Es geschah am Samstag, den 14. November 2015: Unbekannte Hacker verschafften sich Zugang zur App-Store-Datenbank von VTech, einem weltweiten Anbieter von elektronischen Lernprodukten mit Hauptsitz in Hongkong. Die Hacker erbeuteten eine beträchtliche Menge an Nutzerprofildaten von Kindern und deren Eltern, wie BBC News berichtete. Die Profildaten beinhalteten Name, E-Mail-Adresse, verschlüsseltes Passwort, geheime Frage und Antwort für Passwortabfrage, IP-Adresse, Postanschrift und Download-Verlauf.
Warum ich Ihnen das erzähle? Ich glaube, Ihr Unternehmen könnte das nächste Opfer sein, wenn Sie keine umfassende Cybersecurity-Strategie haben. Mir ist bewusst, dass mittlere und große Unternehmen eine IT-Abteilung und eine Reihe von IT-Sicherheitsprozessen haben. Doch eine umfassende Cybersecurity-Strategie sollte darüber hinaus gehen. Hier sind die fünf Hauptgründe, warum jedes Unternehmen eine umfassende Cybersecurity-Strategie haben sollte, um Cyber-Angriffe zu verhindern und ihre Folgen zu begrenzen.
1. Ein wachsender Teil des Geschäfts findet im Internet statt
Immer mehr Geschäftsaktivitäten finden im Cyberspace statt. Jeder Sektor und jedes Unternehmen jeglicher Größe sind von der Digitalisierung betroffen. Unternehmen und Kunden sind mit hohem Tempo ins Internet gegangen. Es gibt heute über 3,2 Milliarden Internetnutzer weltweit, was 40 Prozent der Weltbevölkerung entspricht (laut Internet Live Stats).
Mehr und mehr geschäftliche Transaktionen werden über Mobilgeräte erledigt, wie etwa Smartphones oder Tablets. Von den 3,65 Milliarden Mobilnutzern, nutzen 1,9 Milliarden Smartphones (Quelle: Statista). Entsprechend schnell wächst der Wert des globalen eCommerce über Mobilgeräte – im zweiten Quartal 2014 betrug er 130 Milliarden Dollar (Quelle: Statista).
Da der elektronische Handel weiter in hohem Tempo wächst, wird es immer wichtiger zu gewährleisten, dass eCommerce sicher ist. Die Bedeutung von Cybersicherheit wächst noch weiter, wenn man an aufkommende Geschäftstrends wie das smarte, vernetzte Haus und eHealth denkt.
2. Zahl und Intensität von Cyberangriffen nehmen zu
Parallel zur wachsenden Zah der Internetnutzer und eCommerce-Transaktionen, steigen auch die Zahl und Intensität von Cyberangriffen. Es gibt keine verlässlichen umfassenden Daten. Doch Daten einiger Erhebungen bestätigen die Aussage. In einer Umfrage von 2014, durchgeführt von ISACA (Information Systems Audit and Control Association), erklärten 77 Prozent der Befragten, dass Cyberangriffe zwischen 2013 und 2014 zugenommen hätten, und 82 Prozent hielten es für wahrscheinlich oder sehr wahrscheinlich, dass ihr Unternehmen 2015 angegriffen würde.
Nach derselben Umfrage gingen Cyberbedrohungen 2014 vor allem von Cyberkriminellen (46 Prozent), nicht bösartigen Insidern (41 Prozent), Hackern (40 Prozent) und bösartigen Insidern (29 Prozent) aus.
Die Kosten dieser Angriffe für die betroffenen Unternehmen waren erheblich. Eine Studie des Ponemon Institute beziffert die durchschnittlichen Kosten mit 7,7 Millionen Dollar pro Organisation pro Jahr, mit einer Spanne von 0,31 Millionen Dollar bis 65 Millionen Dollar.
3. Kundenvertrauen beruht auf Datenintegrität
Jedes Geschäft basiert auf dem Vertrauen seiner Kunden. Im Fall von Geschäften, die via Internet betrieben werden, beruht dieses Vertrauen prinzipiell auf der Integrität der Kundendaten und wie gut diese durch die Unternehmen geschützt werden. Versetzen Sie sich in die Lage des Kunden: Würden Sie lieber bei einem Unternehmen kaufen, das kürzlich gehackt wurde, wie VTech, oder bei einem das nicht gehackt wurde?
Angesichts der sich entwickelnden Geschäfts-Szenarien rund um das Internet der Dinge, wo man eine Menge vernetzter Geräte im Haushalt und am Arbeitsplatz hat, bildet eine effektive Cybersecurity-Strategie eine Voraussetzung, um Kundenvertrauen aufzubauen und zu wahren, egal ob B2C oder B2B.
4. Cybersicherheit ist mehr als eine Aufgabe für die IT-Abteilung
Inm einer Reihe von Unternehmen wird Cybersicherheit hauptsächlich als Aufgabe für die IT-Abteilung behandelt. Von IT-Profis wird erwartet, dass sie durch technische Maßnahmen sicherstellen, dass das digitale Geschäft ihrer Unternehmen vor Cyberangriffen geschützt ist.
Dieser Ansatz hat jedoch fundamentale Schwächen. Der IT-Abteilung zu überlassen, sich um Cyber-Gefahren zu kümmern, reicht nicht aus. Cybersicherheit ist eine Herausforderung für das Vorstandszimmer und nicht nur für den Computerraum.
Cybersicherheit betrifft das ganze Unternehmen und sollte entsprechend behandelt werden.
5. Beschäftigte können entweder Sicherheitsrisiko oder Stärke sein
Cybersicherheit ist gleichermaßen eine Personalfrage wie sie ein IT-Thema ist.
Viele Risiken für die Cybersicherheit werden durch unaufmerksame Beschäftigte geschaffen oder verstärkt. Nehmen wir zum Beispiel den Verlust von Mobilgeräten. Er stellt ein wesentliches Sicherheitsrisiko dar, denn Daten die sich auf diesen Geräte3n finden könnten Zugang zu sensiblen Firmendaten verschaffen. In der bereits erwähnten ISACA-Umfrage statteten 83 Prozent der Unternehmen ihre Beschäftigten mit Mobilgeräten aus, und 91 Prozent dieser Unternehmen berichteten 2014 den Verlust von Mobilgeräten.
Dieses Beispiel zeigt, dass das Verhalten der Beschäftigten ein wesentlicher Sicherheitsfaktor ist, der in einer umfassenden Cybersecurity-Strategie berücksichtigt werden sollte. Eine solche Strategie sollte den Aufbau eines Gefahrenbewusstseins, Nutzer-Training und Anreizte für Beschäftige zu verantwortlichem Verhalten im Umgang mit digitalen Daten und Kommunikationsgeräten beinhalten.
Es sollte auch gegen die Auswirkungen von einigen Beschäftigten umfassen, die bewusst oder unbewusst Sicherheitsrisiken schaffen. In der Praxis werden Sie kein hundertprozentig sicheres Verhalten aller Beschäftigten zu jeder Zeit erreichen. Daher benötigen Sie Schutzmaßnahmen und Verfahren um jegliches Risiko zu entschärfen.
Fazit
Auf dem Gebiet der Cybersicherheit ist Selbstzufriedenheit gefährlich und ein gewisses Maß an Paranoia gesund. Es ist wichtig, einen umfassenden Blick auf Cybersecurity zu haben und eine eine umfassende Cybersecurity-Strategie zu entwickeln. Dies sollte ein Thema sein, dass auf Vorstandszimmer-Ebene behandelt wird, und nicht nur in der IT-Abteilung. Es erfordert von Führungskräften, ein besseres Verständnis von IT-Systemen zu erlangen, und von IT-Profis in der Organisation, ein besseres Verständnis von Geschäftsprozessen zu erwerben.
Checkliste für Abonnenten von Strategic Business Insights
Wenn Sie bereits Abonnent von Strategic Business Insights sind, haben Sie Zugriff auf die “Cybersecurity Strategy Checklist”, die diesen Artikel ergänzt – geben Sie nach Aufforderung den Zugangscode ein, den Sie mit SBI-Ausgabe 47 erhalten haben. Wenn Sie noch kein Abonnent sind, sollten Sie erwägen, sich kostenlos anzumelden.