Änderungen der SEC Cybersecurity-Regeln: Wie Mimecast Unternehmen dabei hilft, vorbereitet zu sein

Dieser Blog erörtert die vorgeschlagenen neuen SEC-Vorschriften für das Management von Cybersecurity-Risiken, Strategie, Governance und die Offenlegung von Vorfällen. Die neuen Regeln sollen den Anlegern einen besseren Überblick darüber verschaffen, wie börsennotierte Unternehmen mit Cybersecurity-Risiken umgehen. Sie werden voraussichtlich im April 2023 in Kraft treten. Die vorgeschlagenen Vorschriften beschränken sich nicht auf externe Bedrohungen der Cybersicherheit. In der Tat gelten die neuen Regeln auch für bestimmte interne Bedrohungen, wie z.B. den Verlust von sensiblen Unternehmensinformationen durch Insider, und erfordern deren Offenlegung. Die Erkennung und Bewertung von Datenverlusten durch Insider erfordert einen Echtzeit-Überblick darüber, wie sensible Unternehmensdaten die "vier Wände" eines Unternehmens verlassen. Zu verstehen, wie Unternehmensdaten innerhalb und außerhalb des Unternehmens bewegt werden, ist ebenfalls ein Schlüsselelement jedes effektiven Programms für Insiderrisiken. Die Produkte und Dienstleistungen von Mimecast verschaffen Unternehmen die nötige Transparenz und verwertbare Informationen, damit öffentliche Unternehmen die vorgeschlagenen neuen SEC-Vorschriften in Bezug auf Datenverluste oder -lecks durch Insider einhalten und gleichzeitig Ihr Unternehmen in großem Umfang aufklären können, um zukünftige Vorfälle zu verhindern.

Hintergrund

Im März 2022 schlug die Securities and Exchange Commission (SEC) neue Regeln vor, die die Art und Weise verbessern und standardisieren, wie börsennotierte Unternehmen über Cybersecurity-Vorfälle berichten und regelmäßige Angaben zum Cybersecurity-Risikomanagement, zur Strategie und zur Unternehmensführung machen. Die vorgeschlagenen Regeln sind präskriptiver und entfernen sich von früheren prinzipienbasierten Leitlinien, die die SEC 2011 und 2018 herausgegeben hat. Mit dem Vorschlag für die neuen Regeln hat die SEC erkannt, dass die Cybersicherheit ein immer größeres Risiko für börsennotierte Unternehmen darstellt und dass die Anleger daher mehr darüber wissen wollen. Die neuen Regeln werden zu "konsistenteren, vergleichbaren und entscheidungsnützlichen Offenlegungen" führen, die es den Anlegern ermöglichen, die Cybersecurity-Risiken von börsennotierten Unternehmen und deren Fähigkeit, auf diese Risiken zu reagieren und sie zu mindern, besser zu bewerten.

Aktualisierung am 26.7.2023: Die Securities and Exchange Commission [SEC] verlangt von börsennotierten Unternehmen nun formell, dass sie innerhalb von vier Tagen nach allen Verstößen gegen die Cybersicherheit Vorfälle bekannt geben.

Wesentliche Cybersecurity-Vorfälle

Die vorgeschlagenen Regeln verlangen von börsennotierten Unternehmen, die folgenden Informationen innerhalb von vier Werktagen nach Feststellung eines wesentlichen Cybersecurity-Vorfalls auf Formular 8-K zu melden:

• Wann der Vorfall entdeckt wurde und ob er noch andauert
• Eine Beschreibung von Art und Umfang des Vorfalls
• ob Daten gestohlen, verändert, eingesehen oder für andere unbefugte Zwecke verwendet wurden
• Die Auswirkungen des Vorfalls auf den Betrieb des Unternehmens
• Ob das Unternehmen den Vorfall behoben hat oder derzeit behebt
• Zu den von der SEC angeführten Beispielen, die die Meldepflicht auslösen würden, gehört der wesentliche Diebstahl, die Nichtverfügbarkeit oder die unbefugte Nutzung von sensiblen Geschäftsinformationen oder geistigem Eigentum.

Wichtig ist, dass die vorgeschlagenen Regeln nicht zwischen Cybersecurity-Ereignissen, die durch externe Bedrohungsakteure verursacht wurden, und solchen, die auf ein versehentliches oder böswilliges internes Risikoereignis zurückzuführen sind, unterscheiden. Falls wesentlich, wären beide Arten von Vorfällen meldepflichtig. Eine Information ist wesentlich, wenn es wahrscheinlich ist, dass ein vernünftiger Aktionär sie als wichtig für seine Anlageentscheidung ansehen würde oder wenn sie "den 'Gesamtmix' der zur Verfügung gestellten Informationen erheblich verändert hätte". So wäre beispielsweise der Verlust von Kunden- oder Mitarbeiterdaten, von geistigem Eigentum wie Quellcode oder Designdokumenten, von Finanzinformationen oder von Verkaufs- oder Betriebsdaten - unabhängig davon, ob sie einem Insider oder einem externen Akteur zuzuschreiben sind - meldepflichtig, wenn ein vernünftiger Aktionär diesen Verlust als wichtig für seine Investitionsentscheidung ansehen würde. Meldepflichtig wäre auch eine Reihe von Datenverlusten, die in ihrer Gesamtheit wesentlich sind - zum Beispiel die Exfiltration von Quellcode im Laufe der Zeit.

Und in den Quartals- und Jahresberichten der Unternehmen auf den Formblättern 10-Q und 10-K sollen Aktualisierungen der zuvor gemachten Angaben zu Cybersecurity-Vorfällen verlangt werden - z.B. zu den Auswirkungen auf das Unternehmen, zu Abhilfemaßnahmen und zu Änderungen an der Cybersecurity-Bereitschaft des Unternehmens.

Erweiterte Offenlegung in Jahres- und Quartalsberichten

Nach den vorgeschlagenen SEC-Vorschriften müssen börsennotierte Unternehmen in ihren Formularen 10-Q und 10-K Einzelheiten zu den Richtlinien und Verfahren zur Identifizierung und zum Management von Cybersicherheitsrisiken offenlegen. Dies beinhaltet (ist aber nicht beschränkt auf) Informationen über:

• Programm(e) zur Bewertung von Cybersecurity-Risiken
• Beauftragung von externen Prüfern oder Gutachtern für das Bewertungsprogramm
• Richtlinien und Verfahren zur Identifizierung von Risiken
• Aktivitäten zur Vorbeugung, Erkennung und Minimierung von Cybersicherheitsvorfällen
• Cybersicherheitsvorfälle, die zu Änderungen der Unternehmensführung, der Richtlinien oder der Technologie geführt haben
• Wie das Unternehmen Cybersicherheitsrisiken als Teil seiner Geschäftsstrategie und Finanzplanung betrachtet

Die Regeln verlangen auch eine Offenlegung der Rolle und der Fachkenntnisse der Unternehmensleitung bei der Bewertung und dem Management von Cybersicherheitsrisiken und -vorfällen. Dies beinhaltet (ist aber nicht beschränkt auf) Informationen über:

• Das Vorhandensein von Managementpositionen oder -ausschüssen, die für die Vorbeugung, Abschwächung, Aufdeckung und Behebung von Cybersicherheitsvorfällen zuständig sind, sowie die entsprechenden Fachkenntnisse dieser Personen oder Mitglieder
• Der Chief Information Security Officer oder jemand in einer gleichwertigen Position, und wenn ja, welche Erfahrung er hat und wem er unterstellt ist
• Verfahren, die sicherstellen, dass Personen oder Ausschüsse über die Prävention, Abschwächung, Aufdeckung und Behebung von Cybersicherheitsvorfällen informiert werden und diese überwachen
• Ob und wie häufig der Vorstand oder ein Ausschuss des Vorstands die Cybersicherheitslage und -programme überprüft

Unternehmen brauchen Technologien, um das Risiko von Datenverlusten durch Insider zu reduzieren und zu verwalten

Öffentliche Unternehmen müssen sicherstellen, dass sie über die richtige Technologie verfügen, um Vorfälle im Zusammenhang mit Datenlecks oder -verlusten, die auf Handlungen von Mitarbeitern oder Auftragnehmern zurückzuführen sind, zu erkennen und zu untersuchen. Auch wenn Unternehmen in Identitätsmanagement-Systeme oder gezielte Tools zum Schutz von Cloud-Daten investiert haben, müssen sie sicherstellen, dass sie einen vollständigen Überblick über das Insider-Risiko bei allen Aktivitäten von Mitarbeitern und Auftragnehmern auf den vom Unternehmen ausgegebenen Laptops und den Cloud-Systemen des Unternehmens haben.

Unternehmen brauchen mehr Transparenz, um blinde Flecken in den Daten zu beseitigen

Angesichts des breiten Spektrums an Daten, die im Falle eines Verlusts oder Diebstahls die Meldepflicht nach den vorgeschlagenen Regeln auslösen könnten, müssen öffentliche Unternehmen einen Überblick darüber haben, welche Dateien aus ihrem Unternehmen verschoben werden, und sie müssen über wirksame Prozesse (manuell, automatisiert oder technologisch) verfügen, um sie zu sortieren und darauf zu reagieren. Dies ist besonders wichtig bei ausscheidenden Mitarbeitern/Auftragnehmern, da die Wahrscheinlichkeit größer ist, dass sie (versehentlich oder böswillig) sensible Informationen mitnehmen, die für aktuelle oder zukünftige Konkurrenten von Nutzen sein könnten.

Unternehmen müssen wissen, welche Dateien von Insidern entwendet oder weitergegeben wurden

Die vorgeschlagenen SEC-Vorschriften verlangen von den Unternehmen, dass sie schnell feststellen können, ob ein Insider-Risiko-Vorfall wesentlich ist oder nicht. Dazu muss ein Unternehmen jedoch so schnell wie möglich wissen, welche Informationen wie und wann in Gefahr geraten sind. Mit diesen Informationen kann ein Unternehmen sofort handeln, um die Situation einzudämmen, die Auswirkungen abzumildern, so dass sie nicht als wesentlich eingestuft werden, und einen meldepflichtigen Cybersecurity-Vorfall zu vermeiden. Den Unternehmen fehlt es jedoch häufig an einem solchen Einblick in die Dateibewegungen. Allzu oft werden die Details eines Insider-Risikos erst bekannt, wenn die Gelegenheit, schnell und effektiv zu handeln, längst verstrichen ist. Künftig müssen öffentliche Unternehmen über eine Technologie verfügen, die ihnen hilft, schnell herauszufinden, welche Dateien in einen Vorfall verwickelt waren, und außerdem in der Lage ist, die Wesentlichkeit schnell zu bestimmen.

Unternehmen brauchen Technologien, um Datenverluste durch Insider schnell zu erkennen und zu untersuchen

Nach den vorgeschlagenen Regeln wird es für Unternehmen wichtig, Tools und Technologien einzusetzen, die ihnen helfen, Datenverluste durch Insider zu identifizieren, zu priorisieren, zu erkennen und darauf zu reagieren. Die Tools müssen ihnen dabei helfen, die risikoreichsten Punkte zu priorisieren, damit diese Vorfälle rechtzeitig behandelt werden können.

Unternehmen müssen für eine ordnungsgemäße Dokumentation aller untersuchten Insider-Vorfälle sorgen

Insider-Vorfälle können alle Arten von Unternehmensinformationen betreffen. Unternehmen müssen unbedingt über Instrumente und Verfahren verfügen, um alle untersuchten Insider-Vorfälle ordnungsgemäß zu dokumentieren, um ihre SEC-Berichte zu untermauern und ihre Entscheidungen über die Wesentlichkeit zu stützen (einschließlich der Entscheidung, einen Cybersicherheitsvorfall nicht zu melden).

Unternehmen brauchen Technologie, um Mitarbeiter mit dem höchsten Risiko daran zu hindern, sensible Dateien an sich zu nehmen

In einem modernen Unternehmen ist es nicht praktikabel, den Mitarbeitern zu verbieten, Dateien und Informationen untereinander auszutauschen oder sie daran zu hindern, auf öffentliche Cloud-Tools und -Systeme zuzugreifen, um ihre Arbeit zu erledigen. Ihre Produktivität hängt oft vom Zugang zu solchen Tools ab - selbst wenn es sich um unternehmensfremde Tools wie Dropbox oder ihre persönliche E-Mail handelt. In bestimmten Fällen und bei bestimmten Risikopersonen, wie z.B. ausscheidenden Mitarbeitern oder Auftragnehmern, müssen Unternehmen jedoch sicherstellen, dass sie sie daran hindern können, Dateien auf persönliche E-Mails, USB-Laufwerke oder persönliche Cloud-Konten wie Dropbox zu übertragen. Dieser Ansatz reduziert das häufigste Risiko, dass sensible Informationen versehentlich oder absichtlich von Einzelpersonen entwendet werden, erheblich.

Unternehmen brauchen umfassende Strategien zur Minimierung von Insider-Risiken durch Mitarbeiter und Auftragnehmer

Die meisten Fälle von Datenverlust durch Insider sind unbeabsichtigt oder versehentlich. Unternehmen müssen in Tools investieren, die solche risikoarmen Ereignisse erkennen und die Benutzer automatisch darüber aufklären, wie sie die Unternehmensdaten besser schützen können. Auch wenn Unternehmen derzeit in jährliche Sicherheitsschulungen für Mitarbeiter investieren, sind solche Ansätze oft ineffektiv. Unternehmen müssen sich mehr auf eine zeitnahe, korrigierende Aufklärung konzentrieren, um das Risiko, dass wichtige Informationen durch Insider durchsickern, aktiv zu verringern. Dies muss Teil der Sicherheitskultur eines Unternehmens werden.

Unternehmen brauchen eine angemessene Beteiligung der Stakeholder bei Ermittlungen

Um die Wesentlichkeit rechtzeitig zu bestimmen, müssen Unternehmen ihre Prozesse zur Reaktion auf Cybersecurity-Vorfälle weiterentwickeln, um eine breitere Zusammenarbeit zwischen Sicherheit, Rechtsabteilung, Compliance, CFO, Interessenvertretern der Geschäftsbereiche, wie z.B. Vizepräsidenten oder Abteilungsleitern, und den Führungskräften des Unternehmens zu gewährleisten. Dies liegt daran, dass es für eine einzelne Person oder ein Team innerhalb des Informationssicherheitsteams unmöglich ist, die Wesentlichkeit in angemessener Weise zu bestimmen.

Auswirkungen auf das Geschäft

Die geschäftlichen Auswirkungen von Insider-Risiken sind real und können erheblich sein. Der Verlust von Quellcode, einer Kundenliste oder anderem wichtigen geistigen Eigentum kann die Wettbewerbsfähigkeit eines Unternehmens erheblich beeinträchtigen. Da Unternehmen unter Umständen wochen-, monate- oder sogar jahrelang nichts von einer Datenexfiltration wissen, kann die Wiederherstellung verlorener IP ein kostspieliger und zeitraubender Kampf sein. Ressourcen, die für den Aufbau des Unternehmens verwendet werden könnten, werden stattdessen für Anwälte, Rechtsstreitigkeiten und forensische Ermittler ausgegeben. Ebenso kann die unbefugte Preisgabe oder der Diebstahl personenbezogener Daten zu behördlichen Meldungen, Geldstrafen und teuren Maßnahmen zur Behebung von Datenschutzverletzungen führen. Und jeder Vorfall im Bereich der Cybersicherheit kann den Ruf eines Unternehmens auf dem Markt schädigen. Datentransparenz ist nicht nur entscheidend, um die neuen SEC-Vorschriften zur Meldung von Cybersecurity-Vorfällen zu erfüllen, sondern auch, um Cybersecurity-Vorfälle von vornherein zu verhindern oder ihre Auswirkungen zu mindern.

Wie Mimecast helfen kann, diese neuen SEC-Anforderungen zu erfüllen

Mimecast Incydr und Mimecast Instructor wurden speziell entwickelt, um Unternehmen dabei zu helfen, Datenverluste durch Insider schnell zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Die Produkte von Mimecast bieten eine breite Palette von Funktionen, die es Unternehmen erleichtern, das von Insidern ausgehende Cybersicherheitsrisiko zu bewältigen. Mimecast bietet außerdem erstklassiges Fachwissen und Best-Practice-Anleitungen für den Umgang mit Aspekten der Risikominderung, die über die Technik hinausgehen - nämlich Fragen zu Menschen und Prozessen. Zu den differenzierten Fähigkeiten von Mimecast gehören:

Größte Bandbreite bei der Erkennung von Datenexfiltration über Endpunkt- und Cloud-Systeme hinweg

Incydr bietet eine branchenführende Erkennung von Exfiltrationen über Endgeräte (Windows, Mac, Linux) und Cloud-Systeme. Mimecast kann riskante Dateibewegungen unabhängig vom Dateityp - Quellcode, Geschäftsdateien, Zip-Dateien und mehr - erkennen und Alarm schlagen. Die Erkennung umfasst Datenbewegungen über Webbrowser und USB-Laufwerke, deckt aber auch neuere Exfiltrationsvektoren wie Airdrop und Git (Quellcode-Verwaltungstool) ab. Mimecast erkennt auch riskante Dateifreigabeaktivitäten in Cloud-Repositories des Unternehmens wie Office365, Google Drive, Box, Firmen-E-Mail-Systeme und Salesforce. Mimecast liefert den Unternehmen auch alle kontextbezogenen Details zu dem Vorfall (wer, was, wann und wie), so dass die Untersuchungsteams schnell entscheiden können, wie sie weiter vorgehen wollen.

Zugriff auf exfiltrierte Dateien zur schnellen Bestimmung der Wesentlichkeit

In allen Fällen einer entdeckten Datenexfiltration (unabhängig von der Risikostufe) behält Mimecast automatisch eine Kopie der exfiltrierten Datei. Auf diese Weise können Ermittler die von einem Vorfall betroffenen Akten einsehen und prüfen, um die Wesentlichkeit rechtzeitig zu bestimmen. Kunden müssen nichts Besonderes tun oder Sicherheitsdepots verwalten, um diese Funktion zu nutzen.

Case Management-Funktionen zur genauen Dokumentation relevanter Ermittlungsdetails

Mimecast verfügt über integrierte Case Management-Funktionen, die es Unternehmen ermöglichen, die Ermittlungen zu Insiderrisiken zu verfolgen und aufzuzeichnen. Dies ermöglicht es den Untersuchungsteams, sensible Vorfälle sicher zu verfolgen und sie getrennt von anderen IT- oder Sicherheitsvorfall-Management-Systemen zu verwalten. Fälle können alle Details der betreffenden Sicherheitsereignisse enthalten und die an einem Vorfall beteiligten Dateien nachverfolgen. Die Fälle können einfach exportiert werden, um sie dauerhaft aufzubewahren, zusammenzuarbeiten und zu prüfen.

Priorisierung relevanter Insider-Risiken, um ein Ausbrennen der Ermittlungen zu verhindern

Incydr bewertet automatisch risikoreiche Insider-Aktionen und bietet konfigurierbare Warn- und Priorisierungsregeln, um sicherzustellen, dass Sicherheits- und Untersuchungsteams nicht durch zu viele Warnmeldungen oder falsch positive Ergebnisse überfordert werden. Incydr enthält über 250 Incydr-Risikoindikatoren – einschließlich Datei-, Benutzer- und Verhaltensattributen – die vom ersten Tag der Nutzung an verfolgt werden, um die Zeit bis zur Entdeckung zu minimieren. Dies hilft den Ermittlungsteams, die wichtigsten Vorfälle schnell zu identifizieren und sie zeitnah zu untersuchen.

Historische Ansicht der Benutzer- und Datei-Aktivitäten zur Stärkung der Ermittlungen

Mimecast speichert historische Dateiexfiltrationsereignisse von Benutzern, um sicherzustellen, dass Ermittler in die Vergangenheit zurückblicken können, um festzustellen, ob ein bestimmter Benutzer oder eine bestimmte Datei in frühere nicht materielle Vorfälle verwickelt war. Dies geschieht automatisch, unabhängig davon, ob diese früheren Ereignisse untersucht wurden oder nicht. Historische Ereignisse können bis zu 180 Tage lang gespeichert werden (je nach erworbenem Produkt).

Blockierung der Exfiltration

Incydr bietet Funktionen, mit denen Benutzer mit hohem Risiko, wie z. B. ausscheidende Mitarbeiter, Wiederholungstäter und Auftragnehmer, daran gehindert werden, Daten von ihren Firmen-Laptops auf nicht vertrauenswürdige Cloud-Ziele oder USB-Laufwerke zu verschieben. Mimecasts leistungsfähiger, auf Überwachungslisten basierender Ansatz zum Blockieren riskanter Dateibewegungen kombiniert die Vorteile der Risikominderung durch diese Personen mit hohem Risiko und stellt gleichzeitig sicher, dass die Mitglieder des Sicherheitsteams nicht durch komplexe Aufgaben der Regelverwaltung belastet werden.

Automatisierte Mitarbeiterschulung zur Minimierung und Minderung des Risikos von Datenverlusten durch Insider

Incydr und Instructor ermöglichen eine automatisierte, zeitnahe Schulung der Mitarbeiter, um das Risiko einer versehentlichen Datenexposition durch Mitarbeiter zu minimieren und zu verwalten. Die Mitarbeiter werden automatisch über Slack, Microsoft Teams oder E-Mail kontaktiert und erhalten mundgerechte Videolektionen, die ihnen helfen zu verstehen, warum ihre Handlungen riskant waren und wie sie diese in Zukunft vermeiden können. Dieser Ansatz hat den doppelten Vorteil, dass er das Risiko durch wiederholte Verstöße im Laufe der Zeit verringert und gleichzeitig den Ermittlungsaufwand der Sicherheitsteams reduziert. Dadurch wird sichergestellt, dass Unternehmen über eine umfassende Strategie zur Risikominderung verfügen, die sich auf alle Ebenen des Risikos von Datenverlusten konzentriert.

Expertentipps für die Verwaltung effektiver Programme für Insiderrisiken (Menschen, Prozesse und Technologie)

Das Team von Mimecast erstellt und vermittelt seinen Kunden Best-Practice-Anleitungen und -Schulungen zur effektiven Verwaltung ihrer Insider-Risikoprogramme in einer Weise, die den Zielen und der Kultur ihres Unternehmens entspricht. Richtlinienvorlagen, ideale Arbeitsabläufe und Best-Practice-Richtlinien werden allen Mimecast-Kunden ohne zusätzliche Kosten zur Verfügung gestellt. Mimecast bietet auch kostenpflichtige Expert Services an, bei denen Insider Risk Advisors direkt mit den Kunden zusammenarbeiten, um sie bei der Einführung oder Weiterentwicklung von Insider Risk Programmen zu unterstützen und sicherzustellen, dass diese effektiv sind und den gesetzlichen Anforderungen entsprechen.

Die Quintessenz

Mit ihren neuen Cybersicherheitsregeln will die SEC die Sicherheitskultur bei börsennotierten Unternehmen verbessern und die Transparenz sowohl für die SEC als auch für die Anleger erhöhen. Ein versehentlicher oder böswilliger Datenverlust durch Insider kann nach den vorgeschlagenen Regeln Meldepflichten auslösen, und die Unternehmen müssen regelmäßig Angaben zu ihrem Risikomanagement für Insider machen. Incydr unterstützt Unternehmen bei der Vorbeugung, Erkennung, Untersuchung und Behebung von Datenverlusten und wird dazu beitragen, dass börsennotierte Unternehmen den neuen Rahmen für die Offenlegung von Insiderrisiken der SEC einhalten können.

Zusätzliche Referenzen

• Vorgeschlagene Regeln der Securities and Exchange Commission
• Merkblatt: Vorgeschlagene Regeln zur Cybersicherheit für öffentliche Unternehmen
• Auswirkungen der von der SEC vorgeschlagenen Regeln auf die Ermittlungen im Bereich Cybersicherheit und die Reaktionsstrategie