Cyberangriffe - und was sie mit Ihrer Unternehmenskultur zu tun haben

Eine Datenschutzverletzung kann massive und langfristige Auswirkungen haben, und die meisten Unternehmen sind sich erst dann bewusst, wie störend, zeit- und ressourcenintensiv sie sein kann, wenn es passiert. Sie können von unmittelbaren finanziellen Einbußen bis hin zu langfristigen Imageschäden, dem Verlust des Kundenvertrauens und des Marktwerts reichen. Wenn Unternehmen sich auf das Schlimmste vorbereiten, konzentrieren sie sich oft auf die direkten Kosten - Geldstrafen, Anwaltskosten, forensische Sicherheitsberater, Wiederherstellungskosten und Versicherungen. Aber es gibt ebenso schädliche „versteckte“ Kosten, die das langfristige Wachstum beeinträchtigen können.

Dies gilt für Unternehmen aller Branchen, von der Pharmazie bis zur Prozessindustrie und dem Maschinenbau, unabhängig von der Größe des Unternehmens. Im Jahr 2017 führte beispielsweise ein Ransomware-Angriff dazu, dass Merck & Co. die Produktion von Medikamenten stoppen und 1,4 Mrd. US-Dollar verlieren musste. Der Angriff führte auch zu einem Verlust von 260 Mio. USD bei den weltweiten Arzneimittelverkäufen im Jahr 2017 und 200 Mio. USD im Jahr 2018. Es gibt jedoch noch andere heimtückische Kosten für Unternehmen nach einem solchen Angriff.

Wenn ein Unternehmen betroffen ist, liegt das Hauptaugenmerk sofort auf der Einhaltung von Vorschriften und Geldbußen, insbesondere wenn Kundendaten offengelegt werden. Doch diese Geldbußen sind nur der Anfang des finanziellen Schadens. Sobald eine Sicherheitsverletzung entdeckt wird, müssen digitale Forensik-Teams - oft teure externe Berater - den Schaden bewerten, herausfinden, wie es zu der Verletzung gekommen ist, und Schritte zur Eindämmung empfehlen.

Hinzu kommen die Kosten für das Krisenmanagement, das die Zusammenarbeit mit Rechtsteams und Cybersicherheitsexperten einschließt, und je nach Umfang und Auswirkung könnte der Vorfall zu Klagen von Aktionären und/oder Kunden führen. Man denke nur an den Vorfall bei der PharMerica Corporation im Jahr 2023 - bei einem Ransomware-Angriff wurden die persönlichen Daten von fast sechs Millionen Menschen preisgegeben, und das Unternehmen sah sich daraufhin mit einer Sammelklage konfrontiert. Während die anfängliche Reaktion bewältigt wird, tritt der langfristige Schaden auf den Plan, da der Ruf der Marke und das Vertrauen von Kunden und Aktionären nach einer Sicherheitsverletzung einen enormen Schaden erleiden können - ein Vertrauensverlust, der sich über Jahre hinziehen kann.

Dann kommen die Probleme mit der Versicherung. Nach einer erheblichen Sicherheitsverletzung ist es für viele Unternehmen schwierig, wenn nicht gar unerschwinglich, eine Cyberversicherung abzuschließen, da die Versicherer entweder die Prämien erhöhen oder den Versicherungsschutz ganz verweigern. In der Tat gab es viele Fälle, in denen Versicherungsgesellschaften sich weigerten, Ansprüche zu erfüllen, wenn ein Unternehmen kein akzeptables Niveau an Cybersicherheitsresistenz aufrechterhalten hat. Für kleine und mittlere Unternehmen könnte die Unfähigkeit, eine erschwingliche Cyberversicherung abzuschließen, katastrophale Folgen haben.

Nach Angaben von IBM und dem Ponemon Institute haben die durchschnittlichen Kosten einer Datenschutzverletzung in diesem Jahr ein Rekordhoch von 4,88 Millionen US-Dollar erreicht.

Es gibt ein entscheidendes Element, das oft übersehen wird - die erheblichen Auswirkungen auf die Moral der Mitarbeiter. Ein schwerwiegender Vorfall im Bereich der Cybersicherheit kann tiefgreifende psychologische und kulturelle Auswirkungen auf die Belegschaft haben, die zu Produktivitätseinbußen, mangelndem Engagement und in einigen Fällen zu einer höheren Fluktuationsrate führen.

Warum kann dies der Fall sein? Häufig fühlen sich die Mitarbeiter direkt für den Sicherheitsverstoß verantwortlich, insbesondere wenn dieser durch eine Phishing-E-Mail oder die Nichteinhaltung von Sicherheitsprotokollen verursacht wurde. Die Mitarbeiter könnten auch beginnen, die Stabilität des Unternehmens in Frage zu stellen und um ihre Arbeitsplatzsicherheit zu fürchten, insbesondere in Branchen, in denen Entlassungen nach solchen öffentlichkeitswirksamen Sicherheitsverletzungen üblich sind.

Auch die Mitarbeiter werden nach einem Cyberangriff häufig einer verstärkten Kontrolle unterzogen. Unternehmen verschärfen in der Regel ihre internen Protokolle, indem sie die Überwachung der Mitarbeiteraktivitäten verstärken und zusätzliche Kontrollinstanzen einrichten. Diese Maßnahmen sind zwar notwendig, um künftige Angriffe zu verhindern, sie können aber auch eine Kultur des Misstrauens schaffen, in der sich die Mitarbeiter mikromanipuliert und in ihren Rollen weniger befähigt fühlen. Und nicht selten müssen IT-Teams nach einem Cyberangriff Überstunden machen, um Systeme wiederherzustellen, Schwachstellen zu beheben und Wiederherstellungsmaßnahmen zu verwalten. Dieser zusätzliche Druck, oft ohne zusätzliche Vergütung oder Unterstützung, kann schnell zu einem Burnout führen. Auch Mitarbeiter außerhalb der IT-Abteilung können die Belastung spüren, da sie mit Betriebsstörungen, Kundenbeschwerden und einem allgemeinen Gefühl der Unsicherheit über die Zukunft des Unternehmens konfrontiert sind.

Darüber hinaus können überlastete Mitarbeiter anfangen, sich nicht mehr zu engagieren, was zu einer geringeren Produktivität und einer niedrigeren Qualität der Arbeit führt. In schwerwiegenden Fällen kann es dazu kommen, dass wichtige Mitarbeiter das Unternehmen verlassen. Auf einem Arbeitsmarkt, der von Fachkräftemangel geprägt ist, kann dies tiefgreifende Auswirkungen auf das Unternehmen haben.

Wenn es um die Förderung der Arbeitsmoral und der Unternehmenskultur geht, spielt auch die Art und Weise, wie die Unternehmensleitung mit den Folgen eines Cyberangriffs umgeht, eine große Rolle. Wenn die Mitarbeiter den Eindruck haben, dass die Führungskräfte nicht transparent sind oder keine Verantwortung für die Sicherheitsverletzung übernehmen, kann dies zu einem Vertrauensverlust führen. Mangelnde Kommunikation oder das Versäumnis, die Schwere der Situation anzuerkennen, kann dazu führen, dass sich die Mitarbeiter unterbewertet und unmotiviert fühlen. Die Kosten eines Verstoßes gegen die Cybersicherheit gehen weit über die unmittelbaren finanziellen Strafen, die juristischen Kosten und die Wiederherstellungskosten hinaus. Sie können auch das langfristige Wachstum und die Bewertung eines Unternehmens stark beeinträchtigen, da das geschwächte Vertrauen der Kunden und die Schädigung des Rufs oft zu einem geringeren Vertrauen der Anleger und einer geringeren Wettbewerbsfähigkeit auf dem Markt führen. Die langfristigen Auswirkungen auf die Stimmung der Mitarbeiter, die Unternehmenskultur und die allgemeine Gesundheit des Unternehmens dürfen jedoch nicht unterschätzt werden.

Unternehmen müssen einen ganzheitlichen Ansatz für die Cybersicherheit wählen, der sowohl die sichtbaren als auch die versteckten Kosten berücksichtigt. Das bedeutet nicht nur, dass sie ihre Cyber-Hygiene aufrechterhalten und in Technologien zur Erkennung von Bedrohungen und zur Reaktion auf Vorfälle investieren müssen, sondern auch, dass sie eine widerstandsfähige Belegschaft fördern müssen, die mit den emotionalen und kulturellen Herausforderungen nach einem Cyberangriff umgehen kann.

Ein Unternehmen, das sowohl externen als auch internen Wiederherstellungsmaßnahmen Vorrang einräumt, wird weitaus besser in der Lage sein, den Sturm eines Cyberangriffs zu überstehen und gestärkt aus diesem hervorzugehen.

| Originalversion veröffentlicht in ACHEMA Inspire, Ausgabe November 2024 | Deutsche Übersetzung durch DECHEMA Ausstellungs-GmbH |