Unternehmenslenker sollten unbedingt die Kosten für die Bewältigung eines Sicherheitsvorfalls den Kosten für Investitionen in die Cyber-Sicherheit zur Verhinderung eines Sicherheitsvorfalls gegenüberstellen. So sind sie in der Lage, in der Folge Kosten zu senken und Budgets anderweitig zu investieren.
Wenn es um Menschen, Prozesse und Technologie geht, sind die Menschen immer das schwächste Glied im metaphorischen Sicherheitszaun eines Unternehmens. Ein Unternehmen kann über die detailliertesten, sicherheitsorientierten Prozesse und erstklassige technische Lösungen verfügen. Sind die Mitarbeiter aber nicht entsprechend geschult, ist die Sicherheit so gut wie nicht vorhanden.
Die Mitarbeiter gilt es daher mit ausgefeilten, neuartigen und branchenrelevanten Schulungsmaterialien zur Cyber-Sicherheit auszustatten. Die Zeiten, in denen ein einfaches Handout oder eine veraltete Powerpoint-Präsentation ausreichten, sind vorbei. Anstatt eine jährliche Schulung zu veranstalten oder eine, die nur bei der ersten Einstellung eines Mitarbeiters absolviert werden muss, sollten Unternehmen dafür sorgen, dass das Sicherheitsbewusstsein in die Unternehmenskultur integriert wird.
So empfiehlt sich, monatlich ein neues Modul zu absolvieren oder regelmäßig die Reaktion auf Phishing-Kampagnen zu trainieren. Kleine Anreize für Mitarbeiter, die erfolgreich bösartige E-Mails melden, sind ebenfalls eine Möglichkeit. Investitionen in das Bewusstsein für Cyber-Sicherheit und in die allgemeinen Kenntnisse der Mitarbeiter sind der beste Weg, um die Sicherheit langfristig zu verbessern.
Gesetzliche Anforderungen verstehen
Welche gesetzlichen Anforderungen muss das Unternehmen erfüllen? Wenn das Unternehmen Opfer eines Cyber-Sicherheitsangriffs wird, kann es sich nicht auf Unwissenheit berufen, um die hohen Geldstrafen zu vermeiden, die mit Vorschriften wie CCPA und DSGVO verbunden sind.
Wenn das Unternehmen eine besonders komplexe Umgebung mit einer großen Menge an Kundendaten oder persönlichen Gesundheitsinformationen hat, kann es sich lohnen, einen Chief Privacy Officer oder vCISO einzustellen. Diese Person sollte sich speziell darauf konzentrieren, sicherzustellen, dass die Kundendaten angemessen geschützt sind und dass das Unternehmen alle geltenden rechtlichen Anforderungen erfüllt.
Incident-Response-Prozesse: Üben, üben, üben
Es heißt, dass Übung den Meister macht, und Incident Response ist keine Ausnahme von dieser Regel. Vergleicht man die Kosten für Datenschutzverletzungen eines Unternehmens, das seinen Incident-Response-Plan getestet hat, mit denen eines Unternehmens, das diesen Test nicht durchgeführt hat, so ergeben sich Einsparungen von durchschnittlich 2.000.000 Dollar.
Viele Unternehmen bauen jedoch am Auto, während sie mit 160 Kilometern pro Stunde auf der Autobahn fahren. Kommt es zu einem Zwischenfall, hat niemand eine Ahnung, was zu tun ist:
- Der Krisenreaktionsplan wurde seit drei Jahren nicht mehr aktualisiert.
- Die Telefonnummern sind nicht korrekt.
- Eine Cyber-Sicherheitsversicherung wurde nie abgeschlossen.
- Die Meldepflichten sind nicht definiert.
Die Bewältigung eines Cyber-Sicherheitsvorfalls ist eine stressige Erfahrung. Um diesen Stress zu mindern und Geld zu sparen, sollten Unternehmen ihren Notfallplan mindestens zweimal pro Jahr in Form von Tabletop-Übungen oder interaktiven Szenario-Sitzungen testen. Es ist darauf zu achten, dass sie nach den Testübungen eine „Lessons Learned“-Auswertung vornehmen, um festzustellen, welche Methoden zur Reaktion auf Zwischenfälle gut funktioniert haben und welche noch verbessert werden könnten. Schließlich gilt es Maßnahmen zu ergreifen du sicherzustellen, dass vorgeschlagene Verbesserungen oder Änderungen an den aktuellen Prozessen im Incident-Response-Plan und den zugehörigen Richtlinien aktualisiert werden.
Schwachstellen kennen
Unternehmen können sich nicht vor den Bedrohungen schützen, von denen sie nicht wissen, dass sie dafür anfällig sind. Eine jährliche Bewertung der Cyber-Sicherheitsrisiken im Unternehmen sollte Menschen, Prozesse und Technologien berücksichtigen. Unternehmen sollten in Erwägung ziehen, einen externen Anbieter zu beauftragen, der sich auf die Durchführung eingehender Cyberrisikobewertungen anhand eines anerkannten Branchenrahmenwerks, wie dem National Institute of Standards and Technology (NIST) und dem Cybersecurity Framework (CSF), spezialisiert hat. Identifizierte Risiken sollten mit einer ausführlichen Empfehlung verbunden sein, die umgesetzt werden kann, um das damit verbundene Risiko entweder vollständig zu beseitigen oder zu mindern.
In den meisten Fällen werden die Ergebnisse und Empfehlungen durch eine Prioritätseinstufung oder einen strategischen Implementierungsfahrplan ergänzt. Dies sind unschätzbar wertvolle Werkzeuge, mit denen Unternehmen bestimmen können, wie sie ihre aktuelle Sicherheitslage am wirkungsvollsten verbessern können.
Nie ohne brauchbare Backups
Wie bereits in diesem Bericht erwähnt, war Ransomware die häufigste Kompromittierungsmethode im Jahr 2019. Ohne brauchbare Backups legen Unternehmen buchstäblich ihren Lebensunterhalt in die Hände von Cyberkriminellen. Laut dem 2020 Incident Response & Data Breach Report von Unit 42 wurden bei einer zunehmenden Anzahl von Vorfällen Backups gelöscht oder deaktiviert.
Daher gilt es regelmäßig Backups zu erstellen und zu testen und sich mit dem Prozess der Wiederherstellung von Backups vertraut zu machen. Vor allem gilt es sicherzustellen, dass Backups außerhalb des Netzwerks gespeichert und durch geeignete Sicherheitsmaßnahmen geschützt werden, damit Bedrohungsakteure keinen Zugriff erhalten und Backups deaktivieren oder löschen können, um eine Wiederherstellung zu verhindern.
Expertenrat hinzuziehen
Unternehmen müssen nicht alles intern alleine bewältigen. Die Beauftragung eines Cyber-Sicherheitsberaters oder externen Partners ist eine gute Möglichkeit, sicherheitsspezifisches Fachwissen in das Unternehmen einzubringen. Die Berater sind oft in die aktuellen Best Practices und Branchentrends eingeweiht, so dass sie neue Erkenntnisse darüber liefern können, was derzeit in diesem Bereich funktioniert.
Durch den Aufbau von Beziehungen zu externen Experten verfügen Unternehmen über ein starkes Netzwerk, auf das sie zurückgreifen können, wenn sie ihre Sicherheitslösungen verstärken oder einfach nur eine externe Perspektive zu den Best Practices der Branche einnehmen möchten.
Abschließende Überlegungen
Sicherheitsverletzungen sind teuer, und wahrscheinlich teurer als gedacht. Auch wenn die Vorlaufkosten für proaktive Investitionen in Cyber-Sicherheitsfunktionen teuer erscheinen mögen, so werden sie Unternehmen auf lange Sicht wahrscheinlich erhebliche Summen einsparen. Strategische, proaktive Investitionen in die Cyber-Sicherheit sind nach Meinung von Palo Alto Networks für Unternehmen, die in der komplexen und gefährlichen Cyber-Landschaft von heute erfolgreich sein wollen, unerlässlich. (rhh)
