Der wahre Preis der Cyberkriminalität
Es folgt die Einschätzung von Jürgen Venhorst, Director Mid Enterprise & Channel EMEA bei Proofpoint: Von Kürzlich veröffentlichte Forschungsergebnisse von Sicherheitsanbieter McAfee besagen, dass der globalen Wirtschaft durch Cyberkriminalität jährlich ein Schaden von mehr als 400 Milliarden USD entsteht. Dies ist ohne Zweifel ein gewaltiger Betrag – jedoch ist es gut möglich, dass wir in zwei Jahren zurückblicken und feststellen werden, dass es sich dabei nur um die Spitze des Cybercrime-Eisbergs handelt.
Das von McAfee geführte CSIS (Centre for Strategic and International Studies) analysierte die 2013 aufgetretenen bekannten Datenpannen und bezifferte anhand von klar im Bericht erläuterten Schlussforgerungen den gesamten Schaden für die globale Wirtschaft. Zahlreiche Sicherheitsexperten
haben die Vermutungen der CSIS in Frage gestellt und der Organisation angesichts des Schätzungsbereichs von 375 bis 575 Milliarden USD unterstellt, dass eventuell eher nach dem „Pi-mal-Daumen-Prinzip“ als nach strengen statistischen Regeln vorgegangen wurde. Dennoch finde ich McAfees
Versuch lobenswert, bekannte Datenpannen quantitativ zu bestimmen und die Dunkelziffer abzuleiten.
Die Diskussion über die korrekte Berechnungsmethode für den durch Cyberkriminalität verursachten Schaden gleicht der Debatte über globale Erwärmung. In beiden Fällen sind nicht exakte, wissenschaftlich ermittelte Werte, sondern rein das Gefühl ausschlaggebend, dass etwas grundsätzlich schief läuft. Um weitere Datenpunkte für zukünftige Berichte mit genaueren statistischen Werten zu erhalten, ist die Forschungsindustrie darauf angewiesen, dass mehr Unternehmen ihre Datenpannen publik machen. Ebenfalls ist es wichtig, dass höhere Investitionen in neue Sicherheitslösungen getätigt werden, um unbekannte Pannen zu minimieren. Interessanterweise kann die EU in beiden Fällen helfen.
Die von der EU verordnete Pflicht zur Veröffentlichung von Datenpannen sorgt für eine vollständige Transparenz
Es herrscht weitgehend Übereinstimmung darüber, dass viele Unternehmen ihre Datenpannen gegenüber Regulierungsbehörden und Kunden verschweigen. Uns ist dies aus erster Hand bekannt. In den letzten drei Jahren konnte Proofpoint einen entscheidenden Anstieg hochentwickelter Cyberangriffe
verzeichnen. Die meisten Angriffe beginnen mit gezielten Spear Phishing- und Longlining-E-Mails, die sowohl für Sicherheitssoftware als auch für Benutzer den Anschein erwecken, dass die E-Mails echt sind, und die nicht erahnen lassen, dass die Links auf gefährliche Websites verweisen. Unsere Teams in Europa werden zunehmend direkt von Unternehmensmitarbeitern gefragt, wie wir Spear Phishing und Longlining blockieren und polymorphe Malware erkennen können. Wenn wir jedoch die Gegenfrage stellen, ob derartige Angriffe in den Unternehmen bereits zum Thema geworden sind, erhalten wir meist nur ausweichende Antworten.
Nach der derzeitigen EU-Gesetzgebung können Unternehmen, die Datenpannen verschweigen, zu einer Geldstrafe verurteilt werden, die jedoch aktuell maximal bei „nur“ ca. 623.000 Euro liegt. Deshalb gehen viele Unternehmen das Risiko ein und verschweigen Datenpannen. Nach vollständiger Einführung der EU-Datenschutzreform 2017/2018 werden jedoch ganz andere Geldstrafen verhängt. Die neuen Geldstrafen sind wesentlich empfindlicher und liegen bei 100 Millionen Euro oder 5 Prozent vom globalen Umsatz, je nachdem, welcher Wert höher ist. Durch diese hohen Geldstrafen wird für die
Unternehmen das Risiko zu hoch, weil im Falle einer Entdeckung akute Insolvenzgefahr besteht.
Höhere EU-Geldstrafen für das Verschweigen von Datenpannen veranlassen Unternehmen, neue Sicherheitsebenen zu implementieren
Die EU möchte durch Verhängung hoher Geldstrafen die Führungskräfte motivieren, die Sicherheit und den Datenschutz in ihren Unternehmen zu verbessern. Bei Proofpoint sehen wir bereits jetzt, dass sich viele Unternehmen zunehmend auf die bevorstehende Änderung vorbereiten. Unsere Teams werden in letzter Zeit immer häufiger gebeten, Auditergebnisse zu gezielten Angriffen direkt der Unternehmensleitung vorzulegen, weil sich Vorstände zunehmend für bislang unbekannte Cyberrisiken interessieren. Dank der Sensibilisierung im Vorstandsbereich werden nun höhere Sicherheitsbudgets genehmigt. Außerdem werden zunehmend neue Technologien geprüft, die Predictive Defence und die nachträgliche Erkennung mithilfe von Big Data-Analysen zur Verfügung stellen und in automatisierte eingreifende Funktionen integriert sind.
Um Unternehmen in der Abwehr von gezielten Angriffen zu unterstützen, sowie diese auf das Thema aufmerksam zu machen setzen Hersteller auf die bestmögliche Ausbildung der Channel Partner – so dass diese genau die Technologien empfehlen und implementieren können, die helfen das Risiko zu verringern und Transparenz zu erhöhen.