Wir sind ALLE verantwortlich – kollektiv und individuell
In vielen Unternehmen herrscht die Einstellung vor, dass Cybersicherheit etwas ist, mit dem sich nur ein CISO beschäftigt, oder dass Datenschutz etwas ist, das nur die Compliance-Abteilung betrifft. Wenn keine größere gemeinsame Verantwortung sowohl für die Cybersicherheit als auch für den Datenschutz vorherrscht, sind unsere Daten nicht sicher, und wenn etwas schiefgeht, werden wir alle haftbar gemacht – sowohl kollektiv als auch individuell.
In solchen Organisationen nimmt die Geschäftsleitung Cybersicherheit und Datenschutz immer noch nicht ernst. Allzu oft ist die Geschäftsleitung der Meinung, dass dies Aufgaben sind, die man an den CISO oder DPO (Data Protection Officer – Datenschutzbeauftragter) delegieren und dann vergessen kann. Wenn die Geschäftsleitung diese Dinge weiterhin so sieht, dann ist es nicht verwunderlich, wenn diese Art der Einstellung durch die Organisation und die Mitarbeiter auf allen Ebenen nach unten durchdringt, die diese Themen dann ebenfalls nicht ernst nehmen.
3 Dinge, über die Organisationen nachdenken sollten:
1. Wenn sich Ihr Einkaufsleiter für unverschlüsselte Geräte entscheidet
Wenn die Entscheidung, unverschlüsselte USB-Sticks, SSDs oder IOT-Geräte zu beschaffen, rein auf dem Preis basiert, ohne zu berücksichtigen, ob sie sicher sind oder über eine Hardware-Verschlüsselung verfügen, dann schaffen diese unverschlüsselten Geräte eine Schwachstelle in der Cybersicherheit. Dies setzt die gesamte Organisation dem Risiko einer Datenverletzung aus.
2. Wenn Mitarbeiter Passwörter wiederverwenden oder Sicherheitsmaßnahmen umgehen
Wenn Mitarbeiter grundlegende Cybersicherheitsregeln nicht beachten und unvorsichtig mit Passwörtern oder E-Mail-Anhängen umgehen, gefährden sie die Sicherheit des gesamten Unternehmens. Cyberkriminelle richten ihre Angriffe aktiv auf schwache oder bekannte Passwörter aus und verwenden Phishing-Taktiken, um die Sicherheit ihrer Opfer zu gefährden. Dies sind einige der häufigsten Angriffsvektoren für Cybervorfälle.
3. Wenn ein CMO bei der Verwendung privater Daten ein Risiko eingeht
Die DSGVO schreibt vor, dass personenbezogene Daten nur mit Zustimmung für einen angegebenen Zweck gesammelt werden dürfen. Wenn Sie Daten illegal sammeln oder weitergeben, setzen Sie sich dem Risiko hoher Geldstrafen und Rechtsstreitigkeiten aus.
Wer ist verantwortlich, wenn so etwas passiert?
Organisationen sind verantwortlich und damit AUCH wir!
Wir alle müssen Cybersicherheit und Datenschutz ernst nehmen
Wenn Sie sehen, dass Ihre Organisation unverschlüsselte USB-Sticks, SSDs oder unsichere IoT-Geräte verwendet, müssen Sie dies ansprechen. Wenn Sie bemerken, dass Ihre Kollegen bei der Cyberhygiene versagen, müssen Sie dies ansprechen. Wenn Sie beobachten, dass ein Mitglied der Marketingabteilung Kundendaten unangemessen verwendet, müssen Sie dies ansprechen.
Die Veränderung der Kultur ist der Schlüssel
Wenn wir Einstellungen ändern und Menschen dazu bringen wollen, Cybersicherheit und Datenschutz in einer Organisation auf allen Ebenen ernst zu nehmen, dann müssen wir die kulturelle Denkweise ändern.
Es gibt viele Anreize für Organisationen, dies zu tun. Es gibt eindeutige Belege dafür, dass Kunden gerne mit Unternehmen Geschäfte machen, von denen sie überzeugt sind, dass sie für die Sicherheit ihrer Daten sorgen, und dass sie eher zögern, mit Unternehmen Geschäfte zu machen, die dies nicht tun. Das Vertrauen der Kunden zu erhalten und jegliche Art von Cybersicherheitsvorfällen zu vermeiden, die dieses Vertrauen untergraben können, sollte für uns alle oberste Priorität haben.
Darüber hinaus gibt es genügend Abschreckungsmöglichkeiten, damit Unternehmen den Datenschutz ernst nehmen. Zunächst einmal sieht die DSGVO für JEDEN Vorfall ein maximales Bußgeld von 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Wert höher ist. Die Kosten für die Behebung eines Vorfalls können in die Millionen gehen, und wenn es sich um einen Ransomware-Angriff handelt, könnten die Cyberkriminellen zusätzlich ein Lösegeld in Millionenhöhe fordern. Sie könnten auch von den Personen, deren Daten kompromittiert wurden, verklagt werden.
Als ob solche Sanktionen gegen eine Organisation nicht genug wären, gibt es auch neue Sanktionen gegen Einzelpersonen. Ein aktueller Fall in den USA hat einen neuen Präzedenzfall für Cybervorfälle geschaffen, bei dem Vorstandsmitglieder und ein CISO einzeln als Angeklagte benannt wurden. Ein Bericht des Analystenhauses Gartner sagt voraus, dass CEOs bald persönlich für Cyberattacken haften könnten.
Als Bürger und als Kunden wollen wir, dass Organisationen unsere Daten schützen, und wenn wir für die Daten anderer verantwortlich sind, müssen die Standards genauso hoch sein. Wir sollten besorgt sein – sowohl kollektiv als auch individuell – dass wir alle haftbar gemacht werden könnten. Aber wir sollten ebenso motiviert sein, uns auf den Datenschutz zu konzentrieren, da es das Richtige ist.
https://www.kingston.com/unitedstates/de
#KingstonCognate stellt Bill Mew vor
Bill Mew ist ein wichtiger Meinungsbildner und Aktivist für digitale Ethik und Unternehmer. Als wichtiger Meinungsbildner konzentriert sich Bill Mew darauf, die richtige Balance zu finden zwischen „wirkungsvollem Schutz“, auf welchem Gebiet er als wichtigster globaler Einflussnehmer für den Datenschutz eingestuft wurde, und „der Maximierung des wirtschaftlichen und sozialen Wertes“, auf welchem Gebiet er auch einer der wichtigsten Einflussnehmer für alles ist, von der Cybersicherheit und der digitalen Transformation bis hin zu GovTech und Smart Cities. Er tritt auch wöchentlich im Fernsehen/Radio (BBC, RT usw.) als Experte für diese Themen auf – mit mehr Sendezeit als jeder andere Technologe in Großbritannien.
Als Unternehmer ist Bill Mew der Gründer und CEO von CrisisTeam.co.uk, wo er mit einem Eliteteam von Experten in den Bereichen Incident Response, Cyberrecht, Reputationsmanagement und sozialer Einfluss zusammenarbeitet, um Kunden dabei zu unterstützen, die Auswirkungen von Cyberangriffen zu minimieren.