Datensicherheit wird immer wichtiger. Durch Digitalisierung entstehen immer häufiger Situationen, in denen Unternehmen in ihrer Existenz bedroht werden. In dem „2014 Data Breach Investitigation Report“ von Verizon werden in einer weltweit angelegten Analyse mit insgesamt 63 000 Sicherheitsverletzungen neun Datenkompromittierungsmuster identifiziert, die von besonderer Relevanz sind. Dabei wurden Vorfälle in den Jahren 2004 bis 2013 untersucht und konnten in 94 Prozent der Fälle im Jahr 2013 entsprechend zugeordnet werden.
Opfer von Sicherheitsverletzungen können Unternehmen jeder Größe und Branche sein. Selbst wenn die Wahrscheinlichkeit einer Verletzung durch externe Angriffe als gering eingestuft wird, besteht auch die Möglichkeit von Missbrauch durch Insider. Die meisten Angriffe werden allerdings von externen Angreifern verübt und folgen zunehmend einer finanziellen Motivation. Neben Zahlungs- und Bankdaten spielen der gezielte Datenklau und der Diebstahl von Geschäftsgeheimnissen eine zunehmende Rolle. Die beliebtesten Angriffsmethoden auf Server und Endgeräte basieren auf Hacking und Malware. Und auch Social-Engineering-Angriffe haben in den letzten Jahren zugenommen.
Vergleicht man einmal die von Verizon über zehn Jahre analysierten Daten mit der Stichprobe in 2013 (n=1367), so scheinen Themen wie physischer Datendiebstahl und Missbrauch durch Insider, „diverse Fehler“ oder auch „Crimeware“ (Malware, Phishing und ähnliches) besser beherrscht zu sein als in der Vergangenheit. Beängstigend sind jedoch die Negativ-Ausreißer „Web-App-Angriffe“ (+330 Prozent), „Karten-Skimmer“ (Faktor 9) und „Cyber-Spionage“ mit einer Veränderung von ein auf 22 Prozent. Besonders interessant ist auch die Branchenauswertung, denn hier lassen sich mehr als 50 Prozent der Fälle durch jeweils nur drei Muster beschreiben. Dass es dabei branchentypische Schadensmuster gibt, ist nachvollziehbar. So überwiegen beispielsweise in der Gastrobranche mit 75 Prozent die Point-of-Sale-Einbrüche, während – und das ist für sich schon interessant – im Gesundheitswesen in 46 Prozent der Fälle physischer Diebstahl und Verlust auftreten. Das Management als eigene „Branche“ ist übrigens in 44 Prozent der Schadenseintritte durch Spionageangriffe betroffen. Im Transportwesen wurde in 24 Prozent der Fälle Spionage betrieben.
Was bedeutet das für Unternehmen? Neben der seit Jahrzehnten anhaltenden Diskussion um Nutzen und Ressourcen-Effizienz ist mittlerweile eine dritte und ebenso bedeutende Säule in der Unternehmenszielsetzung und Steuerung entstanden: die Risikooptimierung. Nun wird dem sicherlich entgegengehalten, dass dies keine neue Erkenntnis ist und Firmen schon immer Risikomanagement betreiben mussten. Das stimmt und dennoch ist in diesem Zusammenhang häufig eine auffällige Themenvernachlässigung durch das Management zu beklagen. Selbst Gesetze, Sicherheitsbestimmungen und Handlungsempfehlungen von Experten haben bei einigen Unternehmenslenkern noch nicht die nötige Sensibilität erzeugt. Vor kurzem hörte ich erst wieder, dass sich ein Unternehmer nach ISO/IEC 27001 (internationale Norm für Informationssicherheit) zertifizieren lassen möchte, weil es der Kunde so erwartet. Na denn, wenn’s hilft . . .
Fragen an den Autor?
horst.tisson@tisson.com