Cybersicherheit: Was jeder CEO und CFO wissen sollte

Zusammenfassung

Einleitung

Stellen Sie sich [Cybersicherheit] eher als Sicherheit auf Straßen und in Autos vor. Das Auto hat sich in den letzten 30 Jahren nicht wirklich verändert, aber es ist viel Sicherheit eingebaut, und es ist nicht sexy, bis es Ihr Leben rettet. Sie haben Teile, die versteckt sind – Airbags – und Teile, die Sie daran erinnern, sicher zu sein, wie Sicherheitsgurte … Einiges davon dreht sich um gutes Benehmen und eine gute Einstellung, einiges um physische Sicherheit, um Sie daran zu erinnern, dass ein Risiko besteht, und Einiges davon wird eingebrannt, um dich zu retten.

– Sian John, Senior Cybersecurity Strategist bei Symantec

Wir werden es zugeben. Cybersicherheit ist nicht sexy. Im heutigen digitalen Zeitalter wird Cybersicherheit jedoch für große Unternehmen und kleine Startups gleichermaßen immer wichtiger. Heute steht mehr auf dem Spiel als je zuvor, da „jedes Unternehmen zu einem Technologieunternehmen geworden ist“. Technologie ist zu mehr als einer Ergänzung der Geschäftstätigkeit eines Unternehmens geworden, und in vielen Fällen sind die in ihrem Netzwerk lebenden Vermögenswerte ihre Kerntätigkeit. Hinzu kommt die Tatsache, dass Hacks aufgrund der Zunahme der mobilen Nutzung und des Internets der Dinge sowie des wachsenden Ökosystems von Cyberkriminellen alltäglich werden.

In diesem Artikel werden die Arten von Cyberkriminellen, Taktiken der Cyberkriminalität und die dazu beitragenden Faktoren beschrieben. Das Stück enthält auch konkrete Lösungen, mit denen sich Unternehmen schützen können. Die Lösungen umfassen sowohl technologische Sicherheitsvorkehrungen als auch menschliche Komponenten. Beispielsweise muss die Führung Cybersicherheit als strategisches Geschäftsproblem und nicht nur als „IT-Problem“ anerkennen. Darüber hinaus sind einige der effektivsten Lösungen ziemlich einfach, wie z. B. Mitarbeiterschulung oder Zwei-Faktor-Authentifizierung für Benutzer.

Was ist eine Cyberkriminalität?

Einfach ausgedrückt ist eine Cyberkriminalität ein Verbrechen mit einer Art Computer- oder Cyberaspekt. Es kann in einer Vielzahl von Formaten und von Einzelpersonen oder Gruppen mit unterschiedlichen Motivationsfaktoren Gestalt annehmen. Cyber-Bedrohungen sind grundsätzlich asymmetrische Risiken, da kleine Personengruppen unverhältnismäßig großen Schaden anrichten können.

Kategorien von Cyberkriminellen

1. Finanziell motivierte organisierte kriminelle Gruppen: Die meisten dieser Gruppen sind in Osteuropa ansässig

2. Nationalstaatliche Akteure: Personen, die direkt oder indirekt für ihre Regierung arbeiten, um vertrauliche Informationen zu stehlen und die Fähigkeiten von Feinden zu stören. Sie sind im Allgemeinen die raffiniertesten Cyber-Angreifer, wobei 30 % aus China stammen.

3. Aktivistengruppen oder „Hacktivisten“: Sind normalerweise nicht darauf aus, das Geld zu stehlen. Sie sind darauf aus, ihre Religion, Politik oder Sache zu fördern; um den Ruf oder Kunden zu beeinträchtigen.

4. Insider: Dies sind die „desillusionierten, erpressten oder sogar übermäßig hilfsbereiten“ Mitarbeiter, die innerhalb eines Unternehmens tätig sind. Sie dürfen sich jedoch nicht absichtlich an cyberkriminellen Aktivitäten beteiligen; Einige könnten einfach eine Kontaktliste oder ein Designdokument nehmen, ohne zu erkennen, welchen Schaden es anrichten könnte.

Das Durchschnittsalter eines Cyberkriminellen beträgt 35 Jahre, und 80 % der kriminellen Hacker sind mit der organisierten Kriminalität verbunden. Kurz gesagt, die Menschen wählen dies als Beruf.

Taktiken der Cyberkriminalität

Cyberkriminelle verwenden sowohl statische als auch dynamische Methoden, um ihre Verbrechen zu begehen. Lassen Sie uns eintauchen.

Verteilter Denial-of-Service (DDoS)

Ein DDoS-Angriff versucht, den Dienst eines Netzwerks zu stören. Angreifer schicken große Mengen an Daten oder Verkehr durch das Netzwerk, bis es überlastet ist und nicht mehr funktioniert. Der eingehende Datenverkehr, der das Opfer überschwemmt, stammt aus vielen verschiedenen Quellen, möglicherweise aus Hunderttausenden. Dies macht es unmöglich, den Angriff durch Blockieren einer einzelnen IP-Adresse zu stoppen, und macht es schwierig, legitimen Datenverkehr von Angriffsdatenverkehr zu unterscheiden.

Phishing

Phishing-Angriffe tarnen sich oft als Anfrage nach Daten von einem vertrauenswürdigen Dritten, werden per E-Mail gesendet und fordern Benutzer auf, auf einen Link zu klicken und ihre persönlichen Daten einzugeben. Es beinhaltet oft psychologische Manipulation, die Dringlichkeit oder Angst heraufbeschwört und ahnungslose Personen dazu bringt, vertrauliche Informationen zu übergeben.

Es gibt ein paar bedenkliche Faktoren. Erstens sind Phishing-E-Mails raffiniert geworden und sehen oft genauso aus wie legitime Informationsanfragen. Zweitens wird die Phishing-Technologie jetzt an Cyberkriminelle lizenziert, darunter On-Demand-Phishing-Dienste und handelsübliche Phishing-Kits. Am besorgniserregendsten ist vielleicht die Tatsache, dass Dark-Web-Dienste es Cyberkriminellen ermöglicht haben, ihre Kampagnen und Fähigkeiten zu verfeinern. Tatsächlich werden Phishing-E-Mails sechsmal häufiger angeklickt als normale Verbraucher-Marketing-E-Mails.

Malware

Malware, kurz für „malicious software“, soll sich Zugang verschaffen oder einen Computer beschädigen. Malware ist ein Überbegriff für eine Vielzahl von Cyber-Bedrohungen, darunter Trojaner, Viren und Würmer. Es wird oft durch E-Mail-Anhänge, Software-Downloads oder Schwachstellen des Betriebssystems in ein System eingeführt.

Missbrauch von internen Privilegien

Während die böswilligen Insider, die Informationen an WikiLeaks weitergeben, die ganze Presse und den Ruhm erhalten, ist ein häufigeres Szenario, dass ein durchschnittlicher, aber opportunistischer Mitarbeiter oder Endbenutzer heimlich vertrauliche Daten entwendet, in der Hoffnung, irgendwann später Geld zu verdienen (60 % der Zeit). . Manchmal werden Mitarbeiter etwas zu neugierig und schnüffeln (17 %). Personenbezogene Daten und Krankenakten (71 %) werden Ziel von Finanzkriminalität wie Identitätsdiebstahl oder Steuerhinterziehungsbetrug, manchmal aber auch nur für Klatsch und Tratsch.

Physische Karten-Skimmer

Zu diesen Angriffen gehört das physische Implantieren auf einem Gerät, das die Magnetstreifendaten von einer Zahlungskarte liest (z. B. Geldautomaten, Zapfsäulen, POS-Terminals). Es ist relativ schnell und einfach, einen solchen Angriff auszuführen, mit dem Potenzial für einen relativ hohen Ertrag – und ist daher ein beliebter Aktionstyp (8 %).

Folgen und Kosten der Cybersicherheit

Kosten für Unternehmen

Vor drei Jahren schätzte das Wall Street Journal die Kosten der Cyberkriminalität in den USA auf 100 Milliarden Dollar. Andere Berichte schätzten, dass die Zahl bis zu zehnmal höher war. Im Jahr 2017 belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf 7,35 Millionen US-Dollar, verglichen mit 5,85 US-Dollar im Jahr 2014. Die Kosten umfassen alles von der Erkennung, Eindämmung und Wiederherstellung bis hin zu Betriebsunterbrechungen, Umsatzverlusten und Geräteschäden. Abgesehen von finanziellen Bedenken kann eine Cyber-Verletzung auch immaterielle Werte wie den Ruf eines Unternehmens oder den guten Willen eines Kunden ruinieren.

Interessanterweise haben Unternehmen mit dem höchsten Grad an Geschäftsinnovation oft kostspieligere Angriffe. Eine „Geschäftsinnovation“ kann alles sein, von einer Übernahme oder Veräußerung bis hin zum Eintritt in einen neuen geografischen Markt. Es hat sich gezeigt, dass eine Unternehmensübernahme oder -veräußerung die Kosten der Cyberkriminalität um 20 % erhöht, während die Einführung einer bedeutenden neuen Anwendung die Kosten um 18 % erhöht.

Für Finanzdienstleistungsunternehmen können die Kosten nach einer Sicherheitsverletzung auf Betriebsunterbrechungen, Informationsverluste, Einnahmeverluste und andere Kosten zurückgeführt werden.

Cybersicherheit wird für die Finanzdienstleistungsbranche ausgesprochen

Die bedauerliche Wahrheit ist, dass, obwohl keine Branche immun ist, Cybersicherheitsprobleme bei Finanzdienstleistungen besonders ausgeprägt sind. Laut dem Verizon Data Breach Investigations Report 2017 betrafen 24 % der Datenschutzverletzungen Finanzorganisationen (die führende Branche), gefolgt vom Gesundheitswesen und dem öffentlichen Sektor. Zum Vergleich: 2012 belegte die Branche den dritten Platz hinter der Verteidigungs- und der Versorgungs- und Energiewirtschaft. Abgesehen von der Häufigkeit sind die Kosten für Finanzunternehmen die höchsten aller Branchen und verloren im Jahr 2013 durchschnittlich 16,5 Millionen US-Dollar.

Bei Finanzdienstleistungen waren DDoS-Angriffe die häufigste Art von Cyber-Verstößen. Und wie bei allen DDoS-Angriffen wurde die Finanzbranche am härtesten getroffen.

Berühmte Finanzdienstleistungs-Hackings

Angriff auf sechs amerikanische Banken (2012)

Im Jahr 2012 waren sechs große amerikanische Banken (Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo und PNC) das Ziel einer Welle von Computerangriffen durch eine Gruppe, die behauptete, Verbindungen zum Nahen Osten zu haben. Die Angriffe verursachten Internetausfälle und Verzögerungen beim Online-Banking, was zu frustrierten Kunden führte, die nicht auf ihre Konten zugreifen oder Rechnungen online bezahlen konnten.

Dabei handelte es sich um DDoS-Angriffe, bei denen die Hacker die Webseiten der Banken bis zur Schließung überwältigten. Die Angriffe nutzten auch Botnets, Netzwerke infizierter Computer, die den Befehlen von Kriminellen folgen. Manchmal werden Botnets auch als „Zombie-Computer“ bezeichnet, die den Befehlen eines „Master-Botnets“ gehorchen. Leider können diese über Schwarzmärkte gemietet oder von Kriminellen oder Regierungen verliehen werden.

JP Morgan (2014)

Im Sommer 2014 wurden bei der bisher größten Sicherheitslücke einer amerikanischen Bank die Namen, Adressen, Telefonnummern und E-Mail-Adressen von rund 83 Millionen Konten von Hackern kompromittiert. Ironischerweise gibt JPMorgan jedes Jahr rund 250 Millionen Dollar für Computersicherheit aus. Der Verstoß von 2014 war nicht das Ergebnis eines ausgeklügelten Schemas. Der Angriff verwendete keinen Zero-Day-Angriff, den neuartigen Softwarefehler, der auf dem Schwarzmarkt für Millionen verkauft wird. Es wurde auch keine Malware verwendet, die Hacker in Nordkorea bei ihrem Cyberangriff auf Sony eingesetzt haben. Die Ursache des Problems war eher grundlegend: Die Bank verwendete keine Zwei-Faktor-Authentifizierung, die eine zusätzliche Sicherheitsebene darstellt, wenn sich Benutzer anmelden, um auf Daten oder eine Anwendung zuzugreifen. Das Sicherheitsteam von JPMorgan hat es versäumt, einen seiner Netzwerkserver mit dem dualen Passwortschema aufzurüsten – das war alles, was nötig war.

SWIFT-Zahlungssystem (2016)

Im Februar 2016 wurde die Society for Worldwide Interbank Financial Telecommunication (SWIFT), ein internationales Konsortium von über 11.000 Banken, das grenzüberschreitende Überweisungen ermöglicht, gehackt. Die Bangladesh Bank, ein Benutzer des SWIFT-Netzwerks, wurde in Höhe von 81 Millionen Dollar gehackt. Nur ein kleiner Teil wurde zurückgefordert, bevor die Federal Reserve Bank of New York 30 weitere Transaktionen blockierte, die möglicherweise zusätzliche 850 Millionen Dollar überwiesen hätten.

Diese Angriffe zeigen, dass Zahlungsnetzwerke nur so vertrauenswürdig sind wie ihr schwächstes Glied. Viele in der Branche waren von dem Angriff nicht überrascht. Laut Justin Clarke-Salt, Mitbegründer von Gotham Digital Science, einem Cybersicherheitsunternehmen, nutzten die Angriffe eine Schwachstelle im System aus: dass nicht jede Institution den Zugang zu SWIFT auf die gleiche Weise schützt. Schließlich „greifen Angreifer oft Menschen an, die leichter anzugreifen sind … Soweit wir wissen, wurde öffentlich berichtet, haben sie es sehr stark auf kleinere Finanzinstitute abgesehen. Das liegt wahrscheinlich daran, dass sie weniger ausgefeilte Kontrollen haben.“

Sind kleine oder große Unternehmen anfälliger?

Obwohl die Nachrichten oft über Angriffe auf die größten Unternehmen (Target, Yahoo, Home Depot, Sony) berichten, sind kleine Unternehmen nicht immun. Laut dem State of SMB Cybersecurity Report 2016 haben Hacker in den letzten 12 Monaten die Hälfte aller Kleinunternehmen in den Vereinigten Staaten angegriffen.

Auf der einen Seite argumentieren manche, dass sich kleinere Unternehmen möglicherweise nicht von einem Cyberangriff erholen können**. **Laut Sian John, Senior Cybersecurity Strategist bei Symantec, erleben Unternehmen, die von einem Sicherheitsproblem betroffen sind, im Jahr danach einen „massiven Ruf und finanziellen Schaden“ für Unternehmen, bevor sie zur Normalität zurückkehren. Sie fragte: „Wenn Sie ein kleineres Unternehmen sind, können Sie diesen Einbruch überleben?“

Andererseits argumentieren andere, dass kleine Unternehmen im Vorteil sind: „Ein großes Unternehmen ist anfälliger als ein kleines Unternehmen: Sie haben große Datenpools und Hunderte von Menschen müssen Zugriff haben … Wenn Sie am kleineren Ende der sind zu skalieren, klug mit Geschäftsprozessen umzugehen und zu verstehen, wo diese Geschäftsprozesse genutzt werden könnten, ist einfacher als für eine große Organisation“, erklärte Richard Horne, Partner bei PricewaterhouseCoopers.

Herausforderungen der Cybersicherheit

Faktoren, die zum Anstieg der Cyberkriminalität beitragen

Eine „Unternehmens“-Rasse von Cyberkriminellen ist entstanden

Cyberkriminelle übernehmen jetzt Best Practices von Unternehmen, um die Effizienz ihrer Angriffe zu steigern. Einige der unternehmungslustigsten Kriminellen verkaufen oder lizenzieren Hacking-Tools an weniger erfahrene Kriminelle. Zum Beispiel verkaufen professionelle Kriminelle Zero-Day-Technologie an Kriminelle auf dem freien Markt, wo sie schnell zur Ware werden. Gangs bieten auch Ransomware als Dienstleistung an, die Computerdateien einfriert, bis das Opfer die Geldforderungen erfüllt, und nimmt dann eine Kürzung für die Bereitstellung der Lizenz.

Es gibt jetzt ein ganzes Ökosystem von Ressourcen, die Cyberkriminelle nutzen können. „Fortschrittliche kriminelle Angriffsgruppen spiegeln jetzt die Fähigkeiten nationalstaatlicher Angreifer wider. Sie verfügen über umfangreiche Ressourcen und ein hochqualifiziertes technisches Personal, das so effizient arbeitet, dass sie normale Geschäftszeiten einhalten und sogar die Wochenenden und Feiertage freinehmen können Betrug“, sagte Kevin Haley, Direktor bei Symantec.

Sicherheit von Drittanbietern

Wenn ein Dritter gehackt wird, besteht für Ihr Unternehmen die Gefahr, dass Geschäftsdaten verloren gehen oder Mitarbeiterdaten kompromittiert werden. Beispielsweise war die Target-Datenpanne 2013, die 40 Millionen Kundenkonten gefährdete, das Ergebnis des Diebstahls von Netzwerkanmeldeinformationen von einem Drittanbieter für Heizungs- und Klimaanlagen. Eine Studie aus dem Jahr 2013 ergab, dass 63 % der Untersuchungen zu Datenschutzverletzungen in diesem Jahr mit einer Komponente eines Drittanbieters in Verbindung standen.

Verstärkte Nutzung mobiler Technologien durch Kunden

Aufgrund einer wachsenden Zahl von Online-Zielen ist Hacking einfacher denn je geworden. Im Privatkundengeschäft ist die Nutzung mobiler Geräte und Apps explodiert. Laut einer Studie von Bain & Company aus dem Jahr 2014 ist Mobile der meistgenutzte Bankkanal in 13 von 22 Ländern und macht 30 % aller Interaktionen weltweit aus. Darüber hinaus haben die Verbraucher mobile Zahlungssysteme angenommen. Für Banken, die mit Fintech-Startups konkurrieren, wird die Kundenfreundlichkeit wichtig bleiben. Möglicherweise müssen sie die potenziellen Betrugsverluste mit den Verlusten durch eine unbequemere Benutzererfahrung abwägen. Einige Institutionen nutzen eine erweiterte Authentifizierung, um diesen zusätzlichen Sicherheitsrisiken zu begegnen, und ermöglichen Kunden den Zugriff auf ihre Konten über Sprach- und Gesichtserkennung.

Verbreitung des Internets der Dinge (IoT)

Das Internet der Dinge (IoT) widmet sich der Idee, dass eine Vielzahl von Geräten, einschließlich Geräten, Fahrzeugen und Gebäuden, miteinander verbunden werden können. Wenn Ihr Wecker beispielsweise um 7:00 Uhr klingelt, könnte er automatisch Ihre Kaffeemaschine benachrichtigen, damit sie mit der Kaffeezubereitung für Sie beginnt. IoT dreht sich um die Kommunikation von Maschine zu Maschine; Es ist mobil, virtuell und bietet sofortige Verbindungen. Heutzutage sind über eine Milliarde IoT-Geräte im Einsatz, bis 2020 werden es voraussichtlich über 50 Milliarden sein. Das Problem ist, dass vielen billigeren intelligenten Geräten oft die richtige Sicherheitsinfrastruktur fehlt. Wenn jede Technologie ein hohes Risiko birgt, wächst das Risiko exponentiell, wenn sie kombiniert wird.

Bewusstsein für Cybersicherheit vs. Ansprechbereitschaft

Trotz Schlagzeilen über Cybersicherheit und ihre Bedrohungen bleibt eine Lücke zwischen dem Bewusstsein der Unternehmen und ihrer Bereitschaft, sich damit zu befassen. Im letzten Jahr haben Hacker die Hälfte aller US-Kleinunternehmen angegriffen. In der Umfrage des Ponemon Institute aus dem Jahr 2013 gaben 75 % der Befragten an, dass sie keinen formellen Plan zur Reaktion auf Cybersicherheitsvorfälle haben. 66 % der Befragten waren nicht zuversichtlich, dass sich ihr Unternehmen nach einem Angriff erholen kann. Darüber hinaus ergab eine Umfrage des Cybersicherheitsunternehmens Manta aus dem Jahr 2017, dass jedes dritte kleine Unternehmen nicht über die erforderlichen Tools verfügt, um sich selbst zu schützen.

Taktisch gesehen müssen Finanzdienstleistungsunternehmen viel verbessern, wenn es darum geht, Angriffe zu erkennen und darauf zu reagieren. 2013 waren 88 % der Angriffe auf FS-Unternehmen in weniger als einem Tag erfolgreich. Allerdings werden nur 21 % davon innerhalb eines Tages entdeckt, und in der Zeit nach der Entdeckung werden nur 40 % davon innerhalb eines Zeitrahmens von einem Tag wiederhergestellt.

Cybersicherheitslösungen erfordern einen mehrgleisigen Ansatz

Es gibt keine Einheitslösung für Cybersicherheit. Im Allgemeinen sollten Lösungen jedoch sowohl ausgefeilte Technologie als auch „menschlichere“ Komponenten wie Mitarbeiterschulung und Priorisierung in der Vorstandsetage umfassen.

Umsetzbare Bedrohungsinformationen

Echtzeit-Intelligenz:

Echtzeit-Intelligenz ist ein mächtiges Werkzeug zur Verhinderung und Eindämmung von Cyber-Angriffen. Je länger es dauert, einen Hack zu identifizieren, desto kostspieliger sind seine Folgen. Eine Studie des Ponemon Institute aus dem Jahr 2013 ergab, dass IT-Führungskräfte glauben, dass weniger als 10 Minuten Vorankündigung einer Sicherheitsverletzung ausreichen, um die Bedrohung zu deaktivieren. Mit nur 60 Sekunden Benachrichtigung über eine Kompromittierung konnten die Folgekosten um 40 % gesenkt werden.

Laut James Hatch, Director of Cyber ​​Services bei BAE Systems, „ist es entscheidend, [einen Cyberangriff] frühzeitig zu erkennen … Es könnte der Unterschied zwischen dem Verlust von 10 % Ihrer [Computer] und 50 % sein.“ Leider dauert es in der Realität im Durchschnitt mehr als sieben Monate, bis Unternehmen einen böswilligen Angriff entdecken.

Ergänzende Maßnahmen:

Unternehmen können mehrere kleinere, taktische Schritte unternehmen, um sich zu schützen. Diese schließen ein:

• Umsetzung einer mehrschichtigen Verteidigungsstrategie. Stellen Sie sicher, dass es Ihr gesamtes Unternehmen, alle Endpunkte, Mobilgeräte, Anwendungen und Daten abdeckt. Verwenden Sie nach Möglichkeit Verschlüsselung und Zwei- oder Drei-Faktor-Authentifizierung für den Netzwerk- und Datenzugriff.

• Durchführen einer Drittanbieterbewertung oder Erstellen von Service-Level-Agreements mit Drittanbietern: Implementieren Sie eine „Least-Privilege“-Richtlinie darüber, wer und worauf andere zugreifen können. Machen Sie es sich zur Gewohnheit, die Verwendung von Anmeldeinformationen mit Dritten zu überprüfen. Mit einem Service Level Agreement (SLA) könnten Sie sogar noch einen Schritt weiter gehen und Dritte vertraglich dazu verpflichten, die Sicherheitsrichtlinien Ihres Unternehmens einzuhalten. Ihr SLA sollte Ihrem Unternehmen das Recht einräumen, die Einhaltung durch Dritte zu prüfen.

• Kontinuierliche Datensicherung. Dies kann zum Schutz vor Ransomware beitragen, die Computerdateien einfriert, bis das Opfer die Geldforderungen erfüllt. Das Sichern von Daten kann sich als kritisch erweisen, wenn Ihre Computer oder Server gesperrt werden, da Sie für den Zugriff auf Ihre Daten nicht bezahlen müssten.

• Häufig patchen. Ein Software-Patch ist ein Code-Update in vorhandener Software. Es handelt sich häufig um temporäre Korrekturen zwischen vollständigen Softwareversionen. Ein Patch kann einen Softwarefehler beheben, eine neue Sicherheitslücke beheben, Probleme mit der Softwarestabilität beheben oder neue Treiber installieren.

• Whitelisting von Softwareanwendungen. Anwendungs-Whitelisting würde Computer daran hindern, nicht genehmigte Software zu installieren. Dadurch haben Administratoren viel mehr Kontrolle.

Anti-Hacker-Versicherung

Ein aufkommender Trend sind Anti-Hacker-Versicherungen oder Cyber-Versicherungen. Der Umfang variiert je nach Anbieter, schützt jedoch in der Regel vor Sicherheitsverletzungen und -verlusten. Versicherer begrenzen ihre Kapazität in der Regel auf 5 bis 100 Millionen US-Dollar pro Kunde. Bis Oktober 2016 hatten nur 29 % der US-Unternehmen eine Cyber-Versicherung abgeschlossen. Der gesamte Cyber-Versicherungsmarkt wird jedoch bis 2025 auf 20 Milliarden US-Dollar geschätzt, gegenüber 3,25 Milliarden US-Dollar heute. Die Versicherer sind optimistisch und schätzen, dass sich die Prämien in den nächsten Jahren verdreifachen werden.

Damit ein Unternehmen bestimmen kann, wie viel Cyber-Versicherung es benötigt, sollte es sein Cyber-Risiko messen. Sie muss verstehen, wie ihre Assets von einem Cyberangriff betroffen sind und wie sie diese priorisieren können.

Bug-Bounty-Programme

Eine weitere neue Idee in der Branche ist ein sogenanntes Bug-Bounty-Programm, bei dem eine Organisation Außenstehende („freundliche Hacker“) dafür bezahlt, sie über Sicherheitslücken zu informieren. Unternehmen von Google und Dropbox bis hin zu AT&T und LinkedIn haben diese Praxis bereits übernommen.

Vergessen Sie nicht die menschliche Komponente

• Aus einem „IT-Problem“ wird ein strategisches Geschäftsproblem. Für viele CEOs und CFOs kann Hacking frustrierend sein, weil sie den Feind nicht verstehen. Laut Richard Anderson, Vorsitzender des Institute of Risk Management, „sitzen immer noch viele Leute auf größeren Unternehmen, die es immer noch als etwas betrachten, um das sich die Geeks kümmern, und nicht um eine geschäftliche Angelegenheit.“ Wie die Statistiken jedoch gezeigt haben, könnte dies nicht weiter von der Wahrheit entfernt sein.

  Ein Whitepaper von Deloitte schlägt vor, ein dediziertes Cyber-Bedrohungsmanagement-Team einzurichten und eine „Cyber-Risiko-bewusste Kultur“ zu schaffen. Es wird auch empfohlen, dass Organisationen einen Chief Information Security Officer (CISO) ernennen. Zum Beispiel hatten weder JPMorgan noch Target CISOs, als sie 2014 bzw. 2013 verletzt wurden.

• Back to Basics: Mitarbeiterschulung. Datenschutzverletzungen sind oft das Ergebnis psychischer Schwächen von Menschen. Daher ist es wichtig, Ihre Mitarbeiter über die Warnzeichen von Sicherheitsverletzungen, sichere Praktiken (Vorsicht beim Öffnen von E-Mail-Anhängen, Surfen) und die Reaktion auf eine vermutete Übernahme aufzuklären.

Abschiedsgedanken

Eine gängige Widerlegung der zunehmenden Aufmerksamkeit für die Gefahren der Cybersicherheit lautet: „Was denn? Sollen wir aus Angst vor Angriffen einfach aufhören, innovativ zu sein?“ Die Antwort ist, nicht genau. Für Unternehmen könnte es jedoch hilfreich sein, Cybersicherheit als eine Frage der Ethik zu betrachten. Das heißt, Cybersicherheit sollte nicht nur eine Frage der Technologie sein, sondern auch eine der Moral. Ist es schließlich ethisch vertretbar, Technologien zu entwickeln und zu verkaufen, die Verbraucher angreifbar machen? Angesichts der „Growth or Die“- und manchmal kurzsichtigen Kultur des Silicon Valley ist dies wahrscheinlich eine unpopuläre Einstellung.

Es gibt jedoch Präzedenzfälle in anderen Sektoren. Beispielsweise verlangen die American Medical Association und die American Bar Association von Fachleuten, dass sie ihre jeweiligen Ethikkodizes befolgen. Ärzte müssen den hippokratischen Eid ablegen, eines der ältesten verbindlichen Dokumente der Geschichte, das vorschreibt, dass Ärzte geloben, ihre Patienten zu schützen. In ähnlicher Weise befolgen Anwälte Musterregeln für professionelles Verhalten und geloben, ihre Mandanten zu schützen und zu respektieren.

Wir alle tun gut daran, uns daran zu erinnern, dass die Technologie zwar kommen und gehen mag, sich Richtig und Falsch jedoch nie ändern.