[datensicherheit.de, 26.04.2016] Die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) und das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) arbeiten nach eigenen Angaben ab sofort enger zusammen – Ziel dieser Partnerschaft sei es, die Unternehmen auf dem Weg in die Digitalisierung auf dem Gebiet der Cyber-Sicherheit zu begleiten.

Industrie 4.0, automobile Vernetzung und vernetzte Produktion im Fokus

Im Fokus der Kooperation stehen demnach Industrie 4.0, automobile Vernetzung sowie die vernetzte Produktion. Diese Bereiche seien besonders stark von der Digitalisierungsdynamik erfasst und erforderten Lösungen für neue Herausforderungen.
PwC und Fraunhofer AISEC beabsichtigen, den Unternehmen ein breites Angebotsspektrum von der Beratung bis hin zur Implementierung von Sicherheitslösungen anzubieten.

Digitalisierung beeinflusst alle Bereiche des täglichen Lebens

Industrie 4.0, „Internet of Things“, autonomes Fahren, „Big Data“ seien nur einige der Begriffe, die im Zusammenhang mit einem der bedeutendsten Transformationsprozesse stünden – der Digitalisierung. Dieser Prozess erfasse alle Bereiche des täglichen Lebens, er spiele eine zunehmende Rolle in industriellen Produktionsprozessen und spiegele sich wieder in Produkten, die einen immer höheren Anteil an Software- und netzwerkbasierten Diensten aufwiesen.

IT-Sicherheit elementarer Bestandteil der Digitalisierungsstrategie

Die enorme Dynamik der Digitalisierung erzeuge einen Druck auf die Unternehmen, die damit schlichtweg überfordert seien. Bei der Entwicklung einer Digitalisierungsstrategie für ihre Kunden kämen sie um einen Punkt nicht herum: die IT-Sicherheit. Diese sei integraler Bestandteil des Digitalisierungsprozesses, betont Derk Fischer, Partner und Experte für „Cyber Security“ bei PwC. Vor allem in der operativen Umsetzung der Strategie müsse die Sicherheit von Anfang an die Hauptrolle spielen.

Punktuelle Maßnahmen reichen für neue Bedrohungsszenarien nicht aus

Der Bedarf an IT-Sicherheit im Zuge der Digitalisierung wachse und erfordere neue Ansätze. Punktuelle Maßnahmen reichten für die neuen Bedrohungsszenarien schon längst nicht mehr aus. Sie müssten ersetzt werden durch umfassende Integration von geeigneten und wirkungsvollen Sicherheitsmaßnahmen in Entwicklungs- und Organisationsprozesse.
Hierzu sei sowohl tiefes technisches Verständnis der eingesetzten Technologien und der aktuellen Angriffsszenarien erforderlich, als auch Expertise in der Organisation von Entwicklungsprozessen zur Sicherstellung von IT-Sicherheitsanforderungen. Denn IT-Sicherheit müsse in Form einer kontinuierlichen Integration in Organisationsprozessen verankert und auf Compliance-Anforderungen dauerhaft abgebildet werden.

[datensicherheit.de, 15.04.2016] PwC hat kürzlich die Ergebnisse seiner 19. globalen Studie zu Wirtschaftskriminalität (Global Economic Crime Survey) veröffentlicht. Laut dieser Studie habe eine Handvoll der Befragten (etwa 50 Unternehmen) angegeben, über fünf Millionen US-Dollar verloren zu haben; fast ein Drittel unter ihnen habe Verluste im Zusammenhang mit Cyber-Kriminalität in Höhe von mehr als 100 Millionen US-Dollar beziffert. Das Besondere an dieser Studie sei, dass PwC nicht einfach selbst versucht habe, die Kosten von Cyber-Angriffen zu schätzen, sondern Topmanager persönlich nach ihrer Meinung gefragt habe.

CEOs: 61 Prozent sorgen sich um Cyber-Sicherheit

Bei den mehr als 6.000 Befragten habe es sich vorwiegend um C-Level-Führungskräfte und Leiter von Geschäftsbereichen gehandelt, welche die operativen Details des betreffenden Unternehmens in- und auswendig kennen würden und die wirtschaftlichen Auswirkungen am besten einschätzen könnten.
Das wichtigste Ergebnis der diesjährigen PwC-Studie sei, dass Cyber-Kriminalität in der Gesamtliste der Wirtschaftsverbrechen gegen Unternehmen nun an zweiter Stelle rangiere. Auf Platz 1 stehe eine traditionellere Form der widerrechtlichen Aneignung von Vermögenswerten – der Diebstahl von Geld.
Bei der Befragung von CEOs habe sich jedoch herausgestellt, dass sich 61 Prozent Sorgen um das Thema Cyber-Sicherheit machten. Spitzenführungskräfte bekämen also die Auswirkungen der Hacking- und Cyber-Aktivitäten zu spüren, die in den vergangenen Jahren stark zugenommen hätten.

Ernüchternde Statistiken

Der Bericht von PwC enthalte allerdings auch einige „ernüchternde Statistiken“ dazu, wie Unternehmen mit Cyber-Kriminalität umgingen. So verfügten lediglich 37 Prozent der Befragten über einen vollständigen „Incident-Response-Plan“. Ein Problem bei der Umsetzung dieser Pläne sei die unzureichende Personaldecke. Nur 40 Prozent der Studienteilnehmer verfügten demnach über ein geschultes „Response-Team“ für den Ernstfall. Vielleicht noch frappierender sei der Mangel an IT-Führungskräften in der Vorstandsetage, die sich mit den Angriffen und ihren potenziellen Auswirkungen auseinandersetzen sollten. In weniger als der Hälfte der Fälle hätten sich IT-Führungskräfte in den Notfallteams befunden; diese bestünden meist aus Mitgliedern der Geschäftsleitung (46 Prozent), Juristen (25 Prozent) und Mitarbeitern der Personalabteilung (14 Prozent).

Ausgefeilte Notfallpläne existenziell!

Laut PwC können Notfallpläne, die nicht optimal zwischen allen relevanten Akteuren – also auch der IT – koordiniert werden, die Fähigkeit von Unternehmen einschränken, sämtliche der betroffenen Bereiche zu erfassen, was angesichts der häufig von Hackern eingesetzten Ablenkungsmethoden besonders wichtig sei.
Wenn das notwendige Fachwissen fehle oder die IT-Abteilung nicht von Anfang an eingebunden sei, wäre es demnach sehr gut möglich, dass forensische Informationen außer Acht gelassen würden oder sogar verloren gingen.

Grundlegende Anforderungen oft nicht erfüllt

PwC macht deutlich, dass Organisationen einfach grundlegende Anforderungen nicht erfüllten. Einige der bekannteren, von PwC entlarvten Sicherheitslücken seien schlechte Systemkonfigurationen, unzureichende Kontrollen und sonstige „vermeidbare Fehler“.
In der IT-Sicherheitswelt würden in der Regel zunächst einfache Maßnahmen wie längere Benutzerpasswörter, bessere Kontrollen für privilegierte Konten und strengere Anforderungen für Dateizugriffe implementiert. Der PwC-Bericht mache aber deutlich: „Wer bei den Grundlagen schludert, wird mit realem wirtschaftlichen Schaden bestraft.“

Mehrschichtige Cyber-Sicherheitsstrategie empfohlen

PwC empfiehlt nach eigenen Angaben eine mehrschichtige Cyber-Sicherheitsstrategie, die auch von der Vorstandsetage (und sogar vom Aufsichtsrat) unterstützt wird, strengere Risikoanalysen und IT-Audits sowie die Einführung effektiver Überwachungsprozesse. Verbesserte Risikoanalysen, mehr Schutz für Daten und bessere Überwachung seien Dinge, die man bereits seit der Gründung des Unternehmens predige. Im Gegensatz zu allen anderen Anbietern im Sicherheitsbereich seien sie jedoch der Überzeugung, dass diese Ansätze im Dateisystem implementiert werden müssten.
Bei den meisten Sicherheitsvorfällen würden heute unstrukturierte Daten gestohlen. Fast täglich werde von ernsthaften Datenschutzverletzungen berichtet, bei denen Passwörter, Kreditkartendaten oder E-Mail-Adressen entwendet würden, die unverschlüsselt in Dateien gespeichert gewesen seien. In vielen Fällen sei es für die Angreifer ein Leichtes, äußere Verteidigungsmaßnahmen mithilfe von Phishing oder SQL-Injection zu umgehen. „Sobald sie in ein System eingedrungen sind, verfügen sie über umfassenden Zugriff auf diese sensiblen Daten, die über das gesamte Filesystem verteilt sind“, warnt PwC. Diese Daten seien für Hacker wertvoll – egal, ob personenbezogene Daten, die sich gut verkaufen ließen, oder geistiges Eigentum, dessen Diebstahl das Aus für ein Unternehmen bedeuten könne.

Analyse des Nutzerverhaltens empfohlen

Unternehmen untersuchten ihre Netzwerke zwar meist im Hinblick auf ungewöhnliche Aktivitäten oder bekannten Viren. Sie seien in der Regel jedoch nicht in der Lage, die neueste Generation von Malware mit ausgeklügelten Tarnfunktionen oder die noch bedrohlicheren neuen Exploits zu erkennen, die ganz ohne Malware auskämen. Wenn es um den Schutz unstrukturierter Daten gehe, finde man also bei vielen Unternehmen einen „großen und äußerst kostspieligen blinden Fleck“.
PwC empfiehlt, Dateisysteme auf ungewöhnliche Aktivitäten zu untersuchen. Doch das sei leichter gesagt als getan. Abhilfe schaffen könne die Analyse des Nutzerverhaltens – hierzu würden die Dateiaktivitäten und normalen Verhaltensweisen von Nutzern beobachtet, um ungewöhnliche Vorgänge aufzuspüren.
Damit erfasse man Hacker-Aktivitäten von ins System eingedrungenen Angreifern und man komme bösartigen Mitarbeitern auf die Schliche – so könne man das Risiko für die Daten entschärfen.

Bedrohung durch Cyber-Kriminalität als strategisches Thema

Aus praktischer Sicht seien die Ergebnisse der PwC-Umfrage durchaus förderlich für die Datensicherheit in Unternehmen, denn CEOs und andere C-Level-Führungskräfte erachteten Cyber-Kriminalität inzwischen als strategisches Thema, das einen erheblichen Ressourcenaufwand erfordere – Personal, Planung und finanzielle Mittel.
Wie viele andere Gruppen und Institute aus dem Sicherheitsbereich – zum Beispiel das NIST und das SANS-Institut – sieht PwC Überwachung als „Schlüssel für Sicherheit in der realen Welt“. Möglicherweise werde man Hacker niemals davon abhalten können, in Netzwerke einzudringen – man könne allerdings den Schaden begrenzen und letztendlich die Kosten von Sicherheitsvorfällen in Unternehmen deutlich senken.

Weitere Informationen zum Thema:

pwc
Global Economic Crime Survey 2016: US Results / Adjusting the lens on economic crime

[datensicherheit.de, 26.02.2011] Im Vorfeld der CeBIT 2011 wurde in der IT-Branche vielfach die Cloud als das große Modethema dieser Zeit behandelt. Indes sei für die meisten mittelständischen Unternehmen in Deutschland laut einer aktuellen Umfrage das sogenannte „Cloud Computing“ noch kein Thema:
Demnach nutze erst jeder zehnte Mittelständler IT-Kapazitäten, die auf externen Servern vorgehalten und über das Internet je nach Bedarf abgerufen und abgerechnet werden. Eine Umfrage der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC unter IT-Verantwortlichen von 351 Unternehmen anlässlich der CeBIT 2011 zeige, dass die große Mehrheit (78 Prozent) der Befragten auf absehbare Zeit keinen Bedarf für das „Rechnen in der Wolke“ sehe, wobei 70 Prozent der Nicht-Nutzer die Sorge vor mangelhafter Datensicherheit im Internet als Argument anführten.
Im Mittelstand seien die Vorbehalte gegenüber „Cloud Computing“ ausgesprochen groß. Viele wüssten gar nicht, welche Möglichkeiten es biete. Die Aussicht auf Kostenvorteile werde allein nicht reichen, um die Zielgruppe zur Umstellung auf die neue Technologie zu bewegen. Serviceanbieter müssten vielmehr ein überzeugendes und für die Kunden auch nachvollziehbares Sicherheitskonzept vorlegen, so Markus Vehlow, Experte für „Cloud Computing“ bei PwC.
Auch Unternehmen, die bereits „Cloud“-Services nutzen, sähen als größten potenziellen Nachteil den Kontrollverlust über die eigenen Daten sowie die wachsende Abhängigkeit von Fremdfirmen (44 Prozent). Eine nicht ausreichende Datensicherheit befürchteten 34 Prozent der Nutzer.

Weitere Informationen zum Thema:

PWC PRICEWATERHOUSECOOPERS
Mittelstand noch nicht bereit für Cloud Computing