[datensicherheit.de, 15.04.2016] PwC hat kürzlich die Ergebnisse seiner 19. globalen Studie zu Wirtschaftskriminalität (Global Economic Crime Survey) veröffentlicht. Laut dieser Studie habe eine Handvoll der Befragten (etwa 50 Unternehmen) angegeben, über fünf Millionen US-Dollar verloren zu haben; fast ein Drittel unter ihnen habe Verluste im Zusammenhang mit Cyber-Kriminalität in Höhe von mehr als 100 Millionen US-Dollar beziffert. Das Besondere an dieser Studie sei, dass PwC nicht einfach selbst versucht habe, die Kosten von Cyber-Angriffen zu schätzen, sondern Topmanager persönlich nach ihrer Meinung gefragt habe.
CEOs: 61 Prozent sorgen sich um Cyber-Sicherheit
Bei den mehr als 6.000 Befragten habe es sich vorwiegend um C-Level-Führungskräfte und Leiter von Geschäftsbereichen gehandelt, welche die operativen Details des betreffenden Unternehmens in- und auswendig kennen würden und die wirtschaftlichen Auswirkungen am besten einschätzen könnten.
Das wichtigste Ergebnis der diesjährigen PwC-Studie sei, dass Cyber-Kriminalität in der Gesamtliste der Wirtschaftsverbrechen gegen Unternehmen nun an zweiter Stelle rangiere. Auf Platz 1 stehe eine traditionellere Form der widerrechtlichen Aneignung von Vermögenswerten – der Diebstahl von Geld.
Bei der Befragung von CEOs habe sich jedoch herausgestellt, dass sich 61 Prozent Sorgen um das Thema Cyber-Sicherheit machten. Spitzenführungskräfte bekämen also die Auswirkungen der Hacking- und Cyber-Aktivitäten zu spüren, die in den vergangenen Jahren stark zugenommen hätten.
Ernüchternde Statistiken
Der Bericht von PwC enthalte allerdings auch einige „ernüchternde Statistiken“ dazu, wie Unternehmen mit Cyber-Kriminalität umgingen. So verfügten lediglich 37 Prozent der Befragten über einen vollständigen „Incident-Response-Plan“. Ein Problem bei der Umsetzung dieser Pläne sei die unzureichende Personaldecke. Nur 40 Prozent der Studienteilnehmer verfügten demnach über ein geschultes „Response-Team“ für den Ernstfall. Vielleicht noch frappierender sei der Mangel an IT-Führungskräften in der Vorstandsetage, die sich mit den Angriffen und ihren potenziellen Auswirkungen auseinandersetzen sollten. In weniger als der Hälfte der Fälle hätten sich IT-Führungskräfte in den Notfallteams befunden; diese bestünden meist aus Mitgliedern der Geschäftsleitung (46 Prozent), Juristen (25 Prozent) und Mitarbeitern der Personalabteilung (14 Prozent).
Ausgefeilte Notfallpläne existenziell!
Laut PwC können Notfallpläne, die nicht optimal zwischen allen relevanten Akteuren – also auch der IT – koordiniert werden, die Fähigkeit von Unternehmen einschränken, sämtliche der betroffenen Bereiche zu erfassen, was angesichts der häufig von Hackern eingesetzten Ablenkungsmethoden besonders wichtig sei.
Wenn das notwendige Fachwissen fehle oder die IT-Abteilung nicht von Anfang an eingebunden sei, wäre es demnach sehr gut möglich, dass forensische Informationen außer Acht gelassen würden oder sogar verloren gingen.
Grundlegende Anforderungen oft nicht erfüllt
PwC macht deutlich, dass Organisationen einfach grundlegende Anforderungen nicht erfüllten. Einige der bekannteren, von PwC entlarvten Sicherheitslücken seien schlechte Systemkonfigurationen, unzureichende Kontrollen und sonstige „vermeidbare Fehler“.
In der IT-Sicherheitswelt würden in der Regel zunächst einfache Maßnahmen wie längere Benutzerpasswörter, bessere Kontrollen für privilegierte Konten und strengere Anforderungen für Dateizugriffe implementiert. Der PwC-Bericht mache aber deutlich: „Wer bei den Grundlagen schludert, wird mit realem wirtschaftlichen Schaden bestraft.“
Mehrschichtige Cyber-Sicherheitsstrategie empfohlen
PwC empfiehlt nach eigenen Angaben eine mehrschichtige Cyber-Sicherheitsstrategie, die auch von der Vorstandsetage (und sogar vom Aufsichtsrat) unterstützt wird, strengere Risikoanalysen und IT-Audits sowie die Einführung effektiver Überwachungsprozesse. Verbesserte Risikoanalysen, mehr Schutz für Daten und bessere Überwachung seien Dinge, die man bereits seit der Gründung des Unternehmens predige. Im Gegensatz zu allen anderen Anbietern im Sicherheitsbereich seien sie jedoch der Überzeugung, dass diese Ansätze im Dateisystem implementiert werden müssten.
Bei den meisten Sicherheitsvorfällen würden heute unstrukturierte Daten gestohlen. Fast täglich werde von ernsthaften Datenschutzverletzungen berichtet, bei denen Passwörter, Kreditkartendaten oder E-Mail-Adressen entwendet würden, die unverschlüsselt in Dateien gespeichert gewesen seien. In vielen Fällen sei es für die Angreifer ein Leichtes, äußere Verteidigungsmaßnahmen mithilfe von Phishing oder SQL-Injection zu umgehen. „Sobald sie in ein System eingedrungen sind, verfügen sie über umfassenden Zugriff auf diese sensiblen Daten, die über das gesamte Filesystem verteilt sind“, warnt PwC. Diese Daten seien für Hacker wertvoll – egal, ob personenbezogene Daten, die sich gut verkaufen ließen, oder geistiges Eigentum, dessen Diebstahl das Aus für ein Unternehmen bedeuten könne.
Analyse des Nutzerverhaltens empfohlen
Unternehmen untersuchten ihre Netzwerke zwar meist im Hinblick auf ungewöhnliche Aktivitäten oder bekannten Viren. Sie seien in der Regel jedoch nicht in der Lage, die neueste Generation von Malware mit ausgeklügelten Tarnfunktionen oder die noch bedrohlicheren neuen Exploits zu erkennen, die ganz ohne Malware auskämen. Wenn es um den Schutz unstrukturierter Daten gehe, finde man also bei vielen Unternehmen einen „großen und äußerst kostspieligen blinden Fleck“.
PwC empfiehlt, Dateisysteme auf ungewöhnliche Aktivitäten zu untersuchen. Doch das sei leichter gesagt als getan. Abhilfe schaffen könne die Analyse des Nutzerverhaltens – hierzu würden die Dateiaktivitäten und normalen Verhaltensweisen von Nutzern beobachtet, um ungewöhnliche Vorgänge aufzuspüren.
Damit erfasse man Hacker-Aktivitäten von ins System eingedrungenen Angreifern und man komme bösartigen Mitarbeitern auf die Schliche – so könne man das Risiko für die Daten entschärfen.
Bedrohung durch Cyber-Kriminalität als strategisches Thema
Aus praktischer Sicht seien die Ergebnisse der PwC-Umfrage durchaus förderlich für die Datensicherheit in Unternehmen, denn CEOs und andere C-Level-Führungskräfte erachteten Cyber-Kriminalität inzwischen als strategisches Thema, das einen erheblichen Ressourcenaufwand erfordere – Personal, Planung und finanzielle Mittel.
Wie viele andere Gruppen und Institute aus dem Sicherheitsbereich – zum Beispiel das NIST und das SANS-Institut – sieht PwC Überwachung als „Schlüssel für Sicherheit in der realen Welt“. Möglicherweise werde man Hacker niemals davon abhalten können, in Netzwerke einzudringen – man könne allerdings den Schaden begrenzen und letztendlich die Kosten von Sicherheitsvorfällen in Unternehmen deutlich senken.
Weitere Informationen zum Thema:
pwc
Global Economic Crime Survey 2016: US Results / Adjusting the lens on economic crime
[datensicherheit.de, 05.12.2011] Know-how gilt insbesondere für die deutsche Wirtschaft als ein zentraler Wettbewerbsfaktor. Um Unternehmen vor Spionage und Informationsabfluss zu schützen, hat die Tübinger Agentur Karg und Petersen ein breites Spektrum spezieller Kommunikationsmaßnahmen entwickelt und liefert nun in einer aktuellen Übersicht konkrete Vorschläge für Unternehmen.
Jährlich entstehe aktuellen Schätzungen zufolge allein in Deutschland ein Schaden von rund 20 Milliarden Euro durch Datendiebstahl. Gerade deutsche Unternehmen, die mit zu den innovativsten der Welt zählten, seien stark gefährdet, so Dr. Tim Karg, Geschäftsführer bei der Karg und Petersen Agentur für Kommunikation. In Umfragen hätten rund zwei von drei Unternehmen angegeben, bereits Opfer eines „unfreundlichen Informationsabflusses“ geworden zu sein, wobei kleinere Unternehmen ebenso betroffen seien wie Großkonzerne. Forschungsergebnisse zeigen laut Karg dabei ganz klar, dass technische Schutzmaßnahmen hierfür alleine hier ausreichten. Denn wenn Know-how abfließe, seien meist Mitarbeiter und Geschäftspartner beteiligt – egal, ob als bewusste Täter oder unabsichtlich. Eine entscheidende Gefahr komme also aus dem direkten Umfeld der Unternehmen.
Dr. Tim Karg: „Der Risikofaktor Mensch steht im Mittelpunkt unserer Strategie“
Bereits der Alltag bestätige, wie entscheidend richtige Kommunikation für die Bekämpfung von Know-how-Verlust ist. Es gebe dokumentierte Fälle, in denen etwa geheime Dokumente in Müllcontainern auf dem Hinterhof entdeckt worden seien oder Mitarbeiter vertrauliche Details an vermeintliche facebook-Freunde weitergegeben hätten. Der Mensch stehe deshalb im Mittelpunkt ihrer Strategie, erklärt Dr. Karg.
Unternehmen soll mit gezielter Kommunikationsarbeit geholfen werden – dabei gehe es darum, Mitarbeiter und Geschäftspartner einzubinden, nachhaltig Aufmerksamkeit zu schaffen und potenzielle Täter abzuschrecken. Ein professionelles „Whistle-Blowing-System“ könne zudem helfen, Know-how-Lecks frühzeitig zu erkennen und Image-Verluste abzuwenden.
In einer kompakten Übersicht liefert Karg und Petersen jetzt interessierten Unternehmen konkrete Ansätze, die helfen sollen, sich effizient gegen Know-how-Abfluss und Spionage zu schützen. Basierend auf rund zehn Jahren Erfahrung im kommunikativen Kampf gegen Wirtschaftskriminalität werden Maßnahmen von individualisierten Reporting-Systemen bis hin zu gezielter Spezialkommunikation vorgestellt. Die Informations-Broschüre steht als kostenloser Download zur Verfügung.
Weitere Informationen zum Thema:
Karg und Petersen Agentur für Kommunikation GmbH
Know-how-Schutz
[datensicherheit.de, 07.07.2011] Microsoft begrüßt die Urteile des Landgerichts Mühlhausen, in denen Raubkopierer zu Haftstrafen von drei Jahren und sechs Monaten beziehungsweise drei Jahren und zehn Monaten verurteilt wurden:
Die Verurteilten waren mehrfach vorbestraft und hatten jahrelang gefälschte Software über das Internet verkauft. Da auch Microsoft-Produkte gefälscht in Verkehr gebracht worden waren, hatte sich Microsoft als Nebenklägerin am Prozess beteiligt.
Das Verfahren war nach Geständnissen der Angeklagten zwar auf nur einen Anklagepunkt reduziert worden, allerdings erfolgte die Verurteilung wegen 961 Taten gewerbsmäßiger Urheber- und Markenrechtsverletzung sowie anderer Delikte. Allein in diesem Punkt ging es um Verkäufe von gefälschter Software in Höhe von 1,4 Millionen Euro.
Der Erfolg sei auch auf die gute Zusammenarbeit zwischen den Ermittlungsbehörden und den Geschädigten zurückzuführen. Sie seien erleichtert, dass die beiden Tatverdächtigen jetzt zur Verantwortung gezogen wurden. Mit dem Verkauf gefälschter Computerprogramme hätten diese nicht nur die Hersteller geschädigt, sondern auch Hunderte unschuldige Kunden betrogen, so Dr. Swantje Richters, Rechtsanwältin der Microsoft Deutschland GmbH, in ihrem Kommentar. Softwarepiraterie sei eine ernstzunehmende Straftat. Das entschlossene Vorgehen der Ermittlungsbehörden und des Gerichts zeige, dass Wirtschaftskriminalität im Bereich des Urheber- und Markenrechts konsequent verfolgt werde.
Weitere Informationen zum Thema:
Microsoft Newsroom, 07.07.2011
Mehrjährige Haftstrafen für Software-Raubkopierer