Cyberpolicen | Cyberattacken: BSI legt Bericht zur IT-Sicherheit vor
Kosten für Cyberattacken steigen rasant
November 26, 2017
Cyberpolicen | Cyberattacken: BSI legt Bericht zur IT-Sicherheit vor
Studie zeigt: KMU sind nicht auf Cyberangriffe vorbereitet
Dezember 6, 2017
Cyberpolicen | Cyberattacken: BSI legt Bericht zur IT-Sicherheit vor

Cyber-Attacken: Fünf Wege, wie sich Unternehmen vor Cyber-Risiken schützen können

Cyber-Attacken: Fünf Wege, wie sich Unternehmen


vor Cyber-Risiken schützen können



Cyber-Angriffe schlagen weltweit zu. Das Ziel sind vor allem Unternehmen. Doch wenn sich diese nicht richtig schützen, sind auch private Nutzer von Cyber-Attacken betroffen. Der Internetsicherheitsexperte Adrian Davis nennt fünf Wege, damit die digitale Zukunft sicherer wird.
Die jüngsten Cyberattacken, wie die Ransomware WannaCry, Petya und Co., haben Organisationen auf der ganzen Welt und auch in Deutschland getroffen. Diese Angriffe enthüllen einige sehr wichtige Fakten über unsere Abhängigkeit vom Internet sowie die Fähigkeit der IT-Abteilung und der Organisationen, solche Zwischenfälle zu bewältigen.

Es dauert Wochen, sich von einem Cyber-Angriff zu erholen

Führungskräfte, IT- und Informationssicherheit müssen Wege finden, ihre Informationsrisiken zu kommunizieren und zu managen, damit die Unternehmen erfolgreich und sicher online arbeiten können. Neben der Arbeit innerhalb großer Firmen wurden wesentliche Dienstleistungen von Versorgungsunternehmen und im Gesundheitswesen angegriffen und unterbrochen.
Diese Angriffe waren allerdings nicht zielgerichtet, sondern trafen alle, die unzureichend geschützt waren. Darüber hinaus gab es Unternehmen, die sich durchaus geschützt haben, deren IT-Security Maßnahmen allerdings einem realen Angriff nicht standhielten. Viele betroffene Unternehmen und Institutionen berichteten, dass sie Wochen brauchten, um sich davon zu erholen.

Durch mangelnden Schutz gefährden Unternehmen private Nutzer

Auch private Nutzer waren von diesen Cyber-Angriffen betroffen und haben sensible Daten verloren, weil sie keine Sicherheitskopien hatten. Der Grund dafür ist, dass sie oft keinen ausreichenden Schutz hatten und sie dann betroffene Dienstleistungen, wie Krankenhäuser, Transportdienstleistungen oder Web-Shops nicht mehr in Anspruch nehmen konnten.
Die meisten privaten Nutzer sind betroffen, weil Unternehmen und Führungskräfte die Cyber-Risiken intern nicht angehen, sich zu wenig vorbereiten und ihre Dienste nicht vor aktuellen Cyber-Attacken schützen. Privatanwender müssen sich darauf verlassen können, dass sich dieses Verhalten ändert und die Sicherheitsmaßnahmen der angebotenen Dienste erhöht werden, um deren Verfügbarkeit sicherzustellen und Kunden vor Angriffen und Infektionen zu schützen.

Cyber-Risiken werden nicht richtig eingeschätzt

Bis heute ordnen die Geschäftsleitungen und ihre Vorstände die Auswirkungen des Cyber-Risikos nicht richtig ein, da es aus finanzieller Sicht sehr schwierig ist, diese Risiken zu quantifizieren. Selbst wenn eine solche Quantifizierung stattfindet, werden die Auswirkungen in der Regel geringer eingeschätzt als die bekannteren Risiken, wie fehlgeschlagene Produkteinführungen, physische Schäden an Vermögenswerten und Rückrufaktionen.
Ein Grund für die schlechte Berechenbarkeit ist, dass die Informationsbestände innerhalb von Systemen immateriell sind. Daher ist es schwierig, mit ihnen einen Wert in Verbindung zu bringen, wie es bei einem physischen Produkt einfach möglich ist. Eine andere Ursache ist, dass sie den Schaden nicht vollständig verstehen, den der Datenverlust oder die Manipulation von Informationen längerfristig für ein Unternehmen bedeutet. Infolgedessen kann es passieren, dass Informations- und Cyber-Risiken von Unternehmen keine materielle Bedeutung beigemessen wird und sie diese ignorieren.

Cyber-Risiken werden nicht verschwinden

Wir von (ISC)² glauben jedoch, dass Verletzungen der Cyber-Sicherheit weiterhin zunehmen werden, weil Informations- und Cyber-Risiken oft nur unzureichend verstanden werden. Das Engagement und die Fähigkeit, die Risiken robust zu quantifizieren, bleiben deshalb weiterhin begrenzt. Es besteht die falsche Vorstellung, dass es sich um ein technisches Problem handelt, das von der Informationssicherheit und den IT-Funktionen gelöst werden muss.
Cyber-Angriffe können jedoch nicht allein in der Verantwortung des Chief Information Security Officers und seinem Team liegen. Die Unternehmen und ihre Führungskräfte müssen mit ihren IT-Sicherheitsverantwortlichen zusammenarbeiten, um ihre IT-Abhängigkeit und die Risiken, denen sie ausgesetzt sind, realistisch einzuschätzen und aktiv zu erfassen.
Dies übersteigt die Ressourcen der Experten für Informationssicherheit und die kleinen Budgets der technischen Experten, die die Bedrohungen analysieren können. Unternehmen müssen ihren Geschäftssinn in die Bewertung der Risiken einbringen und ein ganzheitlicheres Verständnis für Cyber-Risiken, denen ihr Unternehmen ausgesetzt ist, sowie den potenziellen Auswirkungen entwickeln.

Durchschnittlich 100 Cyber-Attacken pro Jahr

Im Durchschnitt erleiden Unternehmen über 100 gezielte Cyber-Attacken pro Jahr. Von diesen ist jeder dritte Angriff erfolgreich, also zwei bis drei pro Monat. Die heißt, sie betreffen nicht nur IT-Systeme, sondern erhöhen auch die Wahrscheinlichkeit für geschäftliche oder physische Risiken. Sie können zu materiellen Schäden, Einnahmeverlusten, Verlust des geistigen Eigentums und Kundendaten sowie zu Reputations- und Vertrauensschäden führen. Bei Cyber-Angriffen sind oft der Kundenservice, die Reputation und der Betrieb stark gestört, während die Unternehmen einer behördlichen und medialen Prüfung unterzogen werden.
Ein so breit gefächertes und vielfältiges Thema erfordert eine grundlegende Neuausrichtung des Risikomanagements und der Priorisierung der Geschäftsrisiken. Die Risiken müssen als etwas erkannt werden, was dazu beiträgt, den Betrieb eines Unternehmens zu untergraben, zu unterbrechen oder zu stoppen. Wenn wir nicht in der Lage sind, ein breiteres Verständnis für diese Art von Risiken zu entwickeln, werden die Unternehmen ihre IT weiter ausbauen, Neues kaufen oder nutzen, ohne dabei die notwendigen Sicherheitsmaßnahmen angemessen abzuwägen.

Fünf Wege zu mehr Schutz

Als gemeinnütziger Fachverband mit über 125.000 zertifizierten Cyber-, Informations-, Software- und Infrastruktur-Sicherheitsexperten arbeitet die (ISC)² unermüdlich mit ihren Mitgliedern zusammen, um das Bewusstsein für die Vorzüge der Cyber-Sicherheitspraxis zu schärfen und eine sicherere Cyberwelt zu gewährleisten. Wir haben einige dieser Erfahrungen in unserem Whitepaper What Every Business Leader Should Know About Cyber Risk dokumentiert, in dem wir unsere Sichtweise auf fünf grundlegende Schritte darlegten, die Unternehmen dabei helfen, die Kontrolle über das Cyber-Risiko zurückzuerlangen und sich besser auf das Unbekannte vorzubereiten. Es bietet einen Leitfaden für die Gespräche, die notwendig sind, um sicherzustellen, dass Cyber-Risiken besser verstanden und verwaltet werden können.

1. Akzeptieren Sie Cyber-Risiken als Geschäftsrisiken

Das heißt, Führungskräfte müssen anerkennen, dass das Cyber-Risiko eine gegenwärtige und hochgradige Bedrohung für ihr Unternehmen darstellt. Sie sollten sich der fälschlichen Wahrnehmung bewusst sein, dass das Informations- und Cyber-Risiko ein technologisches Problem sei, das von der IT und der Informationssicherheit bewältigt werden muss. Es ist eine Verpflichtung, Cyber-Risiko im Risikoregister der Organisation zu verankern. Unternehmen sollten den Governance-Rahmen so gestalten oder verbessern, dass das Cyber-Risikomanagement einbezogen wird. Der CISO sollte, falls vorhanden, in alle Risikodiskussionen eingebracht werden. Es ist notwendig, die wichtigsten operativen Abhängigkeiten zu identifizieren und die Ressourcen für ihren Schutz zu priorisieren.

2. Ausgaben für Cyber-Sicherheit am Risiko orientieren

Führungskräfte sollten ihre Manager und die CISOs auffordern, eine konsistente und robuste Methode einzusetzen, um Cyber-Risiken zu identifizieren, auf sie zu reagieren und sie zu lösen. Dafür sollten kritische Systeme und Daten hervorgehoben werden. Außerdem muss regelmäßig die Anfälligkeit dieser kritischen Systeme und Daten gegenüber einer der fortlaufenden Weiterentwicklung der Technologie- und Bedrohungslandschaft bewertet werden.
Daher ist es notwendig, Prozesse für den Umgang mit Cyber-Risiken einzuführen und ihre Effizienz regelmäßig zu messen. Ein weiteres Muss ist es, durch Metriken, KPIs oder KRIs aufzuzeigen, wie wirksam diese Risikobehandlung zur Reduzierung des Risikos ist. Es ist auch hilfreich darzustellen, wie die Investitionen zu den Risiken passen. Auch die Verknüpfung von Cyber-Risiken mit organisatorischen Rahmenbedingungen wie dem Enterprise Risk Management verdient mehr Aufmerksamkeit.
Investitionen in Technologie und Know-how zur Beurteilung und Kontrolle der Maßnahmen von Partnern und Zulieferern zur Aufrechterhaltung eines angemessenen Sicherheitsniveaus sind ebenfalls hilfreich. Vor allem sollten die Reaktionen des Unternehmens auf Cyber-Ereignisse so vorbereitet und regelmäßig trainiert werden, dass sie den Wert der verletzten Daten oder Systemschwachstellen und die möglichen Auswirkungen auf ihr Unternehmen widerspiegeln.

3. Eine Kultur schaffen, die Schwachstellen vermeidet

Der Aufbau einer neuen Kultur geschieht nicht über Nacht. Jedoch können die Führungskräfte in internen Diskussionen kontinuierlich auf das Cyber-Risiko hinweisen und die Zusammenarbeit zwischen den Abteilungen fördern. Sie können auch in das Schulungsmaterial ihres Unternehmens Hinweise zur Bewusstseinsbildung und zur Aufklärung über Cyber-Risiken etablieren. Eine andere Möglichkeit ist es, Ziele, Boni und Zahlungen an die Identifizierung und das Management von Cyber-Risiken zu binden.
Die Entscheider müssen die Erwartung etablieren, dass alle Projekte, Business Cases und Initiativen das Cyber-Risiko berücksichtigen und die Verantwortlichen den CISO konsultieren. Alle Beteiligten sollten mehr Fragen stellen, regelmäßig berichten und Updates aus konkreten Berichten über den Cyber-Risikostatus von dem CISO und anderen Beteiligten verlangen. Die Einrichtung und Nutzung eines Cyber-Risiko-Governance-Rahmens, von Verwaltungsstandards und -methoden sollte vorgeschrieben werden.

4. Kontrolle über die Daten erhalten

Um ihre Unternehmensdaten besser zu kontrollieren, können Führungskräfte in Unternehmen Gesetze und Vorschriften anwenden, um ihre Datenbestände sauber zu halten. Das heißt, sie müssen herausfinden, warum welche Daten aufbewahrt werden und veraltete Daten löschen. Sie sollten die Informationen identifizieren, die für ihr Geschäft von kritischer Bedeutung sind, und herausfinden, wo sie gespeichert sind. Aus sollten solche Informationen identifiziert werden, die möglicherweise Gesetzen oder Vorschriften unterliegen. Eine andere Möglichkeit ist, Projekte zur Verbesserung der Datenqualität anzustoßen. Es ist notwendig, die relevanten Risikobehandlungen auf den Wert der Daten abzustimmen.

5. Sicherheit und Datenschutz in Unternehmensprozessen garantieren

Führungskräfte können positive Maßnahmen ergreifen und gleichzeitig eine Cyber-Risikobewertung für alle neuen, IT-bezogenen Projekte anfordern. Sie sollten alle Projektmanager dazu verpflichten, regelmäßige Cyber-Risikoprüfungen in ihre Prozesse einzubauen und das Cyber-Risiko als wichtigen Meilenstein in die Projektüberprüfung zu berücksichtigen. Folglich müssen sie die Einführung von Standards für ein sicheres Softwaredesign durchsetzen, soweit dies relevant ist.
Die Zeit für Sicherheitstest sollte während des gesamten Entwicklungsprozesses eingeplant werden und Projekte müssen gestoppt werden, bei denen das Cyber-Risiko nicht ausreichend berücksichtigt und behoben wurde. Ein guter Weg für mehr Sicherheit ist es auch, geprüfte, sichere Produkte einzukaufen, wenn die eigene Entwicklung nicht tragfähig eingeschätzt wird oder außerhalb des Verantwortungsbereichs der Organisation liegt.

Fazit

Ein ganzheitliches Verständnis des Cyber-Risikos führt zu einer soliden Investition in die Erkennung und Verhinderung von Schwachstellen, in die Verteidigung gegen die unvermeidlichen Angriffe und in die notwendige Redundanz, um auch dann noch am Ball zu bleiben, wenn Probleme auftreten. Es ist an der Zeit, zu erkennen, dass alle Unternehmen, ihre Kunden und ihre Mitarbeiter auf die Informationen, Systeme und Software vertrauen, die die Produkte, Dienstleistungen und Prozesse stützen, die unsere Wirtschaft antreiben.
Bei der heutigen Bedrohungslage müssen wir mit einer Unterbrechung durch Cyberangriffe rechnen und die Fähigkeit entwickeln, den Betrieb, den Kundenservice und die relevanten Geschäftsaktivitäten aufrechtzuerhalten. Das ist ein geschäftliches Anliegen, nicht nur eines für technische Experten.

Quelle:
FOCUS Online

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This site uses Akismet to reduce spam. Learn how your comment data is processed.