Was sind die größten und interessantesten Geschichten in der sich ständig verändernden Welt der Cybersicherheit, Risikominderung und Information Governance?
Es ist schwieriger denn je, das Feld einzugrenzen - weil sich die Welt so schnell verändert. Aber wir geben unser Bestes und stellen Ihnen 9 Themen vor, die uns in diesem Quartal aufgefallen sind. Es handelt sich um eine interessante Mischung aus GRC- und Cybersicherheitsthemen, die zeigen, wie viele verschiedene Kräfte und Trends auf der ganzen Welt am Werk sind.
> Mitarbeiter und Cyberkriminalität in sozialen Medien? Sie kostet Unternehmen Milliardenbeträge
Jedes fünfte Unternehmen wurde mit Malware infiziert, die über soziale Medien verbreitet wurde, und die durch soziale Medien ausgelöste Cyberkriminalität beschert den Bösewichten weltweit mindestens 3,25 Milliarden Dollar Jahresumsatz.
Eine bemerkenswerte Bedrohung geht von Cryptojacking aus, bei dem Computer von Angestellten oder Privatpersonen gekapert werden, um Kryptomining-Operationen durchzuführen, und hat Ransomware als Hauptbedrohung für Computer von Privatpersonen und Unternehmen überholt.
Vier der fünf wichtigsten Websites, auf denen Kryptomining-Code gehostet wird, sind Websites sozialer Medien, und diese Websites enthalten bis zu 20 % mehr Methoden zur Verbreitung von Malware als E-Commerce-, digitale Medien- oder Unternehmens-Websites. Eine solide Lösung für die Verwaltung von Social-Media-Richtlinien als Teil Ihrer Cybersicherheitsstrategie ist daher wichtiger denn je.
> Geht Russland gegen Cyber-Kriminelle vor oder schützt es seine eigenen?
Die russische Regierung hat einen ehemaligen Leiter ihrer Cyberspionageabteilung und eine Führungskraft von Kaspersky Labs zu hohen Strafen verurteilt. Der "Verrat", für den sie verurteilt wurden, ist der eigentliche Grund für die Aufregung. Nachrichtenorganisationen und Beobachter behaupten, die beiden würden dafür bestraft , dass sie den US-Geheimdiensten Hinweise auf die Verantwortlichen für die russischen Hacking-Aktivitäten im Zusammenhang mit der US-Präsidentschaftswahl 2016 gegeben haben.
Kapersky ist natürlich eine der weltweit führenden Cybersicherheitsfirmen und Anbieter von Tools wie der hypnotischen (und erschreckenden) Echtzeit-Cyberbedrohungskarte. Wenn Russlands Definition von "Verrat" sich auch auf Sicherheitsexperten erstreckt, die mit ausländischen Strafverfolgungsbehörden zusammenarbeiten, könnte dies eine abschreckende Wirkung auf die künftige grenzüberschreitende Zusammenarbeit bei der Bekämpfung der Cyberkriminalität haben. Zumindest ist das wahrscheinlich der Fall, wenn eines der fraglichen Länder in Sachen Cybersicherheit seine eigene nationalistische Agenda zu verfolgen scheint.
> Datenschutzverletzungen bei Finanzdienstleistungen in Großbritannien stiegen 2018 um 480 %.
Sie haben richtig gelesen. Einem neuen (kostenpflichtigen) Bericht der Financial Times zufolge haben Hacker britische Finanzdienstleistungsunternehmen ins Fadenkreuz genommen. Daten der britischen Finanzaufsichtsbehörde Financial Conduct Authority zeigen, dass die Zahl der Datenschutzverletzungen bei Finanzdienstleistern im vergangenen Jahr um das Fünffache gestiegen ist.
"Unternehmen meldeten der FCA im vergangenen Jahr 145 Verstöße, gegenüber 25 im Jahr 2017, wobei Investmentbanken mit 34 die höchste Anzahl von Vorfällen meldeten, gegenüber nur drei im Vorjahr."
Die Untersuchung deutet darauf hin, dass Cyberkriminelle es auf Investmentbanken abgesehen haben, weil sie glauben, dass deren Sicherheitsvorkehrungen denen von Privatkundenbanken unterlegen sind. Die Arten von Daten, die Investmentbanken speichern, sind potenziell lukrativer; M&A-Daten könnten beispielsweise für den Insiderhandel genutzt werden.
Andere Bereiche, in denen die Zahl der von FinServ gemeldeten Datenschutzverletzungen erheblich gestiegen ist?
- Im Jahr 2018 meldeten die Versicherer 33 Datenschutzverletzungen, 2017 waren es sieben.
- Unternehmen, die Privatkundenkredite vergeben, meldeten im Jahr 2018 21 Verstöße, gegenüber vier im Vorjahr.
- Wertpapierfirmen für Kleinanleger verzeichneten im Jahr 2018 11 Verstöße, gegenüber keine im Jahr 2017.
Gibt es etwas Positives? Einige sind der Meinung, dass dieser Sprung eher ein Zeichen dafür ist, dass die Einführung der DSGVO und ein größeres Bewusstsein für Cyberbedrohungen die Berichterstattung der Finanzdienstleister verbessert hat. Es ist vielleicht kein Zufall, dass im Juni 2018, dem ersten Monat nach der DSGVO, die meisten Meldungen über Datenschutzverletzungen eingingen.
> Der Datenschutz wird in Kalifornien verschärft
In den Augen mancher Kritiker ist der Golden State aufgrund seiner Vorliebe für Verbraucherschutzvorschriften bereits eine gute Gelegenheit für Sammelklagen. Wenn neue Änderungen des Datenschutzes die für das bestehende kalifornische Verbraucherschutzgesetz (CCPA) vorgeschlagen wurden, in Kraft treten, Verbraucher können Tech-Giganten verklagen wie Google und Facebook, wenn sie das Gefühl haben, dass ihre Datenschutzrechte verletzt wurden.
Lobbyisten und Sprecher des Silicon Valley sind bereits auf dem Kriegspfad gegen den Gesetzesentwurf und behaupten, dass er niemandem außer den Anwälten für Sammelklagen nützen wird. Befürworter verweisen jedoch auf Vorfälle wie das Cambridge-Analytica-Debakel von Facebook als Beweis für die Notwendigkeit einer weiteren Regulierung.
"Die Tech-Industrie hat sich von Natur aus gegen jede Form der Regulierung gewehrt", sagt die Befürworterin des Gesetzes, Senatorin Hannah-Beth Jackson, eine Demokratin aus Santa Barbara. "Es handelt sich um eine Branche, die den Wilden Westen wieder aufleben lässt: keine Regeln, keine Grenzen, keine Regulierung. Wir haben den Wendepunkt erreicht."
Ähnlich wie die DSGVO als Modell für andere Vorschriften angesehen wurde, wird der CCPA von anderen US-Bundesstaaten als Vorlage für ihre eigenen Datenschutzgesetze betrachtet, zum Beispiel von Washington. In seiner jetzigen Fassung ist der CCPA sogar noch weiter gefasst als die GDPR. Unternehmen, die sich sicher fühlen, dass sie die GDPR einhalten, könnten also ein böses Erwachen erleben, wenn sie mit dem CCPA in Konflikt geraten.
> US-Regulierungsbehörden gehen bei der Einhaltung von Cybersicherheitsbestimmungen hart vor
Es reicht nicht aus, ein Programm zur Einhaltung der Cybersicherheit zu haben. In den Augen vieler US-Regulierungsbehörden muss es einem höheren Standard entsprechen - oder die Strafen, die sie verhängen, können sich häufen.
Ein typisches Beispiel: Am 25. Januar beantragte die North American Electric Reliability Corporation (NERC) bei der Federal Energy Regulatory Commission (FERC) die Genehmigung eines stark geschwärzten Vergleichs über eine Rekordstrafe von 10 Millionen Dollar gegen "ein nicht identifiziertes Versorgungsunternehmen" wegen mehrjähriger Verstöße gegen die Normen für den Schutz kritischer Infrastrukturen (KVP).
Obwohl das Versorgungsunternehmen zu diesem Zeitpunkt über ein internes Compliance-Programm verfügte, stellte NERC fest, dass es aufgrund mangelnder Unterstützung und Verantwortlichkeit seitens des Managements, schlechter Aufsicht, Dokumentation und Schulung sowie organisatorischer Silos, die zu mangelnder Kommunikation und Verwirrung führten, mangelhaft war.
Mit anderen Worten? Sie wurden für die gleichen Faktoren gerügt, die auch in zu vielen anderen Unternehmen zu finden sind. Diese Versäumnisse erhöhen ernsthaft das Risiko eines ähnlichen Regulierungsschocks, wenn der Täter in einem stark regulierten Sektor wie den Finanzdienstleistungen oder dem Gesundheitswesen tätig ist. Die Einführung einer aktiven Compliance-Kultur istalso absolut notwendig.
> "Formjacking" liegt bei Cyber-Kriminellen voll im Trend
Ein neuer Cybersicherheitsbericht von Symantec erklärt, wie Formjacking, die "Verwendung von bösartigem JavaScript-Code, um Kreditkartendaten und andere Informationen aus Zahlungsformularen auf den Kassenseiten von E-Commerce-Websites zu stehlen", eine neue Attraktion für Cyberkriminelle darstellt . Die Daten von Symantec zeigen, dass im vergangenen Jahr jeden Monat 4.818 Websites mit Formjacking-Code angegriffen wurden. Der Diebstahl von nur zehn Kreditkarten auf diese Weise könnte Gaunern bis zu 2,2 Millionen Dollar pro Monat einbringen.
Hackerangriffe auf große Unternehmen wie British Airways und Ticketmaster machen Schlagzeilen, doch laut Symantec sind auch kleine und mittelgroße Einzelhändler, die von Kleidung bis hin zu Gartengeräten alles anbieten, häufig betroffen. "Dies ist ein globales Problem, das jedes Unternehmen betreffen kann, das Online-Zahlungen von Kunden akzeptiert", heißt es in dem Bericht.
> Reine Frauenarbeitsplätze als Reaktion auf #MeToo auf dem Vormarsch
Eine Möglichkeit, Klagen wegen sexueller Belästigung und geschlechtsspezifischer Voreingenommenheit einzudämmen, sehen einige Unternehmen und Unternehmer darin. Das ist ganz einfach: Entfernen Sie die Männer.
In den USA haben sich immer mehr reine Frauenarbeitsplätze und auf Frauen ausgerichtete Arbeitsplätze etabliert. Einige wurden eingerichtet, bevor #MeToo Feuer fing, aber sie haben sicherlich von der Bewegung profitiert. Sie haben sich auch den Wunsch der weiblichen Beschäftigten zunutze gemacht, ein unterstützendes Arbeitsumfeld zu schaffen, das sich deutlich von der traditionellen Unternehmenskultur unterscheidet.
Wie erfolgreich dies sein wird, ist eine gute Frage. Vor allem, weil die Minderung einer Art von Risiko eine andere Quelle der Gefährdung geschaffen hat, die an die Stelle der Klagen wegen sexueller Belästigung getreten ist: Gegen einige dieser Betriebe wurden von Männern Klagen wegen geschlechtsspezifischer Diskriminierung eingereicht, die in mindestens einem Fall zu Änderungen der Mitgliedschaftspolitik führten .
> In Zeiten von #MeToo wenden sich Unternehmen an Reputationsmanagement-Firmen
Da die #MeToo-Bewegung immer weiter voranschreitet und in jüngster Zeit einige sehr bemerkenswerte Beweise für ihre Reichweite erbracht hat, machen sich Unternehmen zunehmend Gedanken über ihr Potenzial für Reputationsschäden und die Gefährdung durch #MeToo-Ansprüche. Nach Recherchen von CNBC zählten 2018 etwa 30 % der von der US-Börsenaufsichtsbehörde (SEC) vorgeschriebenen Jahresberichte von Unternehmen "Reputationsrisiken" zu ihren Risikofaktoren.
Deshalb wenden sie sich an Berater für Reputationsmanagement, die eine gründliche Analyse der Unternehmensführung und der Unternehmenskultur durchführen, um festzustellen, wo Probleme mit sexueller Belästigung auftreten, und um Empfehlungen zu geben, wie diese Probleme gelöst werden können, bevor sie an die Öffentlichkeit gelangen. Manchmal bedeutet das auch, dass die Führungskräfte vor die Tür gesetzt werden.
Unternehmen sehen sich bei schlechten Praktiken mit horrenden rechtlichen Konsequenzen konfrontiert und sind nicht darauf vorbereitet. Nach Angaben der US-amerikanischen Equal Employment Opportunity Commission (EEOC) sind die Klagen wegen sexueller Belästigung am Arbeitsplatz im Geschäftsjahr 2018 um mehr als 12 % gestiegen. Die EEOC hat im Jahr 2018 70 Millionen US-Dollar von Unternehmen für Opfer sexueller Belästigung zurückgefordert, gegenüber 47,5 Millionen US-Dollar im Jahr 2017.
> "Ermüdungsrisiko" eine Gefahr, die 9 von 10 US-Arbeitgebern betrifft
Das Risiko für die Mitarbeiter hat andere Formen als Cybersicherheit oder sexuelle Belästigung. Eine weitere Quelle? Übermüdung. Das sagt zumindest der National Safety Council (NSC), der behauptet, dass 90 % der US-Arbeitgeber von müden Arbeitnehmern negativ beeinflusst wurden.
Tatsächlich gaben 43 % der in der Studie befragten Arbeitnehmer zu, dass sie möglicherweise zu müde sind, um ihre Arbeit sicher zu verrichten, was Müdigkeit zu einer wachsenden Gefahr am Arbeitsplatz macht. Die NSC rief alle Arbeitgeber landesweit dazu auf, umfassende Risikomanagementsysteme für Müdigkeit einzuführen, die dazu beitragen können, die 13 % der Verletzungen am Arbeitsplatz zu verhindern, die auf Schlafprobleme zurückzuführen sind.
Die kumulativen Kosten? Übermüdung kostet die US-Wirtschaft jährlich mehr als 400 BN $. Ein Unternehmen mit 1.000 Mitarbeitern kann mit einem Verlust von über 1 Million Dollar pro Jahr durch verpasste Arbeitstage, geringere Produktivität und höhere Gesundheitskosten rechnen.
Wie gehen Programme zum Management von Ermüdungsrisiken mit dieser Herausforderung um? Durch die Kombination von Mitarbeiterschulung und -ausbildung mit einem Kulturwandel, Änderungen am Arbeitsplatz und datengesteuerten Analysen zur Erkennung und Behebung von Problemen.
