Auswirkungen der „Panama Papers“ auf das Risikomanagement

LinkedInXingPocketWhatsAppFlipboard

Panama PapersRücktritte, Ermittlungsverfahren, Imageschäden – Vorstände, Aufsichtsräte und Regierungsspitzen sind betroffen. Der Fall der „Panama Papers“ zeigte auf, dass Führungspersönlichkeiten nicht nur im Falle von IT-Sicherheitslücken im eigenen Unternehmen oder Wirkungsbereich Konsequenzen für die eigene Person befürchten müssen.

Im Zweifelsfall werden sie auch von einer Welle erfasst, die von ihren Dienstleistern ausgeht. Die zentrale Frage, die sich daher derzeit in den Führungsetagen stellt: Wie kann einem Szenario „Panama Papers 2“ bestmöglich vorgebeugt werden?

Anzeige

„Für die physische Sicherheit von streng geheimen Dokumenten gibt es längst nachvollziehbare Prozesse. Das Verstauen in Tresoren oder Bankschließfächern und die Überwachung mit Alarmanlagen sind gängige und akzeptierte Möglichkeiten. Vergleichbare Maßnahmen der IT-Sicherheit bei Dienstleistern, die hochsensible Daten Dritter auf ihren IT-Systemen speichern, fehlen heute in einem bedenklichen Ausmaß“, so Christian Polster, Chief Strategy Officer bei RadarServices, einem Anbieter für kontinuierliches IT Security Monitoring.

Das Risikomanagement – vor allem das der Klienten von Kanzleien und anderen Dienstleistern – hat eine neue Aufgabe zu lösen.

Wer gehört zu den „engsten Vertrauten“?

Nicht nur Rechtsanwälte sind von Berufswegen her zu strengster Vertraulichkeit verpflichtet, die grundsätzlich auch die digitale Datenverarbeitung umschließen sollte. Unter anderem arbeiten auch Wirtschaftsprüfer, Steuerberater, Beratungsunternehmen und Börsen mit streng geheimen Daten Dritter, die für Angreifer aus finanziellen oder ideologischen Motiven sehr interessant sein können.

Was sind die größten Gefahren für Klienten?

Grundsätzlich ist das gesamte Spektrum an Angriffsgruppen und Angriffsarten auf IT-Systeme von Dienstleistern relevant. Die Gefahrenpotentiale für ihre Klienten liegen jedoch besonders im Bereich von Insider Threats, also mutwilligen oder unbewusst herbeigeführten Schäden durch Mitarbeiter, und externen Netzwerkzugriffen von professionell organisierten Hackern.

Derartige gezielten Angriffe gehen von Personen oder Personengruppen mit Fachwissen über die entwendeten Daten und Dokumente, ihre weitere Verwertung und/oder ihre Vermarktung aus. Sie haben im Regelfall eine Strategie oder einen Auftrag und führen so zu weitreichenden Auswirkungen wie im Fall Panama Papers.

So können Angreifer zum Beispiel auch einen erheblichen Nutzen aus der Entwendung von streng geheimen Finanzdaten gelisteter Unternehmen ziehen. Zahlreiche solcher wertvollen Daten werden zwischen Klienten und Dienstleistern unter anderem im Rahmen von Akquisitionen, Unternehmenszusammenschlüssen oder zentralen Veränderungen in der Investorenbasis ausgetauscht. Besteht bei einer beteiligten Partei ein Datenleck und werden Informationen vor der offiziellen Veröffentlichung bekannt, ziehen Angreifer oder ihre Auftraggeber erhebliche finanzielle Vorteile oder können mit einer Vorabveröffentlichung große Geschäfte platzen lassen.

Wie können sich Klienten schützen?

Im ersten Schritt müssen Klienten den Kreis ihrer derzeitigen „engsten Vertrauten“ genau prüfen. Dazu sollte zumindest ein Basis-IT-Sicherheitscheck mit jedem dieser Dienstleister durchgeführt werden. Die folgenden 5 Fragen sollten IT-Sicherheitsexperten der Klienten abfragen:

  • Wie werden gespeicherte Daten geschützt, wie wird im besonderen deren Austausch verschlüsselt, wer hat Zugriff auf unsere Daten und wie wird die Zuverlässigkeit dieser Personen und ihres Umgangs mit unseren Daten sichergestellt?
  • Wie werden moderne, gezielte Angriffe auf die IT zeitnah erkannt?
  • Wie wird die laufende Sicherheitsüberprüfung der gesamten IT-Infrastruktur durchgeführt, welche Informationen werden dabei berücksichtigt, welche Risikoerkennungswerkzeuge sind im Einsatz und in welchen regelmäßigen Abständen werden die Ergebnisse dieser Werkzeuge von Experten ausgewertet?
  • Wie wird überprüft, ob Risikobehebungsmaßnahmen tatsächlich erfolgreich waren und existierende Schwachstellen tatsächlich behoben?
  • Wie wird der Informationsfluss zu uns gestaltet, wenn trotz aller Sicherheitsmaßnahmen ein Risiko tatsächlich schlagend wird?

Der Basis-IT-Sicherheitscheck sollte in regelmäßigen Abständen wiederholt werden. Neu gesetzte Maßnahmen fließen so in die Risikobewertung ein, Sicherheitslücken müssen behoben werden.

Die Auswahl von Dienstleistern für eine zukünftige Zusammenarbeit sollte standardmäßig auf einer umfassenden Präsentation über ihre IT-Sicherheit und deren faktischer Überprüfung durch interne Spezialisten eines potentiellen Klienten oder von ihm beauftragten externen Experten basieren.

Schlussendlich gehört in jedem Falle die Vereinbarung eines Notfallplans inklusive Ansprechpartnern seitens des Dienstleisters und des Klienten genauso wie die Festlegung von Top-Risikoszenarien dazu, bei deren Eintritt eine zeitnahe, verpflichtende Meldung vom Dienstleister zum Klienten zu erfolgen hat.

„Die Sensibilität für das Thema IT-Sicherheit ist seit dem Fall „Panama Papers“ sowohl seitens der Klienten als auch der Dienstleister immens gestiegen, denn keine der beiden Seiten möchte eines Tages adhoc so im Mittelpunkt des internationalen Interesses stehen. Ein guter IT-Sicherheitsverantwortlicher ist deshalb heute mindestens genauso wichtig wie ein guter Anwalt“, so Polster abschließend.

www.radarservices.com


Anzeige

Weitere Artikel

Datenschutz & GRC
Beyond the Cookie – Lösungsansätze für Marketingstrategien
Datenschutz & GRC
ProdHaftRL: Was umfasst die EU-Produkthaftungsrichtlinie?
Datenschutz & GRC
AI Act: KI-Managementsystem nach ISO 42001 zu empfehlen
Datenschutz & GRC
Verantwortlichkeit für die Umsetzung des Datenschutzes
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.