ROI eines digitalen Risikomanagements Darum zahlt sich Sicherheit aus
30. Oktober 2017Cyber-Angriffe auf Unternehmen haben in den letzten Jahren zugenommen. Als Antwort auf die lauernde digitale Gefahr investieren Unternehmen mehr und mehr in IT-Sicherheit. Im Bereich Finanzdienstleistungen beispielsweise sind die entsprechenden Ausgaben seit 2013 um 67 Prozent gestiegen; allein 2016 stiegen die Aufwendungen um 11 Prozent im Vergleich zum Vorjahr.
ROI-Nachweis
Die IT-Security Budgets wachsen nicht ohne Grund. Die Bedrohung ist klar. Trotzdem sind CISOs und CIOs immer wieder aufgefordert, stichhaltige Argumente für oft aufwändige Maßnahmen zu liefern und den Return of Investment von Lösungen nachzuweisen. Digitales Risikomanagement ist hier der erste Schritt für eine effektive Sicherheitsstrategie. Es reduziert nicht nur das Risiko von Cyber-Bedrohungen, sondern verschafft Unternehmen einen umfassenden Einblick in die eigentliche Bedrohungslage. Werden sensible Unternehmensdaten von einem Insider im Unternehmen im Dark Web angeboten? Lassen sich persönliche Daten des CEOs auf Social Media-Kanälen sammeln und dann für „Spear Phishing“-Angriffe nutzen? Welche Informationen sich auch immer im World Wide Web, im Deep Web und im Dark Web befinden, sie alle können von potentiellen Angreifern dazu genutzt werden, um einen Angriff zu starten.
Traditionelle Abwehrmaßnahmen, die sich lediglich auf die interne Unternehmens-IT konzentrieren, reichen längst nicht aus. Sinnvoller ist es, einen Blick über die Unternehmensgrenzen hinaus zu werfen. Threat Intelligence, die aus der Perspektive potentieller Angreifer heraus angreifbare Punkte eines Unternehmens identifiziert, kann entscheidend dazu beitragen, sicherheitskritische Vorfälle zu verhindern, aufzudecken und einzudämmen.
Wie wichtig dieses Risikomanagement ist, wird oft erst klar, wenn man sich die Folgen eines Cyber-Angriffs vor Augen führt – einschließlich der damit einhergehenden Kosten. Dabei hängt die Höhe des Schadens von der jeweiligen Bedrohung ab.
Bedrohungsvielfalt
Ein Blick auf nur drei mögliche Arten der Bedrohung – Rufschädigung, Datenverlust, Cyberattacken – zeigt, wo und warum sich eine Investition in Sicherheitsmaßnahmen letztendlich lohnt.
Markenschutz: Für Unternehmen ist es extrem schwer nachzuverfolgen, wie ihr Marken- oder Produktname online missbraucht wird. Ein Beispiel dafür sind Phishing-Kampagnen, bei denen Betrüger gezielt Mitarbeiter oder Kunden im Namen des Unternehmens anschreiben, um auf gefälschte Webseiten weiterzuleiten oder über E-Mail-Anhänge Malware einzuschleusen. Häufig nutzen Betrüger auch leicht veränderte Domainnamen einer Unternehmenswebsite, um Nutzer auf gefährliche Seiten zu locken, oder erstellen in den sozialen Netzwerken falsche Profile von Marken oder Führungskräften.
Das Netz auf Rufschädigung und Markenmissbrauch zu überwachen ist mehr als nur ein “Nice-to-have”, sondern hat auch Auswirkungen auf die Finanzen, zum Beispiel Opportunitätskosten und Gewinneinbußen. Falsche Informationen können sich wie ein Lauffeuer im Internet verbreiten. Das kann nicht nur die öffentliche Meinung beeinträchtigen und Kundenbeziehungen schädigen, sondern auch den Erfolg von Geschäftsabschlüssen, Partnerschaften, Fusionen oder Übernahmen maßgeblich beeinflussen.
Für Anbieter von Luxusgütern zum Beispiel sind im Internet angebotene Markenimitate ein erheblicher Imageverlust. Digitales Risikomanagement kann hier wertvolle Informationen zu Tage fördern, die es ermöglichen, Produktpiraterie aufzudecken und mit Hilfe der Behörden Täter zu identifizieren und Vermögenswerte zu beschlagnahmen. Für Händler hochwertiger Produkte können sich dabei Entschädigungszahlungen im sechsstelligen Bereich ergeben.
Datenverlust: Werden vertrauliche Informationen, Kundendaten oder Passwörter von Mitarbeitern bei einem Daten-Hack gestohlen, haben Unternehmen mit weit mehr als „nur“ Imageverlust zu kämpfen. Mit der neuen Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt, müssen in der EU tätige Unternehmen u. a. Rechenschaft über die Sicherheit personenbezogener Daten ablegen können. Das schließt auch Datenschutzverletzungen wie Datendiebstahl mit ein. Verstöße können teuer werden, mit hohen Geldbußen von bis zu zwanzig Millionen Euro oder vier Prozent des weltweiten Umsatzes.
Daten-Leaks sind aber nicht nur hinsichtlich des Datenschutzes eine Problem: Der Verlust von geistigem Eigentum kostet Unternehmen entscheidende Wettbewerbsvorteile. Gestohlene Kreditkartendaten oder Sozialversicherungsnummern werden im Dark Web gehandelt und von Kriminellen für Betrugsversuche genutzt – und kosten Banken und Versicherungen jährlich Millionen.
Auch geleakte Login-Daten von Mitarbeitern stellen ein ernstes Risiko dar: Mögliche Folgen reichen von unbefugter Übernahme eines Accounts über Erpressungsversuche bis hin zu Credential-Stuffing, wobei gehackte Login-Daten eines Accounts für Angriffe auf andere Accounts verwendet werden. Betroffen sind hiervon laut einem Report rund 97% der 1.000 größten Unternehmen der Forbes Global 2000-Liste.
Cyber-Bedrohungen und Angriffe: Um Cyber-Attacken erfolgreich abzuwehren, müssen Unternehmen zunächst die tatsächliche Bedrohungslandschaft kennen: Wer steckt hinter potentiellen Angriffen, welche Taktiken, Techniken und Prozeduren (TTPs) werden genutzt und welche Branchen werden häufig Opfer von Hackerangriffen? So finden sich Unternehmen beispielsweise auf einer Liste von Angriffszielen wieder oder werden in einschlägigen Foren im Dark Web diskutiert.
Threat Intelligence
Der Erfolg von Threat Intelligence hängt dabei davon ab, wie genau die gesammelten Informationen auf das Unternehmen abgestimmt sind. Der Markt für entsprechende Dienstleistungen ist zwar mittlerweile ausgereift, doch häufig liefern die Lösungen lediglich allgemeine und automatisch erstellte Bedrohungslisten, gefüllt mit einer Unmenge an Informationen über jeglicher Art von Bedrohung.
Diese Informationen nach tatsächlichen relevanten Anhaltspunkten zu durchsuchen bleibt dann häufig Aufgabe der Sicherheitsabteilungen. Deshalb gilt: Bevor mit dem Sammeln und der Analyse von sicherheitsrelevanten Daten begonnen wird, brauchen Unternehmen eine klare strategische Planung, in der methodisch alle unternehmensspezifischen Anforderungen, die Datenerfassung sowie eventuelle Datenlücken festgehalten sind.
Erst im Kontext kann Threat Intelligence Aufschluss über die Wirksamkeit von Sicherheitsmaßnahmen geben. Sicherheitsexperten können so besser Maßnahmen planen, unternehmensweite Richtlinien etablieren und vermeintliche Schwachstellen beseitigen. Steigt durch das digitale Risikomanagement die Cyber-Sicherheit, dann ist damit ein wirtschaftlicher Nutzen für Unternehmen nachgewiesen, der vorausgegangen Investitionen mehr als rechtfertigt.
Alistair Paterson
ist der CEO von DigitalShadows