Persönlich identifizierbare Informationen (PII), geschützte Gesundheitsinformationen (PHI), persönliche Informationen, geistiges Eigentum, Daten und Informationssysteme von Behörden und Industrie vor Diebstahl und Beschädigung durch Kriminelle und Gegner.
Das Cybersecurity-Risiko steigt, angetrieben durch die globale Konnektivität und die Nutzung von Cloud-Diensten, wie Amazon Web Services, zur Speicherung sensibler Daten und persönlicher Informationen. Die weit verbreitete schlechte Konfiguration von Cloud-Diensten, gepaart mit immer raffinierteren Cyber-Kriminellen, bedeutet, dass das Risiko, dass Ihr Unternehmen von einem erfolgreichen Cyber-Angriff oder einer Datenverletzung betroffen ist, immer größer wird.
Vorbei sind die Zeiten, in denen einfache Firewalls und Antiviren-Software die einzigen Sicherheitsmaßnahmen waren. Unternehmensleiter können die Informationssicherheit nicht länger den Cybersecurity-Experten überlassen. Zusätzlich zur Basis von einem Windows Mini Server benötigt man Software und Fachwissen.
Cyber-Bedrohungen können von jeder Ebene Ihres Unternehmens ausgehen. Sie müssen Ihre Mitarbeiter über einfache Social-Engineering-Betrügereien wie Phishing und ausgefeiltere Cybersecurity-Angriffe wie Ransomware-Angriffe (denken Sie an WannaCry) oder andere Malware, die auf den Diebstahl von geistigem Eigentum oder persönlichen Daten abzielt, aufklären.
GDPR und andere Gesetze bedeuten, dass Cybersicherheit nicht länger etwas ist, das Unternehmen jeder Größe ignorieren können. Sicherheitsvorfälle betreffen regelmäßig Unternehmen aller Größenordnungen und schaffen es oft auf die Titelseite, was zu irreversiblen Reputationsschäden bei den betroffenen Unternehmen führt.
Wenn Sie sich noch keine Gedanken über Cybersicherheit gemacht haben, sollten Sie es jetzt tun.
Was ist Cybersicherheit?
Cybersecurity ist der Zustand oder Prozess des Schutzes und der Wiederherstellung von Computersystemen, Netzwerken, Geräten und Programmen vor jeder Art von Cyberangriff. Cyberangriffe sind eine immer raffiniertere und sich weiterentwickelnde Gefahr für Ihre sensiblen Daten, da Angreifer neue Methoden einsetzen, die durch Social Engineering und künstliche Intelligenz angetrieben werden, um traditionelle Sicherheitskontrollen zu umgehen.
Tatsache ist, dass die Welt zunehmend auf Technologie angewiesen ist und diese Abhängigkeit wird sich mit der Einführung der nächsten Generation intelligenter, internetfähiger Geräte, die über Bluetooth und Wi-Fi auf unsere Netzwerke zugreifen, fortsetzen.
Lesen Sie hier unseren vollständigen Leitfaden zur Cybersicherheit.
Die Bedeutung von Cybersecurity
Die Bedeutung von Cybersecurity nimmt zu. Grundsätzlich ist unsere Gesellschaft technologieabhängiger als je zuvor und es gibt keine Anzeichen dafür, dass sich dieser Trend verlangsamen wird. Persönliche Daten, die zu Identitätsdiebstahl führen könnten, werden heute öffentlich auf unseren Social-Media-Konten veröffentlicht. Sensible Informationen wie Sozialversicherungsnummern, Kreditkarteninformationen und Bankkontodaten werden heute in Cloud-Speicherdiensten wie Dropbox oder Google Drive gespeichert.
Tatsache ist, dass Sie, egal ob Sie eine Einzelperson, ein kleines Unternehmen oder ein großer multinationaler Konzern sind, jeden Tag auf Computersysteme angewiesen sind. Kombiniert man dies mit der Zunahme von Cloud-Diensten, mangelhafter Sicherheit von Cloud-Diensten, Smartphones und dem Internet der Dinge (IoT), hat man eine Vielzahl von Bedrohungen für die Cybersicherheit, die es vor einigen Jahrzehnten noch nicht gab. Wir müssen den Unterschied zwischen Cybersecurity und Informationssicherheit verstehen, auch wenn sich die Fähigkeiten immer mehr ähneln.
Regierungen auf der ganzen Welt schenken der Cyberkriminalität mehr Aufmerksamkeit. Die GDPR ist ein gutes Beispiel dafür. Sie hat den Reputationsschaden von Datenverletzungen erhöht, indem sie alle Organisationen, die in der EU tätig sind, dazu zwingt:
Datenverstöße zu kommunizieren
einen Datenschutzbeauftragten zu ernennen
die Zustimmung des Benutzers zur Verarbeitung von Daten einzuholen
Daten zum Schutz der Privatsphäre zu anonymisieren
Der Trend zur öffentlichen Bekanntgabe ist nicht auf Europa beschränkt. Während es in den Vereinigten Staaten keine nationalen Gesetze gibt, die die Offenlegung von Datenschutzverletzungen regeln, gibt es in allen 50 Bundesstaaten Gesetze zu Datenschutzverletzungen. Zu den Gemeinsamkeiten gehören:
Die Anforderung, die Betroffenen so schnell wie möglich zu benachrichtigen
Die Regierung so schnell wie möglich zu benachrichtigen
Eine Art von Geldstrafe zu zahlen
Kalifornien war der erste Bundesstaat, der 2003 die Offenlegung von Datenschutzverletzungen regelte und Personen oder Unternehmen dazu verpflichtete, die Betroffenen „ohne angemessene Verzögerung“ und „sofort nach Entdeckung“ zu benachrichtigen. Opfer können auf bis zu 750 US-Dollar klagen und Unternehmen können mit einer Geldstrafe von bis zu 7.500 US-Dollar pro Opfer belegt werden.
Dies hat Normungsgremien wie das National Institute of Standards and Technology (NIST) dazu veranlasst, Rahmenwerke herauszugeben, die Unternehmen dabei helfen sollen, ihre Sicherheitsrisiken zu verstehen, die Cybersicherheitsmaßnahmen zu verbessern und Cyberangriffe zu verhindern.
Warum nimmt die Internetkriminalität zu?
Informationsdiebstahl ist das teuerste und am schnellsten wachsende Segment der Internetkriminalität. Dies ist vor allem auf die zunehmende Offenlegung von Identitätsdaten im Internet über Cloud-Dienste zurückzuführen. Aber das ist nicht das einzige Ziel. Industrielle Steuerungen, die Stromnetze und andere Infrastrukturen verwalten, können gestört oder zerstört werden. Und Identitätsdiebstahl ist nicht das einzige Ziel. Cyberangriffe können auch darauf abzielen, die Datenintegrität zu beeinträchtigen (Daten zu zerstören oder zu verändern), um Misstrauen gegenüber einer Organisation oder Regierung zu erzeugen.
Cyberkriminelle werden immer raffinierter und verändern ihre Ziele, die Art und Weise, wie sie Organisationen angreifen und ihre Angriffsmethoden für verschiedene Sicherheitssysteme.
Wie Sie Ihr Unternehmen vor Cyberkriminalität schützen können
Es gibt drei einfache Schritte, die Sie unternehmen können, um die Sicherheit zu erhöhen und das Risiko von Internetkriminalität zu verringern:
Klären Sie alle Ebenen Ihres Unternehmens über die Risiken von Social Engineering und gängige Social-Engineering-Betrügereien wie Phishing-E-Mails und Typosquatting auf
Investieren Sie in Tools, die den Verlust von Informationen begrenzen, überwachen Sie das Risiko von Drittanbietern und Drittanbietern und scannen Sie kontinuierlich nach Datenexponierung und Zugangsdatenlecks
Nutzen Sie Technologien zur Kostenreduzierung, wie z. B. das automatische Versenden von Fragebögen zur Lieferantenbewertung als Teil einer umfassenden Strategie zur Bewertung von Cybersicherheitsrisiken
Unternehmen sollten sich nicht mehr fragen, warum ist Cybersicherheit wichtig, sondern wie kann ich sicherstellen, dass die Cybersicherheitspraktiken meines Unternehmens ausreichen, um die GDPR und andere Vorschriften einzuhalten und mein Unternehmen vor raffinierten Cyberangriffen zu schützen.
Beispiele für Schäden an Unternehmen, die von Cyberangriffen und Datenschutzverletzungen betroffen sind
Die Anzahl der Cyberangriffe und Datenschutzverletzungen in den letzten Jahren ist atemberaubend und es ist leicht, eine Wäscheliste von Unternehmen zu erstellen, die bekannte Namen sind und die davon betroffen waren.
Hier sind ein paar Beispiele:
Equifax: Der Equifax-Cybercrime-Identitätsdiebstahl betraf etwa 145,5 Millionen US-Verbraucher sowie 400.000-44 Millionen Briten und 19.000 Kanadier. Die Aktien von Equifax fielen im frühen Handel am Tag nach dem Einbruch um 13 % und es wurden zahlreiche Klagen gegen Equifax als Folge des Einbruchs eingereicht. Ganz zu schweigen von dem Reputationsschaden, den Equifax erlitten hat. Am 22. Juli 2019 stimmte Equifax einem Vergleich mit der FTC zu, der einen 300-Millionen-Dollar-Fonds für die Entschädigung der Opfer, 175 Millionen Dollar für die Bundesstaaten und Territorien in der Vereinbarung und 100 Millionen Dollar an Geldstrafen beinhaltete.
eBay: Zwischen Februar und März 2014 wurde eBay Opfer eines Angriffs auf verschlüsselte Passwörter, was dazu führte, dass alle 145 Millionen Nutzer aufgefordert wurden, ihr Passwort zurückzusetzen. Die Angreifer nutzten einen kleinen Satz von Mitarbeiter-Anmeldeinformationen, um auf diesen Haufen von Benutzerdaten zuzugreifen. Zu den gestohlenen Informationen gehörten verschlüsselte Passwörter und andere persönliche Daten, darunter Namen, E-Mail-Adressen, Adressen, Telefonnummern und Geburtsdaten. Der Verstoß wurde im Mai 2014 nach einer monatelangen Untersuchung durch eBay aufgedeckt.
Adult Friend Finder: Im Oktober 2016 sammelten Hacker 20 Jahre lang Daten in sechs Datenbanken, die Namen, E-Mail-Adressen und Passwörter für The FriendFinder Network enthielten. Zum FriendFinder Network gehören Websites wie Adult Friend Finder, Penthouse.com, Cams.com, iCams.com und Stripshow.com. Die meisten Passwörter waren nur durch den schwachen SHA-1-Hash-Algorithmus geschützt, was bedeutete, dass 99 % von ihnen bereits geknackt waren, als LeakedSource.com am 14. November seine Analyse des gesamten Datensatzes veröffentlichte.
Yahoo: Yahoo gab bekannt, dass bei einem Einbruch im August 2013 durch eine Gruppe von Hackern 1 Milliarde Konten kompromittiert wurden. In diesem Fall wurden auch die Sicherheitsfragen und -antworten kompromittiert, was das Risiko eines Identitätsdiebstahls erhöhte. Die Sicherheitsverletzung wurde von Yahoo erstmals am 14. Dezember 2016 gemeldet und zwang alle betroffenen Benutzer, ihre Passwörter zu ändern und alle unverschlüsselten Sicherheitsfragen und Antworten neu einzugeben, um sie in Zukunft zu verschlüsseln. Im Oktober 2017 änderte Yahoo jedoch die Schätzung auf 3 Milliarden Benutzerkonten. Eine Untersuchung ergab, dass die Passwörter der Nutzer im Klartext, Zahlungskartendaten und Bankinformationen nicht gestohlen wurden. Nichtsdestotrotz bleibt dies eine der größten Datenpannen dieser Art in der Geschichte.