Das zeigt eine aktuelle Studie von Vanson Bourne und FireEye. Fakt ist: Gefahren lauern im Netz überall, Cyberattacken sind Realität. Erst vor wenigen Wochen wurden durch eine Schwachstelle im SWIFT-Zahlungssystem 81 Millionen Dollar erbeutet. Doch nicht nur Banken stehen im Visier der Hacker, auch Unternehmen aus anderen Industrien und Behörden sind interessante Ziele für Cyberkriminelle. Viele Organisationen unterschätzen die Folgen eines Angriffs.
Kunden sind bereit zu klagen
Die Studie zeigt deutlich: Cyberangriffe haben einen starken Vertrauens- und damit Kundenverlust zur Folge. Wir geben bei fast jedem Einkauf persönliche Information preis – sowohl im Internet wie an der Supermarktkasse. Einzelhändler wissen über Bonusprogramme, wo ihre Kunden wohnen, welche Zahlungskarten sie verwenden und natürlich was sie einkaufen. Geraten persönliche Daten wie diese durch einen Hack in die Hände von Kriminellen, würde die Mehrheit der Deutschen Konsequenzen ziehen – so ein zentrales Ergebnis der Studie. 59 Prozent der Befragten würden sich vom betroffenen Unternehmen abwenden und zu einer anderen Organisation wechseln. 61 Prozent scheuen sich nicht, das betroffene Unternehmen sogar zu verklagen.
Verschulden des Managements ist besonders unverzeihlich
Und noch eines geht aus der Studie hervor: Die Mehrheit der Deutschen erwartet, dass sich nicht nur die IT-Abteilung mit Security beschäftigt. IT-Sicherheit sollte Chefsache sein und erfordert sowohl Aufmerksamkeit als auch Investitionen. Mangelnde Investitionen in IT-Security (68 Prozent) oder fehlendes Bewusstsein der Chefetage (67 Prozent) würde die Mehrheit nicht als Legitimation für eine Cyberattacke gelten lassen. Interessant ist, dass die Kunden bei menschlichem Versagen der IT-Verantwortlichen milder gestimmt wären.
Skepsis über Security-Reaktionsfähigkeit
Wie schnell sollten Unternehmen Kunden über ein Datenleck informieren? Wie die Studie herausfand, sind die Deutschen eher ungeduldig: 85 Prozent der Befragten möchten innerhalb eines Tages oder schneller darüber informiert werden, dass ihre Daten eventuell entwendet wurden. Da verwundert es nicht, dass Kunden immer zögerlicher werden, persönliche Daten preiszugeben. Fast drei Viertel der Deutschen (71 Prozent) würden aufgrund negativer Schlagzeilen zur IT-Sicherheit einer Organisation weniger Informationen an diese weitergeben. Die Ergebnisse zeigen, wie wichtig es ist, einen Incident-Response-Plan zu haben, um im Ernstfall schnell reagieren zu können: Von der Bewertung der Gefahr über die Schadensbegrenzung bis hin zur passenden Kommunikationsstrategie.
Für Datensicherheit zahlen? Lieber nicht!
Gut ein Viertel der Befragten hat laut Studie nach einem Cyberangriff ein schlechteres Bild über die gesamte Branche der jeweils betroffenen Organisation. Ein weiterer Grund, warum Organisationen bei ihrer IT-Sicherheit nicht sparen sollten. Auch ein Großteil der Deutschen wäre grundsätzlich bereit, für einen verbesserten Datenschutz und IT-Sicherheit mehr zu zahlen. Dazu müssen Kosten und Nutzen jedoch klar sein. Für Unternehmen ist die transparente Kommunikation von Maßnahmen daher entscheidend, wenn sie ihre Kunden für eine verbesserte IT-Sicherheit zur Kasse bitten möchten.
Unsere heutige Geschäftswelt, die immer digitaler und datengetriebener wird, hat neue Anforderungen an Unternehmen geschaffen. Wettbewerbsfähigkeit ist heutzutage nicht mehr nur abhängig von Preisfaktoren, Standort, Forschung, Service oder Qualität. Wettbewerbsfähig zu sein bedeutet heute auch, eine moderne und effektive Sicherheitsstrategie zu besitzen und zu kommunizieren, dass Kundendaten sicher sind. Vertrauenswürdigkeit heißt das Stichwort. (sh)
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten