IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

FragenDass Datenschutzverletzungen ziemlich teuer werden können, hat sich inzwischen herumgesprochen. Wie teuer genau? Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund 4 Millionen US-Dollar.

Trotz dieser erschreckenden Zahl sind bei weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet ihre finanziellen Interessen dahingehend zu schützen. Worum sie sich - nicht nur betrachtet im Lichte der jüngsten Datenschutzverletzungen - allerdings sehr wohl kümmern sollten. In Abwandlung eines alten Zitat aus der IT-Sicherheit gibt es nur zwei Sorten von Unternehmen: diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es nicht wissen.

In einem jüngst im Harvard Business Review veröffentlichten Artikel hat der Autor eine überzeugende These geliefert warum das so sein könnte: „ (...) selbst die jüngst bekannt gewordenen Datenschutzverletzungen haben sich nur in verschwindend geringem Ausmaß auf die Aktienkurse der Unternehmen ausgewirkt.“ Vielleicht sind Aktionäre wirklich weitgehend empfindungslos, was die Auswirkungen von Datenschutzverletzungen anbelangt. Die Autoren vermuten das eigentliche Problem aber woanders. Es seien vor allem die langfristigen Auswirkungen, die es zu bedenken gilt, wenn vertrauliche Daten gestohlen oder Wissenskapital abgezogen worden ist. Aber Rufschädigungen und der Einfluss auf das Markenimage als solches lassen sich nur schwer exakt messen und quantifizieren. Das Resultat? Aktionäre neigen dazu nur auf das zu reagieren, was sie direkt betrifft wie beispielsweise Kosten für Rechtsstreitigkeiten oder direkte Auswirkungen auf die Profitabilität eines Unternehmens.

Was aber kann man tun, um diese kurzfristige Sicht der Dinge zu verändern? Führungskräfte, die im Sinne ihrer Aktienanteilseigner handeln sollten anfangen, die richtigen Fragen zu stellen. Und sie sollten sich informiert halten, was aktuelle Entwicklungen anbelangt. Im Wesentlichen sollten Führungskräfte sich drei grundlegende Fragen stellen:

  1. Wenn es zu einer Datenschutzverletzung kommt, in welchen Bereichen und wann wird sie sich auf die Bilanz des Unternehmens auswirken? Vorstände müssen sich darüber im klaren sein, dass eine Datenschutzverletzung schwerwiegende, langfristige Auswirkungen haben kann. Selbst wenn der Aktienpreis selbst zunächst nur minimal in Mitleidenschaft gezogen wird. Das können Kosten sein, die mit anfallenden Rechtstreitigkeiten verbunden sind, Bußgelder auf Landes- oder Bundesebene, kostenintensive Sicherheits-Upgrades und Umsatzrückgänge infolge eines entstandenen Imageschadens.

    Ein Beispiel liefert die US-amerikanische Handelskette Target. Nach der spektakulären Datenschutzverletzung stieg der Aktienpreis sogar an. Trotzdem schlugen die Kosten für die notwendig gewordenen Sicherheits-Upgrades am Ende mit über 100 Millionen US-Dollar zu Buche. „Das Unternehmen verlor insgesamt etwa 236 Millionen US-Dollar. Kosten, die direkt in Verbindung mit der Datenschutzverletzung entstanden sind. 90 Millionen konnten über Versicherungen verrechnet und gedeckt werden. Ein Richter entschied jüngst, dass Target sich dem Vorwurf der Fahrlässigkeit stellen müsse. Und zwar gegenüber Banken, Kreditgenossenschaften und Verbrauchern inwieweit der Datenschutzvorfall aus dem Jahr 2013 auch hätte verhindert werden können. Auf die Aussage, dass Target mit zivilrechtlichen Klagen rechnen müsse, reagierte die Börse mit einem Verlust von 0,3 % bei den Target-Aktien. Verschiedene Banken machen Target den Vorwurf, dass die Fahrlässigkeit des Unternehmens sie 10-fache Millionenbeträge gekostet habe.“ 
     
  2. Wo liegen die „Kronjuwelen“ und wie sicher sind sie wirklich? Ja, nicht wenige Firmen fokussieren sich beim Thema IT-Sicherheit auf die Netzwerkgrenzen. Die Wahrheit ist, dass es keine 100-prozentig effektive Perimeter-Sicherheit gibt und geben kann. Was Unternehmen wirklich brauchen sind Sicherheitslösungen und Methoden, die Angreifer erkennen und stoppen, auch dann, wenn die schon innerhalb des Netzwerks sind. Diese Lösungen werden gemeinhin unter dem Sammelbegriff User Behavior Analytics (UBA), also eine Analyse des Benutzerverhaltens, zusammengefasst. UBA sind so etwas wie eine zweite Verteidigungslinie. Sie etablieren Basiswerte für ein als normal definiertes Verhalten in Bezug auf sämtliche Dateiaktivitäten innerhalb einer bestimmten Umgebung. Und auf genau dieses Verhalten hin werden alle Server kontinuierlich überwacht.

    Treten dann Abweichungen von dem als normal definierten Verhalten auf, informiert ein Alarm die IT-Abteilung, die dann sofort reagieren kann. Ein Beispiel für eine solche Aktivität ist das massenhafte Kopieren von Wissenskapital, um es anschließend aus dem Unternehmen heraus zu schleusen. Werfen wir einen Blick auf den OPM Breach, der in vielerlei Hinsicht exemplarisch verlaufen ist. Die US-CERT stellte zahlreiche Mängel in der zentralisierten Logging-Strategie fest: „Die Lücken innerhalb der Logging-Fähigkeiten hatten einige schwerwiegende Folgen. So war es OPM nicht möglich wichtige forensische Fragen und Fragen zur Einschätzung des Bedrohungsumfangs in Zusammenhang mit dem 2014 aufgedeckten Datenschutzvorfall zu beantworten. Das limitierte von vorneherein die Fähigkeit die Datenschutzverletzungen frühzeitig aufzudecken und nicht erst wie geschehen im Juni beziehungsweise Juli 2015.“ Was die Analyse dieses Datenschutzvorfalls überdeutlich zeigt: Traditionelle Sicherheitslösungen und Maßnahmen haben eine große Schwachstelle, wenn es sich um Insiderbedrohungen handelt. Jeff Wagner, OPM Director of IT Security Operations, räumte ein, dass sich OPM sehr stark auf Sicherheitsmaßnahmen an der Netzwerkgrenze konzentriert habe, aber keine Technologie einsetzte, die in der Lage war, den Vorfall frühzeitig zu erkennen und Angreifer zu stoppen, die sich bereits im Inneren des Netzwerks befinden.
     
  3. Wer fungiert in unserem Unternehmen als CISO oder CIO und hat er oder sie ausreichende Ressourcen zur Verfügung, die der aktuellen Bedrohungslandschaft entsprechen? Wohl in den allermeisten Unternehmen sind IPs, Geschäftsgeheimnisse, vertrauliche Informationen deutlich wertvoller als die damit verbundenen Kosten für den Datenschutz. Inzwischen sollte es selbstverständlich sein, die betreffenden Abteilungen mit entsprechenden Ressourcen und Sicherheitsbudgets auszustatten. In der diesjährigen Deloitte-National Association of State Chief Information Officers (NASCIO) Cybersecurity Study 2016, gaben 80 % der Befragten an, dass nicht ausreichende Budgets eine der Haupthürden seien, wenn es darum geht, adäquat auf Cyberbedrohungen zu reagieren. Für Vorstände sollte das ein deutliches Signal sein, die Prioritäten neu zu setzen und dem Führungspersonal die notwendigen finanziellen Ressourcen an die Hand zu geben.

www.varonis.com

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet