Intelligente Software für mehr Qualität im Gesundheitswesen.
Thierry van Delden ist seit über drei Jahren als Compliance & Privacy Officer bei Infoland tätig. In dieser Funktion hat er täglich mit Technologie, Privatsphäre und Datenschutz zu tun. Er weiß besser als jeder andere, wie wichtig es ist, die Cybersicherheit als Unternehmen ernst zu nehmen - unabhängig von seiner Größe. Dies geht über die Anschaffung einer guten Software hinaus, insbesondere wenn man bedenkt, dass 88 % der Vorfälle im Bereich der Cybersicherheit auf menschliches Handeln zurückzuführen sind. Wie stellen Sie das Verhalten der Informationssicherheit in Ihrem Unternehmen sicher? Und welche Erwartungen haben Sie in Bezug auf die Sicherheit an Ihre Lieferanten? In diesem Interview erörtert Thierry die vier wichtigsten aktuellen Trends im Bereich der Cybersicherheit und gibt Tipps, wie Sie als Unternehmen Ihre Mitarbeiter und Lieferanten in diesen Bereich einbeziehen können.
"Die Schaffung eines Sicherheitsbewusstseins ist eine Herausforderung für Manager. Schließlich sind die Mitarbeiter schon genug mit ihren eigenen Aufgaben beschäftigt und gehen oft davon aus, dass die Sicherheit etwas ist, um das sich die IT-Abteilung kümmert. Wie stellt man sicher, dass sicheres Verhalten zur Standardpraxis wird? Es ist wichtig, die Mitarbeiter einzubeziehen und den Dialog zu eröffnen.
- Thierry van Delden, Beauftragter für Compliance und Datenschutz bei Infoland
Bei einem Ransomware-Angriff werden die IKT-Systeme eines Unternehmens oder einer Einzelperson mit Malware infiziert, die die Daten im System verschlüsselt. Leider bleibt Ransomware die bevorzugte Wahl von Hackern. Und warum? Sie ist relativ einfach und effektiv. Zwischen 2021 und 2022 wird die Zahl der Ransomware-Angriffe um 70 % steigen. Weltweit waren im vergangenen Jahr 37 % aller Unternehmen betroffen. Thierry: "Ransomware ist nichts Neues, aber diese Zahlen zeigen, dass die Unternehmen sie ernst nehmen müssen. Es wird erwartet, dass diese Zahlen jedes Jahr steigen werden."
Wenn Sie als Organisation Opfer von Ransomware werden, können die Folgen katastrophal sein. Denn Sie können Ihre Geschäftsdaten nur durch die Zahlung eines Lösegelds wiederherstellen, aber selbst das ist keine Garantie. Obwohl 31 % der Opfer das Lösegeld zahlen, erhalten sie im Durchschnitt nur 65 % ihrer Daten zurück. "Dennoch sehen wir in den Medien oft Berichte, in denen große Unternehmen das Lösegeld zahlen", sagt Thierry.
Neben dieser Form der Erpressung können auch andere Kosten beträchtlich sein, wenn Sie Opfer eines Ransomware-Angriffs werden, z. B. der Ersatz von IKT-Systemen oder die Beauftragung von IKT-Spezialisten, um den Schaden zu mindern. Außerdem führt ein Ransomware-Angriff oft zu Umsatzeinbußen, da Sie vorübergehend nicht mit Ihrer vollen Kapazität arbeiten können. Thierry: "Vorbeugen ist also besser als heilen. 74 % der Ransomware-Angriffe werden durch menschliche Handlungen ausgelöst. Ihre Sicherheitsmaßnahmen können noch so gut sein... Wenn Sie kein Bewusstsein bei den Mitarbeitern schaffen, wird früher oder später etwas schiefgehen."
Lesen Sie hier mehr darüber, wie Sie einen Ransomware-Angriff verhindern können.
Das bringt uns direkt zum zweiten großen Sicherheitstrend: Awareness. "Der wichtigste 'Trend' von allen", sagt Thierry. "Cyberkriminelle wissen, dass der Mensch das schwächste Glied ist. Sie wenden erfolgreich Techniken wie Phishing oder Social Engineering an. Beim Social Engineering erhalten Sie zum Beispiel eine E-Mail von Ihrem Chef, in der Sie aufgefordert werden, eine Überweisung zu tätigen. Das kann alles sehr realistisch erscheinen. Cyber-Kriminelle nutzen immer ausgefeiltere Techniken.
Zahlreiche Studien zeigen auch, dass das Risiko durch die massenhafte Heimarbeit zunimmt. Thierry: "Da viele Unternehmen während der Corona-Periode übereilte Maßnahmen ergreifen mussten, um auf Online-Arbeit umzustellen, stieg die Zahl der Sicherheitsvorfälle um 238 %." Fernarbeit ist riskant, weil sich private und geschäftliche Geräte gegenseitig befruchten. Insbesondere das Sicherheitsniveau der Endgeräte, mit denen die Mitarbeiter arbeiten, ist ein kritischer Faktor - so nutzen 70 % der Büroangestellten Arbeitsgeräte für private Aufgaben, und 37 % greifen über ihren privaten Computer auf Arbeitsanwendungen zu.
Indem Sie Ihre Mitarbeiter für die Gefahren sensibilisieren, können Sie viele menschliche Zwischenfälle verhindern. Die Sensibilisierung kann vom Verständnis für die Bedeutung der Informationssicherheit bis hin zum Wissen, was in verdächtigen Situationen zu tun und vor allem was zu unterlassen ist, reichen. "Die Schaffung eines Bewusstseins ist eine Herausforderung für Manager", erklärt Thierry. Schließlich sind die Mitarbeiter mit ihren eigenen Aufgaben genug beschäftigt und gehen oft davon aus, dass die Sicherheit etwas ist, um das sich die IT-Abteilung kümmern wird". Wie stellt man sicher, dass sicheres Verhalten zur Standardpraxis wird?"
Es ist zum Beispiel wichtig, Schulungen zum Sicherheitsbewusstsein anzubieten, aber vor allem dafür zu sorgen, dass die Mitarbeiter engagiert bleiben. Und wie? Thierry hat einige Tipps:
In diesem Artikel erfahren Sie mehr über die Schaffung eines Sicherheitsbewusstseins, und die oben genannten Tipps werden ausführlicher beschrieben.
Stellen Sie sich vor: Ihre Mitarbeiter sind jetzt in Sachen Sicherheitsbewusstsein gut geschult, Ihre Sicherheit ist in Ordnung... und dann? Was ist mit den Unternehmen, mit denen Sie in Europa zusammenarbeiten? Sie müssen auch die Cybersicherheitsmaßnahmen Ihrer Lieferantenkette kennen. Dies ist einer der Punkte, die in der neuen europäischen NIS2-Richtlinie beschrieben werden, die am 17. Oktober 2024 in Kraft tritt. Thierry erklärt: "Die Europäische Union hat 2016 die Richtlinie zur Netz- und Informationssicherheit eingeführt. Nun wird es eine neue Richtlinie geben - die NIS2-Richtlinie -, um die Cybersicherheit und -resilienz von wichtigen Unternehmen und Diensten in der EU zu schützen und zu verbessern." Sind Sie ein Unternehmen mit Sitz im Vereinigten Königreich und Partnerschaften in Europa? Dann gilt dies auch für Sie!
Die NIS2-Richtlinie verschärft die Sicherheitsanforderungen für Organisationen, die für die Gesellschaft wesentlich oder wichtig sind. "Während sich die alte Richtlinie nur auf wesentliche Sektoren wie das Gesundheitswesen konzentrierte, werden nun weitere Sektoren hinzugefügt. Denken Sie an Internetdienstleister und Regierungsbehörden", sagt Thierry. Wenn Ihre Organisation unter die Kategorie "wesentlich" oder "wichtig" fällt, müssen Sie nicht nur die NIS2-Richtlinie einhalten, sondern auch die Sicherheitsrisiken der Lieferanten ermitteln.
Ein Beispiel: Wenn Sie ein Energieerzeuger sind, ist Ihre Organisation für die Gesellschaft von wesentlicher Bedeutung. Wenn Sie Windturbinen bei einem externen Lieferanten bestellen und dieser von einem Ransomware-Angriff betroffen ist, können Sie als wesentlicher Dienstleister Ihre Kapazitäten nicht erweitern. Sie sollten also auch prüfen, welche Sicherheitsmaßnahmen dieser Lieferant ergreift. Thierry: "Was erwarten Sie von Ihren Lieferanten? Verlangen Sie einfach jährlich ihr ISO 27001-Zertifikat, und dann ist alles gut? Oder besuchen Sie sie jährlich selbst, um ein Audit durchzuführen? Schicken Sie zweimal im Jahr einen Fragebogen und fragen damit die Sicherheitspolitik ab? Mit einem intelligenten Auditmanagementsystem wie Zenya CHECK sichern Sie diesen Prozess ab. Sie können sich auf einen bestimmten Standard, wie z.B. die NIS2-Richtlinie, fokussieren und so optimal konform sein.
Führen Sie Geschäfte mit europäischen Unternehmen und sind Sie daran interessiert, mehr über NIS2 zu erfahren? Lesen Sie hier, was Sie tun müssen, um die Vorschriften einzuhalten .
Künstliche Intelligenz und Sicherheit... Wie ist das wirklich? Thierry: "Künstliche Intelligenz (KI) ist ein Thema, um das man nicht herumkommt, obwohl es kein Sicherheitstrend ist. Wenn Ihre Organisation nur gelegentlich KI-Tools wie ChatGPT zur Inspiration verwendet, ist die eingebaute Sicherheit eines solchen Tools oft ausreichend. Sie müssen das für sich selbst bewerten und feststellen, ob es für Ihr Unternehmen ausreichend ist. Wenn KI das eigentliche Kerngeschäft Ihres Unternehmens ist, sieht die Sache natürlich anders aus. Wenn Sie zum Beispiel selbst KI entwickeln und es dabei um personenbezogene Daten geht, dann werden rechtlich scharfe Sicherheitsmaßnahmen erwartet."
Wenn KI zu einem entscheidenden Bestandteil Ihrer Geschäftsabläufe wird, dann sollte die angemessene Sicherheit Ihrer KI-bezogenen Tools auch ein wichtiger Aspekt Ihrer Sicherheitsstrategie sein. Ein neues europäisches Gesetz zur KI ist ebenfalls in Sicht: der AI Act. Es wird die Grundregeln für die Entwicklung und Nutzung von KI festlegen. Wenn Ihr Unternehmen mit KI zu tun hat, sollten Sie dies unbedingt im Auge behalten!
Sind Sie nach der Lektüre dieses Artikels neugierig geworden, wie Zenya Ihre Organisation zum Beispiel bei der Sicherung von Sicherheitsrichtlinien wie NIS2 unterstützen kann? Oder möchten Sie wissen, wie Sie mit Zenya BOOST eine effektive Security Awareness-Kampagne auf die Beine stellen können?
Fordern Sie die Broschüre an, um alle Informationen bequem zur Hand zu haben.
Möchten Sie sehen, was Zenya für Ihre Organisation tun kann? Fordern Sie eine kostenlose Demo an.
Kontaktieren Sie unsere Experten unverbindlich! Wir freuen uns auf ein Brainstorming mit Ihnen.
