Zum Hauptinhalt springen

So hilft Cyber Security gegen Attacken aus dem Internet

Die Schäden durch Cybercrime gehen in die Milliarden. Doch mit der richtigen Strategie können Unternehmen sich effektiv schützen!

Phishing, Spyware, Ransomware: Mit der zunehmenden Digitalisierung ist Internetkriminalität ein hochprofessionelles Geschäft des Organisierten Verbrechens und nationaler Regierungen geworden. Gestohlen wird fast alles – vom geistigen Eigentum der Unternehmen bis zu sensiblen Regierungsdaten. Auch Spionage, Sabotage und Erpressung gehören bei Cyberattacken längst zum Geschäftsmodell. Deloitte-Experten geben einen Überblick, welchen spezifischen Bedrohungen Unternehmen ausgesetzt sind und informieren über die wirkungsvollsten Abwehrmaßnahmen.

 

Es geht um das große Aber. Denn natürlich wollen und müssen Unternehmen ihre digitale Transformation vorantreiben. Aber: sind die damit verbundenen Risiken nicht zu hoch? Öffnen sich bei digitalen Prozessen nicht ständig neue Lücken, durch die Kriminelle Zugang bis tief ins Herz des Unternehmens erhalten?

Seitdem nicht nur Privatpersonen, sondern ganze Branchen und Regierungen zu Opfern der Bedrohung aus dem Netz wurden, zweifeln viele an der sicheren Umsetzbarkeit ihrer eigenen digitalen Agenda.

Doch auch wenn die Meldungen über immer neue Hacker-Erfolge nicht abreißen: Das Cyber Risiko ist beherrschbar. Wir zeigen, mit welchen Mit wirkungsvollen Maßnahmen gegen Cyberattacken Unternehmen digitale Sicherheit und Datenschutz schaffen können.
Die Experten von Deloitte wissen, in welchen Bereichen die größten Gefahren lauern und welche Maßnahmen wirklich schützen.

Was Cyber Security so dringlich macht

 

Digitale Kriminalität boomt. Schon 2014 haben nach einer Studie des Software-Anbieters McAfee die Umsätze daraus etwa weltweit den Drogenhandel überholt. Allein die Verluste deutscher Unternehmen sollen nach Informationen der FAZ dem Jahreshaushalt des Freistaats Bayern entsprechen: mehr als 50 Milliarden Euro!

Das gestiegene Sicherheitsrisiko hat dabei viele technische Gründe. Dazu kommen neue EU-Regulierungen, die den Handlungsbedarf für deutsche Unternehmen noch konkreter machen:

Das Datenaufkommen in Unternehmen steigt rapide. Das betrifft betriebliche Prozesse, die immer umfassender digital erfasst, verarbeitet und archiviert werden. Und das gilt ebenso für die wachsende Fülle an Informationen über den Kunden: Kontaktdaten, Transaktionshistorien und Interaktionen bis hin zu Browser-Search-Daten und Konsumgewohnheiten. Mit dem digitalen Footprint in internen und externen Datenbanken wächst zugleich auch die Angriffsfläche für Kriminelle – eine gigantische Herausforderung für die Cyber Security.

Die digitale Revolution hat auch die Produktion längst erfasst, die verarbeitende Industrie ist heute komplex vernetzt. Dadurch steigt  die Anzahl potenzieller Einfallstore für Hacker, die den Betrieb empfindlich stören können. Diese Anfälligkeit wird umso bedrohlicher, weil der Angriff von überall auf der Welt erfolgen kann. Gegenmaßnahmen und Strafverfolgung werden dadurch erheblich erschwert.

Schon heute werden die Konturen einer Zukunft sichtbar, in der sich das Internet von der unmittelbaren Computernutzung löst und an Alltagsprodukte der Benutzer andockt – vom Wearable bis zum Fahrzeug. Wer in diese über das Internet der Dinge vernetzte Infrastruktur eindringt, erhält potenziell Zugang zu allen weiteren, oftmals sensiblen persönlichen Daten. Das hat schwerwiegende Folgen für den Nutzer, ebenso aber auch für jene Unternehmen, mit deren Servern die Devices vernetzt sind.

Neue EU-Regulierungen verstärken den Handlungsdruck

 

Handlungsbedarf in Sachen Cyber Security entsteht aber nicht nur wegen der erhöhten Anfälligkeit für Akteure in der digitalen Welt. Auch der Gesetzgeber macht Druck: Ende Mai 2018 werden nationale Datenschutzregelungen durch die einheitliche EU-Datenschutz-Grundverordnung (EU-DSGVO) ersetzt. Diese bewirkt Veränderungen, Konkretisierungen und Verschärfungen in diversen Bereichen. So müssen Firmen bei der Erhebung von Verbraucherdaten das Einwilligungsprinzip beachten und sich, auch wenn sie in Drittstaaten ansässig sind, den Regeln des lokalen Marktes unterwerfen.

Bei der Entwicklung von Produkten lauten die Gebote Privacy by Design und Privacy by Default: Produkte haben Sicherheitsoptionen nicht nur bereits zu enthalten, sondern diese müssen grundsätzlich auch schon ab Werk aktiviert sein. Und nicht zuletzt steht eine neue Bußgelddrohung im Raum, die mit bis zu 4% des Umsatzes oder 20 Millionen Euro drastisch ausfällt. Bei der Anpassung an diese regulatorischen Rahmenbedingungen können Deloitte-Experten wertvolle Hilfe leisten. 

Wie Unternehmen sich schützen können

 

Die technischen Aspekte des Cybercrime sind vielfältig und überwältigend komplex. Deshalb darf sich digitaler Schutz nicht auf Auswahl und Konfiguration der Technologien und Services allein beschränken. Es geht um viel mehr als Tools und Gadgets. Nötig ist ein Umdenken in der gesamten Unternehmenskultur über alle Abteilungsgrenzen hinweg. Denn da digitale Attacken auf praktisch jeden Unternehmensbereich ausgeführt werden können, muss Cyber Security unternehmensweit gewährleistet sein.
Die stark regulierte Finanzindustrie hat digitale Sicherheitsmaßnahmen bereits zu einem hohen Grad umgesetzt, ergab die Deloitte-Studie Global Risk Management Survey. . Die Branche berücksichtigt Risikobewertung und Folgenabschätzung in einem besonderen Maße. In der Fertigungstechnologie findet gemäß der Deloitte-Studie Cyber Risk in Advanced Manufacturing der Schutz des geistigen Eigentums herausragende Beachtung.
Im Privatkundengeschäft wiederum rücken verstärkt Aspekte wie Bezahltechnologien und Verbrauchervertrauen in den Fokus, wie unsere Studie Cyber Risk in Consumer Business ergab. Über die adäquaten Maßnahmen für Cyber Security in dieser Branche geben wir im Folgenden einen Überblick.

Sicherheit im Consumer Business

 

Onlinehandel, Vernetzung durch das Internet der Dinge, Einsatz von Big Data: Die Möglichkeiten der Digitalisierung für maßgeschneiderte Angebotsstrukturen und Services werden immer intensiver genutzt. Konnektivität entwickelt sich im Privatkundengeschäft zur großen Chance – und ebenso zum Risiko.
Diese Maßnahmen entscheiden über Erfolg und Sicherheit im Consumer Business:

Die digitalen Bezahlmöglichkeiten des Kunden, ob im Bereich Gastronomie oder Retail, per NFC-Chip oder online, geraten zunehmend ins Visier von Kriminellen. Durch die Auslagerung an Drittanbietern öffnen sich schwer zu überschauende neue Angriffsflächen. Auch Franchise-Systeme werfen die Frage nach konsistenten Sicherheitsstandards auf. Deshalb empfiehlt sich zur Überwachung von Zahlungssicherheit die Einrichtung eines eigenen Stabs für Cyber Security.

Patente, Strategien und andere Geschäftsgeheimnisse kommen auch im Consumer-Bereich große Bedeutung zu. Hier greifen Maßnahmen auf der IT-Ebene wie Inventur bzw. Klassifikation und Bewertung der Daten, Implementierung von Schutzmaßnahmen wie Digitale Rechteverwaltung (Digital Rights Management) und Activity Monitoring auf Ebene der Datenbank sowie Verschlüsselung und Datenhygiene.

Viele Konsumenten misstrauen dem Umgang von Firmen mit ihren digitalen Daten. Tatsächlich hinkt der Standard des Datenschutzes den Innovationen beim Datensammeln und -auswerten oftmals hinterher. Eine verbindliche Selbstverpflichtung sowie Transparenz im Umgang mit Kundendaten sind daher von zentraler Bedeutung. Beides muss sich auch auf Drittanbieter und Partnerunternehmen erstrecken, deren Umgang mit erhobenen Daten es zu kontrollieren gilt. Denn nur wenn der Kunde weiß, wie und warum seine persönlichen Informationen verwendet werden, wird er zu einer engen Kundenbindung bereit sein. Wer aus Cyber Security einen Markenbestandteil macht, erhöht seine Konkurrenzfähigkeit.

Nicht nur im Consumer Business ist der Faktor Mensch für die Datensicherheit eminent wichtig. Bei allen komplexen technischen Maßnahmen ist oft der Anwender, der Mensch selbst, das schwächste Glied in der Abwehrkette. Gefahren drohen einerseits durch böswillige interne Player – ein Thema für den Internal Audit. Andererseits aber besteht auch die Gefahr des menschlichen Irrtums bis hin zur Anfälligkeit gegenüber externer Manipulation von Mitarbeitern, wie das Beispiel „CEO-Fraud“ verdeutlicht. Schutz bieten hier Schulungen und die ständige Schärfung des Bewusstseins der Mitarbeiter, etwa durch interne Aktionen und Kampagnen

Das Board und der CEO selbst müssen bei der digitalen Transformation generell hinterfragen, ob der Mehrwert der Konnektivität die damit einhergehenden Sicherheitsprobleme überhaupt aufwiegt. Meist kann dies bejaht werden. Allerdings haben Erhebungen unserer Deloitte-Experten ergeben, dass die sich daraus ergebenden Verantwortlichkeiten und Zuständigkeiten organisatorisch oft über viele Bereiche zerstreut sind oder in bestimmte Abteilungen delegiert werden. Abhilfe schaffen können Management-Frameworks, in denen die Eskalationsstufen für eine Involvierung der Unternehmensführung im Ernstfall klar definiert sind. Zusätzlich können Simulationen wie Wargaming und Rollenspiele helfen. Denn ein Grundsatz der neuen Datensicherheit lautet, dass Cybercrime-Events nur eine Frage der Zeit sind: Es geht weniger darum, ob relevante Events stattfinden, sondern wann – und wie souverän das Unternehmen dann reagiert.

Unser Deloitte-Service

 

Die Bedrohung durch Cybercrime ist eine komplexe Herausforderung, die einen stringenten, klar strukturierten Ansatz erfordert. Unsere Deloitte-Experten haben dafür ein dreistufiges Modell entwickelt, der den Rahmen für einen ganzheitlichen Service für technische und organisatorische Einzelmaßnahmen schafft: Secure. Vigilant. Resilient.

Mithilfe passiver Schutzmaßnahmen wehrt das Unternehmen Sicherheitsrisiken präventiv ab („secure“). Dazu gehören die Einführung grundlegender Sicherheitsfähigkeiten, deren Pflege, Erhaltung und Verbesserung: IT-Maßnahmen schützen die Infrastruktur (IT Systems Architektur, Cloud-Computing, Internet of Things, Produkte, Network, Firewall u.a.). Passende Protokolle sorgen für Datenschutz (Datenklassifikation, Digital Rights Management, Compliance, Datenaufbewahrung/-vernichtung, Zertifikate-Management). Spezifische Systeme managen verwundbare Strukturen (Software Alerts, Patch-Anwendungen, Virenschutz u.a.). Geeignete Instanzen verwalten Identitäten und Access (Authentifizierung, Identitäts-Architektur, Zugangskontrolle u.a.). Anwendungen werden aktiv gesichert (Applikationstests, Secure-SDLC-Integration, SAP-Sicherheitscheck, Datenbanksicherheit).

Im nächsten Schritt schafft das Unternehmen Fähigkeiten zur Aufdeckung und Antizipation von Angriffen und Anomalien („vigilant“). Das Konzept der Advanced Threat Readiness stellt die Abwehrbereitschaft sicher (Security Information & Event Management Center). Ein Security-Operations-Center sorgt für 24/7-Überwachung, Attack Detection und Marken-Monitoring. Mit Threat Intelligence werden Malware-Risiken und Attacken in real-time analysiert, auch aus dem Internet und auf Mobilgeräten. Dazu erweitert das Unternehmen seine Fähigkeiten in Cyber Risk Analytics. 

Bei diesen Maßnahmen kommt es darauf an, dass das Unternehmen auf kritische Events vorbereitet ist und die Fähigkeit entwickelt, den Schaden einzudämmen, zu reparieren und den normalen Betrieb dabei so schnell wie möglich wieder aufzunehmen („resilient“). Cyber Incident Response umfasst u.a. die Kommunikation des Schadens, dessen Handhabung und eine Strategie für das Krisenmanagement. Dazu kommen Simulationen, Forensik und juristische Unterstützung bei Klagen.

Cyber Security vereinigt die Fähigkeiten diverser Unternehmens-Disziplinen. Die Umsetzung anspruchsvoller IT-Maßnahmen wird durch die strategische Entwicklung einer Sicherheitskultur flankiert. Auch rechtliche oder steuerliche Aspekte sind zu beachten. Die besondere Stärke von Deloitte liegt in der Zusammenführung der Expertise aus diesen unterschiedlichen Advisory-Bereichen. Dabei können unsere Experten auf Knowhow aus der ganzen Welt zurückgreifen: Als Netzwerk internationaler Spezialisten ermöglicht Deloitte einen Service, der zugleich lokal und global ist. Mit dem zentralen Support des Delivery Centers in Madrid wird dieses Wissen im Cyber Intelligence Center (CIC) in Frankfurt gebündelt. Hier kann mit jedem Unternehmen eine passgenaue Strategie entwickelt werden. Zusätzlich bietet Deloitte dank der Verbindung des Frankfurter CIC mit anderen CIC-Einheiten in der ganzen Welt einen 24/7-Service.

Natürlich kann das Cyber Intelligence Center in Frankfurt alle relevanten ISO-Zertifikate nachweisen. 

Profitieren auch Sie bei der Bewältigung der Zukunftsaufgabe Cyber Security vom Knowhow unserer Experten.

 

Gestalten Sie mit uns die digitale Zukunft Ihres Unternehmens!