Geben Sie Cybersecurity einen Platz am Tisch

Was Sie über Cybersecurity wissen sollten

Datenverletzungen und Hacks erfordern nicht immer, dass ein Hacker anspruchsvolle Leistungen erbringt. Viele nutzen organisatorische Schwächen und Nachlässigkeiten aus, wie im jüngsten Fall des Verstoßes gegen Capital One.

Damit sich Unternehmen vor den Folgen von Fahrlässigkeit schützen können, müssen sie der Cybersicherheit einen Platz am Tisch geben. Das Capital One-Beispiel zeigt, warum eine Cybersicherheitsstrategie auf der Ebene der C-Suite ganz oben beginnen und in einem optimierten Protokoll durch die Organisation fließen muss.

Um besser zu verstehen, warum dies der Fall ist, packen wir die Probleme aus, die Capital One im Vorfeld der Datenverletzung plagten.

Organisatorische Dysfunktion

Capital One hat sich nicht absichtlich für eine Datenverletzung anfällig gemacht, sondern eine Umgebung geschaffen, die die Sicherheit gefährdet. In einem kürzlich erschienenen Artikel im Wall Street Journal gaben Mitarbeiter von Capital One einen Einblick in die organisatorischen Probleme, die die perfekte Gelegenheit für schlechte Schauspieler darstellten.

Lücken in der routinemäßigen Wartung: Laut einem Mitarbeiter von Capital One blieben „routinemäßige Cybersicherheitsmaßnahmen zum Schutz des Unternehmens manchmal auf der Strecke“. Ein Beispiel war der Kauf und die Installation von Software, mit deren Hilfe böswillige Bedrohungen erkannt werden sollten. Die Software wurde im Laufe eines ganzen Jahres nach dem Kauf nur teilweise installiert. Das Unternehmen reagierte auch langsam auf Schwachstellen in seiner Firewall. Das Cybersicherheitsteam von Capital One äußerte Bedenken gegenüber internen Prüfern, leitenden Angestellten und der Personalabteilung, es ist jedoch unklar, ob seine Bedenken formell ausgeräumt wurden.

Führung tut weh: 2017 wurde Michael Johnson, Chief Information Security Officer (CISO), als Leiter der Abteilung eingestellt. Als Veteran der Bundesregierung stieß er mit seinen Mitarbeitern zusammen, da viele „der Meinung waren, sein Führungsstil entspreche nicht dem privaten Sektor“. Dieser Kulturkampf löste das nächste Problem aus: den Umsatz.

Massiver Abrieb: Das Cybersicherheitsteam von Capital One wurde zu einer Art Drehtür, als ein Drittel des Teams – einschließlich hochrangiger Führungskräfte und Mitarbeiter – im Jahr 2018 ausschied. Der starke Personalabbau und eine wechselnde Besetzung halfen nicht bei der routinemäßigen Sicherheit. Darüber hinaus verwendeten die technischen Mitarbeiter der Bank mehrere Codierungssprachen und -tools, sodass es für neue Mitarbeiter schwierig wurde, eine einheitliche Strategie zu entwickeln. Dies ermöglichte es dem Angreifer, „eine Sicherheitslücke in der Cloud auszunutzen, vor der Sicherheitsexperten seit Jahren gewarnt haben“.

Es gab eine Vielzahl interner Probleme, die zum Datenverstoß des fünftgrößten Kreditkartenherausgebers und zu seiner langsamen Reaktion führten. Wenn der Umsatz kein so großes Problem gewesen wäre, hätte das Cybersicherheitsteam 127 Tage nach der ersten Infiltration des Hackers möglicherweise nicht gebraucht, um den Verstoß zu entdecken.

Eines ist jedoch klar: Cybersicherheit sollte keine Funktion sein, die in der IT-Abteilung isoliert ist.

Cybersicherheit beginnt ganz oben

Cybersicherheit wirkt sich auf das gesamte Unternehmen aus, doch viele Unternehmen überlassen die Implementierung und Verantwortung ihrem CIO oder CISO. Das Problem bei diesem Ansatz ist, dass Datenverletzungen, Schwachstellen und andere Cyberangriffe das gesamte Unternehmen betreffen, nicht nur die IT. Die gesamte C-Suite muss das Cybersicherheitsprotokoll des Unternehmens übernehmen, sonst ist ihre Organisation für schlechte Akteure anfällig. 

Dies beginnt mit der Implementierung von:

• Eine unternehmensweite Cybersicherheitsrichtlinie
• 24/7 Überwachung
• Routinemäßige C-Suite- und Executive-Meetings zum Thema Cybersicherheit
• Routinemäßige Schulungen zur Datensicherheit für Mitarbeiter und Best Practices
• Notwendige Technologie und Kontrollen zur Gewährleistung der Compliance
• 24/7 oder Büste

Wenn Sie der Meinung sind, dass Cybersicherheit ein 24/7-Unternehmen ist, haben Sie Recht. Da Unternehmen jeden Tag Hackern zum Opfer fallen, kann die C-Suite nicht mehr im Dunkeln über ihre Verantwortung stehen. Der Aufbau eines Teams, die Erstellung einer Strategie und die Einführung der Implementierung erfordern natürlich Erfahrung, Ressourcen und Kontinuität. Daher ist die Partnerschaft mit einem Anbieter, der die Cybersicherheitslandschaft genau kennt, am besten für Unternehmen geeignet, die schnell und effizient handeln müssen.

Die Übergabe Ihres Unternehmens an einen sachkundigen Anbieter kann der Schlüssel zur Vermeidung interner Fahrlässigkeit sein, die katastrophale Folgen haben kann.