Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

AUTOMATE IT 2017
28.09.17 - 28.09.17
In Darmstadt

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

3. Esslinger Forum: Das Internet der Dinge
17.10.17 - 17.10.17
In Esslingen

Transformation World
19.10.17 - 20.10.17
In Heidelberg

Viele haben versucht, den durch Cyberkriminalität entstandenen Schaden zu beziffern. 

Die diesjährige Information Security Breaches Survey der Britische Regierung, zusammen mit PWC, schätzt den Schaden eines typischen Cyberangriffs auf eine grössere Organisation auf zwischen £600.000 - £1.2 Millionen Pfund – Tendenz steigend. Sicherheitsanbieter McAfee geht noch weiter und veröffentlichte kürzlich Forschungsergebnisse die besagen, dass der globalen Wirtschaft durch Cyberkriminalität jährlich ein Schaden von mehr als 400 Milliarden USD entsteht. Dies ist ohne Zweifel ein gewaltiger Betrag – doch kann man diesen Zahlen auch wirklich trauen? Cyberkriminalität ist ein Problem, dessen Bedrohung von Jahr zu Jahr offensichtlicher wird. Kann es sein, wir in ein paar Jahren zurückblicken und feststellen werden, dass es sich bei diesen Zahlen nur um die Spitze des Cybercrime-Eisbergs gehandelt hat?

Die Suche nach der Dunkelziffer

Die von McAfee veröffentlichten Zahlen wurden anhand des von dem Unternehmen geführten CSIS (Centre for Strategic and International Studies) ermittelt – so wurden die 2013 aufgetretenen bekannten Datenpannen analysiert und anhand von bestimmten Kriterien beziffert, um den gesamten Schaden für die globale Wirtschaft zu ermitteln. Zahlreiche Sicherheitsexperten haben die Vermutungen der CSIS in Frage gestellt und der Organisation angesichts des Schätzungsbereichs von 375 bis 575 Milliarden USD unterstellt, dass eventuell eher nach dem „Pi-mal-Daumen-Prinzip“ als nach strengen statistischen Regeln vorgegangen wurde. Dennoch ist die Suche nach einer Methode, die hilft, bekannte Datenpannen quantitativ zu bestimmen und die Dunkelziffer abzuleiten durchaus wichtig, um das wirkliche Ausmass des Problems erkennen und angreifen zu können.

Die Diskussion über die korrekte Berechnungsmethode für den durch Cyberkriminalität verursachten Schaden gleicht der Debatte über globale Erwärmung. Beide beziehen sich weitgehend nicht auf exakte, wissenschaftlich ermittelte Werte, sondern mehr auf das Gefühl, dass etwas grundsätzlich schief läuft. Um weitere Datenpunkte für zukünftige Berichte mit genaueren statistischen Werten zu erhalten, ist die Forschungsindustrie darauf angewiesen, dass mehr Unternehmen ihre Datenpannen publik machen. Ebenfalls ist es wichtig, dass höhere Investitionen in neue Sicherheitslösungen getätigt werden, um unbekannte Pannen zu minimieren. Interessanterweise könnte die Hilfe von ungeahnter Seite kommen. 

Transparenz als Schlüssel

In den letzten drei Jahren konnte Proofpoint einen entscheidenden Anstieg hochentwickelter Cyberangriffe verzeichnen. Die meisten Angriffe beginnen mit gezielten Spear Phishing- und Longlining-E-Mails, die sowohl für Sicherheitssoftware als auch für Benutzer den Anschein erwecken, dass die E-Mails echt sind, und die nicht erahnen lassen, dass die Links auf gefährliche Websites verweisen. Unsere Teams in Europa werden zunehmend direkt von Unternehmensmitarbeitern gefragt, wie wir Spear Phishing und Longlining blockieren und polymorphe Malware erkennen können. Wenn wir jedoch die Gegenfrage stellen, ob derartige Angriffe in den Unternehmen bereits zum Thema geworden sind, erhalten wir meist nur ausweichende Antworten. Nur zu oft werden Datenpannen gegenüber Regulierungsbehörden und Kunden verschwiegen. 

Nach der derzeitigen EU-Gesetzgebung können Unternehmen, die Datenpannen verschweigen, zu einer Geldstrafe verurteilt werden, die jedoch aktuell maximal bei „nur“ ca. 623.000 Euro liegt. Deshalb gehen viele Unternehmen das Risiko ein und verschweigen Datenpannen. Nach vollständiger Einführung der EU-Datenschutzreform 2017/2018 werden jedoch ganz andere Geldstrafen verhängt. Die neuen Geldstrafen sind wesentlich empfindlicher und liegen bei 100 Millionen Euro oder 5 Prozent vom globalen Umsatz, je nachdem, welcher Wert höher ist. Durch diese hohen Geldstrafen wird für die Unternehmen das Risiko zu hoch, weil im Falle einer Entdeckung akute Insolvenzgefahr besteht.

Für die Zukunft gewappnet

Die EU möchte durch Verhängung hoher Geldstrafen die Führungskräfte motivieren, die Sicherheit und den Datenschutz in ihren Unternehmen zu verbessern. Bei Proofpoint sehen wir bereits jetzt, dass sich viele Unternehmen zunehmend auf die bevorstehende Änderung vorbereiten. Wir werden in letzter Zeit immer häufiger gebeten, Auditergebnisse zu gezielten Angriffen direkt der Unternehmensleitung vorzulegen, weil sich Vorstände zunehmend für bislang unbekannte Cyberrisiken interessieren. Dank der Sensibilisierung im Vorstandsbereich werden nun höhere Sicherheitsbudgets genehmigt. Außerdem werden zunehmend neue Technologien geprüft, die Predictive Defence und die nachträgliche Erkennung mithilfe von Big Data-Analysen zur Verfügung stellen und in automatisierte eingreifende Funktionen integriert sind. Die stetige Weiterentwicklung und weitläufigere Implementierung dieser Technologien sollte uns in Zukunft nicht nur ein klareres Bild des Ausmaßes der Cyberkriminalität geben – es wird auch die Schutzmassnahmen und Bekämpfung dieser Attacken um ein Vielfaches erleichtern und beschleunigen.

Von Jürgen Venhorst, Director Mid Enterprise & Channel EMEA bei Proofpoint 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet