Südafrikas Cyber-Strafverfolgung nimmt zu, während die Angriffe zunehmen

Wenn es um Cybersicherheit und Datenschutz geht, befinden sich südafrikanische Unternehmen heute in einer Zwickmühle. Die Behörden sind bereit, mit der Durchsetzung der im letzten Jahr in Kraft getretenen nationalen Cyber-Vorschriften zu beginnen. Doch während sich die Unternehmen bemühen, die gesetzlich vorgeschriebenen Schutzmaßnahmen einzurichten, zeigen Untersuchungen von Mimecast, dass sie mit einer zunehmenden Anzahl, Vielfalt und Raffinesse von Cyberangriffen konfrontiert sind.

Cyber-Behörden werden aktiv

Im Juni signalisierte die südafrikanische Informationsbehörde, dass die Durchsetzung des Protection of Personal Information Act (POPIA), der im Juli 2021 in Kraft tritt und regelt, wie Unternehmen die Daten der Bürger erfassen, speichern, verwalten und sichern, beginnen wird. Nach POPIA drohen Unternehmen, die bei Datenschutzverletzungen fahrlässig personenbezogene Daten preisgeben oder es versäumen, auf Anfragen von Bürgern nach Zugang, Aktualisierung oder Löschung von Daten zu reagieren, Geldstrafen von bis zu 10 Millionen Rand (6 Millionen US-Dollar).

Die Informationsregulierungsbehörde Pansy Tlakula gab am 29. Juni eine Erklärung ab, in der es heißt: "Die ersten fünf Jahre der Aufsichtsbehörde waren die Jahre, die dem Aufbau des institutionellen Rahmens gewidmet waren ... In den nächsten fünf Jahren wird es darum gehen, aktiv zu zeigen, dass die Aufsichtsbehörde ein Schild ist, das schützt, ein Fackelträger, der fördert, und eine Hand, die beim Schutz persönlicher Daten hilft."[1]

Eine lokale Schlagzeile lautete am nächsten Tag: "InfoReg's patience with POPIA Violators Is Coming to a End."[2] Im vergangenen Jahr seien insgesamt 330 Datenschutzverletzungen gemeldet worden, sagte Tlakula und versprach, dass die bereits laufenden Untersuchungen zu Durchsetzungsmaßnahmen führen werden.

Im Dezember trat das südafrikanische Gesetz über Cyberkriminalität in Kraft, das Cyberangriffe unter Strafe stellt. Zu den geschäftlichen Auswirkungen des neuen Gesetzes gehören eine Meldepflicht für Datenschutzverletzungen für einige Unternehmen, wie z. B. Banken, sowie die Verpflichtung, bei behördlichen Untersuchungen entsprechende Informationen zu liefern.[3]

Auch aus dem Ausland wird Druck ausgeübt. Der Internationale Währungsfonds hat im Juni einen Bericht herausgegeben, in dem er Fortschritte bei der Bewältigung der Cybersicherheitsrisiken für den südafrikanischen Finanzsektor anerkennt, aber "klar formulierte Standards" und eine stärkere Durchsetzung fordert.[4]

Auch Cyberattacken nehmen zu

Laut der Mimecast-Studie State of Email Security 2022 (SOES) haben Unternehmen mit zusätzlichen Compliance-Verpflichtungen zu kämpfen, da sie sich bereits gegen die zunehmende Anzahl, Vielfalt und Raffinesse von Cyberangriffen wehren müssen.

Südafrikanische Sicherheits- und IT-Fachleute meldeten diese beunruhigenden Trends von 2021 bis 2022:

• Drei von vier Unternehmen sahen mehr Bedrohungen durch E-Mails.
• Vierundneunzig Prozent waren Ziel von Phishing-E-Mails.
• Fünfundfünfzig Prozent der Befragten gaben an, dass die Angriffe immer ausgefeilter werden - zum Beispiel durch die Kombination mehrerer Techniken in einem Angriff.
• Sechzig Prozent waren von einem Ransomware-Angriff betroffen, gegenüber 47 Prozent im Vorjahr.
• Die daraus resultierenden Ausfallzeiten betrugen im Durchschnitt etwa 11 Tage.

Anbaubedingungen Ressourcen für Stämme

Südafrikanische Unternehmen können sehen, wie sich die Zielpfosten bewegen, wenn sie versuchen, ihre Cyber-Resilienz zu erhalten. Der SOES-Bericht zeigt, dass 41 % der Unternehmen der Meinung sind, dass sie im Jahr 2021 über eine angemessene Resilienzstrategie verfügen, aber nur 33 % sind heute dieser Meinung. Dieser Mangel an Widerstandsfähigkeit hat seinen Preis:

• Neunundvierzig Prozent haben Geschäftsunterbrechungen erlitten.
• Achtundvierzig Prozent haben einen Datenverlust erlitten.
• Zweiundvierzig Prozent berichteten über eine Auswirkung auf die Produktivität der Mitarbeiter.
• Neununddreißig Prozent verzeichneten einen Rückgang der Einhaltung von Vorschriften.

Tatsächlich verzeichneten südafrikanische Unternehmen im Jahr 2021 einen der größten Schadenszuwächse bei Cyberangriffen im Vergleich zu anderen Unternehmen weltweit, wobei die durchschnittlichen Gesamtkosten einer Datenschutzverletzung im Vergleich zum Vorjahr um 50 % auf 3,21 Millionen US-Dollar stiegen.[5]

Mehr als vier von zehn südafrikanischen Unternehmen gaben im SOES-Bericht an, dass ihre Sicherheitsbudgets nicht ausreichen, um dieser Herausforderung zu begegnen. Berichten zufolge belaufen sich die Budgets für Cybersicherheit in Südafrika auf durchschnittlich 12 % des gesamten IT-Budgets, doch Sicherheits- und IT-Fachleute halten 21 % für erforderlich. Angesichts des daraus resultierenden Defizits geben 62 % an, dass sie nicht genug in die Schulung ihrer Sicherheitsteams investieren können, und 59 % geben an, dass ihnen neue technologische Innovationen entgehen. Fast zwei Drittel der Unternehmen, die Microsoft 365 nutzen, hatten in den letzten 12 Monaten einen Ausfall zu verzeichnen, wobei fast alle Befragten der Meinung waren, dass zusätzliche Sicherheitsebenen erforderlich sind, um M365 "vollkommen sicher" zu machen.

Jetzt, wo die Unternehmen mit neuen Vorschriften konfrontiert werden, ist dies mit einer gewissen Ambivalenz verbunden. Der SOES-Bericht von Mimecast ergab, dass nur 35 % davon ausgehen, dass Vorschriften, die Mindeststandards für die Cybersicherheit vorschreiben, das Cybersicherheitsrisiko für ihr Unternehmen erheblich verringern würden. Etwa ebenso viele glauben jedoch, dass die Kosten für die Einhaltung der Vorschriften steigen würden, während sie gleichzeitig die Flexibilität verlieren, ihr eigenes bestes Vorgehen im Kampf gegen Angreifer zu bestimmen.

Rationalisierung zur Bewältigung von Sicherheitsherausforderungen

Sicherheitsexperten hoffen, dass die Technologie dazu beitragen kann, die derzeitige Budgetknappheit zu lindern. Fast drei Viertel der im SOES-Bericht befragten Unternehmen gaben an, dass sie integrierte Sicherheitslösungen bevorzugen, mit denen sie ihre Arbeit rationalisieren können - insbesondere in der neuen hybriden Umgebung von Büro- und Fernarbeitern. Zunehmend bieten Sicherheitsanbieter wie Mimecast Unternehmen kohärentere, umfassendere und automatisierte Möglichkeiten, personenbezogene Daten zu verwalten, Cyberbedrohungen zu erkennen, Angreifer abzuwehren und die Compliance über ihre E-Mail-Cloud-Dienste, Anwendungen und Benutzergeräte hinweg zu gewährleisten.

Das Mitnehmen

Das steigende Cyber-Risiko in Südafrika geht von zwei Seiten aus: zum einen von der zunehmenden Zahl immer raffinierterer Cyber-Angriffe und zum anderen von den Herausforderungen bei der Einhaltung von Vorschriften. Lesen Sie den Bericht von Mimecast State of Email Security 2022 für weitere Einblicke in die Perspektiven von Sicherheitsexperten in Südafrika und weltweit. 

[1] "Media Breakfast Briefing Address," South Africa Information Regulator

[2] "InfoReg's Patience with POPIA Violators Is Coming to a End," ITWeb

[3] "Cybercrimes and Cybersecurity Bill," Südafrikanischer Justizminister

[4] "South Africa: Financial Sector Assessment Program-Technical Note on Cybersecurity Risk Supervision and Oversight," International Monetary Fund

[5] "Cost of a Data Breach Report 2021," IBM und Ponemon