Skip to content
Warum ist Cybersecurity wichtig

Warum ist Cyber-Security wichtig?

Cyber-Security ist wichtig, weil sie alles umfasst, was den Schutz unserer sensiblen Daten, persönlich identifizierbarer Informationen (PII), geschützter Gesundheitsinformationen, persönlicher Informationen, geistigen Eigentums, Daten sowie staatlicher und industrieller Informationssysteme vor Diebstahl und Beschädigung durch Kriminelle und Widersacher umfasst.

Das Cyber Security-Risiko steigt, angetrieben durch die globale Vernetzung und die Nutzung von Cloud-Diensten, wie Amazon Web Services, zur Speicherung sensibler Daten und persönlicher Informationen. Die weit verbreitete schlechte Konfiguration von Cloud-Diensten, gepaart mit immer raffinierteren Cyber-Kriminellen, bedeutet, dass das Risiko, dass Ihr Unternehmen von einem erfolgreichen Cyber-Angriff oder einer Datenverletzung betroffen sein könnte, immer weiter zunimmt.

Vorbei sind die Zeiten, in denen einfache Firewalls und Antiviren-Software die einzigen Sicherheitsmaßnahmen waren. Unternehmensleiter können die Informationssicherheit nicht länger den Cyber Security-Experten überlassen.

Cyber-Bedrohungen können von jeder Ebene Ihres Unternehmens ausgehen. Sie müssen Ihre Mitarbeiter über einfache Social-Engineering-Betrügereien wie Phishing und ausgefeiltere Cyber Security-Angriffe wie Ransomware-Angriffe (denken Sie an WannaCry) oder andere Malware, die auf den Diebstahl von geistigem Eigentum oder persönlichen Daten abzielt, sensibilisieren.

Die DSGVO und andere Gesetze bedeuten, dass Cyber-Security nicht länger etwas ist, das Unternehmen jeder Größe ignorieren können. Sicherheitsvorfälle betreffen regelmäßig Unternehmen aller Größenordnungen und schaffen es oft auf die Titelseite, was zu irreversiblen Reputationsschäden bei den betroffenen Unternehmen führt.

Wenn Sie sich noch keine Gedanken über Cybersicherheit gemacht haben, sollten Sie es tun.

Was ist Cyber Security?

Cyber Security ist der Zustand oder Prozess des Schutzes und der Wiederherstellung von Computersystemen, Netzwerken, Geräten und Programmen vor jeder Art von Cyberangriff. Cyberangriffe sind eine immer raffiniertere und sich weiterentwickelnde Gefahr für Ihre sensiblen Daten, da Angreifer neue Methoden einsetzen, die durch Social Engineering und künstliche Intelligenz angetrieben werden, um traditionelle Sicherheitskontrollen zu umgehen.

Tatsache ist, dass die Welt zunehmend von Technologie abhängig ist und diese Abhängigkeit wird sich mit der nächsten Generation intelligenter, internetfähiger Geräte, die über Bluetooth und Wi-Fi Zugang zu unseren Netzwerken haben, fortsetzen.

Die Bedeutung von Cyber-Security

Die Bedeutung von Cyber-Security nimmt zu. Grundsätzlich ist unsere Gesellschaft technologieabhängiger als je zuvor und es gibt keine Anzeichen dafür, dass sich dieser Trend verlangsamen wird. Datenlecks, die zu Identitätsdiebstahl führen könnten, werden jetzt öffentlich auf Social-Media-Konten gepostet. Sensible Informationen wie Sozialversicherungsnummern, Kreditkarteninformationen und Bankkontodaten werden heute in Cloud-Speicherdiensten wie Dropbox oder Google Drive gespeichert.

Fakt ist, egal ob Sie eine Einzelperson, ein kleines Unternehmen oder ein großer multinationaler Konzern sind, Sie verlassen sich jeden Tag auf Computersysteme. Kombiniert man dies mit der Zunahme von Cloud-Diensten, mangelhafter Sicherheit von Cloud-Diensten, Smartphones und dem Internet der Dinge, hat man eine Vielzahl von Bedrohungen für die Cyber-Security, die es vor ein paar Jahrzehnten noch nicht gab. Wir müssen den Unterschied zwischen Cyber-Security und Informationssicherheit verstehen, auch wenn sich die Fähigkeiten immer mehr ähneln.

Regierungen auf der ganzen Welt schenken der Cyberkriminalität mehr Aufmerksamkeit. Die DSGVO ist ein gutes Beispiel dafür. Sie hat den Reputationsschaden von Datenverletzungen erhöht, indem sie alle Organisationen, die in der EU tätig sind, dazu zwingt:

  • Datenverstöße zu kommunizieren
  • einen Datenschutzbeauftragten zu ernennen
  • die Zustimmung des Benutzers zur Verarbeitung von Daten einzuholen
  • Daten zum Schutz der Privatsphäre zu anonymisieren

Die Entwicklung zur Transparenz ist nicht auf Europa beschränkt. Während es in den Vereinigten Staaten keine nationalen Gesetze gibt, die die Veröffentlichung von Datenschutzverletzungen überwachen, gibt es in allen 50 Bundesstaaten Gesetze zu Datenschutzverletzungen. Zu den Gemeinsamkeiten gehören:

  • Die Verpflichtung, die Betroffenen so schnell wie möglich zu benachrichtigen
  • Die Behörden so schnell wie möglich zu benachrichtigen
  • Zahlung einer gewissen Summe Geldstrafe

Kalifornien war der erste Bundesstaat, der 2003 die Offenlegung von Datenschutzverletzungen regelte und Personen oder Unternehmen dazu verpflichtete, die Betroffenen „ohne unnötige Verzögerung“ und „sofort nach Entdeckung“ zu benachrichtigen. Betroffene können auf bis zu 750 US-Dollar klagen und Unternehmen können mit einer Geldstrafe von bis zu 7.500 US-Dollar pro Betroffenen belegt werden.

Dies veranlasste Gremien wie das National Institute of Standards and Technology (NIST) dazu, Regelwerke herauszugeben, die Unternehmen dabei helfen sollen, ihre Sicherheitsrisiken zu verstehen, Cyber Security-Maßnahmen zu verbessern und Cyberangriffe zu verhindern.

Warum nimmt die Internetkriminalität zu?

Informationsdiebstahl ist das wertvollste und am schnellsten wachsende Segment der Computerkriminalität. Dies ist vor allem auf die zunehmende Offenlegung von Identitätsdaten im Internet über Cloud-Dienste zurückzuführen. Aber das ist nicht das einzige Ziel. Industrielle Steuerungen, die Stromnetze und andere Infrastrukturen verwalten, können gestört oder zerstört werden. Und Identitätsdiebstahl ist nicht das einzige Ziel. Cyberangriffe können auch darauf abzielen, die Datenintegrität zu beeinträchtigen (Daten zu zerstören oder zu verändern), um Misstrauen gegenüber einer Organisation oder Regierung zu erzeugen.

Cyberkriminelle werden immer raffinierter und verändern ihre Ziele, die Art und Weise, wie sie Organisationen angreifen und ihre Angriffsmethoden für verschiedene Sicherheitssysteme.

Social Engineering ist nach wie vor die einfachste Form des Cyberangriffs, wobei Ransomware, Phishing und Spyware die einfachste Form des Eindringens darstellen. Dritt- und Viertanbieter, die Ihre Daten verarbeiten und schlechte Cyber Security-Praktiken haben, sind ein weiterer häufiger Angriffsvektor, was das Risikomanagement für Anbieter und Drittanbieter umso wichtiger macht.

Laut der neunten jährlichen Studie zu den Kosten von Cyberkriminalität von Accenture und dem Ponemon Institute sind die durchschnittlichen Kosten von Cyberkriminalität für ein Unternehmen im letzten Jahr um 1,4 Millionen US-Dollar auf 13,0 Millionen US-Dollar gestiegen, und die durchschnittliche Anzahl der Datenschutzverletzungen ist um 11 Prozent gestiegen. Informationsrisikomanagement war noch nie so wichtig wie heute.

Datenverletzungen können finanzielle Informationen wie Kreditkartennummern oder Bankkontodaten, geschützte Gesundheitsinformationen, persönlich identifizierbare Informationen (PII), Geschäftsgeheimnisse, geistiges Eigentum und andere Ziele der Wirtschaftsspionage betreffen. Andere Bezeichnungen für Datenschutzverletzungen sind unbeabsichtigte Offenlegung von Informationen, Datenleck, Cloud-Leck, Informationsleck oder Datenpanne.

Weitere Faktoren, die das Wachstum der Internetkriminalität vorantreiben, sind:

  • Die dezentrale Struktur des Internets
  • Die Möglichkeit für Cyberkriminelle, Ziele außerhalb ihres Zuständigkeitsbereichs anzugreifen, was die polizeiliche Überwachung extrem erschwert
  • Zunehmende Profitabilität und Leichtigkeit des Handels im Dark Web
  • Die Verbreitung von mobilen Geräten und dem Internet der Dinge

Was sind die Auswirkungen von Cyberkriminalität?

Ein mangelnder Fokus auf Cyber Security kann Ihr Unternehmen auf verschiedene Weise schädigen:

  • Wirtschaftliche Kosten: Diebstahl von geistigem Eigentum, Unternehmensinformationen, Unterbrechung des Handels und Kosten für die Reparatur beschädigter Systeme
  • Reputationsschäden: Verlust des Verbrauchervertrauens, Verlust aktueller und zukünftiger Kunden an die Konkurrenz und schlechte Medienberichterstattung
  • Regulatorische Kosten: Die DSGVO und andere Gesetze zu Datenschutzverletzungen bedeuten, dass Ihr Unternehmen infolge von Cyberkriminalität mit Geldstrafen oder Sanktionen rechnen muss

Alle Unternehmen, unabhängig von der Größe, müssen sicherstellen, dass alle Mitarbeiter die Bedrohungen der Cyber Security verstehen und wissen, wie sie diese eindämmen können. Dazu sollten regelmäßige Schulungen und ein Regelwerk gehören, mit dem man arbeiten kann, um das Risiko von Datenlecks oder Datenschutzverletzungen zu verringern.

Angesichts der Art der Cyberkriminalität und der Tatsache, wie schwer sie zu erkennen ist, sind die direkten und indirekten Kosten vieler Sicherheitsverletzungen nur schwer zu erfassen. Das bedeutet jedoch nicht, dass der Reputationsschaden selbst einer kleinen Datenverletzung oder eines anderen Sicherheitsvorfalls nicht groß ist. Wenn überhaupt, erwarten die Verbraucher im Laufe der Zeit immer anspruchsvollere Cyber Security-Maßnahmen.

Wie Sie Ihr Unternehmen vor Cyberkriminalität schützen können

Es gibt drei einfache Schritte, die Sie unternehmen können, um die Sicherheit zu erhöhen und das Risiko von Internetkriminalität zu verringern:

  1. Klären Sie alle Ebenen Ihres Unternehmens über die Risiken von Social Engineering und gängige Social Engineering-Betrügereien wie Phishing-E-Mails und Typosquatting auf.
  2. Investieren Sie in Tools zur Begrenzung von Informationsverlusten, überwachen Sie das Risiko von Drittanbietern und Lieferanten und scannen Sie kontinuierlich nach Daten und Zugangsdaten.
  3. Nutzen Sie Technologien zur Kostenreduzierung, wie z. B. das automatische Versenden von Fragebögen zur Anbieterbewertung als Teil einer Gesamtstrategie zur Bewertung von Cyber Security-Risiken.

Unternehmen sollten sich nicht mehr fragen, warum Cyber-Security wichtig ist, sondern wie kann ich sicherstellen, dass die Cyber Security-Praktiken meines Unternehmens ausreichen, um die DSGVO und andere Vorschriften einzuhalten und mein Unternehmen vor raffinierten Cyberangriffen zu schützen.

Beispiele für Schadensfälle bei Unternehmen, die von Cyberangriffen und Datenschutzverletzungen betroffen sind

Die Anzahl der Cyberangriffe und Datenschutzverletzungen in den letzten Jahren ist erschütternd und es ist ein Leichtes, eine Liste mit bekannten Unternehmen zu erstellen, die davon betroffen waren.

Hier sind ein paar Beispiele:

Equifax: Der Identitätsdiebstahl bei Equifax durch Cyberkriminalität betraf ca. 145,5 Millionen US-Verbraucher sowie ca. 400.000 bis 44 Millionen britische und 19 000 kanadische Verbraucher. Equifax Aktien fielen im frühen Handel am Tag nach dem Angriff um 13% und zahlreiche Klagen wurden gegen Equifax als Folge des Angriffs eingereicht. Ganz zu schweigen von dem Reputationsschaden, den Equifax erlitten hat. Am 22. Juli 2019 stimmte Equifax einem Vergleich mit der FTC zu, der einen 300-Millionen-Dollar-Fonds für die Entschädigung der Opfer, 175 Millionen Dollar für die Bundesstaaten und Territorien in der Vereinbarung und 100 Millionen Dollar an Geldstrafen beinhaltete.

eBay: Zwischen Februar und März 2014 wurde eBay Opfer eines Angriffs auf verschlüsselte Passwörter, was dazu führte, dass alle 145 Millionen Nutzer aufgefordert wurden, ihr Passwort zurückzusetzen. Die Angreifer nutzten einen kleinen Satz von Mitarbeiter-Anmeldeinformationen, um auf diesen Schatz an Benutzerdaten zuzugreifen. Zu den gestohlenen Informationen gehörten verschlüsselte Passwörter und andere persönliche Daten wie Namen, E-Mail-Adressen, Anschriften, Telefonnummern und Geburtsdaten. Der Verstoß wurde im Mai 2014 nach einer monatelangen Untersuchung durch eBay aufgedeckt.

Adult Friend Finder: Im Oktober 2016 sammelten Hacker 20 Jahre alte Daten in sechs Datenbanken, die Namen, E-Mail-Adressen und Passwörter für The FriendFinder Network enthielten. Zum FriendFinder Network gehören Websites wie Adult Friend Finder, Penthouse.com, Cams.com, iCams.com und Stripshow.com. Die meisten Passwörter waren nur durch den schwachen SHA-1-Hash-Algorithmus geschützt, was bedeutete, dass 99 % von ihnen bereits geknackt waren, als LeakedSource.com am 14. November seine Analyse des gesamten Datensatzes veröffentlichte.

Yahoo: Yahoo gab bekannt, dass bei einem Einbruch im August 2013 durch eine Gruppe von Hackern 1 Milliarde Konten kompromittiert wurden. In diesem Fall wurden auch die Sicherheitsfragen und -antworten kompromittiert, was das Risiko eines Identitätsdiebstahls erhöhte. Die Sicherheitsverletzung wurde von Yahoo erstmals am 14. Dezember 2016 gemeldet und zwang alle betroffenen Benutzer, ihre Passwörter zu ändern und alle unverschlüsselten Sicherheitsfragen und Antworten neu einzugeben, um sie in Zukunft zu verschlüsseln. Im Oktober 2017 änderte Yahoo jedoch die Schätzung auf 3 Milliarden Benutzerkonten. Eine Untersuchung ergab, dass die Passwörter der Nutzer im Klartext, Kreditkartendaten und Bankinformationen nicht gestohlen wurden. Nichtsdestotrotz bleibt dies eine der größten Datenpannen dieser Art in der Geschichte.

Obwohl dies nur ein paar Beispiele für hochkarätige Datenschutzverletzungen sind, ist es wichtig, sich daran zu erinnern, dass es noch mehr gibt, die es nie auf die Titelseiten geschafft haben.

CyberVersicherungSExperte

Haben Sie Fragen? Wünschen Sie eine individuelle Beratung oder möchten Sie sich über die Cyber-Versicherung informieren?

Christian Domke ist für Sie da!

christian-domke

Christian Domke

Ihr Experte für Cyber-Versicherungen
5/5

CyberBlog

Cloud Access Security Broker

Was ist ein CASB? (Cloud Access Security Broker)

Definition von CASB, Cloud Access Security Broker CASBs oder Cloud Access Security Broker wurden 2012 von der Firma
Mehr lesen
Bring Your Own Device

Was ist Bring Your Own Device (BYOD)?

Definitionen von BYOD Bring Your Own Device (BYOD) bezieht sich auf den Standard, dass Mitarbeiter persönliche Geräte verwenden,
Mehr lesen
Sicherheitsingenieur

Wie wird man ein Sicherheitsingenieur?

Sicherheitsingenieur: Ein kompletter Karriere Guide Sicherheitsingenieure, oder Informationssicherheitsingenieure, besetzen eine technische Rolle innerhalb eines Unternehmens oder einer Organisation.
Mehr lesen
Zero-Day Exploit

Was ist ein Zero-Day Exploit?

Definition von Zero-Day-Exploits „Zero-Day“ ist ein loser Begriff für eine kürzlich entdeckte Sicherheitslücke oder einen Exploit für eine
Mehr lesen
Zero Trust

Was ist Zero Trust?

Definition von Zero Trust Zero Trust ist ein Sicherheitsparadigma, das eine strenge Identitätsüberprüfung und eine explizite Erlaubnis für
Mehr lesen
Threat Intelligence

Was ist Threat Intelligence?

Definition von Threat Intelligence (Bedrohungsdaten) Threat Intelligence oder Cyber Threat Intelligence sind Informationen, die eine Organisation verwendet, um
Mehr lesen