Die wahren Kosten von Cybersicherheitsvorfällen

Sicherheit (Pexels, allgemeine Nutzung)IT-Sicherheit kostet Geld, was oft von der Geschäftsführung nicht so eingesehen wird. Kommt es dann zu einem Sicherheitsvorfall, ist die Betroffenheit hoch und die Beseitigung der Schäden kostet erhebliche Summen. Sicherheitsanbieter Palo Alto Networks macht die Rechnung auf und zeigt, die wahren Kosten von Cybersicherheitsvorfällen. Die Informationen sind mir die Tage zugegangen und ich stelle diese mal im Blog ein.


Anzeige

Palo Alto Networks stellt nachfolgend in einer kurzen Analyse die Kosten für die Bewältigung eines Sicherheitsvorfalls den Kosten für Investitionen in die Cybersicherheit zur Verhinderung eines Sicherheitsvorfalls gegenüber.

Mitarbeiter stärken

Wenn es um Menschen, Prozesse und Technologie geht, sind die Menschen immer das schwächste Glied im metaphorischen Sicherheitszaun eines Unternehmens. Ein Unternehmen kann über die detailliertesten, sicherheitsorientierten Prozesse und erstklassige technische Lösungen verfügen. Sind die Mitarbeiter aber nicht entsprechend geschult, ist die Sicherheit so gut wie nicht vorhanden.

Die Mitarbeiter gilt es daher mit ausgefeilten, neuartigen und branchenrelevanten Schulungsmaterialien zur Cybersicherheit auszustatten. Die Zeiten, in denen ein einfaches Handout oder eine veraltete Powerpoint-Präsentation ausreichten, sind vorbei. Anstatt eine jährliche Schulung zu veranstalten oder eine, die nur bei der ersten Einstellung eines Mitarbeiters absolviert werden muss, sollten Unternehmen dafür sorgen, dass das Sicherheitsbewusstsein in die Unternehmenskultur integriert wird. So sollte monatlich ein neues Modul absolviert werden oder regelmäßig die Reaktion auf Phishing-Kampagnen trainiert werden. Kleine Anreize für Mitarbeiter, die erfolgreich bösartige E-Mails melden, sind ebenfalls eine Möglichkeit. Investitionen in das Bewusstsein für Cybersicherheit und in die allgemeinen Kenntnisse der Mitarbeiter sind der beste Weg, um die Sicherheit langfristig zu verbessern.


Anzeige

Gesetzliche Anforderungen verstehen

Welche gesetzlichen Anforderungen muss das Unternehmen erfüllen? Wenn das Unternehmen Opfer eines Cybersicherheitsangriffs wird, kann es sich nicht auf Unwissenheit berufen, um die hohen Geldstrafen zu vermeiden, die mit Vorschriften wie CCPA und DSGVO verbunden sind. Wenn das Unternehmen eine besonders komplexe Umgebung mit einer großen Menge an Kundendaten oder persönlichen Gesundheitsinformationen hat, kann es sich lohnen, einen Chief Privacy Officer oder vCISO einzustellen. Diese Person sollte sich speziell darauf konzentrieren, sicherzustellen, dass die Kundendaten angemessen geschützt sind und dass das Unternehmen alle geltenden rechtlichen Anforderungen erfüllt.

Incident-Response-Prozesse: Üben, üben, üben

Es heißt, dass Übung den Meister macht, und Incident Response ist keine Ausnahme von dieser Regel. Vergleicht man die Kosten für Datenschutzverletzungen eines Unternehmens, das seinen Incident-Response-Plan getestet hat, mit denen eines Unternehmens, das diesen Test nicht durchgeführt hat, so ergeben sich Einsparungen von durchschnittlich 2.000.000 US-Dollar.

Viele Unternehmen bauen jedoch am Auto, während sie mit 160 Kilometern pro Stunde auf der Autobahn fahren. Es kommt zu einem Zwischenfall, und niemand hat eine Ahnung, was zu tun ist:

  • Der Krisenreaktionsplan wurde seit drei Jahren nicht mehr aktualisiert.
  • Die Telefonnummern sind nicht korrekt.
  • Eine Cybersicherheitsversicherung wurde nie abgeschlossen.
  • Die Meldepflichten sind nicht definiert.

Die Bewältigung eines Cybersicherheitsvorfalls ist eine unglaublich stressige Erfahrung. Um diesen Stress zu mindern und Geld zu sparen, sollten Unternehmen ihren Notfallplan mindestens zweimal pro Jahr in Form von Tabletop-Übungen oder interaktiven Szenario-Sitzungen testen. Es ist darauf zu achten, dass sie nach den Testübungen eine „Lessons Learned"-Auswertung vornehmen, um festzustellen, welche Methoden zur Reaktion auf Zwischenfälle gut funktioniert haben und welche noch verbessert werden könnten. Schließlich gilt es Maßnahmen zu ergreifen du sicherzustellen, dass vorgeschlagene Verbesserungen oder Änderungen an den aktuellen Prozessen im Incident-Response-Plan und den zugehörigen Richtlinien aktualisiert werden.

Schwachstellen kennen

Unternehmen können sich nicht vor den Bedrohungen schützen, von denen sie nicht wissen, dass sie dafür anfällig sind. Eine jährliche Bewertung der Cybersicherheitsrisiken im Unternehmen sollte Menschen, Prozesse und Technologien berücksichtigen. Unternehmen sollten in Erwägung ziehen, einen externen Anbieter zu beauftragen, der sich auf die Durchführung eingehender Cyberrisikobewertungen anhand eines anerkannten Branchenrahmenwerks, wie dem National Institute of Standards and Technology (NIST) und dem Cybersecurity Framework (CSF), spezialisiert hat. Identifizierte Risiken sollten mit einer ausführlichen Empfehlung verbunden sein, die umgesetzt werden kann, um das damit verbundene Risiko entweder vollständig zu beseitigen oder zu mindern.

In den meisten Fällen werden die Ergebnisse und Empfehlungen durch eine Prioritätseinstufung oder einen strategischen Implementierungsfahrplan ergänzt. Dies sind unschätzbar wertvolle Werkzeuge, mit denen Unternehmen bestimmen können, wie sie ihre aktuelle Sicherheitslage am wirkungsvollsten verbessern können.

Nie ohne brauchbare Backups

Wie bereits in diesem Bericht erwähnt, war Ransomware die häufigste Kompromittierungsmethode im Jahr 2019. Ohne brauchbare Backups legen Unternehmen buchstäblich ihren Lebensunterhalt in die Hände von Cyberkriminellen. Laut dem 2020 Incident Response & Data Breach Report von Unit 42 wurden bei einer zunehmenden Anzahl von Vorfällen Backups gelöscht oder deaktiviert. Daher gilt es regelmäßig Backups zu erstellen und zu testen und sich mit dem Prozess der Wiederherstellung von Backups vertraut zu machen. Vor allem gilt es sicherzustellen, dass Backups außerhalb des Netzwerks gespeichert und durch geeignete Sicherheitsmaßnahmen geschützt werden, damit Bedrohungsakteure keinen Zugriff erhalten und Backups deaktivieren oder löschen können, um eine Wiederherstellung zu verhindern.

Expertenrat hinzuziehen

Unternehmen müssen nicht alles intern alleine bewältigen. Die Beauftragung eines Cybersicherheitsberaters oder externen Partners ist eine gute Möglichkeit, sicherheitsspezifisches Fachwissen in das Unternehmen einzubringen. Die Berater sind oft in die aktuellen Best Practices und Branchentrends eingeweiht, so dass sie neue Erkenntnisse darüber liefern können, was derzeit in diesem Bereich funktioniert. Durch den Aufbau von Beziehungen zu externen Experten verfügen Unternehmen über ein starkes Netzwerk, auf das sie zurückgreifen können, wenn sie ihre Sicherheitslösungen verstärken oder einfach nur eine externe Perspektive zu den Best Practices der Branche einnehmen möchten.

Abschließende Überlegungen

Sicherheitsverletzungen sind teuer, und wahrscheinlich teurer als gedacht. Auch wenn die Vorlaufkosten für proaktive Investitionen in Cybersicherheitsfunktionen teuer erscheinen mögen, so werden sie Unternehmen auf lange Sicht wahrscheinlich erhebliche Summen einsparen. Strategische, proaktive Investitionen in die Cybersicherheit sind nach Meinung von Palo Alto Networks für Unternehmen, die in der komplexen und gefährlichen Cyberlandschaft von heute erfolgreich sein wollen, unerlässlich.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Die wahren Kosten von Cybersicherheitsvorfällen

  1. janil sagt:

    So, sollte es sein…

  2. Art sagt:

    Ich bin bei den Reports der US Cybersecurity Industrie immer vorsichtig.

    Ich empfehle Unternehmen eher sich mit ISO 27001/BSI Grundschutz, bzw. die BSI 'Handreichungen' hierzu zu starten, statt sich irgendwelche Security Produkte/Services aufschwatzen zu lassen, die primär für den US Markt designed worden sind.

    EDR/XDR ist toll…aber eher Schritt 10 oder 20.
    Zuerst sollte man sich mMn überlegen, welches die zu schützenden Werte des Unternehmens sind – deren Schutz nur zum Teil Aufgabe der IT ist – und mit den Basisdingen zu starten: Passworte, Patches, Regeln/Policies (inkl. schriftlicher Arbeitsanweisungen).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.