Das Thema Cyber-Angriffe hat in der Presse erheblich an Bedeutung gewonnen. Hackerangriffe eines Unternehmens finden sich zunehmend in den Meldungen von Tageszeitungen. Daher müsste das Thema auch bei der Darstellung der Risiken im Lagebericht relevant werden. In einer Studie habe ich untersucht, wie Cyber-Risiken in den Geschäftsberichten von 2018 der DAX-Unternehmen dargestellt werden.
Noch Luft nach oben bei der Risikomatrix
Bei der Darstellung der Risiken haben nur ungefähr die Hälfte der 30 Unternehmen eine sog. Risikomatrix genutzt. Hier gibt es noch einiges an Luft nach oben: Mit Hilfe der Risikomatrix können die wesentlichen Risiken des Unternehmens für Investoren in übersichtlicher Form aufgezeigt werden. Einige Unternehmen haben derzeit noch hauptsächlich Fließtext. Dies erschwert die Vergleichbarkeit der Risikoberichte der einzelnen Unternehmen.
Bezeichnung der Cyber-Risiken ist uneinheitlich
Bei der Zuordnung der Cyber-Risiken findet sich noch kein einheitliches Bild in den Geschäftsberichten. In einigen Fällen werden diese den IT-Risiken oder ihnen vergleichbaren Gefahren zugeordnet, in anderen Berichten taucht explizit die Bezeichnung „Cyber-Risiko“ auf.
Auch bei den Begrifflichkeiten finden sich zahlreiche Varianten. Die Wörter Hackerangriff und Cyber-Attacke taucht jedoch nur in einem Bericht auf. Häufiger verwendet werden hingegen die Begriffe Cyber-Kriminalität und Cyber-Angriff.
Die vollständige Studie finden Sie in der Zeitschrift „Praxis der Internationalen Rechnungslegung“, Heft 9/2019, S. 261-268
(für Abonnenten kostenfrei)