Herunterladen
Teilen
Stefano Pelagatti
Head of Organisation & ICT President, BPS (Suisse)

Warum eine reaktive Cyber-Sicherheitsstrategie in Ihrem Unternehmen nicht mehr ausreicht

Im ersten Halbjahr 2017 wurden weltweit 918 Datenverstöße gemeldet - durchschnittlich ein Datenverstoß pro Tag1. Von namhaften multinationalen Konzernen wie Equifax, welches 20172 zum größten einzelnen Datenverstoß wurde und Facebook, welches über eine Persönlichkeits-App3, einen Datenverstoß von 87 Millionen Nutzern erlitt, bis hin zum Hacking der Europäischen Zentralbank4, scheint keine Organisation immun gegen Cyber-Sicherheitsrisiken zu sein. Cyber-Sicherheit und Datenschutz müssen für jedes Unternehmen weltweit oberste Priorität haben. Gartner berichtet, dass da die Cloud-Sicherheit zu einer der wichtigsten Prioritäten in Unternehmen wird, der Fokus von Schutz und Prävention auf Erkennung, Reaktion und Behebung verlagert werden muss, was zu einem Wandel im Sicherheitsmanagement führt5.

Mit dem vor kurzem in Kraft getretenen GDPR werden die Kosten dieser Verstöße stark erhöht, sowohl bei der Ausdehnung auf Organisationen außerhalb der Grenzen Europas als auch bei den monetären Kosten.

Es ist heute wichtiger denn je, dass europäische Organisationen, sowohl die C-Suite als auch der Vorstand verstehen, diese zunehmend bedrohlichen und kostspieligen Cyber-Bedrohungen richtig zu erkennen und darauf zu reagieren.


Die zunehmend bedrohte Cyber-Sicherheitslandschaft

In der Cyber-Sicherheits- und Datenschutzlandschaft hat Europa seine ganz eigenen Herausforderungen. Nach Angaben der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) nimmt die Komplexität von Cyberangriffen zu. Dies gilt insbesondere im Hinblick auf die Anonymität digitaler Währungen und anderer Infrastrukturen, die Verschlüsselung- und Erkennungsumgehung bieten. Wie bei den Ransomwareangriffen der HSBC sind diese Hacker6, von denen viele staatlich geförderte Akteure sind, in erster Linie durch Geldmittel motiviert7.

Die größte Bedrohung für europäische Organisationen im Jahr 2017 war Malware. Obwohl die Häufigkeit mobiler Malware-Angriffe von 1,5 Millionen im dritten Quartal 2016 auf 1,3 Millionen im ersten und zweiten Quartal 2017 zurückgegangen ist, berichten Experten, dass diese Angriffe raffinierter geworden sind, was wiederum zu mehr Schaden führte. Beispielsweise hat sich Malware inzwischen sowohl auf Mac- als auch auf Linux-Betriebssysteme ausgebreitet und kann sich nun ohne Benutzereingriff verbreiten8. Fileless-Malware wurde in osteuropäischen Banken entdeckt, die sich erfolgreich der Erkennung entzogen haben9. Europäische Organisationen, insbesondere im Finanzsektor, haben nicht nur mit Sicherheitsteams innerhalb der Organisation reagiert, sondern auch mit externen Teams, die ihre Effektivität gegen Hacks erprobt haben10.

Webbasierte- und Webanwendungsangriffe waren die zweit- und dritthäufigste Bedrohung, gefolgt von Phishing, wobei sich Phishing über E-Mail hinaus auch auf Social Media und SMS (Smishing) und Sprachkommunikation (Vishing)11 ausgeweitet hat. Alle diese Bedrohungen nehmen laut ENISA-Bericht seit letztem Jahr zu.

Wie können Unternehmen diese Cyber-Bedrohungen entschärfen, da Datenverstöße so schnell nicht vollständig verschwinden werden?


Die harten Lektionen, die UniCredit SpA und Sony PlayStation gelernt haben

Der europäische Privatsektor und insbesondere das Bankwesen haben leider aus der Erfahrung gelernt, wie man Datenverstöße mildern kann. Die führende italienische Bank, UniCredit SpA, erlitt im vergangenen Jahr einen der größten Datenverstöße in der europäischen Bankensicherheit und erhielt über einen Drittanbieter unberechtigten Zugriff auf Daten von über 400.000 Kundenkonten12

Sie reagierten darauf mit einer zügigen Aktualisierung ihres IT-Systems und stellten dafür über € 2,3 Milliarden bereit. Über die Reaktion hinaus konnten sie auch feststellen, dass der Datenbruch nach einem Wechsel im Management erfolgte13. Dies betont die Bedeutung einer kohärenten Daten- und Sicherheitsstrategie zu jeder Zeit. Obwohl UniCredit keinen finanziellen Schaden geltend machte14, hatten andere Organisationen nicht so viel Glück. Bei Sony's PlayStation Network wurden im Jahr 2011 über 102 Millionen Konten gehackt, was zu Sammelklagen in Höhe von 15 Millionen $ als vorläufiger Abfindung führte15. Es war einer der schlimmsten Datenverstöße in der Hacking-Geschichte16.

Neben der Neugestaltung der IT-Systeme haben die verschärften Vorschriften zumindest in Europa zu weniger Datenverstößen geführt. In den europäischen Ländern, die vor kurzem neue regulatorische Anforderungen eingeführt haben, sanken die Gesamtkosten eines Datenverstoßes im Jahr 2017 gegenüber dem Vorjahr um 26%, wobei im Jahr 2017 nur 49 Verstöße gemeldet wurden17. In den USA stiegen die durchschnittlichen Kosten einer Verletzung in diesem Jahr um 5% auf 7,35 Millionen Dollar18. In Zukunft werden diese Zahlen noch steigen: GDPR-Regelungen werden Unternehmen, die Verstöße gegen personenbezogene Daten nicht innerhalb von 72 Stunden melden, mit einer Geldstrafe von bis zu 2% des globalen Jahresumsatzes (oder €10 Millionen) bestraft, je nachdem, welcher Betrag höher ist. Dies könnte sogar rückwirkend gelten19.


Effektive Kommunikation der Datenschutzverwaltung in der C-Suite ebene

"Die Vorstände interessieren sich zunehmend für Sicherheit und Risikomanagement. Allerdings gibt es oft eine Fehlausrichtung zwischen dem, was der Vorstand wissen muss, und dem, was Sicherheits- und Risikomanagement-Führungskräfte vermitteln können.- Rob McMillan, Forschungsdirektor, Gartner


Letztendlich wird der CEO gegenüber dem Vorstand für das Management und die Umsetzung der Cyber-Sicherheitsstrategie auf organisatorischer Ebene verantwortlich gemacht. Einerseits wendet sich ein CEO an die Business Information Technology (IT) oder in größeren Organisationen an einen Chief Information Security Officer (CISO), um ihm die Informationen und Ressourcen zur Verfügung zu stellen, die er benötigt, um diese Risiken effektiv zu managen. Diese Parteien müssen sich oft mit dem Vorstand, dem Prüfungsausschuss und dem Risikomanagementausschuss abstimmen, um ihm diese Informationen zukommen zu lassen.

Die Herausforderung für den CEO besteht darin, die verschiedenen Führungsqualitäten, Kommunikationen, Projektmanagement und die Verantwortlichkeiten zu synchronisieren, um alle notwendigen Informationen effektiv zu Sammeln, die er für die Berichterstattung an den Vorstand benötigt. CISO's hingegen müssen sich selten mit einem Vorstand und Ausschüssen abstimmen, um relevante Einblicke in die besten Praktiken der Informationssicherheit und wichtige Trends im Bereich Hacking und Verteidigung zu liefern20. Ein System und ein Prozess der klaren Kommunikation zwischen verschiedenen Parteien ist daher für die Strategie des Unternehmens im Bereich der Cyber-Sicherheit unerlässlich21.

Ein weiterer Faktor, welches ein Unternehmen bei der Cyber-Sicherheitsstrategie berücksichtigen muss, ist die Rolle der IT-Abteilung. Es ist wichtig, zwischen der Verantwortung der Informationstechnologie und dem Cyber-Sicherheits- und Risikomanagement zu unterscheiden, da die IT in der Regel eher für technische als für strategische Details zuständig ist. Zum Cyber-Threat-Management gehört auch, dass Informationen außerhalb der Reichweite von Lieferanten und anderen Dritten, einschließlich Rechtsexperten, aufbewahrt werden, was laut Denton22 nicht in den Zuständigkeitsbereich der IT-Abteilung fällt. Die Beschränkung der Cyber-Sicherheit auf die IT-Abteilung hingegen kann das Budget, den Einfluss und die für ein effektives Sicherheits- und Risikomanagement erforderliche Autorität einschränken, was das gesamte Unternehmen einem höheren Risiko aussetzt, hiess es im weiterhin im gleichen Bericht23.

Letztendlich fällt der IT-Leiter in der Regel nicht unter die Führung der Geschäftsleitung. Anstatt für das Budget oder das strategische Risikomanagement verantwortlich zu sein, besteht die Aufgabe der IT darin, die Risiken aus technischer Sicht zu bewerten und sie dem Cyber Security Board oder ähnlichen Stellen innerhalb eines Unternehmens zu melden, was wiederum die Strategie und das Budget beeinflussen sollte. Es kommt alles auf die Führung der Cyber-Sicherheit für Führungskräfte und die effektive Kontrolle durch den Vorstand zurück.

Es ist daher von entscheidender Bedeutung, dass CISOs oder Chief Information Security Officers den Vorständen, dem CEO und anderen Mitgliedern des Senior-Managements potenzielle Risiken und Reaktionspläne vorlegen. Um dies ordnungsgemäß zu erledigen, benötigen sie jedoch die digitalen Werkzeuge um den Wert ihrer Arbeit, ihre Vorschläge und Empfehlungen im Hinblick auf eine zukünftige Cyber-Sicherheitsstrategie und gemessene Ergebnisse effektiv kommunizieren zu können. Wirksame Risikopriorisierung sollte die Risiken von am wahrscheinlichsten bis hin zu am unwahrscheinlichsten einstufen und was geschädigt wurde sollte einen Aktionsplan haben, der die Entscheidung beinhaltet, auf welches Risiko man sich konzentrieren sollte. Denken Sie daran, dass der CEO zusammen mit der gesamten Geschäftsleitung und dem Vorstand der Cyber-Sicherheitsstrategie für das gesamte Unternehmen zustimmen muss24.

Die Bedeutung einer klaren Kommunikation zwischen den Teams ist laut Deloitte25 nicht zu unterschätzen. Viele Vorstandsmitglieder, die sich mit Cyber-Sicherheit auskennen berichten, dass sie ihrem Senior-Management volles Vertrauen entgegenbringen, um eine solche Krise zu bewältigen. Weitere Belege zeigen jedoch eine erhebliche Diskrepanz zwischen dem Bewusstsein für diese Bedrohungen und der Fähigkeit, mit ihnen tatsächlich umzugehen26.

Deshalb ist es für CISOs nicht nur wichtig, effektiv mit dem Senior Management zusammenzuarbeiten, sondern auch, dass die Vorstände effizient mit der gesamten C-Suite kommunizieren. Die Vorstände müssen das Senior-Management für eine klare Cyber-Sicherheitsstrategie verantwortlich machen. Dies erfordert einen regelmäßigen Dialog zwischen Vorstand und Management sowie den Austausch von Informationen und Metriken, die das Cyber-Risikomanagement und die Performance aufzeichnen27. Wenn Ihr Unternehmen dies nicht bereits tut, hat es auf längere Sicht keine Wahl mehr. Gartner berichtet, dass bis 2020 100% der großen Unternehmen aufgefordert werden, ihrem Cyber-Sicherheitsvorstand mindestens einmal jährlich über das Cyber-Risikomanagement zu berichten28.


Cyber-Risiko als strategischer Imperativ für Vorstände und Senior-Management

Mit Bussgeldern von bis zu 2% des weltweiten Jahresumsatzes oder 10 Mio. € (je nachdem, welcher Betrag höher ist) ist die Einhaltung der DSGVO und EU-Vorschriften für das Cyber-Risikomanagement einer europäischen Organisation von entscheidender Bedeutung29. Neben Hackern und Malware umfasst die Infrastruktursicherheit auch Kontrolle und Überwachung, Datenschutz und Sicherheit für mobile Dienste - alles entscheidende Elemente des Cybersicherheits-Frameworks. Bei so vielen verschiedenen Elementen ist eine effektive Bewertung des Cyber-Risikomanagements von entscheidender Bedeutung.

Mitglieder des Cyber ​​Security Board sollten folgende Fragen stellen und beantworten können30:

  • Wie kann das Unternehmen Sicherheits- und Cyberrisiken besser verstehen und bewerten?
  • Verfügt das Unternehmen über die notwendigen technischen Abwehrmaßnahmen, um Angriffe zu verhindern?
  • Welche Schritte werden unternommen, um eine angemessene Überwachung potenzieller Risiken sicherzustellen?
  • Welche sind die Richtlinien und Verfahren im Falle einer Cyber-Bedrohung und / oder einem Cyber-Angriff?
  • Verfügt das Unternehmen über einen umsetzbaren Plan?
  • Wie und wann wird dieser Plan geprobt, um sicherzustellen, dass er ordnungsgemäß funktioniert?
  • Wer ist bei einer solchen Situation verantwortlich und was müssen sie im Falle eines riskanten Ereignisses tun?
  • Werden Mitarbeiter - vom Top-Management bis zu den unteren Ebenen der Organisation - über die möglichen Risiken informiert und wie können sie bei einer Gefahrensituation reagieren sollen?
  • Sind die externen Anbieter des Unternehmens absolut zuverlässig in Bezug auf Sicherheit und Datenschutz?


In der dynamischen Cyber-Sicherheitslandschaft sind die Antworten auf diese Fragen entscheidend. Jede dieser Fragen muss einfach und schnell beantwortet werden können.

Darüber hinaus sollten C-Suite und Vorstände bei der Betrachtung externen Anbieter, wie z.B. einer digitalen Lösung für Direktions- und Vorstandssitzungen, in erster Linie deren Bedürfnisse nach einem Schutz ihrer Daten nach höchsten Sicherheitsstandards berücksichtigen. Das Tool muss nicht nur den EU-Vorschriften, wie z.B. der Allgemeinen Datenschutzverordnung, auch bekannt als GDPR, entsprechen, sondern auch eine solide Infrastruktursicherheit sowie Prüfungs- und Kontrollprozesse gewährleisten. Alle diese Funktionen müssen mit der Fähigkeit des Tools gekoppelt werden, eine optimale Verwaltung von effizienten C-Level- und Vorstandssitzungen zu gewährleisten und eine effektive Zusammenarbeit innerhalb der Organisation zu gewährleisten.


In der Cybersecurity-Landschaft auf dem Laufenden bleiben

Obwohl Online-Hacker, Malware und andere Sicherheits- und Cyber-Sicherheitsbedrohungen sich mit zunehmender Geschwindigkeit zu entwickeln scheinen, können manche Unternehmen mit diesem Tempo nicht mithalten. Dies ist teilweise auf die Notwendigkeit menschlicher Koordination zwischen Organisationen zurückzuführen, die sorgfältige Verwaltung von Zeit und Ressourcen erfordert, aber auch aufgrund begrenzter Informationen zu Sicherheits- und Cyber-Sicherheitsthemen. Laut Deloitte gibt ein Fünftel der Mitglieder des Cyber ​​Risk Board an, dass sie kein Krisenbuch haben; und ein Drittel weiß nicht einmal, ob sie eins haben31. Aber es gibt einen proaktiveren Weg, den Organisationen gehen können, bevor ein Angriff stattfindet. Diese proaktive Lösung beinhaltet eine kontinuierliche Diskussion mit regelmäßigen Treffen zwischen der Geschäftsleitung und dem Vorstand um sicherzustellen das die Vorbereitung jederzeit gewährleistet ist32.

Bis Unternehmen durch ein sorgfältig geplantes Cyber-Risikomanagement und eine Strategie welche Erkennung, Prävention und Krisenmanagement umfasst, aufholen können, werden die Bedrohungen der Cybersicherheit den Unternehmen in den kommenden Jahren weiterhin erhebliche Kosten verursachen.

 


1. Leyden, John. More data lost or stolen in first half of 2017 than the whole of last year. The Register. September 20, 2017.
2. Whittaker, Zack. Equifax says more private data was stolen in 2017 breach than first revealed. ZDNet. February 12, 2018.
3. Badshah, Nadeem. Facebook to contact 87 million users affected by data breach. The Guardian. April 8, 2018.
4. Honan, Brian. European Central Bank Hacked. CSO. July 31, 2015.
5. Walls, Andrew. Leading Enterprise Security & Risk. Gartner.
6. Schwartz, Matthew. Hackers Release Info from Swiss Bank. BankInfo Security. January 12, 2015.
7. ENISA Threat Landscape Report 2017: 15 Top Cyber-Threats and Trends.
8. Ibid, p. 25
9. “Designed for deletion: APTs harness wipers and fileless malware in targeted attacks.” Kaspersky website. April 27, 2017.
10. Ibid, p 27.
11. Walls, Andrew. Leading Enterprise Security & Risk. Gartner.
12. Sirletti, Sonia and Robinson, Edward. Hackers Breach 400,000 UniCredit Bank Accounts for Data. Bloomberg. July 26, 2017.
13. Arnold, Martin. UniCredit reveals data breach affecting 400,000 customers. Financial Times. July 26, 2017.
14. Sirletti, Sonia. Italy’s UniCredit Reveals Massive Data Breach Involving 400,000 Bank Accounts. Insurance Journal. July 26, 2017.
15. Armerding, Taylor. The 17 biggest data breaches of the 21st century. CSO. January 26, 2018.
16. Takahashi, Dean. Surprise: Sony faces class action lawsuit on PlayStation Network breach. Venturebeat. April 27, 2011.
17. Leyden, John. More data lost or stolen in the first half of 2017 than the whole of last year. The Register. September 20, 2017.
18. Rayome, Alison DeNisco. Data breach costs are dropping but still $3.62 million on average, report says. TechRepublic. June 20, 2017.
19. Montalbano, Elizabeth. Report: EU may slap new GDPR Fines on Old Data Breaches. Security Ledger. April 12, 2018.
20. Cohan, Peter S. Why (& How) CISOs Should Talk to Company Boards. Dark Reading. April 25, 2017.
21. A cybersecurity guide for directors. Dentons.
22. A cybersecurity guide for directors. Dentons.
23. A cybersecurity guide for directors. Dentons.
24. A cybersecurity guide for directors. Dentons.
25. A Crisis of Confidence. Deloitte.
26. A Crisis of Confidence. Deloitte.
27. A cybersecurity guide for directors. Dentons.
28. Walls, Andrew. Leading Enterprise Security & Risk. Gartner.
29. Trentmann, Nina. Data Breaches Will Soon cost Companies in Europe. The Wall Street Journal. November 22, 2017.
30. Taking the lead on cyber risk. Deloitte.
31. A Crisis of Confidence. Deloitte.
32. A cybersecurity guide for directors. Dentons.

Stefano Pelagatti
Head of Organisation & ICT President, BPS (Suisse)
Stefano Pelagatti kam 2008 zu BPS (Suisse) und ist derzeit Leiter der Organisation und Informationstechnologie dieser angesehenen Bank. Seine umfangreiche Berufserfahrung umfasst mehrere relevante Positionen in der Bank- und Informationstechnologiebranche, darunter die Rolle des Managing Director & Partner bei MTF, Direktor der Banca del Gottardo und zwischen 1978 und 1997 Assistant Director bei UBS SA.

BPS (Suisse) wurde 1995 gegründet und hat seinen Hauptsitz in Lugano, Schweiz. Gegenwärtig ist die Bank mit ihren 20 Einheiten in 7 Kantonen mit einer Niederlassung in Montecarlo vertreten und gehört der Banca Popolare di Sondrio.

Einblicke und Ressourcen

facebooktwittergoogle-plus2linkedin2envelopsearch

Einblicke und Ressourcen

Sherpany bietet Unternehmensnews, Fachartikel, exklusive Interviews, Fallstudien und Best Practices zur Digitalisierung und Transformation der Meeting-Kultur von Verwaltungsräten, Führungskräften, Generalsekretären und Generaldirektionen.

Beispiele umfassen Inhalte zu:

  • Board Portalen und Meeting-Management-Softwares
  • Digitalisierung und digitale Sitzungen
  • Verwaltung & Compliance
  • Effiziente Leitung

La newsletter non è al momento disponibile in italiano, La preghiamo di iscriversi ad una delle seguenti lingue: