Schlüsselfragen an Vorstand und Geschäftsführung in Sachen Cybersicherheit

Dass Datenschutzverletzungen ziemlich teuer werden können, hat sich inzwischen herumgesprochen. Wie teuer genau? Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund...
Carl Groves
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Dass Datenschutzverletzungen ziemlich teuer werden können, hat sich inzwischen herumgesprochen. Wie teuer genau? Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund 4 Millionen US-Dollar.

Trotz dieser erschreckenden Zahl sind bei weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet ihre finanziellen Interessen dahingehend zu schützen. Worum sie sich – nicht nur betrachtet im Lichte der jüngsten Datenschutzverletzungen – allerdings sehr wohl kümmern sollten. In Abwandlung eines alten Zitat aus der IT-Sicherheit gibt es nur zwei Sorten von Unternehmen: diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es nicht wissen.

In einem jüngst im Harvard Business Review veröffentlichten Artikel hat der Autor eine überzeugende These geliefert warum das so sein könnte: „ (…) selbst die jüngst bekannt gewordenen Datenschutzverletzungen haben sich nur in verschwindend geringem Ausmaß auf die Aktienkurse der Unternehmen ausgewirkt.“ Vielleicht sind Aktionäre wirklich weitgehend empfindungslos, was die Auswirkungen von Datenschutzverletzungen anbelangt. Die Autoren vermuten das eigentliche Problem aber woanders. Es seien vor allem die langfristigen Auswirkungen, die es zu bedenken gilt, wenn vertrauliche Daten gestohlen oder Wissenskapital abgezogen worden ist. Aber Rufschädigungen und der Einfluss auf das Markenimage als solches lassen sich nur schwer exakt messen und quantifizieren. Das Resultat? Aktionäre neigen dazu nur auf das zu reagieren, was sie direkt betrifft wie beispielsweise Kosten für Rechtsstreitigkeiten oder direkte Auswirkungen auf die Profitabilität eines Unternehmens.

Was aber kann man tun, um diese kurzfristige Sicht der Dinge zu verändern? Führungskräfte, die im Sinne ihrer Aktienanteilseigner handeln sollten anfangen, die richtigen Fragen zu stellen. Und sie sollten sich informiert halten, was aktuelle Entwicklungen anbelangt. Im Wesentlichen sollten Führungskräfte sich drei grundlegende Fragen stellen:

1. Wenn es zu einer Datenschutzverletzung kommt, in welchen Bereichen und wann wird sie sich auf die Bilanz des Unternehmens auswirken?

Vorstände müssen sich darüber im klaren sein, dass eine Datenschutzverletzung schwerwiegende, langfristige Auswirkungen haben kann. Selbst wenn der Aktienpreis selbst zunächst nur minimal in Mitleidenschaft gezogen wird. Das können Kosten sein, die mit anfallenden Rechtstreitigkeiten verbunden sind, Bußgelder auf Landes- oder Bundesebene, kostenintensive Sicherheits-Upgrades und Umsatzrückgänge infolge eines entstandenen Imageschadens. Ein Beispiel liefert die US-amerikanische Handelskette Target. Nach der spektakulären Datenschutzverletzung stieg der Aktienpreis sogar an. Trotzdem schlugen die Kosten für die notwendig gewordenen Sicherheits-Upgrades am Ende mit über 100 Millionen US-Dollar zu Buche. „Das Unternehmen verlor insgesamt etwa 236 Millionen US-Dollar. Kosten, die direkt in Verbindung mit der Datenschutzverletzung entstanden sind. 90 Millionen konnten über Versicherungen verrechnet und gedeckt werden. Ein Richter entschied jüngst, dass Target sich dem Vorwurf der Fahrlässigkeit stellen müsse. Und zwar gegenüber Banken, Kreditgenossenschaften und Verbrauchern inwieweit der Datenschutzvorfall aus dem Jahr 2013 auch hätte verhindert werden können. Auf die Aussage, dass Target mit zivilrechtlichen Klagen rechnen müsse, reagierte die Börse mit einem Verlust von 0,3 % bei den Target-Aktien. Verschiedene Banken machen Target den Vorwurf, dass die Fahrlässigkeit des Unternehmens sie 10-fache Millionenbeträge gekostet habe.“ 1

2. Wo liegen die „Kronjuwelen“ und wie sicher sind sie wirklich?

Ja, nicht wenige Firmen fokussieren sich beim Thema IT-Sicherheit auf die Netzwerkgrenzen. Die Wahrheit ist, dass es keine 100-prozentig effektive Perimeter-Sicherheit gibt und geben kann. Was Unternehmen wirklich brauchen sind Sicherheitslösungen und Methoden, die Angreifer erkennen und stoppen, auch dann, wenn die schon innerhalb des Netzwerks sind. Diese Lösungen werden gemeinhin unter dem Sammelbegriff User Behavior Analytics (UBA), also eine Analyse des Benutzerverhaltens, zusammengefasst. UBA sind so etwas wie eine zweite Verteidigungslinie. Sie etablieren Basiswerte für ein als normal definiertes Verhalten in Bezug auf sämtliche Dateiaktivitäten innerhalb einer bestimmten Umgebung. Und auf genau dieses Verhalten hin werden alle Server kontinuierlich überwacht. Treten dann Abweichungen von dem als normal definierten Verhalten auf, informiert ein Alarm die IT-Abteilung, die dann sofort reagieren kann. Ein Beispiel für eine solche Aktivität ist das massenhafte Kopieren von Wissenskapital, um es anschließend aus dem Unternehmen heraus zu schleusen. Werfen wir einen Blick auf den OPM Breach, der in vielerlei Hinsicht exemplarisch verlaufen ist. Die US-CERT stellte zahlreiche Mängel in der zentralisierten Logging-Strategie fest: „Die Lücken innerhalb der Logging-Fähigkeiten hatten einige schwerwiegende Folgen. So war es OPM nicht möglich wichtige forensische Fragen und Fragen zur Einschätzung des Bedrohungsumfangs in Zusammenhang mit dem 2014 aufgedeckten Datenschutzvorfall zu beantworten. Das limitierte von vorneherein die Fähigkeit die Datenschutzverletzungen frühzeitig aufzudecken und nicht erst wie geschehen im Juni beziehungsweise Juli 2015.“ Was die Analyse dieses Datenschutzvorfalls überdeutlich zeigt: Traditionelle Sicherheitslösungen und Maßnahmen haben eine große Schwachstelle, wenn es sich um Insiderbedrohungen handelt. Jeff Wagner, OPM Director of IT Security Operations, räumte ein, dass sich OPM sehr stark auf Sicherheitsmaßnahmen an der Netzwerkgrenze konzentriert habe, aber keine Technologie einsetzte, die in der Lage war, den Vorfall frühzeitig zu erkennen und Angreifer zu stoppen, die sich bereits im Inneren des Netzwerks befinden.

3. Wer fungiert in unserem Unternehmen als CISO oder CIO und hat er oder sie ausreichende Ressourcen zur Verfügung, die der aktuellen Bedrohungslandschaft entsprechen?

Wohl in den allermeisten Unternehmen sind IPs, Geschäftsgeheimnisse, vertrauliche Informationen deutlich wertvoller als die damit verbundenen Kosten für den Datenschutz. Inzwischen sollte es selbstverständlich sein, die betreffenden Abteilungen mit entsprechenden Ressourcen und Sicherheitsbudgets auszustatten. In der diesjährigen Deloitte-National Association of State Chief Information Officers (NASCIO) Cybersecurity Study 2016, gaben 80 % der Befragten an, dass nicht ausreichende Budgets eine der Haupthürden seien, wenn es darum geht, adäquat auf Cyberbedrohungen zu reagieren. Für Vorstände sollte das ein deutliches Signal sein, die Prioritäten neu zu setzen und dem Führungspersonal die notwendigen finanziellen Ressourcen an die Hand zu geben.

1 https://hbr.org/2015/03/why-data-breaches-dont-hurt-stock-prices

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

56-statistiken-über-datenschutzverletzungen,-die-sie-für-das-jahr-2020-kennen-müssen
56 Statistiken über Datenschutzverletzungen, die Sie für das Jahr 2020 kennen müssen
Datenschutzverletzungen werden größer, Hacker werden geschickter und die Menge kompromittierter Daten wird bedauerlicherweise immer größer. Ein kurzer Blick auf die Trends bei Datenschutzverletzungen zeigt, dass Hacker vor allem des Geldes...
98-wichtige-statistiken-zu-datenschutzverletzungen-[2022]
98 wichtige Statistiken zu Datenschutzverletzungen [2022]
Diese Statistiken zu Datenschutzverletzungen aus dem Jahr 2022 befassen sich mit Risiken, Kosten, Präventionsmaßnahmen und mehr. Lesen und analysieren Sie diese Statistiken, um selbst Datenschutzverletzungen zu verhindern.
die-anatomie-einer-datenschutzverletzung:-das-beispiel-sony
Die Anatomie einer Datenschutzverletzung: Das Beispiel Sony
Sogenannte „Threat Models“ basieren auf der Analyse des Benutzerverhaltens. Sie orientieren sich dabei am typischen Lebenszyklus einer Datenschutzverletzung auch als „Kill Chain“ bezeichnet. Ziel solcher weitgehend automatisiert ablaufender Modelle ist...
98-wichtige-statistiken-zu-datenschutzverletzungen-für-2021
98 wichtige Statistiken zu Datenschutzverletzungen für 2021
Diese Statistiken zu Datenschutzverletzungen für 2021 behandeln Risiken, Kosten, Prävention und mehr – bewerten und analysieren Sie diese Statistiken, um Ihren Schutz vor Sicherheitsvorfällen zu unterstützen.