Q&A: Bewusstsein für Cybersicherheit und die Lehren des Jahres 2020

Das Bewusstsein für Cybersicherheit wird oft durch eine Form von unternehmerischer Amnesie untergraben, die Unternehmen davon abhält, aus vergangenen Angriffen zu lernen, und sie anfällig für zukünftige macht. Dies führt zu einem Kreislauf von Alarm, gefolgt von einem falschen Gefühl der Sicherheit, sagt Josephine Wolff, Autorin von You'll See This Message When It Is Too Late: The Legal and Economic Aftermath of Cybersecurity Breaches (2018 ).

Es ist wichtig, Schwachstellen im Unternehmensnetzwerk gegen Eindringlinge zu flicken, aber es ist auch wichtig, das Gesamtbild zu verstehen, das zu Cyberrisiken führt, sagt Wolff, Assistenzprofessorin für Cybersicherheitspolitik an der Tufts Fletcher School of Law and Diplomacy. Die Denkweise "Flicken Sie das und alles ist in Ordnung" führt dazu, dass Unternehmen den nächsten Angriff nicht vorhersehen können, sagt sie.

Wolff, die für The New York Times, Slate und andere Publikationen schreibt, gilt weithin als führende Expertin für Cybersicherheitsbewusstsein, Governance, Regulierung und Risiken. In diesem Interview mit der Mimecast-Bloggerin Mercedes Cardona spricht sie darüber, wie sich die COVID-Pandemie auf die künftige Cybersicherheit auswirken wird, über bewährte Verfahren für Unternehmen bei der Anpassung an die "neue Normalität" und über die Aussicht, dass die Bundesregierung in naher Zukunft Datenschutzstandards festlegen wird.

Anmerkung der Redaktion: Dies ist das erste einer Reihe von Interviews mit führenden Cybersicherheitsexperten aus Hochschulen, Forschungseinrichtungen und dem Privatsektor.

Mimecast: Geht es bei der Cybersicherheit von Unternehmen immer noch in erster Linie um den Schutz des geistigen Eigentums und der Geschäftsabläufe, oder ist der Schutz von Kundendaten und des Markenrufs des Unternehmens aufgrund neuer Vorschriften wie CCPA in den Mittelpunkt gerückt?

Josephine Wolff: Das regulatorische Umfeld hat die Prioritäten sicherlich verschoben. Der Schwerpunkt liegt jetzt nicht nur auf dem Schutz von Verbraucherdaten, sondern auch auf der Transparenz bei der Nutzung dieser Daten. Ich denke jedoch, dass der Schwerpunkt nach wie vor auf dem Geschäftsbetrieb, der Kontinuität und dem Schutz des geistigen Eigentums liegt.

Die größte Veränderung in den letzten Jahren war ein erweitertes Verständnis für die Bedrohungsmodelle, denen Unternehmen ausgesetzt sind. Es setzt sich immer mehr die Erkenntnis durch, dass es viele verschiedene Möglichkeiten gibt, wie Ihr Unternehmen ins Visier genommen werden kann. Der Diebstahl von geistigem Eigentum ist eine davon, aber es könnte auch darum gehen, Ihre Netzwerke zu stören und Ihre Festplatten zu verschlüsseln, um Sie zu erpressen.

Es gibt also eine ganze Reihe von Bedrohungen, mit denen Unternehmen heute konfrontiert sind, darunter auch staatlich geförderte Angriffe, die sehr ernst genommen werden müssen, da man es mit einem Nationalstaat zu tun hat, der über umfangreiche Ressourcen und ein großes Fachwissen verfügt.

Mimecast: Wie hat die COVID-Pandemie die Diskussion über Cybersicherheit und Datenschutz verändert? Von den Schwachstellen bei der Arbeit von zu Hause aus bis hin zu Nachrichten über Hacker, die versuchen, Impfstoffforschung zu stehlen, scheint es eine Reihe neuer Bedenken zu geben.

Wolff: Schnell und ohne viel Vorlaufzeit mussten die Unternehmen damit beginnen, ziemlich heikle Dinge von zu Hause aus zu erledigen, die sie vorher wahrscheinlich nicht gewollt oder nicht erlaubt hätten. Das zwingt alle dazu, sich mit den Einschränkungen bei der Sicherung von Fernarbeit auseinanderzusetzen.

Die Pandemie hat auch eine ganze Reihe neuer Angriffsmöglichkeiten eröffnet. Einige davon ergeben sich einfach aus der Tatsache, dass die ganze Ausbildung, die Arbeit und alles, was aus der Ferne geschieht. Es gibt viel mehr Möglichkeiten, um zu lauschen und Spionage zu betreiben. Andere wiederum betreffen den Diebstahl von geistigem Eigentum, z. B. in der Impfstoffforschung.

Vor allem Krankenhäuser wissen schon seit einiger Zeit, dass sie viele Schwachstellen haben, die mit zusätzlicher Infrastruktur behoben werden müssen. Aber jetzt sind sie hier, in einem Moment, in dem sie absolut keine zusätzliche Bandbreite oder andere Ressourcen zur Verfügung haben, um dies zu tun - und doch ist es absolut notwendig. Sie können es nicht aufschieben. Sie können nicht warten, bis sich die Lage beruhigt hat, weil dies ein so kritischer Moment für sie ist.

Mimecast: Es wird viel darüber geredet, dass viele der Menschen, die heute aus der Ferne arbeiten, vielleicht nie wieder in einem Büro arbeiten werden. Wird sich dadurch der Schwerpunkt der Cybersicherheit auf Einzelpersonen und nicht auf Unternehmen verlagern?

Wolff: Wir wissen noch nicht genau, wie wir mit dieser Menge an sensiblen Informationen in den Wohnungen der Mitarbeiter umgehen sollen. Ich denke, wir werden besser werden, wenn die Unternehmen herausfinden, wie sie vernünftige Richtlinien aufstellen können, an die sich ihre Mitarbeiter tatsächlich halten können.

Es funktioniert nicht, wenn man einfach eine beliebige Regelung trifft. Ich habe Freunde, deren Unternehmen Regeln aufgestellt haben wie: Du musst in einem Raum mit geschlossener Tür arbeiten, und es darf niemand anderes im Raum sein, und dies und das und noch etwas anderes. Aber für viele Leute - wenn man Kinder hat, wenn man einen Partner hat, wenn noch andere Leute zu Hause sind - ist es nicht immer einfach zu sagen: "Ich gehe in mein Büro, schließe die Tür ab und niemand anderes darf dort sein, während ich arbeite."

Ich denke, wir sind immer noch dabei herauszufinden, wie die Sicherheits- und Datenschutzprotokolle aussehen sollten, und das wird einige Versuche und Fehler beinhalten.

Mimecast: Sie schrieben eine New York Times Kolumne in den ersten Tagen der Pandemie über den Einsatz von Technologie zur Eindämmung. Kann die Technik helfen, wenn die Menschen ihre Daten zur Ermittlung von Kontaktpersonen nicht weitergeben wollen?

Wolff: Ich denke, es gibt einige sehr begrenzte Möglichkeiten, wie die Technologie bei der Verfolgung der Exposition helfen kann. Die Apple-Google-Plattform, die Sie benachrichtigt, wenn Sie in engem Kontakt mit jemandem waren, der positiv auf COVID getestet wurde, ist ein Beispiel dafür. Ich muss allerdings sagen, dass die Einführung, zumindest in den Vereinigten Staaten, ziemlich enttäuschend verlaufen ist. Es gab keine große Welle von Menschen, die sich für diese Apps angemeldet haben. Jeder Staat macht es ein bisschen anders, es gibt nicht viele einheitliche Nachrichten. Ich bin also nicht übermäßig optimistisch in dieser Hinsicht.

In den Vereinigten Staaten ist die Zahl der Infektionen einfach so groß, dass es schwer vorstellbar ist - selbst mit der Menge an Daten, die wir mit Hilfe der Technologie sammeln können -, dass wir in der Lage sein werden, die Dinge wirklich in den Griff zu bekommen. Im Moment sind so viele Menschen gefährdet, dass es schwer vorstellbar ist, welche Auswirkungen das haben wird. Aber vor allem glaube ich, dass wir noch nicht die Akzeptanz erreicht haben, die wir bräuchten, um wirklich etwas zu bewirken.

Mimecast: Um auf das Thema der staatlichen Regulierung zurückzukommen, sollten wir erwarten, dass die Bundesregierung versuchen wird, eine nationale Cybersicherheitspolitik durch den Kongress zu bringen, etwas, das die Bemühungen auf Staatsebene wie CCPA und New Yorks SHIELD ersetzen würde?

Wolff: Ich hoffe es. Ich denke, es wäre eine wirklich gute Sache, das auf Bundesebene zu tun, anstatt es auf die einzelnen Staaten aufzuteilen. Nicht, weil die Gesetze der Bundesstaaten nicht nützlich und produktiv wären, sondern weil es bestimmte Orte gibt, an denen es keinen Datenschutz gibt, und es für Unternehmen verwirrend ist, wenn es einen Haufen verschiedener, irgendwie ähnlicher, aber irgendwie unterschiedlicher Regelungen gibt, an die sie sich halten müssen.

Die Frage, ob wir damit rechnen können, ist schwieriger zu beantworten, denn ich denke, Vorhersagen darüber zu treffen, was der Kongress heutzutage tun oder nicht tun wird, ist ein kompliziertes Spiel. Ich denke nicht, dass es unmöglich ist. Ich denke, es ist eine Idee, die von beiden Parteien weitgehend unterstützt wird.

Man hat erkannt, dass die Vereinigten Staaten in diesem Bereich ins Hintertreffen geraten sind. Sogar die Unternehmen haben langsam das Gefühl, dass sie lieber eine Anleitung auf Bundesebene hätten, als sich mit jedem einzelnen Bundesstaat auseinanderzusetzen. Ich glaube also, dass dies möglich ist.

Mimecast: Wird sich angesichts der Ereignisse in diesem Jahr etwas daran ändern, wie Unternehmen mit ihren Cyberrisiken umgehen? Ist den Unternehmen bewusster geworden, dass sie sich absichern und eine Versicherung abschließen müssen, um sich zu schützen?

Wolff: Ich denke, dass viele Universitäten, Unternehmen, Regierungsbehörden, alle neu bewerten, wie sehr sie sich auf ihre Online-Dienste verlassen und wie viel sie in deren Schutz investieren müssen.

Ich habe insbesondere die Gesundheitszentren erwähnt, aber es trifft auf viele Orte zu, dass es nicht viel zusätzliche Bandbreite gibt, um die Cybersicherheit wirklich zu erhöhen. Positiv zu vermerken ist, dass sich viele Unternehmen in größerem Umfang als früher Gedanken über dieses Thema machen.

Mimecast: Welches sind die besten Praktiken, die Unternehmen im nächsten Jahr einführen sollten? Sollte jeder eine Jahresendüberprüfung seiner Praktiken vornehmen?

Wolff: Das Wichtigste ist jetzt, dass Sie Ihr Bedrohungsmodell gründlich neu bewerten und prüfen, inwiefern es sich von dem unterscheidet, das Sie vor einem Jahr gesehen haben. Dabei geht es nicht nur um die Bedrohungsakteure und die Art und Weise, wie sich ihre Angriffe verändert haben, sondern auch darum, Ihr Unternehmen zu betrachten und zu sagen: Hier sind die Möglichkeiten, die wir haben: Auf welche Weise operieren wir heute, während wir es früher nicht taten? Welche neuen Möglichkeiten für Angriffe ergeben sich daraus? Und wie werden wir sie angehen?

Ich denke, das gehört dazu, wenn man wirklich offen für die Idee ist - die meiner Meinung nach für fast alle gilt -, dass wir jetzt anders arbeiten und dass das andere Bedrohungen und andere Risiken mit sich bringt. Wir müssen das anerkennen und darauf reagieren. Und das ist meiner Meinung nach die wichtigste bewährte Praxis.

Dann gibt es noch die wirklich grundlegenden Dinge, die viele Unternehmen bereits tun: die Verwendung von VPNs für die Fernarbeit, die Verwendung der Zwei-Faktor-Authentifizierung für die Fernanmeldung. Solche Dinge machen sicher einen großen Unterschied.

Mimecast: Wenn wir die Pandemie im Rückspiegel sehen, sollten wir dann versuchen, die Sicherheit in Zukunft neu zu überdenken?

Wolff: Ich denke, wir sollten darüber nachdenken, was gut funktioniert hat und was nicht. Wir sollten die Fernarbeit unter vielen Aspekten betrachten, aber einer davon sollte sein: Können wir unseren Betrieb und unsere Informationen zuverlässig sichern, wenn Menschen von zu Hause aus arbeiten? Wir sollten darüber nachdenken, ob unsere Arbeitsmodelle und unsere Geschäftsmodelle flexibel genug sind, um Online-Arbeit und Online-Kommunikation zu ermöglichen.

Das hängt zum Teil davon ab, wie die nächsten Monate verlaufen und ob es größere Sicherheitslücken gibt. Sie können sich sehr gut vorstellen, dass Unternehmen Angst bekommen, wenn etwas schief geht, wenn Informationen gestohlen werden, und beschließen: "Wissen Sie, eigentlich ist diese Sache mit der Fernarbeit sehr gefährlich. Wir wollen diesen Weg nicht weiter beschreiten."

Mimecast: Was können wir sonst noch aus dem großen COVID-Shutdown von 2020 lernen?

Wolff: Unter dem Gesichtspunkt der Cybersicherheit müssen wir verstehen, was wir aus dieser Erfahrung mitnehmen können, um unsere kritische Gesundheitsinfrastruktur besser zu schützen und uns auf den nächsten Notfall im Gesundheitswesen vorzubereiten. Das sind Lektionen, über die wir nachdenken und aus denen wir lernen sollten.