PwC: 19. globale Studie zu Wirtschaftskriminalität veröffentlicht

Laut „Global Economic Crime Survey“ sorgen sich 61 Prozent CEOs um Cyber-Sicherheit

[datensicherheit.de, 15.04.2016] PwC hat kürzlich die Ergebnisse seiner 19. globalen Studie zu Wirtschaftskriminalität (Global Economic Crime Survey) veröffentlicht. Laut dieser Studie habe eine Handvoll der Befragten (etwa 50 Unternehmen) angegeben, über fünf Millionen US-Dollar verloren zu haben; fast ein Drittel unter ihnen habe Verluste im Zusammenhang mit Cyber-Kriminalität in Höhe von mehr als 100 Millionen US-Dollar beziffert. Das Besondere an dieser Studie sei, dass PwC nicht einfach selbst versucht habe, die Kosten von Cyber-Angriffen zu schätzen, sondern Topmanager persönlich nach ihrer Meinung gefragt habe.

CEOs: 61 Prozent sorgen sich um Cyber-Sicherheit

Bei den mehr als 6.000 Befragten habe es sich vorwiegend um C-Level-Führungskräfte und Leiter von Geschäftsbereichen gehandelt, welche die operativen Details des betreffenden Unternehmens in- und auswendig kennen würden und die wirtschaftlichen Auswirkungen am besten einschätzen könnten.
Das wichtigste Ergebnis der diesjährigen PwC-Studie sei, dass Cyber-Kriminalität in der Gesamtliste der Wirtschaftsverbrechen gegen Unternehmen nun an zweiter Stelle rangiere. Auf Platz 1 stehe eine traditionellere Form der widerrechtlichen Aneignung von Vermögenswerten – der Diebstahl von Geld.
Bei der Befragung von CEOs habe sich jedoch herausgestellt, dass sich 61 Prozent Sorgen um das Thema Cyber-Sicherheit machten. Spitzenführungskräfte bekämen also die Auswirkungen der Hacking- und Cyber-Aktivitäten zu spüren, die in den vergangenen Jahren stark zugenommen hätten.

Ernüchternde Statistiken

Der Bericht von PwC enthalte allerdings auch einige „ernüchternde Statistiken“ dazu, wie Unternehmen mit Cyber-Kriminalität umgingen. So verfügten lediglich 37 Prozent der Befragten über einen vollständigen „Incident-Response-Plan“. Ein Problem bei der Umsetzung dieser Pläne sei die unzureichende Personaldecke. Nur 40 Prozent der Studienteilnehmer verfügten demnach über ein geschultes „Response-Team“ für den Ernstfall. Vielleicht noch frappierender sei der Mangel an IT-Führungskräften in der Vorstandsetage, die sich mit den Angriffen und ihren potenziellen Auswirkungen auseinandersetzen sollten. In weniger als der Hälfte der Fälle hätten sich IT-Führungskräfte in den Notfallteams befunden; diese bestünden meist aus Mitgliedern der Geschäftsleitung (46 Prozent), Juristen (25 Prozent) und Mitarbeitern der Personalabteilung (14 Prozent).

Ausgefeilte Notfallpläne existenziell!

Laut PwC können Notfallpläne, die nicht optimal zwischen allen relevanten Akteuren – also auch der IT – koordiniert werden, die Fähigkeit von Unternehmen einschränken, sämtliche der betroffenen Bereiche zu erfassen, was angesichts der häufig von Hackern eingesetzten Ablenkungsmethoden besonders wichtig sei.
Wenn das notwendige Fachwissen fehle oder die IT-Abteilung nicht von Anfang an eingebunden sei, wäre es demnach sehr gut möglich, dass forensische Informationen außer Acht gelassen würden oder sogar verloren gingen.

Grundlegende Anforderungen oft nicht erfüllt

PwC macht deutlich, dass Organisationen einfach grundlegende Anforderungen nicht erfüllten. Einige der bekannteren, von PwC entlarvten Sicherheitslücken seien schlechte Systemkonfigurationen, unzureichende Kontrollen und sonstige „vermeidbare Fehler“.
In der IT-Sicherheitswelt würden in der Regel zunächst einfache Maßnahmen wie längere Benutzerpasswörter, bessere Kontrollen für privilegierte Konten und strengere Anforderungen für Dateizugriffe implementiert. Der PwC-Bericht mache aber deutlich: „Wer bei den Grundlagen schludert, wird mit realem wirtschaftlichen Schaden bestraft.“

Mehrschichtige Cyber-Sicherheitsstrategie empfohlen

PwC empfiehlt nach eigenen Angaben eine mehrschichtige Cyber-Sicherheitsstrategie, die auch von der Vorstandsetage (und sogar vom Aufsichtsrat) unterstützt wird, strengere Risikoanalysen und IT-Audits sowie die Einführung effektiver Überwachungsprozesse. Verbesserte Risikoanalysen, mehr Schutz für Daten und bessere Überwachung seien Dinge, die man bereits seit der Gründung des Unternehmens predige. Im Gegensatz zu allen anderen Anbietern im Sicherheitsbereich seien sie jedoch der Überzeugung, dass diese Ansätze im Dateisystem implementiert werden müssten.
Bei den meisten Sicherheitsvorfällen würden heute unstrukturierte Daten gestohlen. Fast täglich werde von ernsthaften Datenschutzverletzungen berichtet, bei denen Passwörter, Kreditkartendaten oder E-Mail-Adressen entwendet würden, die unverschlüsselt in Dateien gespeichert gewesen seien. In vielen Fällen sei es für die Angreifer ein Leichtes, äußere Verteidigungsmaßnahmen mithilfe von Phishing oder SQL-Injection zu umgehen. „Sobald sie in ein System eingedrungen sind, verfügen sie über umfassenden Zugriff auf diese sensiblen Daten, die über das gesamte Filesystem verteilt sind“, warnt PwC. Diese Daten seien für Hacker wertvoll – egal, ob personenbezogene Daten, die sich gut verkaufen ließen, oder geistiges Eigentum, dessen Diebstahl das Aus für ein Unternehmen bedeuten könne.

Analyse des Nutzerverhaltens empfohlen

Unternehmen untersuchten ihre Netzwerke zwar meist im Hinblick auf ungewöhnliche Aktivitäten oder bekannten Viren. Sie seien in der Regel jedoch nicht in der Lage, die neueste Generation von Malware mit ausgeklügelten Tarnfunktionen oder die noch bedrohlicheren neuen Exploits zu erkennen, die ganz ohne Malware auskämen. Wenn es um den Schutz unstrukturierter Daten gehe, finde man also bei vielen Unternehmen einen „großen und äußerst kostspieligen blinden Fleck“.
PwC empfiehlt, Dateisysteme auf ungewöhnliche Aktivitäten zu untersuchen. Doch das sei leichter gesagt als getan. Abhilfe schaffen könne die Analyse des Nutzerverhaltens – hierzu würden die Dateiaktivitäten und normalen Verhaltensweisen von Nutzern beobachtet, um ungewöhnliche Vorgänge aufzuspüren.
Damit erfasse man Hacker-Aktivitäten von ins System eingedrungenen Angreifern und man komme bösartigen Mitarbeitern auf die Schliche – so könne man das Risiko für die Daten entschärfen.

Bedrohung durch Cyber-Kriminalität als strategisches Thema

Aus praktischer Sicht seien die Ergebnisse der PwC-Umfrage durchaus förderlich für die Datensicherheit in Unternehmen, denn CEOs und andere C-Level-Führungskräfte erachteten Cyber-Kriminalität inzwischen als strategisches Thema, das einen erheblichen Ressourcenaufwand erfordere – Personal, Planung und finanzielle Mittel.
Wie viele andere Gruppen und Institute aus dem Sicherheitsbereich – zum Beispiel das NIST und das SANS-Institut – sieht PwC Überwachung als „Schlüssel für Sicherheit in der realen Welt“. Möglicherweise werde man Hacker niemals davon abhalten können, in Netzwerke einzudringen – man könne allerdings den Schaden begrenzen und letztendlich die Kosten von Sicherheitsvorfällen in Unternehmen deutlich senken.

Weitere Informationen zum Thema:

pwc
Global Economic Crime Survey 2016: US Results / Adjusting the lens on economic crime