Cyber Security

Neuer Ansatz für Digital Risk

Schon im Mittelalter mussten sich die Menschen mit effizienten Verteidigungsstrategien auseinandersetzten. Das wohl beste Beispiel hierfür, Schloss Hochosterwitz, ist eine von nur wenigen Burgen weltweit, die nie bei Angriffen erobert wurde. Aufgrund eines ausgeklügelten Verteidigungssytems, bestehend aus 14 Toren, welche den Weg zur Burg weisen, war es keinem Angreifer möglich, die Burg zu erobern.

Technologieunternehmen heute müssen sich nicht vor ausländischen Eroberern fürchten, jedoch werden sie des öfteren Opfer von Hackerangriffen, die versuchen persönlichen Daten zu stehlen. Anhand einer ausgefeilten online Verteidigungstrategie kann dies vermeiden werden. Wichtig ist hierbei, vorab die größten Vermögenswerte zu identifizieren, die wahrscheinlichsten Angriffslinien vorherzusehen und entsprechend eine defensive Strategie entsprechend zu entwickeln. Eine ganzheitliche digitale Risikostrategie (die das Cybersicherheits- und Datenschutzrisiko im gesamten Unternehmen umfassen sollte) sollte mehr beinhalten als die Verteidigung gegen Cyberangriffe, da die Datenschutzbestimmungen immer strikter werden und das Bewusstsein für den Datenschutz in der Öffentlicheit stetig zunimmt.

 

Technologieunternehmen sind am stärksten gefährdet

Global gesehen betragen die Schäden durch Cyberkriminalität ca. 6 Milliarden US-Dollar für das Jahr 202. Im Jahr 2015 betrugen diese 3 Milliarden US-Dollar laut James Arthur, Partner und Leiter der Cyberberatung bei Grant Thornton UK. Die B2C-Technologieunternehmen verwalten und verarbeiten eine große Mengen an vertraulichen, hochsensiblen, personenbezogenen Daten, daher ist es nicht verwunderlich, dass der IT Sektor der am stärksten betroffene ist für Cyberangriffe. Diese verursachen enorme Schäden bei Unternehmen, da nicht nur hohe behördlichen Bußgelder zu zahlen sind, sondern auch ein nicht abzusehender Imageverlust entstehen kann.

 

Besser als die Regulierungsbehörden

In den letzten drei Jahren haben Technologieunternehmen große Anstrengungen unternommen, um die neuen Datenschutz- und Sicherheitsbestimmungen einzuhalten, nicht zuletzt die DSGVO. Die meisten großen Technologieunternehmen sind jetzt konform, müssen jedoch wachsam bleiben. Die Datenschutzbestimmungen werden strenger und die Strafen für Verstöße nehmen zu. Darüber hinaus werden Kunden zunehmend auf Datenschutzfragen aufmerksam und sind bereit, Unternehmen dafür zu bestrafen, wenn sie diese nicht ernst nehmen. Unternehmen müssen darauf reagieren, indem sie über das von der Datenschutzbehörde geforderte Mindestmaß hinausgehen.

 

Mittelsmann in der Überwachung

Die Beurteilung, wie weit der Datenschutz gehen soll, ist weitaus komplexer geworden, da viele Technologieunternehmen - ob sie es wollen oder nicht - inzwischen Überwachungsintermediäre sind. Ob über soziale Medien gesendete Nachrichten, Aufzeichnungen von Echo-Geräten oder auf Smartphones gespeicherte Standortdaten – Sie verfügen über Informationen, die für die Verbrechensbekämpfung nützlich sein können. Es steht außer Frage, dass sie das Gesetz in Bezug auf Auskunftsersuchen Folge leisten müssen, jedoch steht es ihnen frei, wie schnell und wie ausführlich sie Auskunft geben.  

Viele fragen sich nun, ob Anfragen von Strafverfolgungsbehörden ohne Rückfragen bearbeitet oder im Interesse der Wahrung der Privatsphäre eingehend geprüft werden sollte. In der Vergangenheit haben einige Technologieunternehmen des öfteren Widerstand geleistet statt mit den Strafverfolgungsbehörden kooperiert. Da die Unternehmen jedoch unabsichtlich immer wichtigere Beweise sammeln, gibt es in einigen Branchen Kontroversen darüber, welche Daten wann, wie viel und zu welchem ​​Zweck genutzt werden dürfen.

 

Stärkung des Schutzes digitaler Ressourcen

Wie können Technologieunternehmen ihr Digital Risk Management optimieren? In erster Linie müssen sie ihre digitalen Assets klassifizieren, kategorisieren und weiter entwickeln, um die mit ihnen verbundenen spezifischen Risiken und den damit zugehörigen Wert zu verstehen. Mit dieser Erkenntnis kann sie eine differenzierte, risikobasierte digitale Risikostrategie entwickelt und umgesetzt werden, um die Daten für das Unternehmen und dessen Kunden zu schützen.

Die Beurteilung der wertvollsten Daten eines Unternehmens kann für ein anderes Unternehmen möglicherweise vollkommen anders ausfallen, da diese stark Branchenabhängig ist. Dieser Ansatz klingt sinnvoll. Eine überraschend große Anzahl von Technologieunternehmen tut dies jedoch nicht und vertraut stattdessen auf ein veraltetes Sicherheitkonzept, basierenden auf einem einheitlichen Ansatz für Cybersicherheit und Datenschutz.

 

Unbrauchbare Daten

Im Gegensatz dazu sollten Daten, von denen sich herausstellt, dass sie für das Unternehmen keineswegs nützlich und nicht für regulatorische und Compliance-Zwecke erforderlich sind, gelöscht oder angemessen anonymisiert werden. Dies verringert das Risiko eines Datenmissbrauchs. Natürlich können Technologieunternehmen zögern, Informationen zu löschen, weil sie Bedenken haben, dass sie für ein Audit benötigt werden oder für andere Dinge unerlässlich sind. Doch durch die Datenzuordnung können derartige Abhängigkeiten erkannt werden, die für eine Löschung von Daten hilfreich sind.

Die Kategorisierung von Datenbeständen reduziert jedoch nicht nur das Risiko, es schafft auch Wert. In dieser Übung wird möglicherweise ein Dataset oder eine Kombination von Datasets identifiziert, mit denen die Effizienz interner Vorgänge verbessert oder Einblicke in die Kundenpräferenzen gewonnen werden können.

Technologieunternehmen müssen beim Profiling von Datenbeständen zwei Dinge beachten. Erstens ist es keine einmalige Übung, ihre digitalen Assets müssen ständig angepasst werden, sobald sich die geschäftlichen Prioritäten weiterentwickeln. Zweitens darf diese Aufgabe nicht dem Informationssicherheitsbeauftragten oder dem IT-Leiter alleine überlassen werden. Es ist eine wichtige Geschäftsentscheidung, die sich den Geschäftszielen ausrichtet, alle Führungskräfte sollten in den Prozess mit einbezogen werden.

 

Vertrauen schaffen durch Wettbewerbsvorteile

Für B2B-Technologieunternehmen besteht eine reelle Chance, sich auf dem Bereich Digital Trust zu positionieren. Wer bereit ist, schnell auf Cyber-Bedrohungen zu reagieren, verantwortungsbewusst mit Kundendaten umzugehen und Kunden die Möglichkeit geben, Datenschutzkontrollen selbst zu verwalten, kann sich einen Wettbewerbsvorteil verschaffen. Um Vertrauen aufzubauen, müssen Technologieunternehmen Cyber-Sicherheitslösungen mit Mehrwert wie Malware- und Ransomware-Screening anbieten, die Schwachstellen als Teil ihres Kernangebots ausschließen.

Es gibt eine Reihe von Sicherheitsstandards, mit denen Technologieunternehmen die Best Practice der digitalen Ausfallsicherheit demonstrieren können. Da jedoch jedes Technologieunternehmen anders ist, bieten diese lediglich einen Ausgangspunkt. Technologieunternehmen sollten bewerten, was ihre Kunden in Bezug auf Datenschutz und Sicherheit wünschen, und dies priorisieren.

 

Wertkontrolle der Verbraucher

Spannend bleibt, ob sich auch die B2C-Technologie durch Digital Trust hervorheben können. Es wäre jedenfalls  empfehlenswert, es den Kunden so einfach wie möglich zu machen, die über sie gespeicherten Daten zu identifizieren und zu löschen und die Datenschutzeinstellungen selbst zu verwalten. Besonders wichtig für B2C-Technologieunternehmen: die Datenschutzrichtlinien klar und deutlich zu formulieren, da diese häufig unübersichtlich abgebildet werden.

Der allgemeine Trend geht dahin, einen Benutzer-Hub zu entwickeln, der es den Nutzern ermöglicht, zu sehen, welche Daten über Sie gespeichert sind, und es ihnen ermöglicht, sich selbst ein- und auszutragen für die verschiedenen Rubriken.

 

Sie haben noch Fragen? Unsere Experte Georg H. Jeitler unterstützt Sie gerne.