Eigen- und Fremdschäden.
1 Europäische Kommission: Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheits-niveau in der gesamten Union (NIS2-Richtlinie).
URL: https://digital-strategy.ec.europa.eu/de/policies/nis2-directive [Stand 15.01.2024]
2 Federal Register (2023): Cybersecurity Risk Management, Strategy, Governance, and Incident Dis-closure.
URL: https://www.federalregister.gov/documents/2023/08/04/2023-16194/cybersecurity-risk-management-strategy-governance-and-incident-disclosure [Stand 15.01.2024]