Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Schlüsselfragen an Vorstand und Geschäftsführung in Sachen Cybersicherheit

Dass Datenschutzverletzungen ziemlich teuer werden können, hat sich inzwischen herumgesprochen. Wie teuer genau? Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund...
Carl Groves
3 minute gelesen
Veröffentlicht 8. Dezember 2016
Letzte aktualisierung 29. Oktober 2021

Dass Datenschutzverletzungen ziemlich teuer werden können, hat sich inzwischen herumgesprochen. Wie teuer genau? Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund 4 Millionen US-Dollar.

Trotz dieser erschreckenden Zahl sind bei weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet ihre finanziellen Interessen dahingehend zu schützen. Worum sie sich – nicht nur betrachtet im Lichte der jüngsten Datenschutzverletzungen – allerdings sehr wohl kümmern sollten. In Abwandlung eines alten Zitat aus der IT-Sicherheit gibt es nur zwei Sorten von Unternehmen: diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es nicht wissen.

In einem jüngst im Harvard Business Review veröffentlichten Artikel hat der Autor eine überzeugende These geliefert warum das so sein könnte: „ (…) selbst die jüngst bekannt gewordenen Datenschutzverletzungen haben sich nur in verschwindend geringem Ausmaß auf die Aktienkurse der Unternehmen ausgewirkt.“ Vielleicht sind Aktionäre wirklich weitgehend empfindungslos, was die Auswirkungen von Datenschutzverletzungen anbelangt. Die Autoren vermuten das eigentliche Problem aber woanders. Es seien vor allem die langfristigen Auswirkungen, die es zu bedenken gilt, wenn vertrauliche Daten gestohlen oder Wissenskapital abgezogen worden ist. Aber Rufschädigungen und der Einfluss auf das Markenimage als solches lassen sich nur schwer exakt messen und quantifizieren. Das Resultat? Aktionäre neigen dazu nur auf das zu reagieren, was sie direkt betrifft wie beispielsweise Kosten für Rechtsstreitigkeiten oder direkte Auswirkungen auf die Profitabilität eines Unternehmens.

Was aber kann man tun, um diese kurzfristige Sicht der Dinge zu verändern? Führungskräfte, die im Sinne ihrer Aktienanteilseigner handeln sollten anfangen, die richtigen Fragen zu stellen. Und sie sollten sich informiert halten, was aktuelle Entwicklungen anbelangt. Im Wesentlichen sollten Führungskräfte sich drei grundlegende Fragen stellen:

1. Wenn es zu einer Datenschutzverletzung kommt, in welchen Bereichen und wann wird sie sich auf die Bilanz des Unternehmens auswirken?

Vorstände müssen sich darüber im klaren sein, dass eine Datenschutzverletzung schwerwiegende, langfristige Auswirkungen haben kann. Selbst wenn der Aktienpreis selbst zunächst nur minimal in Mitleidenschaft gezogen wird. Das können Kosten sein, die mit anfallenden Rechtstreitigkeiten verbunden sind, Bußgelder auf Landes- oder Bundesebene, kostenintensive Sicherheits-Upgrades und Umsatzrückgänge infolge eines entstandenen Imageschadens. Ein Beispiel liefert die US-amerikanische Handelskette Target. Nach der spektakulären Datenschutzverletzung stieg der Aktienpreis sogar an. Trotzdem schlugen die Kosten für die notwendig gewordenen Sicherheits-Upgrades am Ende mit über 100 Millionen US-Dollar zu Buche. „Das Unternehmen verlor insgesamt etwa 236 Millionen US-Dollar. Kosten, die direkt in Verbindung mit der Datenschutzverletzung entstanden sind. 90 Millionen konnten über Versicherungen verrechnet und gedeckt werden. Ein Richter entschied jüngst, dass Target sich dem Vorwurf der Fahrlässigkeit stellen müsse. Und zwar gegenüber Banken, Kreditgenossenschaften und Verbrauchern inwieweit der Datenschutzvorfall aus dem Jahr 2013 auch hätte verhindert werden können. Auf die Aussage, dass Target mit zivilrechtlichen Klagen rechnen müsse, reagierte die Börse mit einem Verlust von 0,3 % bei den Target-Aktien. Verschiedene Banken machen Target den Vorwurf, dass die Fahrlässigkeit des Unternehmens sie 10-fache Millionenbeträge gekostet habe.“ 1

2. Wo liegen die „Kronjuwelen“ und wie sicher sind sie wirklich?

Ja, nicht wenige Firmen fokussieren sich beim Thema IT-Sicherheit auf die Netzwerkgrenzen. Die Wahrheit ist, dass es keine 100-prozentig effektive Perimeter-Sicherheit gibt und geben kann. Was Unternehmen wirklich brauchen sind Sicherheitslösungen und Methoden, die Angreifer erkennen und stoppen, auch dann, wenn die schon innerhalb des Netzwerks sind. Diese Lösungen werden gemeinhin unter dem Sammelbegriff User Behavior Analytics (UBA), also eine Analyse des Benutzerverhaltens, zusammengefasst. UBA sind so etwas wie eine zweite Verteidigungslinie. Sie etablieren Basiswerte für ein als normal definiertes Verhalten in Bezug auf sämtliche Dateiaktivitäten innerhalb einer bestimmten Umgebung. Und auf genau dieses Verhalten hin werden alle Server kontinuierlich überwacht. Treten dann Abweichungen von dem als normal definierten Verhalten auf, informiert ein Alarm die IT-Abteilung, die dann sofort reagieren kann. Ein Beispiel für eine solche Aktivität ist das massenhafte Kopieren von Wissenskapital, um es anschließend aus dem Unternehmen heraus zu schleusen. Werfen wir einen Blick auf den OPM Breach, der in vielerlei Hinsicht exemplarisch verlaufen ist. Die US-CERT stellte zahlreiche Mängel in der zentralisierten Logging-Strategie fest: „Die Lücken innerhalb der Logging-Fähigkeiten hatten einige schwerwiegende Folgen. So war es OPM nicht möglich wichtige forensische Fragen und Fragen zur Einschätzung des Bedrohungsumfangs in Zusammenhang mit dem 2014 aufgedeckten Datenschutzvorfall zu beantworten. Das limitierte von vorneherein die Fähigkeit die Datenschutzverletzungen frühzeitig aufzudecken und nicht erst wie geschehen im Juni beziehungsweise Juli 2015.“ Was die Analyse dieses Datenschutzvorfalls überdeutlich zeigt: Traditionelle Sicherheitslösungen und Maßnahmen haben eine große Schwachstelle, wenn es sich um Insiderbedrohungen handelt. Jeff Wagner, OPM Director of IT Security Operations, räumte ein, dass sich OPM sehr stark auf Sicherheitsmaßnahmen an der Netzwerkgrenze konzentriert habe, aber keine Technologie einsetzte, die in der Lage war, den Vorfall frühzeitig zu erkennen und Angreifer zu stoppen, die sich bereits im Inneren des Netzwerks befinden.

3. Wer fungiert in unserem Unternehmen als CISO oder CIO und hat er oder sie ausreichende Ressourcen zur Verfügung, die der aktuellen Bedrohungslandschaft entsprechen?

Wohl in den allermeisten Unternehmen sind IPs, Geschäftsgeheimnisse, vertrauliche Informationen deutlich wertvoller als die damit verbundenen Kosten für den Datenschutz. Inzwischen sollte es selbstverständlich sein, die betreffenden Abteilungen mit entsprechenden Ressourcen und Sicherheitsbudgets auszustatten. In der diesjährigen Deloitte-National Association of State Chief Information Officers (NASCIO) Cybersecurity Study 2016, gaben 80 % der Befragten an, dass nicht ausreichende Budgets eine der Haupthürden seien, wenn es darum geht, adäquat auf Cyberbedrohungen zu reagieren. Für Vorstände sollte das ein deutliches Signal sein, die Prioritäten neu zu setzen und dem Führungspersonal die notwendigen finanziellen Ressourcen an die Hand zu geben.

1 https://hbr.org/2015/03/why-data-breaches-dont-hurt-stock-prices

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?