Sicherung der Cyber-Zukunft Australiens Teil 2: CISOs, Verstöße und die Sorgfaltspflicht

Für viele CISOs ist diese Welle von Angriffen beispiellos.

"Wir haben eine Cyber-Versicherung, wir haben Krisen durch Naturkatastrophen erlebt", räumte ein Mitglied des Kundenbeirats von Mimecast nach den Angriffen ein, "aber auf so etwas ist man nie wirklich vorbereitet".

Die Folgen dieser Verstöße wirken sich noch immer auf die gesamte Wirtschaft aus. Die Kunden können von Datenverlusten und Betrug betroffen sein und verlangen, dass etwas unternommen wird. Vorstände fürchten sich möglicherweise vor Rufschädigung und Geldbußen. Führungskräfte können sich gefangen fühlen zwischen der Sorgfaltspflicht gegenüber Kunden und ihren Vermögenswerten einerseits und der Verantwortung, die Budgets knapp zu halten und den Unternehmenswert zu schützen, andererseits.

Es kann sich wie eine ausweglose Situation anfühlen, aber wenn CISOs effektiv kommunizieren und die Bedürfnisse der verschiedenen Interessengruppen unter einen Hut bringen können, können die jüngsten Sicherheitsverletzungen eine Chance sein, die Cybersicherheit zu verbessern.

Die Sorgfaltspflicht der Cybersicherheit

"Sorgfaltspflicht" ist ein juristischer Begriff, aber einfach ausgedrückt bedeutet er, dass eine Person oder Organisation nicht so handeln sollte, dass andere geschädigt werden. Wie das funktioniert, ist von Organisation zu Organisation und von Rolle zu Rolle unterschiedlich. Zum Beispiel:

1. Die Sorgfaltspflicht eines Vorstands besteht darin, umsichtig zu handeln und die Belegschaft und das Vermögen seiner Organisation ordnungsgemäß zu verwalten. Die klare Kommunikation mit den Aktionären, die Einhaltung der Rechtsvorschriften und die Erzielung von Gewinnen sind ihre Hauptaufgaben.
2. Zu den Sorgfaltspflichten eines Unternehmens gegenüber seinen Kunden gehört es, sicherzustellen, dass seine Produkte sicher sind und den nationalen (Privacy Act) und internationalen (z. B. GDPR) Standards für die Speicherung, Verarbeitung und Sicherheit personenbezogener Daten entsprechen.
3. Die Sorgfaltspflicht eines CISO wird in den GDPR-Leitlinien treffend zusammengefasst, in denen die "Verpflichtung zur Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung eines risikoadäquaten Sicherheitsniveaus, zur Durchführung von Datenschutz-Folgenabschätzungen und zur Abschwächung von Risiken, die sich aus der Verarbeitung personenbezogener Daten ergeben" festgehalten ist.

Die Erfüllung der Sorgfaltspflicht gegenüber Ihren Kunden

Im Bereich der Cybersicherheit lautet die zentrale Frage der Sorgfaltspflicht nicht: "Wurden Sie verletzt?". Vielmehr geht es darum, ob Ihre Maßnahmen angemessen waren und verantwortungsbewusst durchgeführt wurden. Die Sorgfaltspflicht fördert das Vertrauen; sie macht einen Verstoß unwahrscheinlicher, und wenn es zu einem Verstoß kommt, ist sie der Blickwinkel, durch den Aktionäre, Kunden, Aufsichtsbehörden und Regierungen Ihr Handeln überprüfen werden. Es gibt immer noch viele Organisationen, in denen diese Sorgfaltspflicht nur unzureichend definiert ist, was zu Problemen für CISOs führen kann, die versuchen, die Cyberrichtlinien ihrer Organisation zu strukturieren.

Eine Sicherheitsverletzung kann für Kunden, deren persönliche Daten gestohlen wurden, lebensverändernd sein. Unmittelbar nach dem Einbruch bei Optus wurden Hunderte von Betrugsversuchen gemeldet, bei denen sich Kriminelle per E-Mail, SMS und Telefon an gefährdete Kunden wandten. Nach der Medibank-Panne wurden auch Betrüger aktiv, darunter die Tennislegende Todd Woodbridge.

Diejenigen, deren Daten bei Betrügereien verwendet werden, erleiden unter Umständen finanzielle Verluste, ständige Probleme mit Identitätsdiebstahl und schweren Stress. Eine Studie hat ergeben, dass die Opfer viele der gleichen Symptome (wie Angst, Depression und Überwachen) zeigen" wie Überlebende einer PTBS. Selbst Kunden, die nicht direkt betroffen sind, machen sich möglicherweise Sorgen um ihre Sicherheit und denken darüber nach, ihr Geschäft zu verlagern.

Wie Sie reagieren, ist entscheidend

Diese Auswirkungen machen deutlich, warum die Sorgfaltspflicht so wichtig ist, um das Vertrauen der Kunden zu erhalten - und warum die Regierungen die Regulierung so ernst nehmen. Die Geldbußen für einzelne Verstöße sind derzeit auf 2,2 Millionen Dollar begrenzt, könnten aber auf 50 Millionen Dollar oder mehr steigen.

Um eine Sorgfaltspflicht nachzuweisen, müssen Organisationen sorgfältig überlegen, aus welchen Gründen sie Daten aufbewahren und welche Maßnahmen sie zum Schutz der Daten ergreifen. Aber auch die Reaktion auf einen Vorfall ist von entscheidender Bedeutung, einschließlich des Zurücksetzens von Passwörtern (auf Anraten oder unter Zwang), der Benachrichtigung der betroffenen Kunden (mit so vielen Daten wie möglich über den Vorfall), der Unterstützung (durch geschulte, informierte Berater) und der laufenden Überwachung. Das Gesundheitswesen ist ein Sektor mit einer besonderen Sorgfaltspflicht, bemerkt einer der Mimecast-Kundenberater. "Sie können Ihre Kreditkarten und Ihren Reisepass ersetzen", erklären sie, "aber Sie können Ihre Gesundheitsdaten nicht ersetzen.

Was Aktionäre von Vorständen erwarten

Die Verwaltungsräte müssen in ihrer Kommunikation mit den Aktionären transparent sein. Ein weiterer Teil ihrer Sorgfaltspflicht ist eine Strategie, die ein Gleichgewicht zwischen der Sicherheit von Daten und der Zufriedenheit der Aufsichtsbehörden sowie dem Schutz des Geschäftsergebnisses herstellt. Es gibt viele Möglichkeiten, wie sich eine Sicherheitsverletzung auf den Unternehmenswert auswirken kann:

1. Direkte finanzielle Verluste durch Diebstahl, Ransomware oder Betrug
2. Verlust von geistigem Eigentum
3. Ordnungsrechtliche Sanktionen
4. Rufschädigung - das Australian Cyber Security Centre (ACSC) verweist auf das Beispiel eines Hedgefonds, der nach einem Angriff den Großteil seiner Gelder zurückerhielt, aber in Konkurs ging, nachdem verängstigte Kunden das Unternehmen verließen.
5. Kosten für die Wiederherstellung - nach der Sicherheitsverletzung musste Optus seine gesamte Datenbank mit 10 Millionen Kunden neu aufbauen
6. Die Ressourcenkosten für die Reaktion auf einen Vorfall und die Kommunikation - Teams müssen möglicherweise von wichtigen Aufgaben abgezogen oder hohe Rechnungen für Rechtsberatung oder Unterstützung durch Dritte bezahlt werden

IBM schätzt die durchschnittlichen Kosten einer Sicherheitsverletzung auf 4 Millionen Dollar, aber unter Berücksichtigung der oben genannten Faktoren können die tatsächlichen Kosten eines Vorfalls weitaus höher sein. Der Aktienkurs von Medibank ist seit dem Angriff um 20 % gesunken, und die anfänglichen einmaligen Kosten werden auf 25-35 Mio. USD geschätzt. Es überrascht nicht, dass die Aktionäre wissen wollen, dass ihre Vermögenswerte geschützt werden, und dass sie Einblick in die Cybersicherheitsstrategie und deren Auswirkungen auf die Rentabilität haben wollen.

Was Vorstände von ihren CISOs erwarten

Jeder CISO weiß, wie es ist, wenn sich die Köpfe des Vorstandes in seine Richtung drehen. Und angesichts des Ausmaßes der jüngsten Sicherheitsverletzungen wird dies immer häufiger der Fall sein. Als Antwort darauf müssen CISOs einen klaren Plan haben, wie sie ihrer Sorgfaltspflicht nachkommen wollen, und Klarheit, Beweise und eine Abstimmung mit ihrer allgemeinen Cyber-Strategie liefern. Die wichtigsten Schritte sind:

1. Prüfung Ihrer Anlagen und Festlegung von Prioritäten für deren Schutz. Wie einer der Diskussionsteilnehmer von Mimecast anmerkt: "Unternehmen müssen herausfinden, was ihre Kronjuwelen sind und wer ihre Gegner sind, und sich dann vor allem auf diesen Bereich konzentrieren."
2. CISOs müssen diese Bedrohungen und Auswirkungen in harte Daten umwandeln, und diese Daten in eine überzeugende Erzählung, die bei technischen und nicht-technischen Vorstandsmitgliedern Anklang findet.
3. Das bedeutet nicht nur, dass sie bei der Weitergabe von Daten selektiv vorgehen müssen, sondern auch, dass sie die Cybersicherheit als Chance und nicht nur als Kostenfaktor darstellen müssen. Starke Referenzen im Cyberbereich können neue Märkte erschließen und das Vertrauen der Öffentlichkeit gewinnen - und damit die Sorgfaltspflicht gegenüber den Kunden und Ihr Geschäftsergebnis unterstützen.
4. Um sich auf das Schlimmste vorzubereiten, müssen Sie Szenarien für einen Sicherheitsverstoß durchspielen und mit anderen Abteilungen zusammenarbeiten, um einen Plan für die Reaktion auf einen Vorfall zu erstellen. Dies kann nicht nur den Schaden eines Verstoßes begrenzen: Es zeigt auch Beobachtern, dass Sie Ihre Sorgfaltspflicht verantwortungsvoll wahrnehmen.

All diese Ansätze erfordern einen regelmäßigen Kontakt zwischen Vorständen und CISOs. Der Aufbau eines positiven Verhältnisses zum Verwaltungsrat bedeutet, dass man ein offenes Ohr für seine Anliegen hat und transparent arbeitet. Die Verwendung eines narrativen Ansatzes kann den Mitgliedern helfen, die von Ihnen angesprochenen - positiven und negativen - Auswirkungen zu verstehen. Natürlich spielt sich nicht alles in der Vorstandsetage ab: Jetzt ist auch ein guter Zeitpunkt, um Ihr Team an die Grundlagen zu erinnern - mit regelmäßigen Patches, guter E-Mail-Sicherheit und Multi-Faktor-Authentifizierung wären viele der jüngsten Sicherheitsverstöße nicht passiert.

Warum die Diskussion über die Sorgfaltspflicht wichtiger denn je ist

In der Debatte um die Sorgfaltspflicht gibt es ein Hin und Her. Der Wert für die Aktionäre und der Schutz der Privatsphäre der Kunden beispielsweise scheinen manchmal im Widerspruch zueinander zu stehen. Diese Angriffswelle ist nicht nur eine schlechte Nachricht für die Cybersicherheit, sondern auch ein guter Zeitpunkt, um die Beziehungen zwischen Kunden, Aktionären und dem Vorstand neu zu kalibrieren. Dies ist der perfekte Zeitpunkt, um auf die Auswirkungen größerer Sicherheitsverletzungen hinzuweisen - und für eine verantwortungsvolle, wachsame, unternehmensweite Strategie zu plädieren, die Ihre Werte schützt, auch wenn andere ihre Werte verlieren.