Studie von Palo Alto: Führungsetage muss Verantwortung für Cyber-Sicherheit übernehmen

Thema Cybersicherheit in der Vorstandsetage

Eine Studie im Auftrag von Palo Alto Networks, Forbes, des Financial Services Roundtable und der Georgia Tech aus dem Jahr 2015 zeigt, dass die Aufmerksamkeit für dieses Thema bei den Vorstandsmitgliedern um 33 Prozent gestiegen ist gegenüber 2012. Die Führungskräfte sollten sich dennoch etwas tiefgehender damit auseinandersetzen, welche Auswirkungen Sicherheitsvorfälle auf das Geschäft haben können, sagt Thorsten Henning von Palo Alto Networks im Blog für silicon.de.

Führungskräfte sollten wissen, was Angreifer am meisten interessieren könnte:

• Sind es wertvolle Daten des Unternehmens oder
• nachgelagerte Effekte, die mittels Datenerwerb die Kunden eines Unternehmens ins Visier nehmen. Daraus resultiert die Notwendigkeit, sensible persönliche Daten der Kunden effektiv zu schützen, um rechtliche Konsequenzen zu vermeiden.
• Sind es die Personalakten von Behördenmitarbeitern
• Sind Schutzmaßnahmen für das wachsende Internet der Dinge erforderlich
• Müssen kritische Infrastrukturen besser geschützt werden

Die erfolgreichen „Geschäftsmodelle“ der Cyberkriminellen

Insbesondere bei Ransomware sind Cyberkriminelle mit ihren “Geschäftsmodellen” durchaus erfolgreich und verdienen bares Geld. Im letzten Jahr schätzte die Cyber Threat Alliance den Schaden der CryptoWall-v3-Kampagne auf über 325 Millionen US-Dollar. Die Mehrheit der Angreifer ist finanziell motiviert, aber ihr Geschäftsmodell fällt und steht mit dem Arbeitsaufwand. Eine Ponemon-Studie hat festgestellt, dass eine Erhöhung des Arbeitsaufwands um nur zwei Tage die Akteure bereits davon abhalten würde, einen Angriff fortzusetzen.

Es sind versierte Angreifer, die auf Profit aus sind, suchen nach Möglichkeiten, in großem Stil einmal zuzuschlagen und dann große Mengen gestohlener Daten zu Geld zu machen. Dies bedeutet, dass Angreifer auf Daten abzielen, die das Unternehmen für jemanden verwahrt oder auf Systeme, die mit vielen weiteren potenziellen Angriffszielen verbunden sind. Als Paradebeispiel dafür dient der Angriff auf das globale Zahlungssystem SWIFT. Hier nutzten die Angreifer das Zahlungssystem, um betrügerische Transaktionen, die sich gegen andere Benutzer richteten, durchzuführen. Das Unternehmen selbst wurde angegriffen, ist aber nicht das primäre Opfer, steht aber wegen eventuell mangelhafter Netzwerksicherung trotzdem in der Verantwortung. Eine Problematik, die auch Auswirkungen auf den Versicherungsmarkt für Cybersicherheit hat, da die Komplexität der externen Kosten es schwierig macht, eine Police anzubieten, die die vollen Kosten großer Vorfälle abdeckt.

Hoffnung an der Cybersicherheitsfront

An der internationalen Cybersicherheitsfront gibt es dennoch Hoffnung. Ein Beispiel ist das Cybersecurity Framework, eine öffentlich-private Partnerschaft, die von der US-Regierung und dem privaten Sektor im Jahr 2014 ins Leben gerufen wurde. Dieses Rahmenwerk betont, dass Investitionen gegen die jeweils spezifischen Geschäftsrisiken einen großen Effekt haben, um die Cybersicherheit gezielt zu erhöhen.

In Deutschland ziehen im Rahmen der Allianz für Cybersicherheit ebenfalls wichtige Akteure aus dem öffentlichen Sektor und der Wirtschaft an einem Strang. Und von Seiten der Politik wurden jüngst auf EU-Ebene die Weichen gestellt für höhere Sicherheitsanforderungen und besseren Datenschutz mit der Verabschiedung der NIS-Richtlinie bzw. der Bekanntgabe der kommenden neuen Datenschutz-Verordnung GDPR.