Werbung

Drei Schlüsselfragen an Vorstand und Geschäftsführung in Sachen Cybersicherheit

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Drei Schlüsselfragen an Vorstand und Geschäftsführung in Sachen Cybersicherheit

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Dass Datenschutzverletzungen ziemlich teuer werden können, hat sich inzwischen herumgesprochen. Wie teuer genau? Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund 4 Millionen US-Dollar.
Grafik

Dass Datenschutzverletzungen ziemlich teuer werden können, hat sich inzwischen herumgesprochen. Wie teuer genau? Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund 4 Millionen US-Dollar.

Trotz dieser erschreckenden Zahl sind bei weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet, ihre finanziellen Interessen dahingehend zu schützen. Worum sie sich – nicht nur betrachtet im Lichte der jüngsten Datenschutzverletzungen – allerdings sehr wohl kümmern sollten. In Abwandlung eines alten Zitats aus der IT-Sicherheit gibt es nur zwei Sorten von Unternehmen: diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es nicht wissen.

Langfristige Auswirkungen bedenken

In einem jüngst im Harvard Business Review veröffentlichten Artikel hat der Autor eine überzeugende These geliefert, warum das so sein könnte: „ (…) selbst die jüngst bekannt gewordenen Datenschutzverletzungen haben sich nur in verschwindend geringem Ausmaß auf die Aktienkurse der Unternehmen ausgewirkt.“ Vielleicht sind Aktionäre wirklich weitgehend empfindungslos, was die Auswirkungen von Datenschutzverletzungen anbelangt. Die Autoren vermuten das eigentliche Problem aber woanders. Es seien vor allem die langfristigen Auswirkungen, die es zu bedenken gilt, wenn vertrauliche Daten gestohlen oder Wissenskapital abgezogen worden ist. Aber Rufschädigungen und der Einfluss auf das Markenimage als solches lassen sich nur schwer exakt messen und quantifizieren. Das Resultat? Aktionäre neigen dazu, nur auf das zu reagieren, was sie direkt betrifft, beispielsweise Kosten für Rechtsstreitigkeiten oder direkte Auswirkungen auf die Profitabilität eines Unternehmens.

Was aber kann man tun, um diese kurzfristige Sicht der Dinge zu verändern? Führungskräfte, die im Sinne ihrer Aktienanteilseigner handeln, sollten anfangen, die richtigen Fragen zu stellen. Und sie sollten sich informiert halten, was aktuelle Entwicklungen anbelangt. Im Wesentlichen sollten Führungskräfte sich drei grundlegende Fragen stellen:

Wenn es zu einer Datenschutzverletzung kommt, in welchen Bereichen und wann wird sie sich auf die Bilanz des Unternehmens auswirken?  Vorstände müssen sich darüber im Klaren sein, dass eine Datenschutzverletzung schwerwiegende, langfristige Auswirkungen haben kann. Selbst wenn der Aktienpreis selbst zunächst nur minimal in Mitleidenschaft gezogen wird. Das können Kosten sein, die mit anfallenden Rechtstreitigkeiten verbunden sind, Bußgelder auf Landes- oder Bundesebene, kostenintensive Sicherheits-Upgrades und Umsatzrückgänge infolge eines entstandenen Imageschadens. Ein Beispiel liefert die US-amerikanische Handelskette Target. Nach der spektakulären Datenschutzverletzung stieg der Aktienpreis sogar an. Trotzdem schlugen die Kosten für die notwendig gewordenen Sicherheits-Upgrades am Ende mit über 100 Millionen US-Dollar zu Buche. „Das Unternehmen verlor insgesamt etwa 236 Millionen US-Dollar. Kosten, die direkt in Verbindung mit der Datenschutzverletzung entstanden sind. 90 Millionen konnten über Versicherungen verrechnet und gedeckt werden. Ein Richter entschied jüngst, dass Target sich dem Vorwurf der Fahrlässigkeit stellen müsse. Und zwar gegenüber Banken, Kreditgenossenschaften und Verbrauchern, inwieweit der Datenschutzvorfall aus dem Jahr 2013 auch hätte verhindert werden können. Auf die Aussage, dass Target mit zivilrechtlichen Klagen rechnen müsse, reagierte die Börse mit einem Verlust von 0,3 Prozent bei den Target-Aktien. Verschiedene Banken machen Target den Vorwurf, dass die Fahrlässigkeit des Unternehmens sie zehnfache Millionenbeträge gekostet habe.“ 1

Wo liegen die „Kronjuwelen“ und wie sicher sind sie wirklich?  Ja, nicht wenige Firmen fokussieren sich beim Thema IT-Sicherheit auf die Netzwerkgrenzen. Die Wahrheit ist, dass es keine 100-prozentig effektive Perimeter-Sicherheit gibt und geben kann. Was Unternehmen wirklich brauchen, sind Sicherheitslösungen und Methoden, die Angreifer erkennen und stoppen, auch dann, wenn die schon innerhalb des Netzwerks sind. Diese Lösungen werden gemeinhin unter dem Sammelbegriff User Behavior Analytics (UBA), also eine Analyse des Benutzerverhaltens, zusammengefasst. UBA sind so etwas wie eine zweite Verteidigungslinie. Sie etablieren Basiswerte für ein als normal definiertes Verhalten in Bezug auf sämtliche Dateiaktivitäten innerhalb einer bestimmten Umgebung. Und auf genau dieses Verhalten hin werden alle Server kontinuierlich überwacht. Treten dann Abweichungen von dem als normal definierten Verhalten auf, informiert ein Alarm die IT-Abteilung, die dann sofort reagieren kann. Ein Beispiel für eine solche Aktivität ist das massenhafte Kopieren von Wissenskapital, um es anschließend aus dem Unternehmen herauszuschleusen. Werfen wir einen Blick auf den OPM Breach, der in vielerlei Hinsicht exemplarisch verlaufen ist. Die US-CERT stellte zahlreiche Mängel in der zentralisierten Logging-Strategie fest: „Die Lücken innerhalb der Logging-Fähigkeiten hatten einige schwerwiegende Folgen. So war es OPM nicht möglich, wichtige forensische Fragen und Fragen zur Einschätzung des Bedrohungsumfangs in Zusammenhang mit dem 2014 aufgedeckten Datenschutzvorfall zu beantworten. Das limitierte von vorneherein die Fähigkeit, die Datenschutzverletzungen frühzeitig aufzudecken und nicht erst wie geschehen im Juni beziehungsweise Juli 2015.“ Was die Analyse dieses Datenschutzvorfalls überdeutlich zeigt: Traditionelle Sicherheitslösungen und Maßnahmen haben eine große Schwachstelle, wenn es sich um Insiderbedrohungen handelt. Jeff Wagner, OPM Director of IT Security Operations, räumte ein, dass sich OPM sehr stark auf Sicherheitsmaßnahmen an der Netzwerkgrenze konzentriert habe, aber keine Technologie einsetzte, die in der Lage war, den Vorfall frühzeitig zu erkennen und Angreifer zu stoppen, die sich bereits im Inneren des Netzwerks befinden. 

Wer fungiert in unserem Unternehmen als CISO oder CIO und hat er oder sie ausreichende Ressourcen zur Verfügung, die der aktuellen Bedrohungslandschaft entsprechen?  Wohl in den allermeisten Unternehmen sind IPs, Geschäftsgeheimnisse, vertrauliche Informationen deutlich wertvoller als die damit verbundenen Kosten für den Datenschutz. Inzwischen sollte es selbstverständlich sein, die betreffenden Abteilungen mit entsprechenden Ressourcen und Sicherheitsbudgets auszustatten. In der diesjährigen Deloitte-National Association of State Chief Information Officers (NASCIO) Cybersecurity Study 2016, gaben 80 Prozent der Befragten an, dass nicht ausreichende Budgets eine der Haupthürden seien, wenn es darum ginge, adäquat auf Cyberbedrohungen zu reagieren. Für Vorstände sollte das ein deutliches Signal sein, die Prioritäten neu zu setzen und dem Führungspersonal die notwendigen finanziellen Ressourcen an die Hand zu geben.  

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Auf dem daten Friedhof

Dark Data: Wirtschaftliche Chancen mit Cloud, KI und BI nutzen.

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.