Die richtige Balance zwischen Datenschutz und Geschäftsrisiko
Der Schutz von personenbezogenen Daten und Firmenressourcen zählt zu den Hauptaufgaben im Bereich Cybersicherheit eines Unternehmens. In einem früheren Artikel haben wir erörtert, wie zwischen diesem Ziel und dem Nutzen einer datenschutzorientierten Sicherheitsstrategie abgewogen werden kann.
Im vorliegenden Beitrag wird es nun um die Risiken und Kosten gehen, die entstehen, wenn nicht in Sicherheit investiert wird. Außerdem beschäftigen wir uns mit der Frage, wie Sicherheits- und Datenschutzverantwortliche starke Partner sein können, die ihre Unternehmen von der Bedeutung der Investition in Sicherheitsmaßen überzeugen. Wenn Sicherheits- und Datenschutzverantwortliche zusammenarbeiten, können sie die richtigen Tools finden, um ein Unternehmen vor den Risiken von Datenlecks zu schützen, und eine fundierte Entscheidung darüber treffen, welche Lösungen für das Unternehmen die richtige Wahl sind.
Wo liegt der wirkliche Schaden?
Idealerweise sollten die Sicherheits- und Datenschutzverantwortlichen eines Unternehmens eng zusammenarbeiten. Der Schutz von Kunden- und Firmendaten lässt sich am besten durch die Implementierung eines wirksamen Datensicherheitsprogramms gewährleisten.
Datenschutzverantwortliche erkennen den Wert von Sicherheitsmaßnahmen für den Schutz von Kundendaten. In manchen Fällen kann es jedoch für einen Sicherheitsverantwortlichen schwierig sein, einem Datenschutzverantwortlichen die Vorteile bestimmter Sicherheitstechnologien zu vermitteln. Ohne ein klares Verständnis dafür, wie eine Sicherheitslösung funktioniert und welchen Zweck sie hat, könnte sie unter dem Datenschutzaspekt als Risiko erscheinen. So kann ein Sicherheitsverantwortlicher beispielsweise die Implementierung eines E-Mail-Sicherheitstools anregen, das zur Unterbindung von Phishing-Versuchen alle E-Mails eines Unternehmens scannt. Er könnte auch die Verwendung eines Secure Web Gateway vorschlagen, mit dem das IT-Team eines Unternehmens sehen könnte, welche Websites Mitarbeitende auf ihren Arbeitscomputern aufrufen, um sie vom Besuch von Websites mit Malware abzuhalten. Ein Datenschutzverantwortlicher könnte dem aber recht skeptisch gegenüberstehen.
Bei Überlegungen zu Sicherheitsinvestitionen für ein Firmennetzwerk sollte man sich folgende Fragen stellen: Vor welchen Datenschutzverstößen will sich das Unternehmen unbedingt schützen? Der Datenschutzbeauftragte eines Unternehmens muss die Beeinträchtigung der Privatsphäre von Mitarbeitenden durch einen Rechner, der lediglich die E-Mails des Unternehmens auf Gut- und Bösartigkeit scannt, und den potenziellen Schaden, der für ein Unternehmen beim Fehlen solcher Schutzmaßnahmen entstehen kann, gegeneinander abwägen. Sind solche Schutzmaßnahmen nicht vorhanden, könnte ein Mitarbeiter leicht Opfer von Phishing werden, bei dem ein Angreifer die Anmeldedaten dieses Mitarbeiters für den Zugriff auf interne Systeme oder das Ausschleusen sensibler personenbezogener Daten der Kunden des Unternehmens verwendet.
Meiner Meinung nach ist zur Implementierung effektiver datenschutzorientierter Sicherheit ein wirklich gutes Gespür dafür maßgeblich, welche Datenschutzrisiken die größte Gefahr für Ihr Unternehmen darstellen. In vielen Fällen überwiegen die Vorteile von Sicherheitsinvestitionen die potenziellen Kosten. Im obigen Beispiel ist darauf hinzuweisen, dass die Privatsphäre der Mitarbeiter in den meisten Ländern der Welt bei den E-Mails, die sie an das System eines Unternehmens senden, kaum geschützt ist. Wenn jedoch die personenbezogenen Daten von Kunden eines Unternehmens ausgeschleust werden, könnte die Firma mit Meldepflichten für Datenlecks, behördlichen Strafen und vertraglichen Schadenersatzforderungen konfrontiert sein.
Welche Kosten entstehen, wenn zu wenig in Sicherheit investiert wird?
Cybersicherheitslösungen für Unternehmen sind darauf ausgelegt, einer Vielzahl verschiedener Bedrohungen zu begegnen. Eine gängige Bedrohung sind beispielsweise potenzielle Datenlecks, die 2023 durchschnittlich 4,45 Millionen US-Dollar gekostet haben. Bei dieser Zahl wurden jedoch weder der Imageschaden für die von den Datenschutzverstößen betroffenen Unternehmen berücksichtigt, noch die Folgen für die Kunden, deren Daten offengelegt oder gestohlen wurden.
Wir können zwar nicht genau wissen, wie viele Datenlecks bei einem ungeschützten Unternehmen in einem bestimmten Jahr auftreten, schätzen lässt sich das aber schon. So waren beispielsweise 85 Prozent der Unternehmen im vergangenen Jahr mindestens einem Ransomware-Angriff ausgesetzt und 24 Prozent aller Datenlecks werden durch Erpressungssoftware verursacht. Somit ist die Wahrscheinlichkeit groß, dass ein Unternehmen innerhalb eines Jahres sowohl einen Ransomware-Angriff als auch Datenlecks ohne Beteiligung von Ransomware verzeichnet.
Dabei handelt es sich zugegebenermaßen nur um eine grobe Schätzung. Aus dieser lässt sich jedoch schließen, dass sich die jährlichen Kosten für ein unzureichend geschütztes Unternehmen wahrscheinlich auf einen zweistelligen Millionenbetrag belaufen, wenn nicht sogar mehr. Darüber hinaus sind die potenziellen Folgen von Cybersicherheitsvorfällen für die Kunden eines Unternehmens unkalkulierbar. Wenn Sie sich die wichtigsten Datenlecks genauer ansehen, werden Sie schnell feststellen, dass die meisten durch eine Reihe grundlegender Sicherheitsprobleme möglich wurden. Leicht zu knackende Passwörter, abgelaufene Zertifikate und andere Versäumnisse bei der grundlegenden Sicherheitspflege sind oft die Hauptursache für schwerwiegende Sicherheitsvorfälle. Cybersicherheitslösungen, die dazu beitragen, diese Risiken zu mindern und vor den häufigsten Arten von Sicherheitsvorfällen zu schützen (wie Anti-Schadsoftware, das Scannen von E-Mails und Zero Trust-Zugriffskontrolle), bieten dem Unternehmen und seinen Kunden potenziell erhebliche Vorteile.
Eine Investition in mehrschichtige Sicherheitssysteme senkt das Risiko
In vielen Fällen liegen die Vorteile einer neuen Sicherheitslösung auf der Hand: Sie verringert das Risiko eines Cyberangriffs in gewissem Umfang. Wenn auch nur ein einziger Cyberangriff verhindert wird, kann das dem Unternehmen bereits erhebliche Kosteneinsparungen bringen. Sind die jährlichen Kosten für eine Cybersicherheitslösung niedriger als die zu erwartenden Einsparungen, dann lohnt sich die Investition.
Es ist allerdings wichtig, sich für den richtigen Sicherheitsdienstleister zu entscheiden. Wenn ein externer Anbieter Zugriff auf die Systeme und Daten eines Unternehmens hat, muss es prüfen, ob seine Sicherheitsmaßnahmen auch ausreichen. Es gibt mehrere Beispiele, bei denen Sicherheitsdienstleister Opfer von Cyberangriffen waren und infolgedessen die Systeme und Daten ihrer Kunden potenziell gefährdet waren oder sind.
Die jüngsten Datenlecks bei Okta sind ein Paradebeispiel für die Folgen, die eine solche Schwachstelle bei einem Sicherheitsdienstleister für dessen Kunden haben kann. Viele Unternehmen nutzen Okta als Identitätsanbieter für die Anwendung von Single Sign-On (SSO). Mit dem Zugang zur Okta-Umgebung könnte ein Angreifer möglicherweise auch Zugriff auf die Nutzerkonten von Okta-Kunden erhalten. Verfügen diese Kunden nicht noch über einen zusätzlichen Zugriffsschutz, sind sie unter Umständen anfällig für Hacker, die Daten stehlen, Schadsoftware einschleusen oder andere schädliche Aktionen durchführen können.
Bei der Bewertung der Datenschutzrisiken in Verbindung mit Sicherheitsinvestitionen ist es wichtig, die bisherige Sicherheitsbilanz und die Zertifizierungshistorie eines Unternehmens zu berücksichtigen. 2020 konnten beispielsweise nur 43,4 Prozent der Unternehmen eine vollständige PCI-DSS-Konformität bei einer Zwischenbewertung zur Jahresmitte vorweisen. Das deutet darauf hin, dass die Sicherheitskontrollen zwischen den Audits laxer werden.
Bei Unternehmen, die aktiv optionale Zertifizierungen wie ISO 27001 und 27018 oder SOC 2 anstreben, besteht eine geringere Wahrscheinlichkeit für solche Sicherheitslücken, die sie selbst und ihre Kunden gefährden. Cloudflare achtet auf die ständige Konformität mit vorgeschriebenen und freiwilligen Zertifizierungen und lässt unabhängige Überprüfungen des 1.1.1.1.- DNS-Auflösungsdiensts durchführen, für den keine entsprechende Zertifizierung existiert. Außerdem setzten wir Sicherheitstechnologien wie Ende-zu-Ende-Verschlüsselung, Datenlokalisierung und Zero Trust-Zugriffsverwaltung ein, um den Datenschutz für die Nutzer zu maximieren und die besonderen Anforderungen der lokalen Datenschutzgesetze und -vorschriften zu erfüllen.
Abwägung von Nutzen und Risiken
Die Rendite von Sicherheitsinvestitionen lässt sich zwar schwer berechnen, aber die Risiken und Vorteile liegen auf der Hand. Laxe Cybersicherheitsvorkehrungen bedeuten, dass ein Unternehmen mit ziemlich großer Wahrscheinlichkeit eher früher als später ein Datenleck verzeichnen wird. Die Frage ist dann nur, in welcher Größenordnung sich die finanziellen Verluste, der Imageschaden und die daraus resultierenden Folgen für die Menschen ansiedeln, die dem Unternehmen ihre personenbezogenen Daten anvertraut haben.
In Sicherheit zu investieren ist fast immer eine gute Idee, wenn es um Datenschutz und Risikomanagement geht. Minimiert man die Datenschutzrisiken von Sicherheitsinvestitionen, erhöhen sich deren potenzielle Vorteile für die Privatsphäre. Sicherheits- und Datenschutzverantwortlichen haben die Belege für kostspielige Datenlecks und Sicherheitsvorfälle auf ihrer Seite. Wenn sie sich für zusätzliche Sicherheitsinvestitionen einsetzen, können sie noch überzeugender sein, wenn sie nach Lösungen Ausschau halten, die sich in Sachen Sicherheit, Datenschutz und Compliance bereits bewährt haben.
Datenschutzorientierte Sicherheit ist ein Grundpfeiler der Cloudflare-Philosophie. Unser Trust Hub zeugt von unserem Engagement für größtmögliche Sicherheit und Transparenz, da wir noch einen Schritt weiter gehen, um die Einhaltung aller geltenden Vorschriften und Standards nachzuweisen. Unsere Produkte sind so konzipiert, dass sie unseren einzigartigen Einblick in die Cyberbedrohungslandschaft und die neuesten Sicherheitstechnologien nutzen, um potenzielle Gefahren zu erkennen und gleichzeitig den Zugriff auf sensible Daten zu minimieren. Sorgen Sie für einfachere und ortsunabhängige Sicherheit mit Cloudflare.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Mehr dazu, wie Cloudflare einen effektiveren, produktiveren und flexibleren Datenschutz ermöglicht, erfahren Sie in der Kurzdarstellung „Einheitlicher Datenschutz an jedem Ort“.
Autor
Emily Hancock – @emilyhancock
Chief Privacy Officer, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Die Bedeutung der Zusammenarbeit zwischen den BereichenSicherheit und Datenschutz
Die Kosten unzureichender Investitionen in Sicherheit
Die Vorteile eines datenschutzorientierten Sicherheitsprogramms