Unternehmen lassen „Hacker“ nach Schwachstellen suchen
Auf der Plattform „Hacker One“ können Unternehmen Fachleute anheuern, um ihre Systeme angreifen zu lassen, berichtet die FAZ am 16. März. Auf „Hacker One“ sind 600.000 IT-Interessierte aktiv, die in offiziellem Auftrag die Systeme von großen Unternehmen und Behörden angreifen, um Schwachstellen zu finden. Die Kundenliste umfasst das „Who is who“ der digitalen Weltwirtschaft. In Deutschland gehören u.a. Media Markt und die Digitalbank N26 dazu sowie mehrere mittelständische Kunden. Sie alle würden auf der Plattform „Kopfgelder“ ausschreiben, Belohnungen für das Finden von Sicherheitslücken. Findet ein Hacker eine solche, muss er detailliert beschreiben, was sie ist und wie er sie ausnutzen konnte. Für den Bericht erhält er seine Bezahlung. Die durchschnittliche Belohnung für eine gefundene Schwachstelle beträgt rund 1000 Euro, die höchste jemals auf Hacker One gezahlte Einzelbelohnung sind 100.000 Euro. Anfangen kann man anonym.
Datensicherheitsverletzung kostet durchschnittlich 4,67 Millionen Dollar
„Unternehmen schlecht geschützt“ titelt die FAZ am 20. März. Eine neue Metastudie von KPMG zeigt, dass eine einzige Datensicherheitsverletzung ein Unternehmen in Deutschland durchschnittlich 4,67 Millionen $ kostet, sobald Umsatzverluste durch Reputationsschäden und Sicherheitslücken eingerechnet werden. In den USA liegt der Durchschnitt bei fast 8 Millionen Dollar. Die Studie offenbart zudem, wie schlecht die meisten Unternehmen geschützt sind. Explizite Systeme zur Erkennung von unrechtmäßigen Zugriffen von außen hätte lediglich ein Fünftel der Unternehmen im Einsatz. Die Hauptrisikoquelle sind entgegen einer verbreiteten Wahrnehmung der Studie zufolge nicht die Mitarbeiter. Menschliches Versagen ist nur für 27 % der Sicherheitsvorfälle verantwortlich.
Mangel an Datenintegrität bei den meisten Unternehmen
Datenintegrität als obligatorisches Schutzziel der Informationssicherheit thematisiert GIT Sicherheit in der Ausgabe 3-2020, S. 78-80. Sie fehlt bei den meisten Unternehmen. In dem Beitrag werden die Definition der Datenintegrität, die Sensibilisierung der Entscheidungsträger, die Einsetzbarkeit bestimmter Maßnahmen, der Wert für das Cyberrisiko-Management, die Möglichkeit der Kosteneinsparung und die Datenintegrität für IP-basierte Applikationen, Cloud & IoT behandelt. Die Problemlösung liegt in der Überwachung aller Berührungen, Änderungen und Manipulationen von Dateien der gesamten IT. Einsetzbare Methoden sind regelbasierte sofortige und automatisierte Alarmauslösung sowie Härtung aller IT-Systeme durch Datenintegrität, Erfüllung von Compliance, Audit und Forensik-Anforderungen.
Wir stehen mitten im Transformationsprozess von der analogen Datenstruktur im Unternehmen hin zur möglichst weitgehenden Digitalisierung. In deutschen Unternehmen muss viel Überzeugungsarbeit geleistet werden, um alle Mitarbeiter von der Sinnhaftigkeit und der Unausweichlichkeit dieses Prozesses zu überzeugen und ihnen die Anst vor einem Jobverlust zu nehmen. Die deutsche Wirtschaft hat hier einen klar erkennbaren Nachholbedarf im Verhältnis zu anderen modernen Volkswirtschaften. Und mit der weiter fortschreitenden Digitalisierung und Globalisierung nimmt die Anfälligkeit der betrieblichen Prozesse und ihrer Steuerung, der Datenverarbeitung und digitalen Kommunikation gegenüber immer professioneller werdenden kriminellen Hackern und Ransomware-Tätern zu. Das BSI hat kürzlich ein Dossier über eine Umfrage zu Cyberrisiken und Schutzmaßnahmen im Unternehmen veröffentlicht: Drei Viertel der befragten Unternehmen gehen von einer Gefährdung der Betriebsfähigkeit durch Cyberangriffe aus. Fast 90 % der von Cyberattacken Betroffenen geben an, dass es im Jahr 2018 zu Betriebsstörungen oder gar -ausfällen gekommen sei. Mehr als die Hälfte der befragten Unternehmen räumen gleichwohl ein, keinen ganzheitlichen Ansatz der Cybersicherheit zu verfolgen. Die staatlichen Fachbehörden, Wirtschaftsverbände und die Unternehmensführung werden auch in Zukunft viel zu tun haben, um mit der Bedrohung durch Cyberkriminelle Schritt zu halten, möglichst sogar in der Abwehr schneller zu sein als die Angreifer. Und es ist besonders wichtig, dass das BSI Unternehmen aller Größen und Branchen mit passenden, kostenfreien und praxisnahen Ratschlägen und Hilfsangeboten unterstützt.