SlideShare ist ein Scribd-Unternehmen logo
Ein Manifest für
Cyber Resilience
Definition
von CyberUnbekannte
Größen
Bedrohungen
von Gestern
bekämpfen Faktor Mensch
Wissen
womansteht
BYOD
Cyber Resilience
Bedrohung durch
Mitarbeiter
Revolutionäre
2 3
Definition von Cyber Resilience
Cyberspace spielt bei Arbeit und Freizeit eine immer größere Rolle; er ist ein
großer und st etig zunehmender Teil unseres realen Lebens. Zum aktuellen
Zeitpunkt verbringen ca. 2,4 Milliarden Internetnutzer weltweit – 34 Prozent
der Weltbevölkerung – mehr und mehr Zeit online.1
Dank unserer verschiedenen
Cyber-Aktivitäten ist online eine Menge los, wodurch eine unaufhaltbare
Bewegung entsteht – von der Art, die Revolutionen startet.
Manche akzeptieren die Vorteile unseres Cyber-Lebens und neuen
Geschäftsmodelle einschließlich der damit einhergehenden Risiken. Andere
sind eher der Meinung, dass derartige Massentrends überlegtere Reaktionen
erfordern. Doch für Debatten ist nur wenig Zeit. Was wir wirklich brauchen
ist ein Aufruf zum Handeln.
Unser Cyber-Leben von Risiken zu befreien bedeutet, vier entgegengesetzte
Kräfte zu verstehen – die alle unterschiedliche Cyber-Risiken mit sich bringen
und dringend die Aufmerksamkeit der Unternehmensführung erfordern:
Demokratisierung – Der Slogan "Power to the People" verwirklicht sich,
da Unternehmen lernen, mit Kunden über die von ihnen diktierten
Kanäle zu arbeiten.
Konsumerisierung – Die Auswirkungen der Vielzahl von Geräten bzw. –
noch wichtiger – der Apps, die bei Arbeit und Freizeit unsere Cyber-
Leben bestimmen.
Externalisierung – Die Wirtschaftlichkeit der Cloud, drastische Kürzung
der Kapitalausgaben und Aufrütteln der Art und Weise, wie Daten aus
Unternehmen und Organisationen ein- und ausgehen.
Digitalisierung – Die exponentielle Vernetzung, die entsteht, wenn
Sensoren und Geräte das "Internet der Dinge" bilden.
Wenn das Cyber-Risiko für einen dieser Trends beseitigt wird, erhöht sich
dadurch lediglich die Bedeutung des nächsten. Wie bei den meisten "Best
Practices" gibt es auch hier verschiedene richtige Antworten, was bestenfalls
bedeutet, dass Sie die Umgebung Ihres Unternehmens optimieren können,
um seine Anfälligkeit zu reduzieren. Aufgrund der oben genannten einflus-
sreichen Kräfte kann das Cyber-Risiko nicht völlig ausgemerzt werden.
Dieses Manifest skizziert einen Plan zur Reduzierung, nicht Eliminierung,
der realen und zunehmenden Risiken, mit denen wir als Einzelpersonen,
Unternehmen und Regierungen konfrontiert werden. Dieser Plan hat ein
einfaches Ziel: Uns gegen Cyber-Angriffe zu wappnen.
Demokratisierung
Externalisierung
Digitalisierung
Konsumerisierung
4 5555555555555555555555555555555555
Aktueller Wissensstand
Im Cyberspace wird das zuvor Unmögliche möglich. Ohne diese virtuelle
Welt würden wir weiter wie in die Vergangenheit leben. Fragen Sie sich:
• Welche Bankkunden möchten auf die Möglichkeit verzichten, in
Sekundenschnelle Geld in andere Länder zu überweisen?
• Was würde Geschäftsleute dazu bewegen, wieder für Flugtickets,
Telefonzellen und Paketversand Schlange zu stehen?
• Warum sollte jemand etwas per Luftfracht verschicken, das
kostengünstiger vor Ort ausgedruckt werden kann?
Die heutige Situation ist komplex, schnelllebig und potenziell verheerend
für Unternehmen. Der Anteil mobiler Internetnutzung liegt aktuell zwar
lediglich bei 15 Prozent, doch diese Zahl nimmt stetig zu – dank fünf
Milliarden Mobiltelefone, von denen jedes Dritte ein Smartphone mit
Internetzugang ist.1
Jeden Tag werden 500 Millionen Fotos ausgetauscht
und der durchschnittliche Nutzer überprüft 23 Mal am Tag seine Nachrichten.1
Täglich fallen 1,5 Millionen Personen einem Cyber-Angriff zum Opfer, was
jedes Jahr konservativ geschätzte Verluste im Wert von insgesamt 110 Milliarden
US-Dollar zur Folge hat.2
Angriffe durch Malware bzw. bösartige Software
im Internet nahmen 2012 um 30 Prozent zu und stiegen auf Mobilgeräten im
gleichen Zeitraum um 139 Prozent an.3
Dabei ist entscheidend, dass es sich
bei 62 Prozent der Websites, die Malware verbreiteten, um legitime Websites
handelte, die manipuliert wurden.3
Immer noch nicht besorgt?
Diese Cyber-Bedrohungen und ihre Raffiniertheit werden weiter
zunehmen. Dies liegt daran, dass ältere Angriffsziele wie PC-
Betriebssysteme an Bedeutung verlieren und neue webbasierte und
mobile Plattformen sowie soziale Apps an ihre Stelle treten.
Änderungen an der sogenannten Bedrohungslandschaft sind
sicherheitstechnisch schwer in den Griff zu bekommen. Ohne
einen gewissen Grad von Sicherheit, der zuvor nur in großen
Unternehmen zu finden war, ist jeder anfällig. Wie wir noch
sehen werden, ist Größe nur eines unserer Probleme.
6 7
Die unbekannten Einflüsse
Zu wissen, was die Zukunft bringt, kann unser Leben bereichern. In der
Cyber-Welt hingegen sorgen nicht vorhersehbare Absichten und unerwartete
Konsequenzen für Chaos. Es ist schier unmöglich, sämtliche neuen Cyber-
Bedrohungen vorherzusehen, denen Ihr Unternehmen ausgesetzt sein wird –
manche davon sind noch gar nicht erfunden.
Ob verärgerte "Hacktivisten" oder Cyber-Kriminelle, Cyber-Terroristen oder
sogar staatlich sanktionierte Cyber-Armeen – die meisten haben den
Überraschungseffekt auf ihrer Seite. Ihre Beweggründe sind vielseitig: von
friedlichen Protesten über böswillige Absichten bis hin zu politischem oder
persönlichem Vorteil. Die ihnen zur Verfügung stehenden Möglichkeiten
zur Schaffung von Cyber-Risiken nehmen exponentiell zu, wodurch die
Chancen für alle schlecht stehen, die nicht vorbereitet sind.
Im Internet sind immer mehr einsatzfertige Malware-Kits erhältlich, die mit
virtueller Währung, vor neugierigen Blicken geschützt, erworben werden.
Die "Schattenwirtschaft" des Cyberspace wächst und gedeiht, und es gibt
tatsächlich so etwas wie Ganovenehre. In ihren Kompetenzzentren, verborgen
hinter hochsicherem Schutz, können sie sich so viel Wissen aneignen, dass
nur wirklich hervorragend geschulte Sicherheitsexperten mit ihnen mithalten
können. Dort können sie gestohlene Daten austauschen, die ihren Opfern,
den ursprünglichen Eigentümern, ohne deren Wissen entwendet wurden.
Gegen Bezahlung teilen sie ihr geheimes Wissen mit anderen Cyber-Betrügern.
Dass Ihr gesetzestreues Unternehmen hier einen Blick hinter die Kulissen
werfen kann, ist wohl eher unwahrscheinlich.
Im Gegensatz zur realen Welt hilft es einem Opfer hier wenig, nur
ein kleiner Fisch in einem großen Teich zu sein. Tatsächlich macht
es dies sogar noch schlimmer: 31 Prozent aller Cyber-Angriffe
richten sich gegen Unternehmen mit 1 bis 250 Mitarbeitern.2
Während Cyber-Bedrohungen für große Unternehmen inzwischen
zur Tagesordnung gehören, sind deren kleinere Zulieferer für
Cyber-Kriminelle wesentlich attraktiver. Die Lieferkette eines
großen Unternehmens kann viel leichter von unten als von oben
infiltriert werden.
8 9
Faktor Mensch
Während zur Durchführung von 84 Prozent von Angriffen auf die
Datensicherheit nur wenige Stunden erforderlich sind, kann es in 66 Prozent
der Fälle Monate dauern, bevor sie entdeckt werden. Bei 22 Prozent dauert
die Eindämmung dieser Datenpannen Monate oder sogar Jahre.4
Woran
liegt das?
Sie denken vielleicht, dass der Unterschied zwischen einem gegen Cyber-
Angriffe gewappneten und einem dafür anfälligen Unternehmen in besseren
Computern, leistungsfähigerer Software oder schnellerer Telekommunikation
liegt. Leider ist dies fast nie der Fall. Zur Absicherung Ihres Unternehmens
mag es durchaus notwendig sein, erstklassige Technologien einzusetzen.
Doch dies ist oft nicht ausreichend. Neuere, schnellere Geräte allein retten
in der Regel selten die Lage.
Das schwächste Glied bei der Cyber-Sicherheit ist die Person, die dieses
Manifest liest – also Sie und ich.
Die IT-Abteilung ist das Herzstück aller organisatorischen Prozesse und ihr
Einfluss reicht in sämtliche Abteilungen. Bisher war sie es, die für Cyber-
Sicherheit zuständig war. In ihrer ehemaligen Funktion war sie hauptverant-
wortlich für den Einkauf von Technologie. Doch diese Funktion ändert sich
derzeit schnell zu der eines bewährten Beraters. Jüngste Untersuchungen
ergaben, dass 14 Prozent des Cloud-Speichers, 13 Prozent der sozialen
Medien und 11 Prozent der Bürosoftware ohne Wissen der IT-Abteilung
erworben werden.5
Daten von Gartner belegen, dass das IT-Budget anstatt von seinen bisherigen
"Eigentümern" immer häufiger von anderen Abteilungen verwaltet wird.
An der Spitze liegt dabei die Marketingabteilung, von der erwartet wird,
dass sie bis 2017 mehr für Technologie ausgibt als die IT-Abteilung.6
All
dies bedeutet, dass das menschliche Element des Cyber-Risikos in Ihrem
Unternehmen aller Wahrscheinlichkeit nach am größten ist, jedoch nicht
in der IT-Abteilung.
Die Konzentration des Fachwissens zur Cyber-Sicherheit ausschließlich
in der IT-Abteilung ist heutzutage keine gängige Betriebspraxis mehr,
sondern trägt lediglich dazu bei, das Unternehmen einem höheren Cyber-
Risiko auszusetzen. Irren ist menschlich. Warum also nur einer einzigen
Abteilung (nämlich der IT-Abteilung) die Aufgabe von Cyber Resilience
zuweisen? Es ist höchste Zeit für den Wechsel zu einer gesamtheitlichen
Sicherheitskultur.
der anfänglichen
Angriffe dauern
Stunden oder weniger
von Datenpannen
werden monatelang
nicht entdeckt
von Datenpannen
erfordern Monate
oder länger zu ihrer
Eindämmung
84 %
66 %
22 %
10 1111
Risiko 1 Unternehmen sind klein im
Vergleich zur Bedrohung
Weltweit gibt es nur wenige Unternehmen, die über ausreichend Ressourcen
verfügen, um den Überblick über sämtliche Cyber-Bedrohungen zu behalten,
die ein hochmotiviertes Team von Cyber-Kriminellen in Umlauf bringen kann.
Selbst multinationale Konzerne können nur relativ kleine Teams einstellen.
Außerdem sind die Bösen hier auch die Klugen. Sie haben schon vor langer
Zeit gelernt, virtuelle Teams zu bilden, die über Landesgrenzen hinweg zum
gegenseitigen Vorteil kooperieren. Sie verkaufen sich gegenseitig ihre Tricks und
handelnmitgestohlenenIdentitätsdaten,umSicherheitssystemezuüberlisten,die
zum Großteil noch entwickelt wurden, um landesinterne Gefahren abzuwehren,
die aus einer Zeit vor Cyberspace und Mobilgeräten – und teilweise sogar noch
vor dem Internet – stammten.
Die eigentlichen Cyber-Angriffe sind weiterhin relativ primitiv, doch Ausmaß
allein ist nicht das Problem. Die meisten Unternehmen beherrschen bereits
die Grundlagen der Cyber-Sicherheit. Dadurch lässt sich die Anzahl von
Cyber-Attacken, die von einem durchschnittlichen Benutzer ausgeführt
werden könnten, auf 10 Prozent beschränken. Die Schwierigkeit besteht
darin, die nächste Stufe der Sicherheit zu erreichen, da 78 Prozent nur die
"grundlegenden" online verfügbaren Ressourcen nutzen, ohne Anpassungen
vorzunehmen.4
Ein Problem könnte die Herangehensweise sein. Bisher bestand die natürliche
Reaktion der meisten IT-Sicherheitsbeauftragten darin, weitere Sicherheitstools
zu erwerben. Doch derart unsystematische Ansätze scheitern bei größeren
Implementierungen. Es wäre besser, sich zunächst einen umfassenderen
Überblick über die Sicherheitslage des Unternehmens zu verschaffen und
dann entsprechende Maßnahmen zu ergreifen.
In Zukunft werden Cyber-Angreifern vermutlich noch mehr Angriffsziele
zur Wahl stehen. Das Bemühen um höhere Effizienz führt zu einer immer
stärkeren Vernetzung von Systemen, bei denen intelligente Messgeräte zur
Verwaltung des Energieverbrauchs, Sensoren zur Steuerung der Produktion
sowie RFID-Tags zur Verfolgung von Lieferungen eingesetzt werden. Cyber-
Technologie wird also nicht länger überwiegend von der IT-Abteilung verwendet,
in der Tat sind ihre Benutzer oftmals noch nicht einmal Menschen.
Aufgrund der globalen Beschaffenheit der Bedrohungen können nur sehr
wenige privilegierte Unternehmen und Organisationen – die meisten davon
im Verteidigungssektor – ihre gesamte Zeit darauf aufwenden, Cyber-Kriege
zu führen. Alle anderen müssen erst einmal ihren eigentlichen Berufen
nachgehen, sei es Versicherungsansprüche bearbeiten, Schuhe verkaufen oder
Autos reparieren. Wir müssen unsere Mittel wohlüberlegt investieren, um
Cyber-Angriffen gegenüber abwehrfähiger zu werden. Welche Chance haben
da die Kleinen? Die Antwort für Sicherheitsbeauftragte besteht darin, sich
genauso zusammenzuschließen wie es ihre Angreifer bereits getan haben.
Die Zusammenlegung von Ressourcen und der Informationsaustausch über
die Schwere von Bedrohungen könnten den Kampf ausgleichen.
12 1313
Risiko 2 Wer die Bedrohungen
von Gestern bekämpft,
verliert den Krieg
Cyber-Gefahren sind inzwischen immer subtiler, individueller angepasst und
verbreiteter geworden. Dadurch wird ihre Erkennung zunehmend schwieriger.
So schwierig, dass jemand schon äußerst mutig sein müsste, um zu behaupten,
dass irgendein mit dem Internet verbundenes IT-System (praktisch alle
kommerziellen Systeme) unangreifbar sei.
In der Vergangenheit haben "Wände aus Stahl" keine Erfolge gezeigt –
menschliche Intelligenz kann sie umgehen. Bei den gerisseneren Cyber-
Bedrohungen von heute handelt es sich selten um Frontalangriffe. Sie sind
individueller zugeschnitten und greifen viele Sicherheitslücken gleichzeitig
an, wodurch ihre Folgen verheerender sind.
Ganz gleich, ob ihre Payloads per Internet, E-Mail oder Mobilgerät eingeschleust
wurden: Sie warten geduldig und lautlos als residente Botnets auf infizierten
Systemen und können auf Befehl aus ihrem Schlummer erweckt werden –
selbst nachdem die Infektion erkannt und das "Tor geschlossen" wurde.
Veraltete Denkweisen in Bezug auf Cyber-Sicherheit nutzen nur wenig.
Angesichts dieses ständigen diabolischen Katz- und Maus-Spiels besteht die
beste Strategie nicht in der isolierten Beseitigung einzelner Bedrohungen,
sondern in einem langsamen, entschlossenen und fortlaufenden Bemühen
um Cyber Resilience. Cyber Resilience akzeptiert die Tatsache, dass es keine
Patentlösung gibt, keine Wunderwaffe und ganz sicher keine Kavallerie,
die rettend am Horizont erscheint. Dieses Konzept vertritt die Auffassung,
dass die beste Taktik in einer durchdachten Abwehr besteht. Ziel hierbei
ist es, ungleiche Verhältnisse zu schaffen, bei denen der Zugriff auf Ihre
Systeme schwieriger und weniger profitabel ist als bei anderen Systemen.
Mit besseren Informationen können Sie bessere Entscheidungen treffen.
Kein Risiko einzugehen kann im modernen Geschäftsumfeld schließlich
ebenso eine riskante Entscheidung sein. Die erfolgreichste Methode, Ihre Cyber
Resilience zu stärken, besteht darin, sich einen besseren Überblick über
die Bedrohungen zu verschaffen, denen Ihr Unternehmen ausgesetzt ist.
14 15
Risiko 3 Ignorieren der Rolle
von Mitarbeitern
Mitarbeiter werden oftmals als der größte Vermögenswert eines Unternehmens
bezeichnet. Die Realität sieht jedoch so aus, dass sie aus sicherheitstechnischer
SichtbetrachtetebensodiegrößteGefahrdarstellenkönnen.Identitätsdiebstahl
und der physische Diebstahl ungeschützter Geräte – oftmals begünstigt
durch die großzügigen BYOD-Richtlinien von heute – komplizieren das Ganze.
Während Sicherheit früher die alleinige Verantwortung von IT-Mitarbeitern
war, kann sie heute nicht nur ihnen überlassen werden. Was der eine als
"Schatten-IT" (nicht offiziell genehmigte Technologieausgaben) ansieht,
ist für den anderen der schnellste Weg zu mehr Innovation. Ein hartes
Durchgreifen der IT-Experten bei Technologien, die andere als wichtige
Produktivitätstools erachten, führt mit Sicherheit dazu, dass sie bei künftigen
Diskussionen nicht mehr mit einbezogen werden.
Auch an den Einstellungen der Mitarbeiter muss sich etwas ändern. Umfragen
zeigen, dass 53 Prozent der Mitarbeiter der Auffassung sind, es sei in
Ordnung, sich betriebliche Daten anzueignen, da "es dem Unternehmen
nicht schade".7
Doch ist dies ihre Entscheidung?
Sicherlich ist es besser, die Kompetenzen nicht-technischer Mitarbeiter zu
stärken und so unbeabsichtigten Missbrauch zu verringern. Auf diese Weise
erhalten sie das notwendige Wissen, um Technologieentscheidungen zu treffen
und Prozesse zu implementieren, die die Cyber Resilience des Unternehmens
stärken. Dies ist wichtig angesichts der Tatsache, dass 35 Prozent aller
Datenpannen auf derartiges Verhalten zurückzuführen sind und diese
unmoralischen Handlungsweisen stark zunehmen, wenn Mitarbeiter im Begriff
sind, das Unternehmen zu verlassen.8
Hierbei geht es keineswegs darum, dass die IT-Abteilung ihre Verantwortung
abgeben soll, sondern vielmehr um eine Gelegenheit, IT-Expertenwissen
in einen Wettbewerbsvorteil zu verwandeln. Nicht im IT-Bereich beschäftigte
Mitarbeiter sollten mit ihren technisch versierteren Kollegen übereinkommen
und sich von diesen zeigen lassen, wie Cyber Resilience das Potenzial ihres
Unternehmens erhöhen kann. Im Cyberspace ist Unwissenheit kein Segen –
sondern eine Herausforderung für die Kommunikation und Organisation.
Mit anderen Worten: eine ungenutzte kommerzielle Chance.
16 17
Cyber-Angriffen gegenüber abwehrfähig werden 1
Wissen, wo Ihr Unternehmen steht
Im Managementbereich gibt es eine Redensart: Man kann nur managen,
was man auch messen kann. Die meisten Cyber-Angriffe werden gar nicht
bemerkt, geschweige denn gemessen. Das gleiche gilt auch für die Risiken, die
sie darstellen.4
Wie können wir also bewerten, wie stark wir gefährdet sind?
Eine Bewertung durch externe Prüfer ist die Antwort. Genauer gesagt: Für
Unternehmen, die dem Risiko eines Cyber-Angriffs ausgesetzt sind, ist
eine umfassende Cyber-Bewertung von Mitarbeitern, Prozessen und Produkten
unerlässlich. Ehrlichkeit, so langweilig dies einigen auch erscheinen mag,
ist der erste Schritt auf dem Weg zu Cyber Resilience.
Selbstverständlich sind eine unabhängige Prüfung der Sicherheitslücken
sowie das Baselining von Technologie und Prozessen ein guter Anfang. Doch
dies ist nur ein erster Schritt. Wie wäre es mit einem Benchmark, um ihre
Bewertung mit der ähnlicher Unternehmen zu vergleichen? Oder mit einigen
praktischen Empfehlungen, die auf einer Lückenanalyse basieren, bei der der
aktuelle und der Wunschzustand des Unternehmens bewertet wurden?
Damit übernimmt die IT-Abteilung eine echte strategische Funktion.
Ausgestattet mit dieser Art von Informationen zeichnet sich der Weg zu Cyber
Resilience bereits deutlicher ab. Noch besser ist es, wenn jene unbekannten
Größen, die wir zu Beginn erwähnt haben, zu tatsächlichen Handlungspunkten
werden, nicht nur für die IT-Abteilung, sondern für das gesamte Unternehmen.
Durch derartige Erkenntnisse erhalten Sie dann einen unfairen Vorteil.
Cyber Resilience ist nicht gleichbedeutend mit Immunität vor Cyber-Angriffen.
Ihr eigentlicher Zweck besteht darin, dafür zu sorgen, dass die Sicherheitslücken
Ihres Unternehmens für Angreifer weniger attraktiv werden. Doch erst wenn
eine Baseline und ein unternehmensweites Ziel vorhanden sind, können
Sie Prioritäten setzen und dann zunächst die gravierendsten Cyber-Probleme
angehen, mit denen das Unternehmen konfrontiert ist.
18
In der guten alten Zeit gab es eine kleine Anzahl Mitarbeiter, die für die IT
zuständig waren. Das funktionierte problemlos, als Computer noch von
Informatikern in speziellen Räumen eingeschlossen wurden. Heutzutage
jedoch spazieren vertrauliche Daten in den Jackentaschen von Mitarbeitern
herum, und gelegentlich auch in den Jackentaschen von Partnern Ihres
Unternehmens sowie deren Partner und so weiter...
Die Zeiten haben sich geändert. Erstens bedeuten Ihre "unbekannten Größen",
dass der Geist aus der Flasche entwichen ist. Best Practices für die Cyber-
Sicherheit vor Ort können Ihr Unternehmen nur insoweit schützen, wie das
schwächste, am wenigsten sichere Glied Ihres Teams oder Ihrer erweiterten
Lieferkette diese auch anwendet.
Sie selbst mögen zwar gute Arbeit leisten und Kennwortrichtlinien verfassen
oder sogar durchsetzen, Geräte sperren oder ISO-Normen einhalten – dadurch
wird das Unternehmen noch lange nicht Cyber-Attacken gegenüber
abwehrfähig. Es sei denn, Sie können sicherstellen, dass alle anderen ähnliche
Standards befolgen, von der Putzkolonne über Ihre Rechnungsprüfer und
externen Catering-Mitarbeiter bis hin zu Ihren Anwälten.
Zweitens, wie bereits erwähnt, prognostizieren Analysten, dass in Kürze
mehr Technologieausgaben von Mitarbeitern, die nichts mit der IT-Abteilung
zu tun haben, getätigt werden als von solchen, in deren Positionsbezeichnung
"IT" oder sogar "IT-Sicherheit" zu finden ist. Es ist also an der Zeit, unkon-
ventionell zu denken und über die IT-Abteilung, Tätigkeitsbeschreibungen
und Organisationsgrenzen hinauszuschauen. Und drittens: Auch wenn Sie
Ihre gesamte Berufskarriere im IT-Bereich verbracht haben, ist es unwahr-
scheinlich, dass Ihre bisherigen Erfahrungen Sie auf die Rolle vorbereitet
haben, die der Cyberspace in unserem heutigen Leben einnimmt.
Cyber-Angriffen gegenüber abwehrfähig werden 2
Coachen SÄMTLICHER Mitarbeiter
Während Sie damit kämpfen zu bestimmen, wo genau sich Ihr Unternehmen
im Hinblick auf Cyber-Risiken befindet und womit Sie beginnen sollen, um es
gegen Cyber-Attacken zu wappnen, bahnt sich für manche eine noch größere
Herausforderung an – nämlich Schluss zu machen mit technischem Fachchi-
nesisch. Mit Ihren Kollegen zu kommunizieren ist entscheidend, doch ohne
diese eine simple Fähigkeit werden Sie scheitern: Die Fähigkeit, den jahrelang
genutzten Fachjargon für IT und IT-Sicherheit zu vergessen. Nicht nur ist er
unnötig, er entkräftet zudem Ihre Argumente. Fachjargon ist der wahre
Feind von Cyber Resilience.
20
Wiewirgezeigthaben,istesnutzlos,alleinanCyberResiliencezuarbeiten.Cyber-
Risiken gehen von unsichtbaren und cleveren Feinden aus. Diese bestehen
aus Zellen, die sich dynamisch bilden, auflösen und neu bilden können. Mit
dieser Fähigkeit gleichzuziehen ist weder praktisch noch wünschenswert,
und außerdem – wer soll dann Ihre eigentliche Arbeit machen?
"Wer nicht aus vergangenen Fehlern lernt, wird sie erneut begehen", mahnen
uns die Philosophen. Doch Sie sind nicht allein. Im Cyberspace gilt, dass
Gemeinsamkeit stark macht. Warum untätig warten, während Ihr Unternehmen
berät, für welche Cyber Resilience-Strategie es sich entscheiden soll? Viel
sinnvoller ist es doch, sich mit anderen zusammenzutun, die dieselben
Überzeugungen teilen wie Ihr Unternehmen, um Sicherheitsinformationen
zusammenzuführen und gemeinsam Strategien zu entwickeln.
Dank Ihrer Kompetenzen sind Sie in einer hervorragenden Position, um
Ihrem Unternehmen zu helfen, sich besser gegen Cyber-Attacken zu wappnen.
Einige sind der Auffassung, dass dies die einzige Strategie ist, die angesichts
der permanenten Bedrohung Aussicht auf Erfolg hat.
Stellen Sie sich eine Zentrale für Cyber-Sicherheitsinformationen vor, die wie
ein stark stimuliertes virtuelles Gehirn Millionen kleiner Beobachtungen
aus den Cyber-Problemen konsolidiert, mit denen Tausende von Unternehmen
und Millionen von Benutzern konfrontiert sind, um so einen klaren Einblick in
die Cyber-Bedrohungen zu erhalten, denen Ihr Unternehmen ausgesetzt ist.
Vergleichen Sie diese zukünftige Funktion als Herzstück eines gegen Cyber-
Attacken gewappneten Unternehmens, das seine Mitbewerber hinter sich lässt,
mit der heutigen Sichtweise, bei der der IT-Abteilung die Schuld zugeschoben
wird, wenn etwas schief geht. Das soll nicht heißen, dass die Grundlagen nicht
wichtig sind. Die Informationen aus vorhandenen Sicherheitskontrollen sind
von großer Bedeutung.
Die neue Funktion der IT-Abteilung ist die eines Kompetenzzentrums für die
Bewertung des Cyber-Risikos. Sie soll Führungskräften neue Wegweiser
bereitstellen, anhand derer diese die Cyber Resilience ihres Unternehmens
beurteilen können. Cyber-Risiko macht nicht vor IT-, Abteilungs- oder sogar
Landesgrenzenhalt.CyberResilienceisteinTeamsport,dervonFührungskräften
wie Ihnen gespielt wird. Verpassen Sie den Zug nicht, er steht zur Abfahrt bereit.
Cyber-Angriffen gegenüber abwehrfähig werden 3
Cyber Resilience zu einem Wettbewerbsvorteil machen
22 23
Fazit
Die Resultate unseres Einzugs in der Cyber-Welt sind bereits beeindruckend,
dabei stehen wir gerade erst am Anfang. Das Erstaunliche ist, dass es für
diesen Fortschritt lediglich der Fähigkeit bedarf, Daten sicher senden und
empfangen zu können. Doch das ist leider ein komplexer technologischer
Kraftakt. Wie der Futurist und Autor Arthur C. Clarke bereits feststellte:
"Jede hinreichend fortschrittliche Technologie ist von Magie nicht zu
unterscheiden."
Der Cyberspace ist jedoch zu wichtig, um nur "Magie" zu sein. Auf persönlicher
Ebene gefährden Cyber-Risiken unsere Identität und unsere Privatsphäre.
Auf globaler Ebene bedrohen Cyber-Risiken die Stabilität von Regierungen
undBankensystemen.CyberspacemussvonUnternehmenundFührungskräften
öffentlich-rechtlicher Organisationen genauso verstanden werden können
wie Energie, Wasser, Talent und andere wesentliche Faktoren in der realen
Welt. Zum aktuellen Zeitpunkt ist dies nicht der Fall.
Von oben erlassene Verordnungen werden keinen Erfolg zeigen. Dazu bewegt
sich die Cyber-Welt viel zu schnell. Nur eine informierte und dennoch flexible
Basisbewegung hat überhaupt Erfolgsaussichten. IT-Experten spielen hier
eine entscheidende Rolle, vorausgesetzt sie können:
1. Effektiv beurteilen, auf welchem Stand die Cyber Resilience ihres
Unternehmens sich aktuell befindet. Dabei müssen sie schneller und
rigoroser vorgehen als bisher.
2. Alle Mitarbeiter zu einem Teil ihrer Cyber Resilience machen. Sie müssen
alle Personen in der Lieferkette des Unternehmens entsprechend
aufklären und schulen, um ein Gleichgewicht zwischen der gewünschten
Innovation und der erforderlichen Cyber Resilience zu erzielen.
3. Cyber Resilience einsetzen, um langfristig einen strategischen
Wettbewerbsvorteil für ihr Unternehmen zu erzielen.
Es ist zu hoffen, dass die in diesem Manifest gezündeten "Ideengranaten" die
Kettenreaktionstarten,dienotwendigist,damitIhrUnternehmenCyberResilience
erreicht. Wenn dies der Fall ist, sollten Sie erwägen, sich mit den Experten bei
Symantec zusammenzuschließen, um Tausenden von Geschäftsführern und
Vorstandsvorsitzenden dabei zu helfen, ihre Unternehmen gegen Cyber-Angriffe
zu wappnen. Die Cyber-Bewertungen, Sicherheitsprodukte und Services von
Symantec helfen Millionen von Benutzern.
Cyber
Resilience
Cyber
definieren
Baseline
BYOD
Cloud
IT
Business
Lieferkette
Heute
Vor Ort
Kern-IP
Geschulte
Mitarbeiter
Künftige
Lieferkette
Cloud
Outsourcing
Umstellung
Morgen
Cyber-
Bedrohungen
Evolution
beeinflussen
Veralteter
Ansatz
Strategische
Abwehrstärke
24 25
Kontakte Referenzen
Symantec Limited
Ballycoolin Business Park
Blanchardstown, Dublin 15, Irland
Tel. : +353 1 803 5400
Fax : +353 1 820 4055
www.symantec.de
1 – Mary Meeker, KPCB, 2013 Internet Trends
2 – Norton Cybercrime Report
3 – Symantec ISTR 2012
4 – Verizon DBIR 2013
5 – Economist Intelligence Unit, Juli 2013 "Security
Empowers Business – unlock the power of a
protected enterprise"
6 – Gartner-Webinar, Januar 2013 "By 2017 the CMO
will spend more than the CIO" von Laura McLellan
7 – Symantec-Whitepaper 2013: "Deins ist meins:
Wie Mitarbeiter Ihr geistiges Eigentum gefährden"
8 – Symantec-Studie 2013 zu den
Kosten von Datenpannen
Revolutionen werden durch unaufhaltbare Bewegungen gestartet. Symantec möchte sich an Ihren Cyber-Maßnahmen beteiligen. Unsere Produkte und
Services sind dafür bekannt, dass sie bei Cyber-Know-how zukunftsweisend sind.
Tauschen Sie sich noch heute aus und werden Sie Teil des Widerstands. Nehmen Sie mit uns Kontakt auf, um sich für eine anfängliche CyberV-Bewertung
anzumelden.
http://www.emea.symantec.com/cyber-resilience/
Symantec ist ein weltweit führender Anbieter für Sicherheits-, Speicher- und Systemverwaltungslösungen, die Kunden bei der Absicherung und Verwaltung ihrer
Informationen und Identitäten unterstützen.
Symantec und das Symantec-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder der mit ihr verbundenen Unternehmen in den USA oder in anderen
Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein.
© 2013 Symantec Corporation. Alle Rechte vorbehalten. Alle Produktinformationen können sich jederzeit ohne vorherige Ankündigung ändern.
Symantec (Deutschland) GmbH, Wappenhalle, Konrad-Zuse-Platz 2-5, 81829 München, Amtsgericht München, HRB 148165, USt-IdNr.: DE119364980, Geschäftsführer:
Aidan Flynn und Norman Osumi. 12/12
Symantec (Deutschland) GmbH
Wappenhalle
Konrad-Zuse-Platz 2-5
D-81829 München
Tel.: +49 (0)89 9 43 02-0
Fax: +49 (0)89 9 43 02-950
www.symantec.de
Symantec (Austria) GmbH
Wipplinger Strasse 34
1010 Wien
Tel: +43 1 532 85 33
Fax: +43 1 532 85 33 33 33
www.symantec.at
Symantec Switzerland AG
Schaffhauserstrasse 134
CH - 8152 Glattbrugg
Tel: +41 (0)44 305 72 00
Fax: +41 (0)44 305 72 01
www.symantec.ch
Ein Manifest für Cyber Resilience

Weitere ähnliche Inhalte

Andere mochten auch

Ppt0000001
Ppt0000001Ppt0000001
Ppt0000001
maritza
 
Malware Augeneder Hagmayr
Malware Augeneder HagmayrMalware Augeneder Hagmayr
Malware Augeneder Hagmayr
phooeikp
 
Sicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der WeltSicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der Welt
www.zebedin.at
 
Die Gefahr Im Web
Die Gefahr Im WebDie Gefahr Im Web
Die Gefahr Im Web
C0pa
 
Malwaretheorie
MalwaretheorieMalwaretheorie
Malwaretheorie
phooeikp
 
Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Gefahren Internet - Web 2010
Gefahren Internet - Web 2010
Joerg Thelenberg
 
Glossar IT-Sicherheit
Glossar IT-SicherheitGlossar IT-Sicherheit
Glossar IT-Sicherheit
ITWissen.info
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?
INFONAUTICS GmbH
 
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010
Torben Haagh
 
Cyber crime and cyber security
Cyber crime and cyber  securityCyber crime and cyber  security
Cyber crime and cyber security
Keshab Nath
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineering
thetacker
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
Bernd Hoyer
 
ESET - Cyber Security Pro
ESET - Cyber Security ProESET - Cyber Security Pro
ESET - Cyber Security Pro
ESET | Enjoy Safer Technology (Deutsch)
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
Sven Wohlgemuth
 
Final cyber crime and security
Final cyber crime and securityFinal cyber crime and security
Final cyber crime and security
nikunjandy
 
Cyber crime & security
Cyber crime & securityCyber crime & security
Cyber crime & security
pinkutinku26
 
Cyber crime and security 1
Cyber crime and security 1Cyber crime and security 1
Cyber crime and security 1
indhuchezhian
 
Cyber Crime And Security
Cyber Crime And SecurityCyber Crime And Security
Cyber Crime And Security
Shaheda Afreen
 

Andere mochten auch (20)

Ppt0000001
Ppt0000001Ppt0000001
Ppt0000001
 
Malware Augeneder Hagmayr
Malware Augeneder HagmayrMalware Augeneder Hagmayr
Malware Augeneder Hagmayr
 
Sicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der WeltSicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der Welt
 
openHPI_Zertifikat
openHPI_ZertifikatopenHPI_Zertifikat
openHPI_Zertifikat
 
Die Gefahr Im Web
Die Gefahr Im WebDie Gefahr Im Web
Die Gefahr Im Web
 
Malwaretheorie
MalwaretheorieMalwaretheorie
Malwaretheorie
 
Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Gefahren Internet - Web 2010
Gefahren Internet - Web 2010
 
Glossar IT-Sicherheit
Glossar IT-SicherheitGlossar IT-Sicherheit
Glossar IT-Sicherheit
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?
 
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010
 
Cyber crime and cyber security
Cyber crime and cyber  securityCyber crime and cyber  security
Cyber crime and cyber security
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineering
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
ESET - Cyber Security Pro
ESET - Cyber Security ProESET - Cyber Security Pro
ESET - Cyber Security Pro
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
 
Final cyber crime and security
Final cyber crime and securityFinal cyber crime and security
Final cyber crime and security
 
Datenschutz
DatenschutzDatenschutz
Datenschutz
 
Cyber crime & security
Cyber crime & securityCyber crime & security
Cyber crime & security
 
Cyber crime and security 1
Cyber crime and security 1Cyber crime and security 1
Cyber crime and security 1
 
Cyber Crime And Security
Cyber Crime And SecurityCyber Crime And Security
Cyber Crime And Security
 

Ähnlich wie Ein Manifest für Cyber Resilience

«Science Fiction» findet schon heute statt - Digitalkompetenz in die Verwaltu...
«Science Fiction» findet schon heute statt - Digitalkompetenz in die Verwaltu...«Science Fiction» findet schon heute statt - Digitalkompetenz in die Verwaltu...
«Science Fiction» findet schon heute statt - Digitalkompetenz in die Verwaltu...
Michael Gisiger
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
TobiasBessel
 
Minibook Digitale Disruption – ein Buchauszug
Minibook Digitale Disruption – ein BuchauszugMinibook Digitale Disruption – ein Buchauszug
Minibook Digitale Disruption – ein Buchauszug
BusinessVillage GmbH
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
jiricejka
 
f/21 Quarterly Q1|2014
f/21 Quarterly Q1|2014f/21 Quarterly Q1|2014
f/21 Quarterly Q1|2014
f/21 Büro für Zukunftsfragen
 
SeEF 2013 | Intelligent vernetzt: mobil, sozial und lokal (Gerd Leonhard)
SeEF 2013 | Intelligent vernetzt: mobil, sozial und lokal (Gerd Leonhard)SeEF 2013 | Intelligent vernetzt: mobil, sozial und lokal (Gerd Leonhard)
SeEF 2013 | Intelligent vernetzt: mobil, sozial und lokal (Gerd Leonhard)
Swiss eEconomy Forum
 
Digitale Disruption
Digitale DisruptionDigitale Disruption
Digitale Disruption
BusinessVillage GmbH
 
Die Digitalisierung - Auslöser, Auswirkungen und Herausforderungen
Die Digitalisierung - Auslöser, Auswirkungen und HerausforderungenDie Digitalisierung - Auslöser, Auswirkungen und Herausforderungen
Die Digitalisierung - Auslöser, Auswirkungen und Herausforderungen
Hans Bellstedt Public Affairs GmbH
 
Ausgabe 04/2019 des eStrategy-Magazins
Ausgabe 04/2019 des eStrategy-MagazinsAusgabe 04/2019 des eStrategy-Magazins
Ausgabe 04/2019 des eStrategy-Magazins
TechDivision GmbH
 
eStrategy-Magazin - Ausgabe 03/2020
eStrategy-Magazin - Ausgabe 03/2020eStrategy-Magazin - Ausgabe 03/2020
eStrategy-Magazin - Ausgabe 03/2020
TechDivision GmbH
 
Silicon Valley and Big Data: The Hidden Side of the Digital Transformation
Silicon Valley and Big Data: The Hidden Side of the Digital TransformationSilicon Valley and Big Data: The Hidden Side of the Digital Transformation
Silicon Valley and Big Data: The Hidden Side of the Digital Transformation
Brand Trust GmbH
 
"Der digitale Drahtseilakt" - Ein Bericht von Fujitsu zur digitalen Transform...
"Der digitale Drahtseilakt" - Ein Bericht von Fujitsu zur digitalen Transform..."Der digitale Drahtseilakt" - Ein Bericht von Fujitsu zur digitalen Transform...
"Der digitale Drahtseilakt" - Ein Bericht von Fujitsu zur digitalen Transform...
Fujitsu Central Europe
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
caniceconsulting
 
Treasury im digitalen Wandel
Treasury im digitalen Wandel Treasury im digitalen Wandel
Treasury im digitalen Wandel
ConVista
 
Netzszene trifft Wirtschaft #Socialbar #StartupRheinSiegKreis
Netzszene trifft Wirtschaft #Socialbar #StartupRheinSiegKreisNetzszene trifft Wirtschaft #Socialbar #StartupRheinSiegKreis
Netzszene trifft Wirtschaft #Socialbar #StartupRheinSiegKreis
Gunnar Sohn
 
cysmo by PPI Cyber
cysmo by PPI Cybercysmo by PPI Cyber
cysmo by PPI Cyber
PPI AG
 
Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
Praxistage
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
Symantec
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 
DIE LOGIK DES SCHEITERNS. WAS ALLE VON DER DIGITALISIERUNG DES EINZELHANDEL...
DIE LOGIK DES SCHEITERNS.  WAS ALLE VON DER DIGITALISIERUNG DES  EINZELHANDEL...DIE LOGIK DES SCHEITERNS.  WAS ALLE VON DER DIGITALISIERUNG DES  EINZELHANDEL...
DIE LOGIK DES SCHEITERNS. WAS ALLE VON DER DIGITALISIERUNG DES EINZELHANDEL...
business4brands consulting GmbH
 

Ähnlich wie Ein Manifest für Cyber Resilience (20)

«Science Fiction» findet schon heute statt - Digitalkompetenz in die Verwaltu...
«Science Fiction» findet schon heute statt - Digitalkompetenz in die Verwaltu...«Science Fiction» findet schon heute statt - Digitalkompetenz in die Verwaltu...
«Science Fiction» findet schon heute statt - Digitalkompetenz in die Verwaltu...
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
 
Minibook Digitale Disruption – ein Buchauszug
Minibook Digitale Disruption – ein BuchauszugMinibook Digitale Disruption – ein Buchauszug
Minibook Digitale Disruption – ein Buchauszug
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 
f/21 Quarterly Q1|2014
f/21 Quarterly Q1|2014f/21 Quarterly Q1|2014
f/21 Quarterly Q1|2014
 
SeEF 2013 | Intelligent vernetzt: mobil, sozial und lokal (Gerd Leonhard)
SeEF 2013 | Intelligent vernetzt: mobil, sozial und lokal (Gerd Leonhard)SeEF 2013 | Intelligent vernetzt: mobil, sozial und lokal (Gerd Leonhard)
SeEF 2013 | Intelligent vernetzt: mobil, sozial und lokal (Gerd Leonhard)
 
Digitale Disruption
Digitale DisruptionDigitale Disruption
Digitale Disruption
 
Die Digitalisierung - Auslöser, Auswirkungen und Herausforderungen
Die Digitalisierung - Auslöser, Auswirkungen und HerausforderungenDie Digitalisierung - Auslöser, Auswirkungen und Herausforderungen
Die Digitalisierung - Auslöser, Auswirkungen und Herausforderungen
 
Ausgabe 04/2019 des eStrategy-Magazins
Ausgabe 04/2019 des eStrategy-MagazinsAusgabe 04/2019 des eStrategy-Magazins
Ausgabe 04/2019 des eStrategy-Magazins
 
eStrategy-Magazin - Ausgabe 03/2020
eStrategy-Magazin - Ausgabe 03/2020eStrategy-Magazin - Ausgabe 03/2020
eStrategy-Magazin - Ausgabe 03/2020
 
Silicon Valley and Big Data: The Hidden Side of the Digital Transformation
Silicon Valley and Big Data: The Hidden Side of the Digital TransformationSilicon Valley and Big Data: The Hidden Side of the Digital Transformation
Silicon Valley and Big Data: The Hidden Side of the Digital Transformation
 
"Der digitale Drahtseilakt" - Ein Bericht von Fujitsu zur digitalen Transform...
"Der digitale Drahtseilakt" - Ein Bericht von Fujitsu zur digitalen Transform..."Der digitale Drahtseilakt" - Ein Bericht von Fujitsu zur digitalen Transform...
"Der digitale Drahtseilakt" - Ein Bericht von Fujitsu zur digitalen Transform...
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
 
Treasury im digitalen Wandel
Treasury im digitalen Wandel Treasury im digitalen Wandel
Treasury im digitalen Wandel
 
Netzszene trifft Wirtschaft #Socialbar #StartupRheinSiegKreis
Netzszene trifft Wirtschaft #Socialbar #StartupRheinSiegKreisNetzszene trifft Wirtschaft #Socialbar #StartupRheinSiegKreis
Netzszene trifft Wirtschaft #Socialbar #StartupRheinSiegKreis
 
cysmo by PPI Cyber
cysmo by PPI Cybercysmo by PPI Cyber
cysmo by PPI Cyber
 
Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
DIE LOGIK DES SCHEITERNS. WAS ALLE VON DER DIGITALISIERUNG DES EINZELHANDEL...
DIE LOGIK DES SCHEITERNS.  WAS ALLE VON DER DIGITALISIERUNG DES  EINZELHANDEL...DIE LOGIK DES SCHEITERNS.  WAS ALLE VON DER DIGITALISIERUNG DES  EINZELHANDEL...
DIE LOGIK DES SCHEITERNS. WAS ALLE VON DER DIGITALISIERUNG DES EINZELHANDEL...
 

Mehr von Symantec

Symantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of BroadcomSymantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of Broadcom
Symantec
 
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec
 
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect ITSymantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec
 
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure ITSymantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec
 
Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec
 
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec
 
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec
 
Symantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec Mobile Security Webinar
Symantec Mobile Security Webinar
Symantec
 
Symantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat Report
Symantec
 
Symantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec Cloud Security Threat Report
Symantec Cloud Security Threat Report
Symantec
 
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec
 
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec
 
Symantec Webinar | Tips for Successful CASB Projects
Symantec Webinar |  Tips for Successful CASB ProjectsSymantec Webinar |  Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB Projects
Symantec
 
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec
 
Symantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year On
Symantec
 
Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019
Symantec
 
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec
 
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec
 
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec
 
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec
 

Mehr von Symantec (20)

Symantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of BroadcomSymantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of Broadcom
 
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
 
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect ITSymantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
 
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure ITSymantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
 
Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own IT
 
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
 
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
 
Symantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec Mobile Security Webinar
Symantec Mobile Security Webinar
 
Symantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat Report
 
Symantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec Cloud Security Threat Report
Symantec Cloud Security Threat Report
 
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
 
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
 
Symantec Webinar | Tips for Successful CASB Projects
Symantec Webinar |  Tips for Successful CASB ProjectsSymantec Webinar |  Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB Projects
 
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
 
Symantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year On
 
Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019
 
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front Lines
 
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
 
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
 
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
 

Ein Manifest für Cyber Resilience

  • 1. Ein Manifest für Cyber Resilience Definition von CyberUnbekannte Größen Bedrohungen von Gestern bekämpfen Faktor Mensch Wissen womansteht BYOD Cyber Resilience Bedrohung durch Mitarbeiter Revolutionäre
  • 2. 2 3 Definition von Cyber Resilience Cyberspace spielt bei Arbeit und Freizeit eine immer größere Rolle; er ist ein großer und st etig zunehmender Teil unseres realen Lebens. Zum aktuellen Zeitpunkt verbringen ca. 2,4 Milliarden Internetnutzer weltweit – 34 Prozent der Weltbevölkerung – mehr und mehr Zeit online.1 Dank unserer verschiedenen Cyber-Aktivitäten ist online eine Menge los, wodurch eine unaufhaltbare Bewegung entsteht – von der Art, die Revolutionen startet. Manche akzeptieren die Vorteile unseres Cyber-Lebens und neuen Geschäftsmodelle einschließlich der damit einhergehenden Risiken. Andere sind eher der Meinung, dass derartige Massentrends überlegtere Reaktionen erfordern. Doch für Debatten ist nur wenig Zeit. Was wir wirklich brauchen ist ein Aufruf zum Handeln. Unser Cyber-Leben von Risiken zu befreien bedeutet, vier entgegengesetzte Kräfte zu verstehen – die alle unterschiedliche Cyber-Risiken mit sich bringen und dringend die Aufmerksamkeit der Unternehmensführung erfordern: Demokratisierung – Der Slogan "Power to the People" verwirklicht sich, da Unternehmen lernen, mit Kunden über die von ihnen diktierten Kanäle zu arbeiten. Konsumerisierung – Die Auswirkungen der Vielzahl von Geräten bzw. – noch wichtiger – der Apps, die bei Arbeit und Freizeit unsere Cyber- Leben bestimmen. Externalisierung – Die Wirtschaftlichkeit der Cloud, drastische Kürzung der Kapitalausgaben und Aufrütteln der Art und Weise, wie Daten aus Unternehmen und Organisationen ein- und ausgehen. Digitalisierung – Die exponentielle Vernetzung, die entsteht, wenn Sensoren und Geräte das "Internet der Dinge" bilden. Wenn das Cyber-Risiko für einen dieser Trends beseitigt wird, erhöht sich dadurch lediglich die Bedeutung des nächsten. Wie bei den meisten "Best Practices" gibt es auch hier verschiedene richtige Antworten, was bestenfalls bedeutet, dass Sie die Umgebung Ihres Unternehmens optimieren können, um seine Anfälligkeit zu reduzieren. Aufgrund der oben genannten einflus- sreichen Kräfte kann das Cyber-Risiko nicht völlig ausgemerzt werden. Dieses Manifest skizziert einen Plan zur Reduzierung, nicht Eliminierung, der realen und zunehmenden Risiken, mit denen wir als Einzelpersonen, Unternehmen und Regierungen konfrontiert werden. Dieser Plan hat ein einfaches Ziel: Uns gegen Cyber-Angriffe zu wappnen. Demokratisierung Externalisierung Digitalisierung Konsumerisierung
  • 3. 4 5555555555555555555555555555555555 Aktueller Wissensstand Im Cyberspace wird das zuvor Unmögliche möglich. Ohne diese virtuelle Welt würden wir weiter wie in die Vergangenheit leben. Fragen Sie sich: • Welche Bankkunden möchten auf die Möglichkeit verzichten, in Sekundenschnelle Geld in andere Länder zu überweisen? • Was würde Geschäftsleute dazu bewegen, wieder für Flugtickets, Telefonzellen und Paketversand Schlange zu stehen? • Warum sollte jemand etwas per Luftfracht verschicken, das kostengünstiger vor Ort ausgedruckt werden kann? Die heutige Situation ist komplex, schnelllebig und potenziell verheerend für Unternehmen. Der Anteil mobiler Internetnutzung liegt aktuell zwar lediglich bei 15 Prozent, doch diese Zahl nimmt stetig zu – dank fünf Milliarden Mobiltelefone, von denen jedes Dritte ein Smartphone mit Internetzugang ist.1 Jeden Tag werden 500 Millionen Fotos ausgetauscht und der durchschnittliche Nutzer überprüft 23 Mal am Tag seine Nachrichten.1 Täglich fallen 1,5 Millionen Personen einem Cyber-Angriff zum Opfer, was jedes Jahr konservativ geschätzte Verluste im Wert von insgesamt 110 Milliarden US-Dollar zur Folge hat.2 Angriffe durch Malware bzw. bösartige Software im Internet nahmen 2012 um 30 Prozent zu und stiegen auf Mobilgeräten im gleichen Zeitraum um 139 Prozent an.3 Dabei ist entscheidend, dass es sich bei 62 Prozent der Websites, die Malware verbreiteten, um legitime Websites handelte, die manipuliert wurden.3 Immer noch nicht besorgt? Diese Cyber-Bedrohungen und ihre Raffiniertheit werden weiter zunehmen. Dies liegt daran, dass ältere Angriffsziele wie PC- Betriebssysteme an Bedeutung verlieren und neue webbasierte und mobile Plattformen sowie soziale Apps an ihre Stelle treten. Änderungen an der sogenannten Bedrohungslandschaft sind sicherheitstechnisch schwer in den Griff zu bekommen. Ohne einen gewissen Grad von Sicherheit, der zuvor nur in großen Unternehmen zu finden war, ist jeder anfällig. Wie wir noch sehen werden, ist Größe nur eines unserer Probleme.
  • 4. 6 7 Die unbekannten Einflüsse Zu wissen, was die Zukunft bringt, kann unser Leben bereichern. In der Cyber-Welt hingegen sorgen nicht vorhersehbare Absichten und unerwartete Konsequenzen für Chaos. Es ist schier unmöglich, sämtliche neuen Cyber- Bedrohungen vorherzusehen, denen Ihr Unternehmen ausgesetzt sein wird – manche davon sind noch gar nicht erfunden. Ob verärgerte "Hacktivisten" oder Cyber-Kriminelle, Cyber-Terroristen oder sogar staatlich sanktionierte Cyber-Armeen – die meisten haben den Überraschungseffekt auf ihrer Seite. Ihre Beweggründe sind vielseitig: von friedlichen Protesten über böswillige Absichten bis hin zu politischem oder persönlichem Vorteil. Die ihnen zur Verfügung stehenden Möglichkeiten zur Schaffung von Cyber-Risiken nehmen exponentiell zu, wodurch die Chancen für alle schlecht stehen, die nicht vorbereitet sind. Im Internet sind immer mehr einsatzfertige Malware-Kits erhältlich, die mit virtueller Währung, vor neugierigen Blicken geschützt, erworben werden. Die "Schattenwirtschaft" des Cyberspace wächst und gedeiht, und es gibt tatsächlich so etwas wie Ganovenehre. In ihren Kompetenzzentren, verborgen hinter hochsicherem Schutz, können sie sich so viel Wissen aneignen, dass nur wirklich hervorragend geschulte Sicherheitsexperten mit ihnen mithalten können. Dort können sie gestohlene Daten austauschen, die ihren Opfern, den ursprünglichen Eigentümern, ohne deren Wissen entwendet wurden. Gegen Bezahlung teilen sie ihr geheimes Wissen mit anderen Cyber-Betrügern. Dass Ihr gesetzestreues Unternehmen hier einen Blick hinter die Kulissen werfen kann, ist wohl eher unwahrscheinlich. Im Gegensatz zur realen Welt hilft es einem Opfer hier wenig, nur ein kleiner Fisch in einem großen Teich zu sein. Tatsächlich macht es dies sogar noch schlimmer: 31 Prozent aller Cyber-Angriffe richten sich gegen Unternehmen mit 1 bis 250 Mitarbeitern.2 Während Cyber-Bedrohungen für große Unternehmen inzwischen zur Tagesordnung gehören, sind deren kleinere Zulieferer für Cyber-Kriminelle wesentlich attraktiver. Die Lieferkette eines großen Unternehmens kann viel leichter von unten als von oben infiltriert werden.
  • 5. 8 9 Faktor Mensch Während zur Durchführung von 84 Prozent von Angriffen auf die Datensicherheit nur wenige Stunden erforderlich sind, kann es in 66 Prozent der Fälle Monate dauern, bevor sie entdeckt werden. Bei 22 Prozent dauert die Eindämmung dieser Datenpannen Monate oder sogar Jahre.4 Woran liegt das? Sie denken vielleicht, dass der Unterschied zwischen einem gegen Cyber- Angriffe gewappneten und einem dafür anfälligen Unternehmen in besseren Computern, leistungsfähigerer Software oder schnellerer Telekommunikation liegt. Leider ist dies fast nie der Fall. Zur Absicherung Ihres Unternehmens mag es durchaus notwendig sein, erstklassige Technologien einzusetzen. Doch dies ist oft nicht ausreichend. Neuere, schnellere Geräte allein retten in der Regel selten die Lage. Das schwächste Glied bei der Cyber-Sicherheit ist die Person, die dieses Manifest liest – also Sie und ich. Die IT-Abteilung ist das Herzstück aller organisatorischen Prozesse und ihr Einfluss reicht in sämtliche Abteilungen. Bisher war sie es, die für Cyber- Sicherheit zuständig war. In ihrer ehemaligen Funktion war sie hauptverant- wortlich für den Einkauf von Technologie. Doch diese Funktion ändert sich derzeit schnell zu der eines bewährten Beraters. Jüngste Untersuchungen ergaben, dass 14 Prozent des Cloud-Speichers, 13 Prozent der sozialen Medien und 11 Prozent der Bürosoftware ohne Wissen der IT-Abteilung erworben werden.5 Daten von Gartner belegen, dass das IT-Budget anstatt von seinen bisherigen "Eigentümern" immer häufiger von anderen Abteilungen verwaltet wird. An der Spitze liegt dabei die Marketingabteilung, von der erwartet wird, dass sie bis 2017 mehr für Technologie ausgibt als die IT-Abteilung.6 All dies bedeutet, dass das menschliche Element des Cyber-Risikos in Ihrem Unternehmen aller Wahrscheinlichkeit nach am größten ist, jedoch nicht in der IT-Abteilung. Die Konzentration des Fachwissens zur Cyber-Sicherheit ausschließlich in der IT-Abteilung ist heutzutage keine gängige Betriebspraxis mehr, sondern trägt lediglich dazu bei, das Unternehmen einem höheren Cyber- Risiko auszusetzen. Irren ist menschlich. Warum also nur einer einzigen Abteilung (nämlich der IT-Abteilung) die Aufgabe von Cyber Resilience zuweisen? Es ist höchste Zeit für den Wechsel zu einer gesamtheitlichen Sicherheitskultur. der anfänglichen Angriffe dauern Stunden oder weniger von Datenpannen werden monatelang nicht entdeckt von Datenpannen erfordern Monate oder länger zu ihrer Eindämmung 84 % 66 % 22 %
  • 6. 10 1111 Risiko 1 Unternehmen sind klein im Vergleich zur Bedrohung Weltweit gibt es nur wenige Unternehmen, die über ausreichend Ressourcen verfügen, um den Überblick über sämtliche Cyber-Bedrohungen zu behalten, die ein hochmotiviertes Team von Cyber-Kriminellen in Umlauf bringen kann. Selbst multinationale Konzerne können nur relativ kleine Teams einstellen. Außerdem sind die Bösen hier auch die Klugen. Sie haben schon vor langer Zeit gelernt, virtuelle Teams zu bilden, die über Landesgrenzen hinweg zum gegenseitigen Vorteil kooperieren. Sie verkaufen sich gegenseitig ihre Tricks und handelnmitgestohlenenIdentitätsdaten,umSicherheitssystemezuüberlisten,die zum Großteil noch entwickelt wurden, um landesinterne Gefahren abzuwehren, die aus einer Zeit vor Cyberspace und Mobilgeräten – und teilweise sogar noch vor dem Internet – stammten. Die eigentlichen Cyber-Angriffe sind weiterhin relativ primitiv, doch Ausmaß allein ist nicht das Problem. Die meisten Unternehmen beherrschen bereits die Grundlagen der Cyber-Sicherheit. Dadurch lässt sich die Anzahl von Cyber-Attacken, die von einem durchschnittlichen Benutzer ausgeführt werden könnten, auf 10 Prozent beschränken. Die Schwierigkeit besteht darin, die nächste Stufe der Sicherheit zu erreichen, da 78 Prozent nur die "grundlegenden" online verfügbaren Ressourcen nutzen, ohne Anpassungen vorzunehmen.4 Ein Problem könnte die Herangehensweise sein. Bisher bestand die natürliche Reaktion der meisten IT-Sicherheitsbeauftragten darin, weitere Sicherheitstools zu erwerben. Doch derart unsystematische Ansätze scheitern bei größeren Implementierungen. Es wäre besser, sich zunächst einen umfassenderen Überblick über die Sicherheitslage des Unternehmens zu verschaffen und dann entsprechende Maßnahmen zu ergreifen. In Zukunft werden Cyber-Angreifern vermutlich noch mehr Angriffsziele zur Wahl stehen. Das Bemühen um höhere Effizienz führt zu einer immer stärkeren Vernetzung von Systemen, bei denen intelligente Messgeräte zur Verwaltung des Energieverbrauchs, Sensoren zur Steuerung der Produktion sowie RFID-Tags zur Verfolgung von Lieferungen eingesetzt werden. Cyber- Technologie wird also nicht länger überwiegend von der IT-Abteilung verwendet, in der Tat sind ihre Benutzer oftmals noch nicht einmal Menschen. Aufgrund der globalen Beschaffenheit der Bedrohungen können nur sehr wenige privilegierte Unternehmen und Organisationen – die meisten davon im Verteidigungssektor – ihre gesamte Zeit darauf aufwenden, Cyber-Kriege zu führen. Alle anderen müssen erst einmal ihren eigentlichen Berufen nachgehen, sei es Versicherungsansprüche bearbeiten, Schuhe verkaufen oder Autos reparieren. Wir müssen unsere Mittel wohlüberlegt investieren, um Cyber-Angriffen gegenüber abwehrfähiger zu werden. Welche Chance haben da die Kleinen? Die Antwort für Sicherheitsbeauftragte besteht darin, sich genauso zusammenzuschließen wie es ihre Angreifer bereits getan haben. Die Zusammenlegung von Ressourcen und der Informationsaustausch über die Schwere von Bedrohungen könnten den Kampf ausgleichen.
  • 7. 12 1313 Risiko 2 Wer die Bedrohungen von Gestern bekämpft, verliert den Krieg Cyber-Gefahren sind inzwischen immer subtiler, individueller angepasst und verbreiteter geworden. Dadurch wird ihre Erkennung zunehmend schwieriger. So schwierig, dass jemand schon äußerst mutig sein müsste, um zu behaupten, dass irgendein mit dem Internet verbundenes IT-System (praktisch alle kommerziellen Systeme) unangreifbar sei. In der Vergangenheit haben "Wände aus Stahl" keine Erfolge gezeigt – menschliche Intelligenz kann sie umgehen. Bei den gerisseneren Cyber- Bedrohungen von heute handelt es sich selten um Frontalangriffe. Sie sind individueller zugeschnitten und greifen viele Sicherheitslücken gleichzeitig an, wodurch ihre Folgen verheerender sind. Ganz gleich, ob ihre Payloads per Internet, E-Mail oder Mobilgerät eingeschleust wurden: Sie warten geduldig und lautlos als residente Botnets auf infizierten Systemen und können auf Befehl aus ihrem Schlummer erweckt werden – selbst nachdem die Infektion erkannt und das "Tor geschlossen" wurde. Veraltete Denkweisen in Bezug auf Cyber-Sicherheit nutzen nur wenig. Angesichts dieses ständigen diabolischen Katz- und Maus-Spiels besteht die beste Strategie nicht in der isolierten Beseitigung einzelner Bedrohungen, sondern in einem langsamen, entschlossenen und fortlaufenden Bemühen um Cyber Resilience. Cyber Resilience akzeptiert die Tatsache, dass es keine Patentlösung gibt, keine Wunderwaffe und ganz sicher keine Kavallerie, die rettend am Horizont erscheint. Dieses Konzept vertritt die Auffassung, dass die beste Taktik in einer durchdachten Abwehr besteht. Ziel hierbei ist es, ungleiche Verhältnisse zu schaffen, bei denen der Zugriff auf Ihre Systeme schwieriger und weniger profitabel ist als bei anderen Systemen. Mit besseren Informationen können Sie bessere Entscheidungen treffen. Kein Risiko einzugehen kann im modernen Geschäftsumfeld schließlich ebenso eine riskante Entscheidung sein. Die erfolgreichste Methode, Ihre Cyber Resilience zu stärken, besteht darin, sich einen besseren Überblick über die Bedrohungen zu verschaffen, denen Ihr Unternehmen ausgesetzt ist.
  • 8. 14 15 Risiko 3 Ignorieren der Rolle von Mitarbeitern Mitarbeiter werden oftmals als der größte Vermögenswert eines Unternehmens bezeichnet. Die Realität sieht jedoch so aus, dass sie aus sicherheitstechnischer SichtbetrachtetebensodiegrößteGefahrdarstellenkönnen.Identitätsdiebstahl und der physische Diebstahl ungeschützter Geräte – oftmals begünstigt durch die großzügigen BYOD-Richtlinien von heute – komplizieren das Ganze. Während Sicherheit früher die alleinige Verantwortung von IT-Mitarbeitern war, kann sie heute nicht nur ihnen überlassen werden. Was der eine als "Schatten-IT" (nicht offiziell genehmigte Technologieausgaben) ansieht, ist für den anderen der schnellste Weg zu mehr Innovation. Ein hartes Durchgreifen der IT-Experten bei Technologien, die andere als wichtige Produktivitätstools erachten, führt mit Sicherheit dazu, dass sie bei künftigen Diskussionen nicht mehr mit einbezogen werden. Auch an den Einstellungen der Mitarbeiter muss sich etwas ändern. Umfragen zeigen, dass 53 Prozent der Mitarbeiter der Auffassung sind, es sei in Ordnung, sich betriebliche Daten anzueignen, da "es dem Unternehmen nicht schade".7 Doch ist dies ihre Entscheidung? Sicherlich ist es besser, die Kompetenzen nicht-technischer Mitarbeiter zu stärken und so unbeabsichtigten Missbrauch zu verringern. Auf diese Weise erhalten sie das notwendige Wissen, um Technologieentscheidungen zu treffen und Prozesse zu implementieren, die die Cyber Resilience des Unternehmens stärken. Dies ist wichtig angesichts der Tatsache, dass 35 Prozent aller Datenpannen auf derartiges Verhalten zurückzuführen sind und diese unmoralischen Handlungsweisen stark zunehmen, wenn Mitarbeiter im Begriff sind, das Unternehmen zu verlassen.8 Hierbei geht es keineswegs darum, dass die IT-Abteilung ihre Verantwortung abgeben soll, sondern vielmehr um eine Gelegenheit, IT-Expertenwissen in einen Wettbewerbsvorteil zu verwandeln. Nicht im IT-Bereich beschäftigte Mitarbeiter sollten mit ihren technisch versierteren Kollegen übereinkommen und sich von diesen zeigen lassen, wie Cyber Resilience das Potenzial ihres Unternehmens erhöhen kann. Im Cyberspace ist Unwissenheit kein Segen – sondern eine Herausforderung für die Kommunikation und Organisation. Mit anderen Worten: eine ungenutzte kommerzielle Chance.
  • 9. 16 17 Cyber-Angriffen gegenüber abwehrfähig werden 1 Wissen, wo Ihr Unternehmen steht Im Managementbereich gibt es eine Redensart: Man kann nur managen, was man auch messen kann. Die meisten Cyber-Angriffe werden gar nicht bemerkt, geschweige denn gemessen. Das gleiche gilt auch für die Risiken, die sie darstellen.4 Wie können wir also bewerten, wie stark wir gefährdet sind? Eine Bewertung durch externe Prüfer ist die Antwort. Genauer gesagt: Für Unternehmen, die dem Risiko eines Cyber-Angriffs ausgesetzt sind, ist eine umfassende Cyber-Bewertung von Mitarbeitern, Prozessen und Produkten unerlässlich. Ehrlichkeit, so langweilig dies einigen auch erscheinen mag, ist der erste Schritt auf dem Weg zu Cyber Resilience. Selbstverständlich sind eine unabhängige Prüfung der Sicherheitslücken sowie das Baselining von Technologie und Prozessen ein guter Anfang. Doch dies ist nur ein erster Schritt. Wie wäre es mit einem Benchmark, um ihre Bewertung mit der ähnlicher Unternehmen zu vergleichen? Oder mit einigen praktischen Empfehlungen, die auf einer Lückenanalyse basieren, bei der der aktuelle und der Wunschzustand des Unternehmens bewertet wurden? Damit übernimmt die IT-Abteilung eine echte strategische Funktion. Ausgestattet mit dieser Art von Informationen zeichnet sich der Weg zu Cyber Resilience bereits deutlicher ab. Noch besser ist es, wenn jene unbekannten Größen, die wir zu Beginn erwähnt haben, zu tatsächlichen Handlungspunkten werden, nicht nur für die IT-Abteilung, sondern für das gesamte Unternehmen. Durch derartige Erkenntnisse erhalten Sie dann einen unfairen Vorteil. Cyber Resilience ist nicht gleichbedeutend mit Immunität vor Cyber-Angriffen. Ihr eigentlicher Zweck besteht darin, dafür zu sorgen, dass die Sicherheitslücken Ihres Unternehmens für Angreifer weniger attraktiv werden. Doch erst wenn eine Baseline und ein unternehmensweites Ziel vorhanden sind, können Sie Prioritäten setzen und dann zunächst die gravierendsten Cyber-Probleme angehen, mit denen das Unternehmen konfrontiert ist.
  • 10. 18 In der guten alten Zeit gab es eine kleine Anzahl Mitarbeiter, die für die IT zuständig waren. Das funktionierte problemlos, als Computer noch von Informatikern in speziellen Räumen eingeschlossen wurden. Heutzutage jedoch spazieren vertrauliche Daten in den Jackentaschen von Mitarbeitern herum, und gelegentlich auch in den Jackentaschen von Partnern Ihres Unternehmens sowie deren Partner und so weiter... Die Zeiten haben sich geändert. Erstens bedeuten Ihre "unbekannten Größen", dass der Geist aus der Flasche entwichen ist. Best Practices für die Cyber- Sicherheit vor Ort können Ihr Unternehmen nur insoweit schützen, wie das schwächste, am wenigsten sichere Glied Ihres Teams oder Ihrer erweiterten Lieferkette diese auch anwendet. Sie selbst mögen zwar gute Arbeit leisten und Kennwortrichtlinien verfassen oder sogar durchsetzen, Geräte sperren oder ISO-Normen einhalten – dadurch wird das Unternehmen noch lange nicht Cyber-Attacken gegenüber abwehrfähig. Es sei denn, Sie können sicherstellen, dass alle anderen ähnliche Standards befolgen, von der Putzkolonne über Ihre Rechnungsprüfer und externen Catering-Mitarbeiter bis hin zu Ihren Anwälten. Zweitens, wie bereits erwähnt, prognostizieren Analysten, dass in Kürze mehr Technologieausgaben von Mitarbeitern, die nichts mit der IT-Abteilung zu tun haben, getätigt werden als von solchen, in deren Positionsbezeichnung "IT" oder sogar "IT-Sicherheit" zu finden ist. Es ist also an der Zeit, unkon- ventionell zu denken und über die IT-Abteilung, Tätigkeitsbeschreibungen und Organisationsgrenzen hinauszuschauen. Und drittens: Auch wenn Sie Ihre gesamte Berufskarriere im IT-Bereich verbracht haben, ist es unwahr- scheinlich, dass Ihre bisherigen Erfahrungen Sie auf die Rolle vorbereitet haben, die der Cyberspace in unserem heutigen Leben einnimmt. Cyber-Angriffen gegenüber abwehrfähig werden 2 Coachen SÄMTLICHER Mitarbeiter Während Sie damit kämpfen zu bestimmen, wo genau sich Ihr Unternehmen im Hinblick auf Cyber-Risiken befindet und womit Sie beginnen sollen, um es gegen Cyber-Attacken zu wappnen, bahnt sich für manche eine noch größere Herausforderung an – nämlich Schluss zu machen mit technischem Fachchi- nesisch. Mit Ihren Kollegen zu kommunizieren ist entscheidend, doch ohne diese eine simple Fähigkeit werden Sie scheitern: Die Fähigkeit, den jahrelang genutzten Fachjargon für IT und IT-Sicherheit zu vergessen. Nicht nur ist er unnötig, er entkräftet zudem Ihre Argumente. Fachjargon ist der wahre Feind von Cyber Resilience.
  • 11. 20 Wiewirgezeigthaben,istesnutzlos,alleinanCyberResiliencezuarbeiten.Cyber- Risiken gehen von unsichtbaren und cleveren Feinden aus. Diese bestehen aus Zellen, die sich dynamisch bilden, auflösen und neu bilden können. Mit dieser Fähigkeit gleichzuziehen ist weder praktisch noch wünschenswert, und außerdem – wer soll dann Ihre eigentliche Arbeit machen? "Wer nicht aus vergangenen Fehlern lernt, wird sie erneut begehen", mahnen uns die Philosophen. Doch Sie sind nicht allein. Im Cyberspace gilt, dass Gemeinsamkeit stark macht. Warum untätig warten, während Ihr Unternehmen berät, für welche Cyber Resilience-Strategie es sich entscheiden soll? Viel sinnvoller ist es doch, sich mit anderen zusammenzutun, die dieselben Überzeugungen teilen wie Ihr Unternehmen, um Sicherheitsinformationen zusammenzuführen und gemeinsam Strategien zu entwickeln. Dank Ihrer Kompetenzen sind Sie in einer hervorragenden Position, um Ihrem Unternehmen zu helfen, sich besser gegen Cyber-Attacken zu wappnen. Einige sind der Auffassung, dass dies die einzige Strategie ist, die angesichts der permanenten Bedrohung Aussicht auf Erfolg hat. Stellen Sie sich eine Zentrale für Cyber-Sicherheitsinformationen vor, die wie ein stark stimuliertes virtuelles Gehirn Millionen kleiner Beobachtungen aus den Cyber-Problemen konsolidiert, mit denen Tausende von Unternehmen und Millionen von Benutzern konfrontiert sind, um so einen klaren Einblick in die Cyber-Bedrohungen zu erhalten, denen Ihr Unternehmen ausgesetzt ist. Vergleichen Sie diese zukünftige Funktion als Herzstück eines gegen Cyber- Attacken gewappneten Unternehmens, das seine Mitbewerber hinter sich lässt, mit der heutigen Sichtweise, bei der der IT-Abteilung die Schuld zugeschoben wird, wenn etwas schief geht. Das soll nicht heißen, dass die Grundlagen nicht wichtig sind. Die Informationen aus vorhandenen Sicherheitskontrollen sind von großer Bedeutung. Die neue Funktion der IT-Abteilung ist die eines Kompetenzzentrums für die Bewertung des Cyber-Risikos. Sie soll Führungskräften neue Wegweiser bereitstellen, anhand derer diese die Cyber Resilience ihres Unternehmens beurteilen können. Cyber-Risiko macht nicht vor IT-, Abteilungs- oder sogar Landesgrenzenhalt.CyberResilienceisteinTeamsport,dervonFührungskräften wie Ihnen gespielt wird. Verpassen Sie den Zug nicht, er steht zur Abfahrt bereit. Cyber-Angriffen gegenüber abwehrfähig werden 3 Cyber Resilience zu einem Wettbewerbsvorteil machen
  • 12. 22 23 Fazit Die Resultate unseres Einzugs in der Cyber-Welt sind bereits beeindruckend, dabei stehen wir gerade erst am Anfang. Das Erstaunliche ist, dass es für diesen Fortschritt lediglich der Fähigkeit bedarf, Daten sicher senden und empfangen zu können. Doch das ist leider ein komplexer technologischer Kraftakt. Wie der Futurist und Autor Arthur C. Clarke bereits feststellte: "Jede hinreichend fortschrittliche Technologie ist von Magie nicht zu unterscheiden." Der Cyberspace ist jedoch zu wichtig, um nur "Magie" zu sein. Auf persönlicher Ebene gefährden Cyber-Risiken unsere Identität und unsere Privatsphäre. Auf globaler Ebene bedrohen Cyber-Risiken die Stabilität von Regierungen undBankensystemen.CyberspacemussvonUnternehmenundFührungskräften öffentlich-rechtlicher Organisationen genauso verstanden werden können wie Energie, Wasser, Talent und andere wesentliche Faktoren in der realen Welt. Zum aktuellen Zeitpunkt ist dies nicht der Fall. Von oben erlassene Verordnungen werden keinen Erfolg zeigen. Dazu bewegt sich die Cyber-Welt viel zu schnell. Nur eine informierte und dennoch flexible Basisbewegung hat überhaupt Erfolgsaussichten. IT-Experten spielen hier eine entscheidende Rolle, vorausgesetzt sie können: 1. Effektiv beurteilen, auf welchem Stand die Cyber Resilience ihres Unternehmens sich aktuell befindet. Dabei müssen sie schneller und rigoroser vorgehen als bisher. 2. Alle Mitarbeiter zu einem Teil ihrer Cyber Resilience machen. Sie müssen alle Personen in der Lieferkette des Unternehmens entsprechend aufklären und schulen, um ein Gleichgewicht zwischen der gewünschten Innovation und der erforderlichen Cyber Resilience zu erzielen. 3. Cyber Resilience einsetzen, um langfristig einen strategischen Wettbewerbsvorteil für ihr Unternehmen zu erzielen. Es ist zu hoffen, dass die in diesem Manifest gezündeten "Ideengranaten" die Kettenreaktionstarten,dienotwendigist,damitIhrUnternehmenCyberResilience erreicht. Wenn dies der Fall ist, sollten Sie erwägen, sich mit den Experten bei Symantec zusammenzuschließen, um Tausenden von Geschäftsführern und Vorstandsvorsitzenden dabei zu helfen, ihre Unternehmen gegen Cyber-Angriffe zu wappnen. Die Cyber-Bewertungen, Sicherheitsprodukte und Services von Symantec helfen Millionen von Benutzern. Cyber Resilience Cyber definieren Baseline BYOD Cloud IT Business Lieferkette Heute Vor Ort Kern-IP Geschulte Mitarbeiter Künftige Lieferkette Cloud Outsourcing Umstellung Morgen Cyber- Bedrohungen Evolution beeinflussen Veralteter Ansatz Strategische Abwehrstärke
  • 13. 24 25 Kontakte Referenzen Symantec Limited Ballycoolin Business Park Blanchardstown, Dublin 15, Irland Tel. : +353 1 803 5400 Fax : +353 1 820 4055 www.symantec.de 1 – Mary Meeker, KPCB, 2013 Internet Trends 2 – Norton Cybercrime Report 3 – Symantec ISTR 2012 4 – Verizon DBIR 2013 5 – Economist Intelligence Unit, Juli 2013 "Security Empowers Business – unlock the power of a protected enterprise" 6 – Gartner-Webinar, Januar 2013 "By 2017 the CMO will spend more than the CIO" von Laura McLellan 7 – Symantec-Whitepaper 2013: "Deins ist meins: Wie Mitarbeiter Ihr geistiges Eigentum gefährden" 8 – Symantec-Studie 2013 zu den Kosten von Datenpannen Revolutionen werden durch unaufhaltbare Bewegungen gestartet. Symantec möchte sich an Ihren Cyber-Maßnahmen beteiligen. Unsere Produkte und Services sind dafür bekannt, dass sie bei Cyber-Know-how zukunftsweisend sind. Tauschen Sie sich noch heute aus und werden Sie Teil des Widerstands. Nehmen Sie mit uns Kontakt auf, um sich für eine anfängliche CyberV-Bewertung anzumelden. http://www.emea.symantec.com/cyber-resilience/ Symantec ist ein weltweit führender Anbieter für Sicherheits-, Speicher- und Systemverwaltungslösungen, die Kunden bei der Absicherung und Verwaltung ihrer Informationen und Identitäten unterstützen. Symantec und das Symantec-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder der mit ihr verbundenen Unternehmen in den USA oder in anderen Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein. © 2013 Symantec Corporation. Alle Rechte vorbehalten. Alle Produktinformationen können sich jederzeit ohne vorherige Ankündigung ändern. Symantec (Deutschland) GmbH, Wappenhalle, Konrad-Zuse-Platz 2-5, 81829 München, Amtsgericht München, HRB 148165, USt-IdNr.: DE119364980, Geschäftsführer: Aidan Flynn und Norman Osumi. 12/12 Symantec (Deutschland) GmbH Wappenhalle Konrad-Zuse-Platz 2-5 D-81829 München Tel.: +49 (0)89 9 43 02-0 Fax: +49 (0)89 9 43 02-950 www.symantec.de Symantec (Austria) GmbH Wipplinger Strasse 34 1010 Wien Tel: +43 1 532 85 33 Fax: +43 1 532 85 33 33 33 www.symantec.at Symantec Switzerland AG Schaffhauserstrasse 134 CH - 8152 Glattbrugg Tel: +41 (0)44 305 72 00 Fax: +41 (0)44 305 72 01 www.symantec.ch