Mit guter Schulung kann ein Mensch zum Eckpfeiler der Cyberabwehr werden

Yan Borboën Partner Digital Assurance and Cybersecurity and Privacy, PwC Switzerland 28 Mai 2019

Im Zuge der rasch voranschreitenden Digitalisierung der Wirtschaft und der explosionsartigen Zunahme vernetzter Geräte entstehen neue Cyber-Risiken. Um sich davor zu schützen, werden die Unternehmen gezwungen sein, Informationen über die Art der Angriffe und erlittenen Schäden weiterzugeben. Zudem werden sie ihre Mitarbeitenden noch besser schulen müssen.

«Mit der zunehmenden Vernetzung der Unternehmen und mit der Entwicklung vernetzter Geräte treten neue Cyber-Risiken auf. Diese Cyber-Risiken sind vielfältiger Art und entwickeln sich rasant weiter. Jene von heute werden morgen schon nicht mehr aktuell sein.»

Für die Mehrheit der Unternehmen ist und bleibt Cybersicherheit eine der grössten Herausforderungen, wenn sie neue, digitale Projekte starten. Gemäss der «PwC 2019 Risk in Review Study» geben 51% der befragten Personen an, dass Cybersicherheit ihr Hauptrisiko darstellt – noch weit vor betrieblichen und technologischen Risiken oder Fragen der Vertraulichkeit.
Im Zuge der rasch voranschreitenden Digitalisierung der Wirtschaft wird dieser Prozentsatz weiter steigen. Infolge dieser Entwicklung wächst parallel die Zahl der Cyberangriffe mit gleicher Geschwindigkeit weiter. Somit müssen die Unternehmen ihre Anstrengungen verdoppeln, um sich wirksam davor zu schützen.
Dies gilt umso mehr, als aufgrund der zunehmenden Vernetzung der Unternehmen, aber auch infolge der Entwicklung vernetzter Geräte neue Cyber-Risiken auftreten. Tatsächlich wird geschätzt, dass es 2020 weltweit 200 Milliarden Geräte unterschiedlicher Art geben wird, welche vernetzt sind: Smartphones, medizinische Geräte wie Herzschrittmacher, Autos, Aufzüge oder elektrische Zahnbürsten.
Die Cyber-Risiken sind vielfältiger Art und entwickeln sich rasant weiter. Jene von heute werden morgen schon nicht mehr aktuell sein. Sie können von Social Engineering, Computerviren oder Datenverlust herrühren.

Welches sind die grössten Risiken im Zusammenhang mit digitalen Projekten in Ihrer Organisation?

Quelle: PwC 2019 Global Risk, Internal Audit and Compliance Survey

51% der befragten Personen nennen Cybersicherheit als ihre grösste Herausforderung, wenn sie neue digitale Projekte starten – noch weit vor betrieblichen und technologischen Risiken oder Fragen der Vertraulichkeit.

Vertrauen der Kunden in digitale Systeme ist essentiell 

Die Cyberangriffe haben nur eine Konstante: Sie sind ständiger Anpassung unterworfen. Jedes der vergangenen Jahre hatte seine besonderen Angriffstypen: So waren 2017 «Ransomware» (Erpressungsprogramme) des Typs WannaCry in aller Munde – «Malware» (Schadsoftware), die persönliche Daten verschlüsselt und sie erst nach Zahlung eines Lösegelds wieder entschlüsselt. In jüngster Zeit ist «Cryptojacking» aufgekommen, das darin besteht, heimlich bei Internetnutzern Kryptowährungen zu «schürfen». Der «CEO Fraud», bei dem sich die Hacker als Geschäftsführer des Unternehmens ausgeben und die Auszahlung eines Betrags fordern, findet aber seit Jahren immer wieder Opfer.

«Zahlreiche Unternehmen wollen ihre digitalen Produkte und Dienstleistungen immer schneller auf den Markt bringen, ohne sich die Zeit zu nehmen, die erforderlichen Sicherheitstests durchzuführen. Diese sind jedoch von entscheidender Bedeutung! Die digitale Transformation eines Unternehmens muss mit dem Vertrauen seiner Kunden in die digitalen Systeme einhergehen. Ist dies nicht der Fall, droht das Unternehmen zu scheitern.»

Die finanziellen und regulatorischen Risiken sind sicherlich von Bedeutung für die Unternehmen. Nicht nur, dass sie einen direkten Schaden erleiden – die europäische Datenschutz-Grundverordnung (DSGVO) sieht auch Bussgelder vor, die bis zu 4% des weltweiten Umsatzes erreichen können. Google musste unlängst mehrere Millionen zahlen. Allerdings übersteigt für ein Unternehmen das Reputationsrisiko bei Weitem den gezahlten Betrag. Es stellt ein fundamentales Element in Frage: das Vertrauen der Kunden und der Imageschaden spielt eine immer wichtigere Rolle. Die Banken haben bereits verstanden, wie wichtig es ist, ihre IT-Infrastrukturen zu schützen und stets auf dem neusten Stand zu halten. Ihr Sicherheitsniveau ist eines der höchsten überhaupt. Dagegen wollen bestimmte Unternehmen ihre digitalen Produkte und Dienstleistungen immer schneller auf den Markt bringen, ohne sich die Zeit zu nehmen, die erforderlichen Sicherheitstests durchzuführen. Diese sind jedoch von entscheidender Bedeutung! Die digitale Transformation eines Unternehmens muss mit dem Vertrauen seiner Kunden in die digitalen Systeme einhergehen. Ist dies nicht der Fall, droht das Unternehmen zu scheitern. 

Weitergabe von Informationen ist entscheidend

Aufgrund dieser möglichen Konsequenzen versuchen die Unternehmen, die Opfer eines Angriffs waren, diesen zu vertuschen. Doch gerade durch die Weitergabe dieser Information und die Offenlegung des Funktionsmechanismus des Angriffs gegenüber möglichst vielen Personen ist es möglich, seine Ausbreitung einzudämmen und zu begrenzen. Im Übrigen erlauben es die Zusammenarbeit mit den Behörden und die Weitergabe möglichst vieler Informationen über Cyberangriffe, künftige Bedrohungen zu antizipieren. Bisher waren die Unternehmen zurückhaltend, wenn es darum ging, sie zu melden. Sie schämten sich dieser Cyberangriffe. Es ist ermutigend, wenn man sieht, wie Europa jetzt mithilfe der DSGVO verlangt, dass Unternehmen, die Opfer von Cyberzwischenfällen wurden, diese melden, und wie die Eidgenossenschaft die Einführung einer solchen Pflicht in Form ihrer «Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken» prüft. Dies verstärkt den Schutz aller Betroffenen. Es geht also darum, die Mentalität innerhalb der Unternehmen zum Wohle des wirtschaftlichen Umfelds zu verändern. Wenn in einem Ladengeschäft gestohlen oder bei einer Privatperson eingebrochen wird oder eine Bank zum Ziel eines Betrugs wird, ist es klar, dass die Opfer Strafanzeige einreichen und ihren Fall an die Öffentlichkeit bringen. Diese Geisteshaltung ist auch bei Cyberangriffen erforderlich. Die Weitergabe von Informationen ist dabei entscheidend. Alle Unternehmen werden irgendwann selbst Ziel eines Cyberangriffs. Die richtige Frage für ein Unternehmen ist nicht, ob sie angegriffen werden, sondern nur wann. Deshalb ist es unerlässlich, dass aus Mitarbeitenden und Geschäftsleitung ein Gremium für Cybersicherheit gebildet wird, aber auch realitätskonforme Übungen stattfinden, um die Reaktion der Sicherheitsteams und der Geschäftsleitung auf Cyberangriffe zu schulen. 

Schulung der Mitarbeitenden ist von essenzieller Bedeutung

Neben Transparenz und der Weitergabe von Informationen ist die Mitarbeiterschulung das andere essenzielle Element im Kampf gegen Cyberangriffe. Tatsächlich ist im Cyber-Krieg der Mensch häufig das schwächste Glied. Die Technologie übernimmt die Rolle der Verteidigung, doch die Mitarbeitenden können die Angriffe nicht verhindern, wenn es an entsprechender Schulung mangelt. Die Unternehmen haben massiv in Technologie investiert, um sich vor Cyberangriffen zu schützen. Sie haben immer höhere und dickere «Mauern» errichtet. Technologie alleine kann keinen umfassenden Schutz bieten und wird scheitern ohne ausreichende Ausbildung der Mitarbeiter. Durch eine zielgerichtete Weiterbildung werden sie zur letzten Verteidigungslinie, denn sie haben das, was eine Maschine nie haben wird: Intuition. Mit guter Schulung kann ein Mensch zum Eckpfeiler der Cyberabwehr werden. 

Um die IT-Angriffsrisiken zu minimieren, ist es neben der Optimierung der Weiterbildung wichtig, die für Sicherheit und Datenschutz Verantwortlichen bereits zu Beginn eines neuen Digitalisierungsprojekts mit einzubeziehen. So können Risiken antizipiert und Sicherheitslücken vermieden werden. Dies ist in der Praxis jedoch noch nicht ausreichend der Fall. Belegt wird dies durch unsere jährliche Studie zum Thema Cybersicherheit: «The journey to digital trust – Digital Trust Insights October 2018». Darin sind die Antworten von 3000 Personen aus der ganzen Welt zusammengetragen. Die Studie zeigt, dass die Unternehmen mehr tun könnten. Tatsächlich beziehen nur 54% von ihnen von Anfang an Experten mit ein. Die für Sicherheit- und Datenschutz-Verantwortlichen müssen ihrerseits zu Vermittler werden und Abschied nehmen von ihrem Ruf als «Verhinderer» und «Neinsager», die alles ablehnen. Auch sie müssen sich weiterentwickeln.  

Die Verletzbarkeit einer Gesellschaft lässt sich messen, indem drei Bereiche auf den Prüfstand gestellt werden: der Mensch, die Technologie und die Kontrollumgebungen. Wir bei PwC erforschen die Fähigkeit sich zu verteidigen und somit Resilienz des Unternehmens, indem eine angemessene Analyse der Cyber-Risiken durchgeführt wird, die IT-Systeme Angriffstests unterzogen werden und schliesslich und die Reaktion der Mitarbeiter mittels Phishing-Kampagnengeprüft wird. Grundlage für die Cybersicherheit eines Unternehmens ist eine kluge Mischung von Technologien, Prozessen und Kompetenzen der Menschen, ohne dass eines dieser Elemente vernachlässigt wird.

Die Unternehmen haben massiv in Technologie investiert, um sich vor Cyberangriffen zu schützen. Sie haben immer höhere und dickere «Mauern» errichtet. Technologie alleine kann keinen umfassenden Schutz bieten und wird scheitern ohne ausreichende Ausbildung der Mitarbeiter. Durch eine zielgerichtete Weiterbildung werden sie zur letzten Verteidigungslinie, denn sie haben das, was eine Maschine nie haben wird: Intuition.

 

Kontaktieren Sie uns

Yan Borboën

Yan Borboën

Partner Digital Assurance and Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 84 59