Ein Kommentar von Marc Schieder, CIO von DRACOON
Anfang der Woche stellte die Tochter des Versicherungskonzerns Allianz, AGCS (Allianz Global Corporate & Specialty) ihr neues „Risikobarometer“ vor. Dieses erscheint zum neunten Mal in Folge – Grundlage ist eine Befragung unter mehr als 2.700 Risikoexperten aus über 100 Ländern bezüglich der wichtigsten Bedrohungen für Unternehmen. Die Studie zeigt, dass Cybervorfälle erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit darstellen. Weitere Gefahren sind Betriebsunterbrechungen und „rechtliche Veränderungen“ – hier werden Zölle, Sanktionen, der Brexit und zunehmender Protektionismus als zentrale Anliegen für Betriebe genannt. Der Klimawandel erreicht erstmals Rang sieben weltweit und gehört unter anderem zu den drei größten Geschäftsrisiken in Australien, Hongkong und Indien.
Cybercrime stellt nicht nur das bedeutendste Risiko weltweit dar, sondern rangiert auch in Deutschland und zahlreichen anderen Ländern unter den ersten drei Plätzen. In einigen Ländern nehmen IT-Sicherheitsvorfälle sogar die erste Position ein – so etwa in Belgien, Frankreich, Indien, Südafrika, Südkorea, Österreich, Schweden, der Schweiz, Spanien, Großbritannien und den USA. Laut AGCS hat sich die Bedrohungslage in diesem Bereich verschärft, denn neben immer teurer werdenden Datenpannen ist auch die Zahl der Ransomware und Spoofing-Vorfälle gestiegen. Außerdem müssen Unternehmen bei Verstößen gegen Datenschutzgesetze wie der DSGVO mit immer höheren Bußgeldern rechnen. So zitiert der Versicherer eine Studie des Ponemon Institutes laut der ein schwerer Datendiebstahl Firmen durchschnittlich 42 Millionen Dollar kostet. Dies beziehe sich auf einen Verlust von mehreren Millionen Datensätzen und entspreche einem Zuwachs von 8 Prozent im Vergleich zum Vorjahr.
Die Erhebung verdeutlicht, dass Unternehmen die Themen Datenschutz und IT-Sicherheit zu ihrer obersten Priorität machen sollten. Heutzutage kann es sich kein Unternehmen mehr leisten, die Risiken zu ignorieren und diese „nebenher“ zu behandeln. Vielmehr muss innerhalb des Betriebs eine Sicherheitskultur aufgebaut werden – diese geht von oberster Stelle, also vom CEO, beziehungsweise Aufsichtsrat aus und alle Mitarbeiter jeglicher Abteilungen ziehen hier an einem Strang. Schulungen zum richtigen Umgang mit sensiblen Daten und dem Verhalten bei Vorfällen sind wichtig, können allerdings nur unterstützend wirken. Damit auf technischer Ebene schwerwiegende Datenverluste verhindert werden, sollte das Unternehmen auch technisch auf dem neuesten Stand sein. So lohnt sich auf jeden Fall eine umfassende Modernisierung der IT-Infrastruktur. Der „aktuelle Stand der Technik“ wird schließlich auch explizit in Artikel 25 („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) der DSGVO erwähnt. Konkret können Betriebe File-Server, USB-Sticks, VPN oder FTP durch moderne Lösungen für File Services ersetzen. Insgesamt ist es wichtig, dass Unternehmen bei der Wahl ihrer Anwendungen darauf achten, dass Datenschutz schon bei der Produktentwicklung miteinbezogen wurde. Ein konkretes Beispiel ist etwa, dass die Verschlüsselung so einfach integriert wurde, dass sich der Anwender bei der Verwendung keine Gedanken mehr machen muss, was er genau beim Speichern oder Bearbeiten der Daten beachten muss. Ebenso muss der Schlüssel zur Entschlüsselung der Dateien immer beim Besitzer bleiben. Wenn Unternehmen kontinuierlich an internen Vorgängen zur Gefahrenabwehr arbeiten und auch technisch höchste Ansprüche an die IT-Sicherheit haben, sind sie in Zeiten der wachsenden Bedrohungslage gut gewappnet.
Anfang der Woche stellte die Tochter des Versicherungskonzerns Allianz, AGCS (Allianz Global Corporate & Specialty) ihr neues „Risikobarometer“ vor. Dieses erscheint zum neunten Mal in Folge – Grundlage ist eine Befragung unter mehr als 2.700 Risikoexperten aus über 100 Ländern bezüglich der wichtigsten Bedrohungen für Unternehmen. Die Studie zeigt, dass Cybervorfälle erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit darstellen. Weitere Gefahren sind Betriebsunterbrechungen und „rechtliche Veränderungen“ – hier werden Zölle, Sanktionen, der Brexit und zunehmender Protektionismus als zentrale Anliegen für Betriebe genannt. Der Klimawandel erreicht erstmals Rang sieben weltweit und gehört unter anderem zu den drei größten Geschäftsrisiken in Australien, Hongkong und Indien.
Cybercrime stellt nicht nur das bedeutendste Risiko weltweit dar, sondern rangiert auch in Deutschland und zahlreichen anderen Ländern unter den ersten drei Plätzen. In einigen Ländern nehmen IT-Sicherheitsvorfälle sogar die erste Position ein – so etwa in Belgien, Frankreich, Indien, Südafrika, Südkorea, Österreich, Schweden, der Schweiz, Spanien, Großbritannien und den USA. Laut AGCS hat sich die Bedrohungslage in diesem Bereich verschärft, denn neben immer teurer werdenden Datenpannen ist auch die Zahl der Ransomware und Spoofing-Vorfälle gestiegen. Außerdem müssen Unternehmen bei Verstößen gegen Datenschutzgesetze wie der DSGVO mit immer höheren Bußgeldern rechnen. So zitiert der Versicherer eine Studie des Ponemon Institutes laut der ein schwerer Datendiebstahl Firmen durchschnittlich 42 Millionen Dollar kostet. Dies beziehe sich auf einen Verlust von mehreren Millionen Datensätzen und entspreche einem Zuwachs von 8 Prozent im Vergleich zum Vorjahr.
Die Erhebung verdeutlicht, dass Unternehmen die Themen Datenschutz und IT-Sicherheit zu ihrer obersten Priorität machen sollten. Heutzutage kann es sich kein Unternehmen mehr leisten, die Risiken zu ignorieren und diese „nebenher“ zu behandeln. Vielmehr muss innerhalb des Betriebs eine Sicherheitskultur aufgebaut werden – diese geht von oberster Stelle, also vom CEO, beziehungsweise Aufsichtsrat aus und alle Mitarbeiter jeglicher Abteilungen ziehen hier an einem Strang. Schulungen zum richtigen Umgang mit sensiblen Daten und dem Verhalten bei Vorfällen sind wichtig, können allerdings nur unterstützend wirken. Damit auf technischer Ebene schwerwiegende Datenverluste verhindert werden, sollte das Unternehmen auch technisch auf dem neuesten Stand sein. So lohnt sich auf jeden Fall eine umfassende Modernisierung der IT-Infrastruktur. Der „aktuelle Stand der Technik“ wird schließlich auch explizit in Artikel 25 („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) der DSGVO erwähnt. Konkret können Betriebe File-Server, USB-Sticks, VPN oder FTP durch moderne Lösungen für File Services ersetzen. Insgesamt ist es wichtig, dass Unternehmen bei der Wahl ihrer Anwendungen darauf achten, dass Datenschutz schon bei der Produktentwicklung miteinbezogen wurde. Ein konkretes Beispiel ist etwa, dass die Verschlüsselung so einfach integriert wurde, dass sich der Anwender bei der Verwendung keine Gedanken mehr machen muss, was er genau beim Speichern oder Bearbeiten der Daten beachten muss. Ebenso muss der Schlüssel zur Entschlüsselung der Dateien immer beim Besitzer bleiben. Wenn Unternehmen kontinuierlich an internen Vorgängen zur Gefahrenabwehr arbeiten und auch technisch höchste Ansprüche an die IT-Sicherheit haben, sind sie in Zeiten der wachsenden Bedrohungslage gut gewappnet.
