Suchen

IT-Security Im Schatten des Fallbeils

Autor / Redakteur: Dr. Andreas Bergler / Sarah Nollau

In puncto Cyber-Security und Compliance sind deutsche Unternehmen in erschreckend geringem Ausmaß auf Probleme vorbereitet. Der „Fallbeil-­Effekt“ der dräuenden EU-DSGVO dürfte sie daher umso härter treffen.

Firmen zum Thema

Angesichts der DSGVO wird IT-Security für viele Unternehmen zum schwierigen Balance-Akt.
Angesichts der DSGVO wird IT-Security für viele Unternehmen zum schwierigen Balance-Akt.
(Bild: NLshop - stock.adobe.com)

Die steigenden Kosten für einen Sicherheitsvorfall in einem Unternehmen sind ein beliebtes Beispiel, um Firmenlenkern und IT-Verantwortlichen in aller Öffentlichkeit vor Augen zu führen, warum sich Investitionen in IT-Security lohnen können. Aktuell werden diese Kosten auf die unglaubliche Summe von etwa einer halben Million US-Dollar pro Vorfall für ein durchschnittliches, großes Unternehmen geschätzt. Die Schätzung beinhaltet unter anderem verlorene Umsätze, verlorene Kundenkontakte, direkte Kosten zur Schadensbehebung und weitere Folgekosten, die durch Image-Schäden oder Kurseinbrüche entstehen. Aber trotz aller Hochrechnungen und Schätzungen des Gefahrenpotenzials in klingender Münze: Es hat sich noch nicht allzu viel geändert in der Wahrnehmung der Dringlichkeit von IT-Security. nur eine Minderheit reagiert überhaupt auf Sicherheitsvorfälle.

Geldstrafen rund um die DSGVO

Das kann sich aber bald ändern. Stichtag ist der 25. Mai dieses Jahres. Ab diesem Datum tritt nämlich die Europäische Datenschutzgrundverordnung (EU-DSGVO) mit sofortiger Wirksamkeit in Kraft. Erstmalig werden dann auch staatliche Behörden bei der Ahndung von Sicherheitsvorfällen in Unternehmen kräftig zulangen. Bei Verstößen gegen die DSGVO – und nichts anderes ist ein Sicherheitsvorfall – beträgt die Geldbuße für europäische Unternehmen bis zu 20 Millionen Euro. Alternativ, das heißt je nachdem, welcher Wert höher ist, sind bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr abzutreten.

Ergänzendes zum Thema
Der „Fallbeil-Effekt“

Bei Cyber-Vorfällen sieht die DSGVO drakonische Maßnahmen vor.
Bei Cyber-Vorfällen sieht die DSGVO drakonische Maßnahmen vor.
( Bild: Thorsten Zenner_AdobeStock )

Ab dem 25. Mai 2018 wird die Welt nicht mehr dieselbe sein, zumindest für viele Unternehmen. Die neue Europäische Datenschutzgrundverordnung (EU-DSGVO) tritt nämlich an diesem denkwürdigen Datum mit dem sogenannten „Fallbeil-Effekt“ in Kraft. Das bedeutet, dass sie dann ohne jegliche Übergangsfrist gültig ist und uneingeschränkt auf Unternehmen aller Größen angewendet werden kann. Eine nur teilweise Anwendung des Datenschutzrechts ist ausgeschlossen. Weil die Aufsichtsbehörden das Bundesdatenschutzgesetz bei Verstößen bisher relativ moderat angewendet haben, soll die DSGVO jetzt umso strenger wirken. Bei der Verhängung von Geldbußen sollen die Behörden darauf achten, dass eine Geldbuße „wirksam, verhältnismäßig und abschreckend“ (Art. 83 Abs. 1) ist.

Drohende Sanktionen durch die DSGVO (Rechtsanwaltsgesellschaft Feil)

Auswirkungen auf die Auftragsdatenverarbeitung (anwalt.de)

Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland
Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland
(Bild: Hiscox)

Bei kleinen und mittleren deutschen Unternehmen ist die Schadenssumme, die durch Sicherheitsvorfälle in der IT entstehen kann, deutlich geringer. Der Spezialversicherer Hiscox rechnet hier mit einem durchschnittlichen Wert von 46.000 Euro. Der liegt zwar weit unter demjenigen großer Unternehmen, dürfte aber angesichts der neuen europaweiten Regelungen durchaus existenzbedrohliche Ausmaße angenommen haben. „Die Ratlosigkeit der Betriebe zeigt, dass sie Hilfe von Profis für die Erstellung einer wasserdichten Cyber-Strategie brauchen“, sagt Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland. Ein möglichst umfassendes Sicherheitskonzept mit einer Absicherung auf allen Ebenen ist daher das Gebot der Stunde. Denn die Bedrohungen wachsen...

Security-Trends

Die größten Security-Trends haben Security-Anbieter unterschiedlicher Couleur entlang der Leitdifferenz „Cyberkriminelle versus Abwehrtechnologien“ aufgeschlossen:

  • Auf der Blockchain basierende Sicherheitstechnologien könnten Online-Umgebungen mit besserem Schutz und geringerer Anonymität schaffen.
  • Andererseits verlockt die Blockchain Cyberkriminelle auch dazu, via Botnets Crypto­währungen schürfen zu lassen, also die Rechenkapazitäten fremder Rechner auszunutzen.
  • Serverlose Sicherheits- und Analysefunktionen werden zum Standard für Funktionen wie Virenscans.
  • Angreifer haben es vor allem auf „weiche Ziele“ abgesehen. Große Schwachstellen für die Sicherheit in Firmen sind ungepatchte Systeme, aber auch arglose Mitarbeiter.
  • Gefahren liegen dabei auch in – häufig schon ungesichert ausgelieferten – IoT-Geräten und SCADA-Systemen für die Industriesteuerung.
  • Predictive Analytics wird zu einer grundlegenden Methode werden. Um Bedrohungen einen Schritt voraus zu sein, werden Angriffe vorhergesehen, die noch nicht stattgefunden haben.
  • Künstliche Intelligenz (KI), Machine Learning und Chatbots werden es ermöglichen, menschliche und maschinelle Intelligenz effektiver zu kombinieren. Dadurch können Sicherheitslücken besser bewertet und priorisiert werden.
  • Anderseits werden sich auch Cyberkriminelle vermehrt der KI-Mechanismen bedienen, um automatisierte, flächendeckende Angriffe zu lancieren.
  • Der zentrale Kern der 3G- und 4G-Netze ist laut A10 Networks meist nicht geschützt. Es sei deswegen immer wahrscheinlicher, dass Angreifer große Mobilfunkbetreiber angreifen und ihre Netze lahmlegen.
  • Angriffe auf Cloud-Anbieter: Da deren Kunden keine Kontrolle mehr über die zugrundeliegende Infrastruktur ihrer Anwendungen haben, werden immer mehr Unternehmen auf einer Multi-Cloud-Strategie umsatteln.

„Cyber-Anfänger“

IoT und kritische Infrastrukturen haben in den vergangen drei Jahren am stärksten zugelegt und gelten jetzt als die Top-Treiber im Security-Markt.
IoT und kritische Infrastrukturen haben in den vergangen drei Jahren am stärksten zugelegt und gelten jetzt als die Top-Treiber im Security-Markt.
(Bild: Eco Verband)

Cybersicherheit wird mehr und mehr zu einer Frage des Menschenrechts: Verbraucher sind gefährdet, da sie oft am wenigsten gegen Bedrohungen geschützt sind. Aber auch Regierungen auf regionaler und kommunaler Ebene dürfen vermehrt mit Cyberangriffen rechnen. Während die Öffentliche Hand mehr und mehr Online- und Cloud-Dienste nutzt, werden sich Budgetkürzungen hier auf die Sicherheit auswirken. Im Argen liegt die Sicherheit auch bei Unternehmen: Laut dem Versicherer Hiscox ist die Mehrheit der deutschen Unternehmen als „Cyber-Anfänger“ zu klassifizieren. Mit einer kohärenten Cyber-Sicherheitsplanung im Sinne der EU-DSGVO seien die meisten Unternehmen, insbesondere KMU, schlichtweg überfordert. Gute Zeiten also für Versicherungen: Laut Hiscox plant ein Viertel aller Unternehmen, in den nächsten zwölf Monaten, eine Cyber-Versicherung abzuschließen.

(ID:45188802)

Über den Autor

Dr. Andreas Bergler

Dr. Andreas Bergler

CvD IT-BUSINESS, Vogel IT-Medien