SEC verschärft Cybersecurity-Anforderungen
Den Unternehmen wird geraten, ihre Cybersicherheitsprogramme und Verfahren zur Meldung von Vorfällen auf eine verstärkte Prüfung durch die SEC und die Anleger vorzubereiten.
Wichtige Punkte
- Die SEC hat die Cybersicherheit zu einem der wichtigsten Punkte auf ihrer Agenda gemacht.
- Die Kommission plant, eine neue Vorschrift zu erlassen, die Transparenz über Cybersicherheitsmaßnahmen und -vorfälle vorschreiben soll.
- In vielen Unternehmen könnte eine umfassende Neubewertung der Cybersicherheit angebracht sein.
Die US-Wertpapier- und Börsenaufsichtsbehörde (SEC) steht kurz davor, eine neue, strengere Vorschrift zu erlassen, die regelt, wie Unternehmen mit Cyberangriffen und deren internen Kontrollen umgehen und darüber berichten. Der Schritt, der eine der obersten Prioritäten der Kommission widerspiegelt, ist nur eine von mehreren Regulierungs-, Durchsetzungs- und Gesetzesinitiativen, die zusammenlaufen, um den Anlegern mehr Transparenz über die Cybersicherheitsrisiken der Unternehmen zu geben.
"Die SEC hat signalisiert, dass sie begonnen hat, Cyberschwachstellen viel ernster zu nehmen als in der Vergangenheit", heißt es in einem kürzlich erschienenen Artikel in der Harvard Business Review (HBR).[1] Den Unternehmen wird empfohlen, ihre Pläne für das Management von Cyberrisiken zu überprüfen und ihre Richtlinien und Verfahren für die Meldung von Cyberproblemen an die Geschäftsleitung, den Vorstand und die SEC zu stärken.
Neue SEC-Vorschrift zur Cybersicherheit beachten
Die Kommission hat neue Cybersicherheitsanforderungen versprochen,[2] die nach Ansicht von Beobachtern in Washington folgende Form annehmen könnten:
- Eine verbindliche Regelung anstelle der derzeitigen SEC-Leitlinien zur Cybersicherheit.[3]
- Stärkere Betonung der Verantwortung der Vorstände von Unternehmen für die Cybersicherheit.
- Ein Aufruf zu einer ausführlicheren Berichterstattung.
Die SEC hat die Regulierung der Cybersicherheit seit der Veröffentlichung ihrer ersten Leitlinien im Jahr 2011 und deren Aktualisierung im Jahr 2018 intensiviert. [4] Die neue Regelung würde auf den Leitlinien von 2018 aufbauen, die unter anderem Offenlegungen empfehlen:
- Schutzmaßnahmen für die Cybersicherheit: Sind sie ausreichend? Wie hoch sind die Kosten? Wie hoch ist das Restrisiko?
- Vorfälle: Wie viele Vorfälle im Bereich der Cybersicherheit hat das Unternehmen bereits erlebt, und wie schwerwiegend waren sie? Wie hoch ist die Wahrscheinlichkeit künftiger Vorfälle?
- Geschäftsrisiko: Was wären die operativen Kosten und Folgen eines Angriffs? Mögliche Schädigung des Rufs?
- Rechtliches Risiko: Würde das Unternehmen mit behördlichen Strafen oder Zivilklagen rechnen müssen?
- Governance: Wie stark sind der Vorstand und die Geschäftsleitung in die Cybersicherheit eingebunden?
Gemäß den Leitlinien von 2018 sollten umfassende Unternehmensrichtlinien und -verfahren eine rechtzeitige interne Berichterstattung an die Unternehmensleitung und eine externe Offenlegung von wesentlichen Cybersicherheitsrisiken und -vorfällen gegenüber der SEC gewährleisten. Darüber hinaus sollten spezifische Offenlegungskontrollen und -verfahren vorhanden sein, die Führungskräfte des Unternehmens müssen die Situation im Griff haben und der Insiderhandel mit Cybersicherheitsinformationen sollte unterbunden werden.
Viele Unternehmen haben ihre Angaben zur Cybersicherheit im Rahmen dieser Richtlinien verbessert, allerdings nur in bescheidenem Umfang, wie EY im vergangenen Jahr berichtete.[5] In einem weiteren Bericht einer separaten Gruppe von Unternehmen und Branchenverbänden heißt es: "Allzu oft sind die Angaben zur Cybersicherheit in einer Weise formuliert, die einem Anleger bei der Bewertung des Cyber-Risikoprofils eines Unternehmens oder des Umgangs mit diesen Risiken nicht helfen kann." [6]
Im letztgenannten Bericht wird beispielsweise ein Jahresbericht an die SEC zitiert, in dem es heißt: "Wir waren in der Vergangenheit Cyberangriffen ausgesetzt und gehen davon aus, dass wir in Zukunft weiteren Cyberangriffen ausgesetzt sein werden und es zu Datenschutzverletzungen kommen kann."
Während die derzeitigen SEC-Richtlinien vorschreiben, was getan werden sollte, könnte die neue Vorschrift aktualisieren und vorschreiben, was Unternehmen tun müssen - oder mit Geldbußen und anderen Strafen rechnen müssen. So wie die derzeitigen Richtlinien für jedes in den USA börsennotierte Unternehmen galten, könnte auch die neue Vorschrift breit anwendbar sein. "In einer digital vernetzten Welt stellt die Cybersicherheit ein ständiges Risiko und eine ständige Bedrohung für unsere Kapitalmärkte und für Unternehmen in allen Branchen dar", stellte die SEC 2018 fest. [7]
SEC beginnt mit der Verhängung von Bußgeldern für Cybersicherheitsverstöße
Noch vor der Herausgabe einer verbindlichen Cybersicherheitsvorschrift hat die SEC vor kurzem damit begonnen, die Cybersicherheitsanforderungen durch Anwendung ihrer allgemeinen Regeln für die Offenlegung von Risiken durchzusetzen.
So erließ die SEC im Juni eine Unterlassungsverfügung gegen ein Unternehmen, das Dienstleistungen zur Abwicklung von Immobiliengeschäften anbietet, und verhängte eine Geldstrafe in Höhe von 500.000 Dollar. Eine der Anwendungen des Unternehmens hatte über mehrere Jahre hinweg mehr als 800 Millionen Bilder preisgegeben, von denen einige sensible personenbezogene Daten enthielten, aber "aufgrund mangelhafter Offenlegungskontrollen war sich die Geschäftsleitung dieser Schwachstelle und des Versäumnisses des Unternehmens, sie zu beheben, überhaupt nicht bewusst", so die SEC.[8]
In einem anderen Fall im August stimmte ein Bildungsverlag zu, 1 Million Dollar zu zahlen, nachdem die SEC festgestellt hatte, dass das Unternehmen Investoren über einen Diebstahl von Schülerdaten aus 13.000 Schulbezirken im Jahr 2018 in die Irre geführt hatte.[9] Insbesondere hatte das Unternehmen in einem halbjährlichen SEC-Bericht die Sicherheitsverletzung - die bereits stattgefunden hatte - als "hypothetisches Risiko" bezeichnet, so die SEC. Das Unternehmen teilte den Medien außerdem mit, dass es über solide Schutzmaßnahmen verfüge, obwohl der fragliche Verstoß auf eine seit langem nicht mehr behobene Sicherheitslücke zurückzuführen sei. Und wie im obigen Fall vom Juni führte die SEC ein Versäumnis von Managern an, die Unternehmensleiter zu informieren.
Ebenfalls im August einigten sich acht Wertpapierfirmen auf einen Vergleich mit der SEC, weil sie bei der Cybersicherheit versagt hatten. Dies führte zur Übernahme von E-Mail-Konten, wodurch persönliche Daten von Kunden preisgegeben wurden.[10] Die meisten Firmen hielten sich nicht an ihre eigenen Sicherheitsrichtlinien, um die Daten zu schützen, so die SEC, die Geldstrafen in Höhe von 200.000 bis 300.000 US-Dollar festsetzte.
"Diese Bußgelder signalisieren einen bedeutenden Wandel, der die Art und Weise, wie Unternehmen über Cybersicherheitsbedrohungen nachdenken, intern über diese Bedrohungen kommunizieren und Verstöße offenlegen, tiefgreifend verändern könnte", so die Schlussfolgerung des HBR-Artikels.
Darüber hinaus hat die SEC eine "vertrauliche Untersuchung" zu einem Angriff auf ein Unternehmen für Netzwerksoftware im Jahr 2020 eingeleitet, bei dem etwa 18.000 seiner Geschäftskunden infiziert wurden. Zu den Fragen gehört, ob die Kunden den Vorfall in den SEC-Anmeldungen offengelegt haben.[11]
Gesetzgebung schlägt Mandat für Cybersicherheit im Vorstand vor
Im Kongress wurde unterdessen ein Gesetzentwurf eingebracht, der Unternehmen dazu verpflichten soll, offenzulegen, ob sie einen Cybersicherheitsexperten in ihrem Vorstand haben. Während sich der Cybersecurity Disclosure Act auf die Zuständigkeit der SEC konzentriert, zielen mehrere andere Gesetzentwürfe und Direktiven der Exekutive auf die Verantwortung der Unternehmen für den Schutz vor und die Meldung von Cybersicherheitsvorfällen an andere Behörden, wie die Cybersecurity and Infrastructure Security Agency (CISA).
Vorbereitung auf den neuen SEC-Schwerpunkt Cybersecurity
Was müssen die Unternehmen an dieser Stelle tun?
"Der erste Schritt besteht darin, eine umfassende Heatmap des gesamten Cybersicherheitsprogramms des Unternehmens zu erstellen, um Schwachstellen in der Technologie, bei den Mitarbeitern und den Prozessen zu beheben", so Garth Landers, Product Marketing Director bei Mimecast. "Dann, wenn sich die Ereignisse entfalten, muss es eine konstante Kette von Erhöhungen und Transparenz intern geben, die zur externen Berichterstattung führt. Das ist wie bei der vierteljährlichen Finanzberichterstattung - es hört nie auf".
Der HBR-Artikel und die Rechtsexperten[12] schlagen unter anderem folgende Taktiken vor:
- Umsetzung und Dokumentation bewährter Verfahren im Bereich der Cybersicherheit.
- Schaffen Sie Transparenz bei IT-Ressourcen.
- Implementierung und Test von Verfahren zur Erkennung von und Reaktion auf Vorfälle.
- Regelmäßige Überprüfung und Aktualisierung des Cybersicherheitsprogramms des Unternehmens.
- Durchführung regelmäßiger Bewertungen von Cybersicherheitssystemen und Bedrohungen.
- Zuweisung klarer Zuständigkeiten und interner Berichtsverfahren.
- Einrichten eines Offenlegungsausschusses, der sich aus Direktoren und leitenden Angestellten zusammensetzt, darunter auch Sicherheitsverantwortliche.
- Seien Sie darauf vorbereitet, Cybersicherheitsprobleme offenzulegen, noch bevor sie vollständig untersucht und analysiert sind.
"Wenn man in der IT- und Cybersicherheitsbranche tätig ist, gehört es natürlich zur täglichen Arbeit, potenzielle Probleme zu erkennen und zu beheben", so Landers. "Aber oft brauchen wir einen Anlass wie diese erhöhte Kontrolle durch die SEC, um eine umfassende Überprüfung und Bewertung vorzunehmen."
Was auf dem Spiel steht
Die SEC hat auf die erheblichen Kosten hingewiesen, die Unternehmen nach einer Datenschutzverletzung entstehen. Dazu gehören:
- Verlust von Einnahmen und Kundenbeziehungen.
- Ansprüche wegen Vertragsbruchs.
- Bedrohung künftiger Cashflows.
- Beeinträchtigung des geistigen Eigentums.
- Erhöhte Finanzierungskosten.
- Höhere Versicherungsprämien.
- Kosten der Untersuchung.
- Compliance-Kosten für die Meldung von Sicherheitsverletzungen, Abhilfemaßnahmen, Geldstrafen und Rechtsstreitigkeiten.
Die Schätzungen des Risikos und der Kosten einer Datenschutzverletzung variieren, aber das Forschungsunternehmen Cyentia Institute berichtete kürzlich, dass ein Fortune-1000-Unternehmen eine 6-prozentige Chance hat, in einem Zeitraum von 12 Monaten aufgrund eines Cybervorfalls 100 Millionen Dollar oder mehr zu verlieren.[13] Typische finanzielle Verluste nach einem erfolgreichen Cyberangriff können sich nach Angaben der Gruppe auf etwa 200.000 Dollar belaufen.
Die Quintessenz
Die US-Börsenaufsichtsbehörde SEC möchte, dass die Unternehmen gegenüber den Anlegern mehr Transparenz in Bezug auf ihre Cybersicherheitsrisiken, -kontrollen und -vorfälle zeigen. Es wird erwartet, dass die Kommission bald eine neue Vorschrift herausgibt, die Unternehmen dazu verpflichten könnte, ihre Cybersicherheitsprogramme und Meldeverfahren zu aktualisieren.
[1] "The SEC Is Serious About Cybersecurity. Is Your Company?," Harvard Business Review
[2] "Zeugenaussage vor dem Senatsausschuss für Bankwesen, Wohnungsbau und städtische Angelegenheiten der Vereinigten Staaten," U.S. Securities and Exchange Commission
[3] "SEC to 'Digeper' in Cybersecurity Enforcement," CFO Dive
[4] "Commission Statement and Guidance on Public Company Cybersecurity Disclosures," U.S. Securities and Exchange Commission
[5] "What Companies Are Disclosing About Cybersecurity Risk and Oversight," EY
[6] "The State of Cyber-Risk Disclosures of Public Companies," Security Scorecard et al
[7] "Commission Statement and Guidance on Public Company Cybersecurity Disclosures," U.S. Securities and Exchange Commission
[8] "SEC erhebt Anklage gegen Emittenten wegen Versagens der Cybersecurity Disclosure Control," U.S. Securities and Exchange Commission
[9] "SEC erhebt Anklage gegen Pearson plc wegen Irreführung von Anlegern über Cyberverletzungen," U.S. Securities and Exchange Commission
[10] "SEC kündigt drei Klagen wegen mangelhafter Cybersicherheitsverfahren an," U.S. Securities and Exchange Commission
[11] "In the Matter of Certain Cybersecurity-Related Events," U.S. Securities and Exchange Commission
[12] "SEC macht Cybersicherheit zur obersten Priorität," JD Supra
[13] "Cyentia Institute veröffentlicht bahnbrechende Forschungsergebnisse über die Häufigkeit und die Kosten von Sicherheitsverletzungen," Cyentia
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!