COVID-19, Telearbeit und Datenschutzgesetze zwingen Unternehmen dazu, ihre Cybersicherheitsrichtlinien zu überdenken.

Wesentliche Punkte:

  • Unternehmen verlagern ihre Prioritäten bei der Cybersicherheit vom Schutz des geistigen Eigentums und der Geschäftskontinuität hin zum Schutz ihrer Kundendaten und ihres Markenrufs.
  • Die COVID-19-Pandemie hat neue Angriffswege eröffnet, die den Angreifern viel mehr Möglichkeiten zum Abhören und zur Spionage bieten.
  • Mit der Unterstützung beider Parteien und des privaten Sektors könnte eine neue nationale Cybersicherheitspolitik auf den Weg gebracht werden.
  • Mit Blick auf das Jahr 2021 besteht die wichtigste Best Practice, die ein Unternehmen anwenden kann, darin, zu erkennen, dass neue Betriebsweisen die Tür für neue Arten von Bedrohungen öffnen - und dann entsprechend zu reagieren.

Das Bewusstsein für Cybersicherheit wird oft durch eine Form von unternehmerischer Amnesie untergraben, die Unternehmen davon abhält, aus vergangenen Angriffen zu lernen und sie anfällig für zukünftige macht. Dies führt zu einem Kreislauf von Alarm, gefolgt von einem falschen Gefühl der Sicherheit, sagt Josephine Wolff, Autorin von You'll See This Message When It Is Too Late: The Legal and Economic Aftermath of Cybersecurity Breaches (2018 ).

Das Patchen von Schwachstellen im Unternehmensnetzwerk gegen Eindringlinge ist wichtig, aber ebenso wichtig ist es, das Gesamtbild zu verstehen, das zu Cyberrisiken führt, sagt Wolff, Assistenzprofessorin für Cybersicherheitspolitik an der Tufts Fletcher School of Law and Diplomacy. Mit der Denkweise "Flicken Sie das und alles ist in Ordnung" versäumen es Unternehmen, den nächsten Angriff zu antizipieren, sagt sie.

Wolff, die für The New York Times, Slate und andere Publikationen schreibt, gilt weithin als führende Expertin für Cybersicherheitsbewusstsein, Governance, Regulierung und Risiken. In diesem Interview mit der Mimecast-Bloggerin Mercedes Cardona spricht sie darüber, wie sich die COVID-Pandemie auf die künftige Cybersicherheit auswirken wird, über Best Practices für Unternehmen bei der Anpassung an die "neue Normalität" und über die Aussicht, dass die Bundesregierung in naher Zukunft Datenschutzstandards festlegen wird.

Anmerkung der Redaktion: Dies ist das erste in einer Reihe von Interviews mit führenden Cybersecurity-Experten aus dem akademischen Bereich, Forschungseinrichtungen und dem privaten Sektor.

Mimecast: Geht es bei der Cybersicherheit von Unternehmen immer noch in erster Linie um den Schutz des geistigen Eigentums und des Geschäftsbetriebs, oder sind aufgrund neuer Vorschriften wie CCPA der Schutz von Kundendaten und der Ruf der Marke des Unternehmens in den Mittelpunkt gerückt?

Josephine Wolff: Das regulatorische Umfeld hat die Prioritäten sicherlich verschoben. Es wird jetzt mehr Wert darauf gelegt - nicht nur auf den Schutz von Verbraucherdaten - sondern auch auf die Transparenz bei der Nutzung dieser Daten. Ich denke aber, dass der Schwerpunkt nach wie vor auf dem Geschäftsbetrieb, der Kontinuität und dem Schutz des geistigen Eigentums liegt.

Die größte Veränderung in den letzten Jahren war ein erweitertes Verständnis für die Bedrohungsmodelle, denen Unternehmen ausgesetzt sind. Es wird zunehmend erkannt, dass es viele verschiedene Möglichkeiten gibt, wie Ihr Unternehmen ins Visier genommen werden kann. Der Diebstahl von geistigem Eigentum ist eine davon, aber es könnte auch darum gehen, Ihre Netzwerke lahmzulegen und Ihre Festplatten zu verschlüsseln, um Sie zu erpressen.

Es gibt also eine viel breitere Palette von Bedrohungen, mit denen Unternehmen heute konfrontiert sind, einschließlich staatlich gesponserter Angriffe, die sehr ernst genommen werden müssen, da man es mit einem Nationalstaat zu tun hat, der über eine Menge Ressourcen und eine Menge Fachwissen verfügt.

Mimecast: Wie hat die COVID-Pandemie die Diskussion über Cybersicherheit und Datenschutz verändert? Von den Schwachstellen bei der Arbeit von zu Hause aus bis hin zu Nachrichten über Hacker, die versuchen, Impfstoffforschung zu stehlen, scheint es eine Reihe von neuen Bedenken zu geben.

Wolff: Schnell, ohne viel Vorlaufzeit, mussten Unternehmen damit beginnen, ziemlich sensible Dinge von zu Hause aus zu erledigen, die sie vorher wahrscheinlich nicht gewollt oder nicht erlaubt hätten. Das zwingt alle dazu, sich mit den Einschränkungen bei der Sicherung von Remote-Arbeit auseinanderzusetzen.

Die Pandemie hat auch eine ganze Reihe von neuen Angriffsmöglichkeiten eröffnet. Einige davon ergeben sich einfach aus der Tatsache, dass die ganze Ausbildung, die Arbeit und alles, was aus der Ferne geschieht. Es gibt viel mehr Möglichkeiten, zu lauschen und Spionage zu betreiben. Aber andere betreffen den Diebstahl von geistigem Eigentum, wie z. B. die Impfstoffforschung.

Vor allem Krankenhäuser wissen schon seit einiger Zeit, dass sie viele Schwachstellen haben, die mit zusätzlicher Infrastruktur behoben werden müssen. Aber jetzt sind sie hier, in einem Moment, in dem sie absolut keine zusätzliche Bandbreite oder andere Ressourcen haben, die sie dafür einsetzen könnten - und doch ist es absolut notwendig. Sie können es nicht aufschieben. Sie können nicht warten, bis sich die Dinge beruhigt haben, weil es ein so kritischer Moment für sie ist.

Mimecast: Es wird viel darüber geredet, dass viele der Menschen, die heute aus der Ferne arbeiten, vielleicht nie wieder in einem Büro arbeiten werden. Wird sich dadurch der Fokus der Cybersicherheit auf Einzelpersonen und nicht auf Organisationen verlagern?

Wolff: Wir wissen noch nicht genau, was die besten Praktiken für den Umgang mit dieser Menge an sensiblen Informationen bei den Mitarbeitern zu Hause sind. Ich denke, wir werden das besser in den Griff bekommen, wenn die Unternehmen herausfinden, wie sie vernünftige Richtlinien aufstellen können, an die sich ihre Mitarbeiter tatsächlich halten können.

Es funktioniert nicht, einfach irgendeine Richtlinie zu machen, die man will. Ich habe Freunde, deren Firmen Regeln aufgestellt haben wie: Du musst in einem Raum mit geschlossener Tür arbeiten und es darf niemand anderes im Raum sein, und dies, das und noch etwas anderes. Aber für viele Leute - wenn man Kinder hat, wenn man einen Partner hat, wenn es noch andere Leute im Haus gibt - ist es nicht immer einfach zu sagen: "Ich gehe in mein Büro, schließe die Tür ab und niemand sonst kann da drin sein, während ich arbeite." 

Ich denke, wir sind immer noch dabei, herauszufinden, wie die Sicherheits- und Datenschutzprotokolle aussehen sollen, und das wird einige Versuche und Fehler beinhalten.

Mimecast: Sie schrieben eine New York Times Kolumne in den frühen Tagen der Pandemie über den Einsatz von Technologie zur Eindämmung. Kann die Technik helfen, wenn die Menschen ihre Daten für die Kontaktverfolgung nicht freigeben wollen?

Wolff: Ich denke, es gibt einige sehr enge Wege, auf denen Technologie bei der Verfolgung der Exposition helfen kann. Die Apple-Google-Plattform, die Sie benachrichtigt, wenn Sie in engem Kontakt mit jemandem waren, der positiv auf COVID getestet wurde, ist ein Beispiel dafür. Ich muss allerdings sagen, dass die Einführung ziemlich enttäuschend war, zumindest in den Vereinigten Staaten. Es gab keine große Welle von Leuten, die sich für diese Apps angemeldet haben. Jeder Staat macht es ein bisschen anders; es gibt nicht viele einheitliche Nachrichten. Ich bin also nicht übermäßig optimistisch, was das angeht.

In den USA ist die Zahl der Infektionen einfach so groß, dass es schwer vorstellbar ist - selbst mit der Menge an Daten, die wir mit Hilfe von Technologie sammeln können -, dass wir in der Lage sein werden, die Dinge wirklich in den Griff zu bekommen. Im Moment sind so viele Menschen gefährdet, dass es schwer vorstellbar ist, wie viel Einfluss das haben wird. Aber vor allem glaube ich, dass wir noch nicht die Akzeptanz erreicht haben, die wir bräuchten, um wirklich etwas zu bewirken.

Mimecast: Um auf das Thema der staatlichen Regulierung zurückzukommen, sollten wir erwarten, dass die Bundesregierung versuchen wird, eine nationale Cybersicherheitspolitik durch den Kongress zu bringen, etwas, das die Bemühungen auf Staatsebene wie CCPA und New Yorks SHIELD ersetzen würde?

Wolff: Das hoffe ich. Ich denke, das wäre eine wirklich gute Sache, wenn man das auf Bundesebene machen würde, anstatt es auf die einzelnen Staaten aufzuteilen. Nicht, weil die staatlichen Gesetze nicht nützlich und produktiv gewesen wären, sondern weil es bestimmte Orte gibt, an denen es keinen Datenschutz gibt, und es ist verwirrend für Unternehmen, wenn es einen Haufen verschiedener, irgendwie ähnlicher, aber irgendwie unterschiedlicher Regelungen gibt, an die sie sich halten müssen.

Die Frage, ob wir es erwarten können, ist schwieriger, denn ich denke, Vorhersagen darüber zu treffen, was der Kongress heutzutage tun oder nicht tun wird, ist ein kompliziertes Spiel. Ich denke nicht, dass es unmöglich ist. Ich denke, es ist eine Idee, die ein faires Maß an Unterstützung aus beiden Parteien hat.

Man hat erkannt, dass dies ein Bereich ist, in dem die Vereinigten Staaten zurückgefallen sind. Sogar die Unternehmen haben das Gefühl, dass sie lieber eine Anleitung auf Bundesebene haben möchten, als sich mit jedem einzelnen Bundesstaat auseinanderzusetzen. Ich glaube also, dass es möglich ist.

Mimecast: Wird sich angesichts der Ereignisse in diesem Jahr etwas daran ändern, wie Unternehmen ihr Cyber-Risiko managen? Ist das Bewusstsein der Unternehmen gewachsen, dass sie sich absichern und versichern müssen, um sich zu schützen?

Wolff: Ich denke, dass viele Universitäten, Unternehmen, Behörden, jeder - neu bewerten, wie sehr sie sich auf ihre Online-Dienste verlassen und wie viel sie in deren Schutz investieren müssen.

Ich habe insbesondere die Gesundheitszentren erwähnt, aber es trifft auf viele Orte zu, dass es nicht viel zusätzliche Bandbreite gibt, um die Cybersicherheit wirklich zu erhöhen. Positiv ist, dass sich viele Unternehmen in größerem Umfang als früher Gedanken darüber machen.

Mimecast: Mit Blick auf das nächste Jahr: Welche Best Practices sollten Unternehmen einführen? Sollte jeder eine Jahresendüberprüfung seiner Praktiken durchführen?

Wolff: Das Wichtigste ist jetzt, dass Sie Ihr Bedrohungsmodell gründlich neu bewerten und herausfinden, inwiefern es sich von dem unterscheidet, wie es vor einem Jahr ausgesehen hat. Dazu müssen Sie nicht nur die Bedrohungsakteure und die Art und Weise, in der sich ihre Angriffe verändert haben, betrachten, sondern auch Ihre Organisation und sagen: Hier sind die Wege, auf denen wir operieren, die wir vorher nicht genutzt haben. Welche neuen Möglichkeiten für Angriffe ergeben sich daraus? Und wie werden wir sie angehen?

Ich denke, das ist ein Teil davon, wirklich offen für die Idee zu sein - und ich denke, das trifft auf fast jeden zu -, dass wir jetzt anders arbeiten und das schafft andere Bedrohungen und andere Risiken. Wir müssen das anerkennen und darauf reagieren. Und das, denke ich, ist die wichtigste Best Practice.

Dann gibt es die wirklich grundlegenden Dinge, die viele Unternehmen bereits tun: die Verwendung von VPNs für Remote-Arbeit; die Verwendung von Zwei-Faktor-Authentifizierung für eine Remote-Anmeldung. Solche Dinge machen mit Sicherheit einen großen Unterschied.

Mimecast: Wenn wir die Pandemie im Rückspiegel haben, sollten wir dann versuchen, die Sicherheit in Zukunft neu zu denken?

Wolff: Ich denke, wir sollten darüber nachdenken, was gut funktioniert hat und was nicht. Wir sollten über Remote Work unter vielen Aspekten nachdenken, aber einer davon sollte sein: Können wir unseren Betrieb und unsere Informationen zuverlässig sichern, wenn Menschen von zu Hause aus arbeiten? Wir sollten darüber nachdenken, ob unsere Arbeitsmodelle und unsere Geschäftsmodelle flexibel genug sind, um Online-Arbeit und Online-Kommunikation zu ermöglichen.

Zum Teil hängt es davon ab, wie die nächsten Monate verlaufen und ob es größere Sicherheitslücken gibt. Sie können sich sehr gut vorstellen, dass Unternehmen Angst bekommen, wenn etwas schief geht, wenn einige Informationen gestohlen werden, und sich entscheiden "Wissen Sie, eigentlich ist diese Sache mit der Remote Work sehr gefährlich. Wir wollen diesen Weg nicht weiter beschreiten."

Mimecast: What else can we learn from the great COVID shutdown of 2020?

Wolff: Vom Standpunkt der Cybersicherheit aus müssen wir verstehen, was wir aus dieser Erfahrung mitnehmen können, um unsere kritische Gesundheitsinfrastruktur besser zu schützen und uns auf den nächsten Notfall im Gesundheitswesen vorzubereiten. Das sind Lektionen, über die wir nachdenken und aus denen wir lernen sollten

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

E-Mail-Spear-Phishing-Angriffe zielen auf COVID-19-Impfstoff-Lieferketten

Impfstoffherstellung und -verteilung c...

Unternehmen, die Impfstoffe herstellen und vertreiben, fallen... Read More >

Julie Anderson

by Julie Anderson

Mitwirkender Verfasser

Veröffentlicht am 18. Dezember 2020

US-Regierung und Industrie wollen 5G-Netze sichern

Führungswechsel in Washington fallen zusammen...

Der Führungswechsel in Washington fällt mit dem Beginn der Alpha-Phase zusammen... Read More >

Karen Lynch

von Karen Lynch

Mitwirkender Verfasser

Veröffentlicht am 11. Dezember 2020

Cybersecurity Awareness Training kann helfen, das Risiko von Personenschäden zu mindern...

Von Mimecast geförderte Forschung von mehr als...

Die von Mimecast gesponserte Untersuchung von mehr als 1.000 Geschäftsleuten... Read More >

Miranda Nolan

von Miranda Nolan

Sicherheitsschriftsteller

Verfasst Okt 26, 2020