SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Eisberg OnlineViele haben versucht, den durch Cyberkriminalität entstandenen Schaden zu beziffern. 

Die diesjährige Information Security Breaches Survey der Britische Regierung, zusammen mit PWC, schätzt den Schaden eines typischen Cyberangriffs auf eine grössere Organisation auf zwischen £600.000 - £1.2 Millionen Pfund – Tendenz steigend. Sicherheitsanbieter McAfee geht noch weiter und veröffentlichte kürzlich Forschungsergebnisse die besagen, dass der globalen Wirtschaft durch Cyberkriminalität jährlich ein Schaden von mehr als 400 Milliarden USD entsteht. Dies ist ohne Zweifel ein gewaltiger Betrag – doch kann man diesen Zahlen auch wirklich trauen? Cyberkriminalität ist ein Problem, dessen Bedrohung von Jahr zu Jahr offensichtlicher wird. Kann es sein, wir in ein paar Jahren zurückblicken und feststellen werden, dass es sich bei diesen Zahlen nur um die Spitze des Cybercrime-Eisbergs gehandelt hat?

Die Suche nach der Dunkelziffer

Die von McAfee veröffentlichten Zahlen wurden anhand des von dem Unternehmen geführten CSIS (Centre for Strategic and International Studies) ermittelt – so wurden die 2013 aufgetretenen bekannten Datenpannen analysiert und anhand von bestimmten Kriterien beziffert, um den gesamten Schaden für die globale Wirtschaft zu ermitteln. Zahlreiche Sicherheitsexperten haben die Vermutungen der CSIS in Frage gestellt und der Organisation angesichts des Schätzungsbereichs von 375 bis 575 Milliarden USD unterstellt, dass eventuell eher nach dem „Pi-mal-Daumen-Prinzip“ als nach strengen statistischen Regeln vorgegangen wurde. Dennoch ist die Suche nach einer Methode, die hilft, bekannte Datenpannen quantitativ zu bestimmen und die Dunkelziffer abzuleiten durchaus wichtig, um das wirkliche Ausmass des Problems erkennen und angreifen zu können.

Die Diskussion über die korrekte Berechnungsmethode für den durch Cyberkriminalität verursachten Schaden gleicht der Debatte über globale Erwärmung. Beide beziehen sich weitgehend nicht auf exakte, wissenschaftlich ermittelte Werte, sondern mehr auf das Gefühl, dass etwas grundsätzlich schief läuft. Um weitere Datenpunkte für zukünftige Berichte mit genaueren statistischen Werten zu erhalten, ist die Forschungsindustrie darauf angewiesen, dass mehr Unternehmen ihre Datenpannen publik machen. Ebenfalls ist es wichtig, dass höhere Investitionen in neue Sicherheitslösungen getätigt werden, um unbekannte Pannen zu minimieren. Interessanterweise könnte die Hilfe von ungeahnter Seite kommen. 

Transparenz als Schlüssel

In den letzten drei Jahren konnte Proofpoint einen entscheidenden Anstieg hochentwickelter Cyberangriffe verzeichnen. Die meisten Angriffe beginnen mit gezielten Spear Phishing- und Longlining-E-Mails, die sowohl für Sicherheitssoftware als auch für Benutzer den Anschein erwecken, dass die E-Mails echt sind, und die nicht erahnen lassen, dass die Links auf gefährliche Websites verweisen. Unsere Teams in Europa werden zunehmend direkt von Unternehmensmitarbeitern gefragt, wie wir Spear Phishing und Longlining blockieren und polymorphe Malware erkennen können. Wenn wir jedoch die Gegenfrage stellen, ob derartige Angriffe in den Unternehmen bereits zum Thema geworden sind, erhalten wir meist nur ausweichende Antworten. Nur zu oft werden Datenpannen gegenüber Regulierungsbehörden und Kunden verschwiegen. 

Nach der derzeitigen EU-Gesetzgebung können Unternehmen, die Datenpannen verschweigen, zu einer Geldstrafe verurteilt werden, die jedoch aktuell maximal bei „nur“ ca. 623.000 Euro liegt. Deshalb gehen viele Unternehmen das Risiko ein und verschweigen Datenpannen. Nach vollständiger Einführung der EU-Datenschutzreform 2017/2018 werden jedoch ganz andere Geldstrafen verhängt. Die neuen Geldstrafen sind wesentlich empfindlicher und liegen bei 100 Millionen Euro oder 5 Prozent vom globalen Umsatz, je nachdem, welcher Wert höher ist. Durch diese hohen Geldstrafen wird für die Unternehmen das Risiko zu hoch, weil im Falle einer Entdeckung akute Insolvenzgefahr besteht.

Für die Zukunft gewappnet

Die EU möchte durch Verhängung hoher Geldstrafen die Führungskräfte motivieren, die Sicherheit und den Datenschutz in ihren Unternehmen zu verbessern. Bei Proofpoint sehen wir bereits jetzt, dass sich viele Unternehmen zunehmend auf die bevorstehende Änderung vorbereiten. Wir werden in letzter Zeit immer häufiger gebeten, Auditergebnisse zu gezielten Angriffen direkt der Unternehmensleitung vorzulegen, weil sich Vorstände zunehmend für bislang unbekannte Cyberrisiken interessieren. Dank der Sensibilisierung im Vorstandsbereich werden nun höhere Sicherheitsbudgets genehmigt. Außerdem werden zunehmend neue Technologien geprüft, die Predictive Defence und die nachträgliche Erkennung mithilfe von Big Data-Analysen zur Verfügung stellen und in automatisierte eingreifende Funktionen integriert sind. Die stetige Weiterentwicklung und weitläufigere Implementierung dieser Technologien sollte uns in Zukunft nicht nur ein klareres Bild des Ausmaßes der Cyberkriminalität geben – es wird auch die Schutzmassnahmen und Bekämpfung dieser Attacken um ein Vielfaches erleichtern und beschleunigen.

Von Jürgen Venhorst, Director Mid Enterprise & Channel EMEA bei Proofpoint 

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet