12
MIDRANGE
AKTUELL
MIDRANGE
MAGAZIN · 03/2016
Die Verantwortung der Cybersicherheit
Wer haftet für Hacks?
Es ist eigentlich ironisch, dass gerade Robert Hannigan mehr Cybersicherheit fordert. Der
Direktor des britischen Geheimdienstes GCHQ sprach unlängst von einem Versagen auf Seiten
des freien Marktes, der es nicht fertig gebracht habe, die Standards der IT-Sicherheit zu
heben. Hannigan traf damit einen Nerv – 90 Prozent der Konzerne und 74 Prozent der kleineren
Unternehmen berichten von mindestens einem Sicherheitsvorfall allein im Jahr 2015. Hacks
prominenter Ziele wollen nicht aus den Nachrichten verschwinden und so fand sich niemand,
der Hannigans Aussage über zu niedrige IT-Sicherheitsstandards widersprechen wollte.
D
ie wichtigsten Kräfte, die in jedem
Markt für einen Umbruch sorgen,
sind Regulierung und Anreize – egal
ob durch rechtliche Haftung oder eine
Versicherung, die Schäden deckt. Im
IT-Sicherheitsmarkt jedoch sind diese
Treiber noch nicht reif genug, um einen
Wandel hervorzurufen und sorgen so-
mit für unnötige, doch schwerwiegende
Sicherheitsvorfälle.
Erst vor kurzem wurden die bei-
den Unternehmen TalkTalk und VTech
Opfer einer bekannten Anwendungs-
sicherheitslücke. SQL-Injection heißt
die Methode, die sich auf der Liste des
branchenweit bekannten Standards
OWASP Top 10 wiederfindet. Dieses
Ranking der kritischen Sicherheitslü-
cken in Web-Anwendungen zeigt be-
reits seit mehr als zehn Jahren die be-
kanntesten und gefährlichsten Lücken
auf, die zu schließen hohe Priorität
genießen sollte. Gerade bei Fällen wie
diesen, die eindeutig vermeidbar gewe-
sen wären, wird die Frage nach Verant-
wortlichen laut.
Eine der drängendsten Fragen, die
in Zukunft rechtlich geklärt werden
müssen, ist die der Fahrlässigkeit. Hier
lassen sich drei Felder unterscheiden.
Zuerst die Frage nach der Sorglosig-
keit. Sollte ein Unternehmen oder Soft-
ware-Zulieferer bestraft werden, wenn
er bekannte Sicherheitslücken nicht
geschlossen hat? Als Beispiel dienen
die Fälle von TalkTalk oder VTech. Ein
zweites Kriterium ist die Aktualität der
Abwehr. Sollte es Standard sein, neu
bekannt gewordene Schwachstellen wie
Heartbleed innerhalb einer festgelegten
Zeit zu patchen? Ein Report von Verizon
zeigt, dass 99,9 Prozent aller ausgenutz-
ten Software-Schwachstellen schon min-
destens ein Jahr zuvor bekannt waren.
Drittens könnte das Fehlen einer dedi-
zierten Sicherheitsstelle im Unterneh-
men als Kriterium der Fahrlässigkeit
herangezogen werden. Muss man also
davon ausgehen, dass Unternehmen oh-
ne CISO auch keine ernstzunehmenden
Anstrengungen unternehmen, die eige-
nen Daten zu sichern? Eine aktuelle Stu-
die von NYSE und Palo Alto Networks
zeigt, dass Unternehmen mit dedizier-
tem CISO mehr Sicherheitsvorfälle auf-
decken und weniger finanziellen Scha-
den pro einzelnem Vorfall erleiden.
Unternehmen erleiden bei einem
Hack zumeist Schäden, die über den
direkten Datenverlust hinausgehen;
dennoch sind es noch immer die Kon-
sumenten und Kunden, die sich mit
betrügerischen Zahlungen und der
kriminellen Nutzung ihrer persönli-
chen Informationen herumschlagen
müssen. Seit dem Angriff auf TalkTalk
wurden bereits mehrere Fälle bekannt,
in denen Betrüger sich durch Social
Engineering die Bankdaten der Konsu-
menten erschleichen konnten – durch
den gezielten Einsatz bereits erbeuteter
persönlicher Daten.
Seit der Einführung von Sicher-
heits- und Gesundheitsverordnungen
haben tödliche Verletzungen von Ange-
stellten um 86 Prozent abgenommen,
weil Unternehmen vor der Haftung in
einem solchen Fall zurückschrecken.
Die rechtliche Verantwortung für einen
angemessenen Ausbau der IT-Sicher-
heit könnte daher ein Schlüsselfaktor
sein, wenn man die Häufigkeit der Si-
cherheitsvorfälle senken will.
Klare Standards sind ein Muss
Es wäre zu erwarten, dass Unternehmen
sich gegen die Einführung von mehr Re-
gulierungen sperren, vor allem, wenn
sie selbst mit hohen Strafzahlungen und
Kompensationen rechnen müssen. Eine
Umfrage der New Yorker Börse (NYSE)
in Zusammenarbeit mit Veracode zeigt
jedoch ein anderes Bild: Neun von zehn
Vorstandsvorsitzenden gaben darin an,
dass Regulatoren alle Unternehmen
in Haftung nehmen sollten, die keine
ernsthaften Anstrengungen unterneh-
men, um ihre Daten zu sichern. Dies
zeigt das Verlangen der Unternehmen
nach klaren Standards, die ein ausrei-
chendes und verantwortungsvolles Le-
vel von IT-Sicherheit beziffern.
Der Fall der US-Hotelkette Wynd-
ham zeigte erneut, wie dringend stan-
dardisierte Klarheit benötigt wird. Die
