Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Panama PapersRücktritte, Ermittlungsverfahren, Imageschäden – Vorstände, Aufsichtsräte und Regierungsspitzen sind betroffen. Der Fall der „Panama Papers“ zeigte auf, dass Führungspersönlichkeiten nicht nur im Falle von IT-Sicherheitslücken im eigenen Unternehmen oder Wirkungsbereich Konsequenzen für die eigene Person befürchten müssen.

Im Zweifelsfall werden sie auch von einer Welle erfasst, die von ihren Dienstleistern ausgeht. Die zentrale Frage, die sich daher derzeit in den Führungsetagen stellt: Wie kann einem Szenario „Panama Papers 2“ bestmöglich vorgebeugt werden?

„Für die physische Sicherheit von streng geheimen Dokumenten gibt es längst nachvollziehbare Prozesse. Das Verstauen in Tresoren oder Bankschließfächern und die Überwachung mit Alarmanlagen sind gängige und akzeptierte Möglichkeiten. Vergleichbare Maßnahmen der IT-Sicherheit bei Dienstleistern, die hochsensible Daten Dritter auf ihren IT-Systemen speichern, fehlen heute in einem bedenklichen Ausmaß“, so Christian Polster, Chief Strategy Officer bei RadarServices, einem Anbieter für kontinuierliches IT Security Monitoring.

Das Risikomanagement - vor allem das der Klienten von Kanzleien und anderen Dienstleistern - hat eine neue Aufgabe zu lösen.

Wer gehört zu den „engsten Vertrauten“?

Nicht nur Rechtsanwälte sind von Berufswegen her zu strengster Vertraulichkeit verpflichtet, die grundsätzlich auch die digitale Datenverarbeitung umschließen sollte. Unter anderem arbeiten auch Wirtschaftsprüfer, Steuerberater, Beratungsunternehmen und Börsen mit streng geheimen Daten Dritter, die für Angreifer aus finanziellen oder ideologischen Motiven sehr interessant sein können.

Was sind die größten Gefahren für Klienten?

Grundsätzlich ist das gesamte Spektrum an Angriffsgruppen und Angriffsarten auf IT-Systeme von Dienstleistern relevant. Die Gefahrenpotentiale für ihre Klienten liegen jedoch besonders im Bereich von Insider Threats, also mutwilligen oder unbewusst herbeigeführten Schäden durch Mitarbeiter, und externen Netzwerkzugriffen von professionell organisierten Hackern.

Derartige gezielten Angriffe gehen von Personen oder Personengruppen mit Fachwissen über die entwendeten Daten und Dokumente, ihre weitere Verwertung und/oder ihre Vermarktung aus. Sie haben im Regelfall eine Strategie oder einen Auftrag und führen so zu weitreichenden Auswirkungen wie im Fall Panama Papers.

So können Angreifer zum Beispiel auch einen erheblichen Nutzen aus der Entwendung von streng geheimen Finanzdaten gelisteter Unternehmen ziehen. Zahlreiche solcher wertvollen Daten werden zwischen Klienten und Dienstleistern unter anderem im Rahmen von Akquisitionen, Unternehmenszusammenschlüssen oder zentralen Veränderungen in der Investorenbasis ausgetauscht. Besteht bei einer beteiligten Partei ein Datenleck und werden Informationen vor der offiziellen Veröffentlichung bekannt, ziehen Angreifer oder ihre Auftraggeber erhebliche finanzielle Vorteile oder können mit einer Vorabveröffentlichung große Geschäfte platzen lassen.

Wie können sich Klienten schützen?

Im ersten Schritt müssen Klienten den Kreis ihrer derzeitigen „engsten Vertrauten“ genau prüfen. Dazu sollte zumindest ein Basis-IT-Sicherheitscheck mit jedem dieser Dienstleister durchgeführt werden. Die folgenden 5 Fragen sollten IT-Sicherheitsexperten der Klienten abfragen:

  • Wie werden gespeicherte Daten geschützt, wie wird im besonderen deren Austausch verschlüsselt, wer hat Zugriff auf unsere Daten und wie wird die Zuverlässigkeit dieser Personen und ihres Umgangs mit unseren Daten sichergestellt?
  • Wie werden moderne, gezielte Angriffe auf die IT zeitnah erkannt?
  • Wie wird die laufende Sicherheitsüberprüfung der gesamten IT-Infrastruktur durchgeführt, welche Informationen werden dabei berücksichtigt, welche Risikoerkennungswerkzeuge sind im Einsatz und in welchen regelmäßigen Abständen werden die Ergebnisse dieser Werkzeuge von Experten ausgewertet?
  • Wie wird überprüft, ob Risikobehebungsmaßnahmen tatsächlich erfolgreich waren und existierende Schwachstellen tatsächlich behoben?
  • Wie wird der Informationsfluss zu uns gestaltet, wenn trotz aller Sicherheitsmaßnahmen ein Risiko tatsächlich schlagend wird?

Der Basis-IT-Sicherheitscheck sollte in regelmäßigen Abständen wiederholt werden. Neu gesetzte Maßnahmen fließen so in die Risikobewertung ein, Sicherheitslücken müssen behoben werden.

Die Auswahl von Dienstleistern für eine zukünftige Zusammenarbeit sollte standardmäßig auf einer umfassenden Präsentation über ihre IT-Sicherheit und deren faktischer Überprüfung durch interne Spezialisten eines potentiellen Klienten oder von ihm beauftragten externen Experten basieren.

Schlussendlich gehört in jedem Falle die Vereinbarung eines Notfallplans inklusive Ansprechpartnern seitens des Dienstleisters und des Klienten genauso wie die Festlegung von Top-Risikoszenarien dazu, bei deren Eintritt eine zeitnahe, verpflichtende Meldung vom Dienstleister zum Klienten zu erfolgen hat.

„Die Sensibilität für das Thema IT-Sicherheit ist seit dem Fall „Panama Papers“ sowohl seitens der Klienten als auch der Dienstleister immens gestiegen, denn keine der beiden Seiten möchte eines Tages adhoc so im Mittelpunkt des internationalen Interesses stehen. Ein guter IT-Sicherheitsverantwortlicher ist deshalb heute mindestens genauso wichtig wie ein guter Anwalt“, so Polster abschließend.

www.radarservices.com

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet