Der Crackdown durch Cybersicherheitsvorschriften

Wir sind angeblich in einer neuen Ära der Cybersicherheitsbedrohungen und Ransomware ist die Gefahr unserer Zeit, wenn man bedenkt, wie WannaCry und Petya weiterhin Wellen schlagen. Aber wir befinden uns auch in einer Ära mit einer neuen Flut von Cybersicherheitsvorschriften. Wenn man sich die letzten Angriffe ansieht, wird argumentiert, dass dieselben alten Schwachstellen verantwortlich sind, und das liegt daran, dass sich Organisationen mit der Umsetzung der kritischen Sicherheitsmaßnahmen, die sie zum Schutz ihrer selbst benötigen, schwertun.

Hochkarätige Verstöße wie die, die sich auf HBO, Target und Home Depot ausgewirkt haben, sind nur drei Beispiele – aber es gibt viele andere (zu viele, um sie einzeln 2017 aufzulisten, und wir haben noch etwa viereinhalb weitere Monate vor uns). Als Ergebnis sehen wir jetzt neue Vorschriften, die Organisationen zwingen, ihre sprichwörtlichen Häuser in Ordnung zu bringen. Diese Vorschriften haben ein besonderes Merkmal: Sie treffen Unternehmen dort, wo es wehtut, mit hohen Strafen für diejenigen, die sich nicht an die Vorschriften halten.

Warum jetzt?

Abgesehen von der offensichtlichen Zunahme der Angriffe, warum erscheinen heutzutage so viele neue Vorschriften? Zunächst einmal waren viele der größten Cyberangriffe, die wir bis dato gesehen haben, weitgehend vermeidbar. Zum Beispiel haben Hacker bei WannaCry eine Patch-Code-Verwundbarkeit ausgenutzt. In Bezug auf die gestohlenen HBO-Daten nutzten Hacker ein FTP-Dateiübertragungsprotokoll. Und selbst der berüchtigte LinkedIn-Verstoß hätte verhindert werden können, wenn eine ordnungsgemäße Identity-Kontrolle zur Verwaltung digitaler Identitäten vorhanden gewesen wäre.

Anhand dieser Beispiele wird deutlich, dass Technologie allein nicht mehr ausreicht. Es bedarf einer Kombination von Menschen, Prozessen und Technologien, um die heutigen Bedrohungen wirksam zu bekämpfen. Deshalb sehen wir, wie sich das regulatorische Umfeld ausweitet. Die Cybersicherheitsvorschriften des New York Department of Financial Services verlangen zum Beispiel, dass Finanzdienstleistungsunternehmen einen CISO anstellen, der die korrekten Risikobewertungen und -prozesse einrichtet, die dann von den Mitarbeitern genutzt und eingehalten werden. Diese Vorschriften sehen auch vor, dass Unternehmen jeden versuchten Datenverstoß melden und ihre Drittanbieter verpflichten, ihre Sicherheitsmaßnahmen ebenfalls zu verstärken.

Der „DSGVO-Effekt“

Wo also die Unternehmen hinterherhinken, verstärken Bund, Länder und Kommunen ihre Anstrengungen. Die erste Vorschrift, die die Welt der Cybersicherheit schockierte, war die DSGVO – und zwar nicht so sehr aufgrund ihrer Tiefe (obwohl sie gründlich ist) und auch nicht wegen ihrer Reichweite (sie wird nicht nur europäische Unternehmen betreffen, sondern alle Unternehmen, die in Europa Geschäfte machen), sondern wegen ihrer Strafen, die bislang höchsten. Unternehmen tun sich schwer, die Auswirkungen zu verstehen, aber anstatt Cybersicherheitsanbieter anzurufen, um ihnen zu helfen, die DSGVO einzuhalten, haben sie ihre Anwälte mobilisiert, um mögliche Haftungsfragen zu klären.

Von da aus folgte bald der DSGVO-Effekt mit weiteren Vorschriften im ganzen Land und in der Welt, von der bereits erwähnten Regelung in New York State bis hin zu ähnlichen Cybersicherheitsvorschriften in China und Singapur. Erst kürzlich kündigte Großbritannien eine Art Nachtrag zur DSGVO an, mit einem eigenen Datenschutzgesetz, das dem Konsumenten mehr Kontrolle gibt und ihm das Recht gibt, vergessen zu werden.

Diese Rechte stellen Unternehmen, die personenbezogene Daten speichern und erfassen, vor große Herausforderungen. In den meisten IT-Ökosystemen existieren vielschichtige Ketten von Datenverarbeitung, -speicherung und -austausch zwischen den Providern. Können Unternehmen heute zuversichtlich sagen, dass sie in der Lage sind, diese Vereinbarungen mit dem Endbenutzer einzuhalten? Wahrscheinlich nicht.

Diese Vorschriften legen den Unternehmen die Last und die Verantwortung auf, die richtigen Verfahren einzuführen, um diese neuen Regeln einhalten zu können. Und wieder einmal wird bei Nichteinhaltung dieser Vorschriften eine hohe Geldbuße in Höhe von bis zu 17 Millionen Pfund oder 4 % des weltweiten Umsatzes verhängt – wenn es sich um extrem schwere Datenverstöße handelt.

Eine Branche entsteht

Während sich das alles abspielt, entsteht eine Branche, die zwar noch immer bemüht ist, ihr Geschäftsmodell zu entwickeln, aber ihre Bedeutung ist bereits spürbar. Diese Branche ist die Cyberversicherung. Es besteht eindeutig Bedarf.

Und mit der DSGVO ist die Cyberversicherung die perfekte Plattform. WannaCry und Petya sind zu kostenlosen Anzeigen für Cyberversicherungen geworden, die sich rasch zu einem rasant wachsenden Markt entwickelt haben. Laut Fitch Ratings (via Reuters) wuchsen die Cyberversicherungen im Jahr 2016 um 35 % auf 1,35 Milliarden US-Dollar.

Aber die Versicherer könnten nach einem Angriff im Ausmaß von WannaCry nervös sein und sich mit Begrenzungen ihrer Cyberversicherung befassen. Eine Möglichkeit, dies zu tun, besteht darin, potenzielle Versicherungsnehmer anhand ihres Risikopotenzials zu bewerten.

Das bedeutet, dass Cyberversicherer Dinge wie die Compliance mit Cyber-Regeln als Messstab einsetzen werden. So würde beispielsweise jede Organisation, die nicht nachweist, dass sie die gängigen Vorschriften einhält – in Kombination mit einem Verzicht auf Verschlüsselung, Identity Governance und andere präventive Sicherheitstechnologien sowie dem Fehlen einer CISO – entweder von Cyber-Versicherern disqualifiziert werden oder mit prohibitiven Prämien rechnen müssen.

Sollte sich eine Organisation letztendlich dazu entschließen, bei der Cybersicherheit lediglich an der Oberfläche zu kratzen, wird sie sich nicht nur einer ernsthaften Gefahr aussetzen, sondern sie wird auch darum kämpfen, einen Cyber-Versicherer zu finden, der sie versichert. Dieser Industriezweig wird bald wieder zum Ausgangspunkt zurückkehren, wenn Unternehmen ein gewisses Maß an Cybersicherheit einhalten und für ihre Verstöße zur Rechenschaft gezogen werden.

Das bedeutet, die richtige Technologie und die richtigen Prozesse einzusetzen und in ein CISO zu investieren, um die Verantwortung für die Cybersicherheits-Position eines Unternehmens zu übernehmen. Das ist heutzutage unabdingbar. Dies gilt nicht nur aus regulatorischer und Cyber-Versicherungssicht, sondern auch aus Sicht des allgemeinen Risikomanagements.

Letztlich haben Unternehmen heute keine andere Wahl, als den langen und schmerzhaften Weg der Compliance lokaler, regionaler, föderaler – und jetzt globaler -– Vorschriften zu gehen und gleichzeitig in die Implementierung einer modernen IT-Sicherheitsinfrastruktur zu investieren, um die wertvollen Daten ihrer Kunden zu schützen.

Dieser Artikel wurde ursprünglich auf Forbes.com veröffentlicht.


Discussion