Aktuelles, Branche, Studien - geschrieben von dp am Freitag, April 15, 2016 21:08 - noch keine Kommentare
PwC: 19. globale Studie zu Wirtschaftskriminalität veröffentlicht
Laut „Global Economic Crime Survey“ sorgen sich 61 Prozent CEOs um Cyber-Sicherheit
[datensicherheit.de, 15.04.2016] PwC hat kürzlich die Ergebnisse seiner 19. globalen Studie zu Wirtschaftskriminalität (Global Economic Crime Survey) veröffentlicht. Laut dieser Studie habe eine Handvoll der Befragten (etwa 50 Unternehmen) angegeben, über fünf Millionen US-Dollar verloren zu haben; fast ein Drittel unter ihnen habe Verluste im Zusammenhang mit Cyber-Kriminalität in Höhe von mehr als 100 Millionen US-Dollar beziffert. Das Besondere an dieser Studie sei, dass PwC nicht einfach selbst versucht habe, die Kosten von Cyber-Angriffen zu schätzen, sondern Topmanager persönlich nach ihrer Meinung gefragt habe.
CEOs: 61 Prozent sorgen sich um Cyber-Sicherheit
Bei den mehr als 6.000 Befragten habe es sich vorwiegend um C-Level-Führungskräfte und Leiter von Geschäftsbereichen gehandelt, welche die operativen Details des betreffenden Unternehmens in- und auswendig kennen würden und die wirtschaftlichen Auswirkungen am besten einschätzen könnten.
Das wichtigste Ergebnis der diesjährigen PwC-Studie sei, dass Cyber-Kriminalität in der Gesamtliste der Wirtschaftsverbrechen gegen Unternehmen nun an zweiter Stelle rangiere. Auf Platz 1 stehe eine traditionellere Form der widerrechtlichen Aneignung von Vermögenswerten – der Diebstahl von Geld.
Bei der Befragung von CEOs habe sich jedoch herausgestellt, dass sich 61 Prozent Sorgen um das Thema Cyber-Sicherheit machten. Spitzenführungskräfte bekämen also die Auswirkungen der Hacking- und Cyber-Aktivitäten zu spüren, die in den vergangenen Jahren stark zugenommen hätten.
Ernüchternde Statistiken
Der Bericht von PwC enthalte allerdings auch einige „ernüchternde Statistiken“ dazu, wie Unternehmen mit Cyber-Kriminalität umgingen. So verfügten lediglich 37 Prozent der Befragten über einen vollständigen „Incident-Response-Plan“. Ein Problem bei der Umsetzung dieser Pläne sei die unzureichende Personaldecke. Nur 40 Prozent der Studienteilnehmer verfügten demnach über ein geschultes „Response-Team“ für den Ernstfall. Vielleicht noch frappierender sei der Mangel an IT-Führungskräften in der Vorstandsetage, die sich mit den Angriffen und ihren potenziellen Auswirkungen auseinandersetzen sollten. In weniger als der Hälfte der Fälle hätten sich IT-Führungskräfte in den Notfallteams befunden; diese bestünden meist aus Mitgliedern der Geschäftsleitung (46 Prozent), Juristen (25 Prozent) und Mitarbeitern der Personalabteilung (14 Prozent).
Ausgefeilte Notfallpläne existenziell!
Laut PwC können Notfallpläne, die nicht optimal zwischen allen relevanten Akteuren – also auch der IT – koordiniert werden, die Fähigkeit von Unternehmen einschränken, sämtliche der betroffenen Bereiche zu erfassen, was angesichts der häufig von Hackern eingesetzten Ablenkungsmethoden besonders wichtig sei.
Wenn das notwendige Fachwissen fehle oder die IT-Abteilung nicht von Anfang an eingebunden sei, wäre es demnach sehr gut möglich, dass forensische Informationen außer Acht gelassen würden oder sogar verloren gingen.
Grundlegende Anforderungen oft nicht erfüllt
PwC macht deutlich, dass Organisationen einfach grundlegende Anforderungen nicht erfüllten. Einige der bekannteren, von PwC entlarvten Sicherheitslücken seien schlechte Systemkonfigurationen, unzureichende Kontrollen und sonstige „vermeidbare Fehler“.
In der IT-Sicherheitswelt würden in der Regel zunächst einfache Maßnahmen wie längere Benutzerpasswörter, bessere Kontrollen für privilegierte Konten und strengere Anforderungen für Dateizugriffe implementiert. Der PwC-Bericht mache aber deutlich: „Wer bei den Grundlagen schludert, wird mit realem wirtschaftlichen Schaden bestraft.“
Mehrschichtige Cyber-Sicherheitsstrategie empfohlen
PwC empfiehlt nach eigenen Angaben eine mehrschichtige Cyber-Sicherheitsstrategie, die auch von der Vorstandsetage (und sogar vom Aufsichtsrat) unterstützt wird, strengere Risikoanalysen und IT-Audits sowie die Einführung effektiver Überwachungsprozesse. Verbesserte Risikoanalysen, mehr Schutz für Daten und bessere Überwachung seien Dinge, die man bereits seit der Gründung des Unternehmens predige. Im Gegensatz zu allen anderen Anbietern im Sicherheitsbereich seien sie jedoch der Überzeugung, dass diese Ansätze im Dateisystem implementiert werden müssten.
Bei den meisten Sicherheitsvorfällen würden heute unstrukturierte Daten gestohlen. Fast täglich werde von ernsthaften Datenschutzverletzungen berichtet, bei denen Passwörter, Kreditkartendaten oder E-Mail-Adressen entwendet würden, die unverschlüsselt in Dateien gespeichert gewesen seien. In vielen Fällen sei es für die Angreifer ein Leichtes, äußere Verteidigungsmaßnahmen mithilfe von Phishing oder SQL-Injection zu umgehen. „Sobald sie in ein System eingedrungen sind, verfügen sie über umfassenden Zugriff auf diese sensiblen Daten, die über das gesamte Filesystem verteilt sind“, warnt PwC. Diese Daten seien für Hacker wertvoll – egal, ob personenbezogene Daten, die sich gut verkaufen ließen, oder geistiges Eigentum, dessen Diebstahl das Aus für ein Unternehmen bedeuten könne.
Analyse des Nutzerverhaltens empfohlen
Unternehmen untersuchten ihre Netzwerke zwar meist im Hinblick auf ungewöhnliche Aktivitäten oder bekannten Viren. Sie seien in der Regel jedoch nicht in der Lage, die neueste Generation von Malware mit ausgeklügelten Tarnfunktionen oder die noch bedrohlicheren neuen Exploits zu erkennen, die ganz ohne Malware auskämen. Wenn es um den Schutz unstrukturierter Daten gehe, finde man also bei vielen Unternehmen einen „großen und äußerst kostspieligen blinden Fleck“.
PwC empfiehlt, Dateisysteme auf ungewöhnliche Aktivitäten zu untersuchen. Doch das sei leichter gesagt als getan. Abhilfe schaffen könne die Analyse des Nutzerverhaltens – hierzu würden die Dateiaktivitäten und normalen Verhaltensweisen von Nutzern beobachtet, um ungewöhnliche Vorgänge aufzuspüren.
Damit erfasse man Hacker-Aktivitäten von ins System eingedrungenen Angreifern und man komme bösartigen Mitarbeitern auf die Schliche – so könne man das Risiko für die Daten entschärfen.
Bedrohung durch Cyber-Kriminalität als strategisches Thema
Aus praktischer Sicht seien die Ergebnisse der PwC-Umfrage durchaus förderlich für die Datensicherheit in Unternehmen, denn CEOs und andere C-Level-Führungskräfte erachteten Cyber-Kriminalität inzwischen als strategisches Thema, das einen erheblichen Ressourcenaufwand erfordere – Personal, Planung und finanzielle Mittel.
Wie viele andere Gruppen und Institute aus dem Sicherheitsbereich – zum Beispiel das NIST und das SANS-Institut – sieht PwC Überwachung als „Schlüssel für Sicherheit in der realen Welt“. Möglicherweise werde man Hacker niemals davon abhalten können, in Netzwerke einzudringen – man könne allerdings den Schaden begrenzen und letztendlich die Kosten von Sicherheitsvorfällen in Unternehmen deutlich senken.
Weitere Informationen zum Thema:
pwc
Global Economic Crime Survey 2016: US Results / Adjusting the lens on economic crime
Kooperation
Mitgliedschaft

Schulungsangebot

Partner

Gefragte Themen
- Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen
- BrExit: Europäische Datenschutzbeauftragte diskutierten Folgen
- IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
- Wenn Kollegen zum Sicherheitsrisiko werden
- KMU: Über die Hälfte muss Windows-Version aktualisieren
- KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen
- Upload-Filter: Faires europäisches Urheberrecht wird verspielt
- TU Graz: Internet der Dinge zuverlässiger machen
- Münchner Sicherheitskonferenz: Internet der Dinge als Schwerpunktthema
- Gehackte Daten: Illegaler Online-Handel boomt
- Cyber-Sicherheit: Kontrolle und Verständnis als Erfolgsfaktoren
- Warnung vor gefälschten Banking-Apps
- Überwachungstechnologie: Globale Regulierung gefordert
- Ich fände es ehrlich gesagt erläuterungsbedürftig, wenn die EU Kommission einem ...
- Gerade in Zeiten von Bring your own Device wird die DSGVO-Compliance nochmal zu ...
- Kann mich dem Kommentar nur anschließen. WIe wäre es bei unseren Bundestagsabgeo...
- Es ist schon erstaunlich, wozu Politiker in der Lage sind auf Stimmenfang zu geh...
- ein Gruß aus Leipzig.
Ich wünsche Ihnen einen guten Jahreswechsel und ein gut...
- Danke für den interessanten Beitrag. Wir leben tatsächlich in einer Ära des Soci...
- Der neue Verschlüsselungsvirus beginnt, (nach dem Nachladen), mit der Verschlüss...
- IT-Sicherheit muss weder kompliziert, noch teuer sein. Schon mit einfachen Mitte...
Aktuelles, Branche, Gastbeiträge - Feb 18, 2019 14:45 - noch keine Kommentare
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
weitere Beiträge in Experten
- Wenn Kollegen zum Sicherheitsrisiko werden
- Upload-Filter: Faires europäisches Urheberrecht wird verspielt
- TU Graz: Internet der Dinge zuverlässiger machen
- Cyber-Sicherheit: Kontrolle und Verständnis als Erfolgsfaktoren
- Überwachungstechnologie: Globale Regulierung gefordert
Aktuelles, Branche, Gastbeiträge - Feb 18, 2019 14:45 - noch keine Kommentare
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
weitere Beiträge in Branche
- Wenn Kollegen zum Sicherheitsrisiko werden
- KMU: Über die Hälfte muss Windows-Version aktualisieren
- KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen
- Münchner Sicherheitskonferenz: Internet der Dinge als Schwerpunktthema
- Gehackte Daten: Illegaler Online-Handel boomt
Aktuelles, Branche, Studien, Umfragen - Feb 14, 2019 23:05 - noch keine Kommentare
Sicherheitsgründe: Nutzer meiden bestimmte Online-Dienste
weitere Beiträge in Service
- Thema Datenschutz: Verbraucherreaktion kulturabhängig
- Neue Macht der Verbraucher zwingt Unternehmen zum Handeln
- Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen
- Sichere digitale Infrastrukturen: Mehrheit der Nutzer bevorzugt inländische Datenspeicherung
- Trendbarometer: IT-Sicherheitsbranche erwartet weiterhin Wachstum
Kommentieren