„Der Schlüssel zu einer guten, reibungslosen Sicherheit liegt darin, die Anforderungen und Abläufe des Unternehmens zu verstehen, um effizient Kontrollen darum herum aufzubauen. Sicherheit sollte fest integriert und nicht nur oberflächlich aufgetragen sein.“
Senior Security Engineer - Dan Perry
Was ist Infosec?
Informationssicherheit (oft als „Infosec“ abgekürzt) ist häufig Teil des Informationsrisikomanagements und beschreibt den Prozess der Reduzierung und Beseitigung des Risikos von unbefugtem Zugriff, Nutzung, Offenlegung, Störung, Löschung, Beschädigung, Änderung, Überprüfung oder Aufzeichnung.
Um Informationen und im heutigen Klima auch viele personenbezogene Daten zu schützen, müssen Unternehmen diese Prinzipien befolgen, um ihre Datenspeicherung optimal zu handhaben:
Die „CIA-Triade“
Vertraulichkeit
Das Prinzip der Vertraulichkeit soll sicherstellen, dass private Informationen privat bleiben und nur von Personen eingesehen oder abgerufen werden können, die diese Informationen zur Erfüllung ihrer beruflichen Aufgaben benötigen.
Integrität
Das Prinzip der Integrität soll sicherstellen, dass auf die Richtigkeit der Daten vertraut werden kann und diese nicht unrechtmäßig verändert wurden.
Verfügbarkeit
Schutz der Funktionalität von Unterstützungssystemen und Sicherstellung, dass Daten zu dem Zeitpunkt (oder in dem Zeitraum), in dem sie von den Benutzern benötigt werden, vollständig verfügbar sind. Das Ziel der Verfügbarkeit ist es, sicherzustellen, dass Daten dann zur Verfügung stehen, wenn sie für Entscheidungen benötigt werden.
Sehen Sie sich die Informationssicherheitsqualifikationen von Purple am Ende dieses Blogs an!
„Es dauert 20 Jahre, um sich einen Ruf aufzubauen, und nur wenige Minuten eines Cyber-Vorfalls, um ihn zu ruinieren.“
Arten von Sicherheitsverletzungen
Man-in-the-Middle (MitM)
Ein MitM-Angriff tritt auf, wenn ein Hacker die Kommunikation zwischen zwei Parteien, die glauben, direkt miteinander zu kommunizieren, heimlich weiterleitet und möglicherweise verändert.
Ein Beispiel für einen MITM-Angriff ist das aktive „Eavesdropping“ (Lauschen), bei dem der Angreifer unabhängige Verbindungen zu den Opfern herstellt und Nachrichten zwischen ihnen weiterleitet, um sie in dem Glauben zu lassen, sie würden über eine private Verbindung direkt miteinander sprechen.
Phishing
Phishing liegt vor, wenn Angreifer versuchen, Benutzer dazu zu bringen, „das Falsche“ zu tun, wie z. B. auf einen schädlichen Link zu klicken, der Malware herunterlädt, oder sie auf eine unseriöse Website zu leiten.
Phishing kann über Textnachrichten, soziale Medien oder per Telefon durchgeführt werden, aber der Begriff „Phishing“ wird hauptsächlich verwendet, um Angriffe zu beschreiben, die per E-Mail erfolgen.
Denial-of-Service (DoS)
Ein Denial-of-Service (DoS) -Angriff zielt darauf ab, eine Maschine oder ein Netzwerk lahmzulegen und für die vorgesehenen Benutzer unzugänglich zu machen. DoS-Angriffe erreichen dies, indem sie das Ziel mit Datenverkehr überfluten oder Informationen senden, die einen Absturz auslösen. In beiden Fällen entzieht der DoS-Angriff legitimen Benutzern (z. B. Mitarbeitern, Mitgliedern oder Kontoinhabern) den erwarteten Dienst oder die Ressource.
Opfer von DoS-Angriffen sind häufig Webserver von hochkarätigen Organisationen wie Banken, Handels- und Medienunternehmen oder Regierungs- und Handelsorganisationen. Obwohl DoS-Angriffe in der Regel nicht zum Diebstahl oder Verlust wichtiger Informationen oder anderer Vermögenswerte führen, kann ihre Bewältigung das Opfer viel Zeit und Geld kosten.
„Sicherheit ist nichts, was man kauft, sondern etwas, das man tut, und es braucht talentierte Menschen, um es richtig zu machen.“
Folgen einer Sicherheitsverletzung
Umsatzverlust
Diese Folge kann stark von der Art des Cyberangriffs abhängen, für den sich ein Hacker entschieden hat. Datenlecks führen jedoch zu zusätzlichen Sicherheitskosten, Verlust von Marktanteilen sowie Kosten für die Entschädigung betroffener Kunden.
Reputation
Während ein kurzfristiger Einbruch des Unternehmensumsatzes vielleicht nicht allzu schädlich erscheint, zeigen sich die wahren Kosten erst im Laufe der Zeit. Sobald eine Sicherheitsverletzung bekannt wird, zögern Partner sowie potenzielle und bestehende Kunden möglicherweise nicht lange, bevor sie „abspringen“, was einen noch größeren Teil der Unternehmenseinnahmen zunichtemacht.
Rechtliche Schritte
Geldstrafen, Geldstrafen und noch mehr Geldstrafen.
Es gibt weltweit zahlreiche Vorschriften, die Unternehmen befolgen müssen, zum Beispiel:
- Europa - GDPR (GDPR ist eine EU-Verordnung und gilt nicht mehr für das Vereinigte Königreich )
- Großbritannien - Data Protection Act
- China - Personal Information Protection Law
Unter der britischen GDPR und dem DPA beträgt die maximale Geldstrafe 17,5 Mio. £ oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Unternehmen, die unter die EU-GDPR und das DPA fallen, können jedoch mit einer maximalen Geldstrafe von 20 Mio. € (18 Mio. £) belegt werden.
Betriebsunterbrechung
Bei jedem versuchten oder erfolgreichen Verstoß müssen alle Unternehmen mit Auswirkungen auf den Betrieb rechnen, da umfangreiche Untersuchungen durchgeführt werden, um den Schaden und die Ursache zu melden und die Quelle zu finden.
In einigen Fällen stellen Unternehmen den Betrieb zur Schadensbegrenzung vollständig ein und erarbeiten einen Wiederherstellungsplan. In dieser Zeit verschärfen sich alle oben genannten Punkte.
Die größte Datenschutzverletzung des 21. Jahrhunderts
Im Jahr 20 13 wurde Adobe gehackt und über 153 Millionen Benutzerdatensätze wurden erbeutet, darunter verschlüsselte IDs, Passwörter sowie Debit- und Kreditkarteninformationen.
Adobe musste 1,1 Millionen US-Dollar an Anwaltskosten zahlen, und im November 2016 wurde der an Kunden gezahlte Betrag auf 1 Million US-Dollar beziffert.
https://www.youtube.com/watch?v=zYfx4cdFCVA
„Wenn Sie sich keine Sicherheit leisten können, können Sie sich auch keine Sicherheitsverletzung leisten.“
Die Infosec-Zertifizierung von Purple
ISO/IEC 27001
Purple ist ISO/IEC 27001-konform für das Design und die Entwicklung von Cloud-basierter WiFi-Software für die Handhabung und Speicherung personenbezogener Daten. Unsere ISO-Zertifizierung pflegen wir seit mehreren Jahren. Sie stellt sicher, dass wir über die richtigen Prozesse, Mitarbeiter und Technologien verfügen, um die sichere Bereitstellung unseres Produkts im Einklang mit unseren Verpflichtungen gegenüber unseren Kunden und deren betroffenen Personen zu gewährleisten. ISO 27001 definiert ein Rahmenwerk von Kontrollen, das sich über das gesamte Unternehmen erstreckt, von der Verwaltung unserer Personalressourcen bis hin zur Kryptografie.
Indem wir diese Basis genommen und erweitert haben, um unsere Geschäftsziele (interne Anforderungen) und die Erwartungen unserer Kunden (externe Anforderungen) einzubeziehen, haben wir eine sichere und wiederholbare Arbeitsweise aufgebaut, die zweckmäßig ist.
CyberEssentials+
Das Cyber Essentials-Programm ist ein relativ neues, von der britischen Regierung und dem NCSC unterstütztes Programm, das sich an KMU (kleine und mittlere Unternehmen) richtet. Es soll ihnen ermöglichen, ihren Kunden eine Sicherheitsbasis zu garantieren und sich für staatliche Beschaffungsprozesse zu bewerben.
Die Cyber Essentials-Zertifizierung ist ein Selbstbewertungstool. Aufgrund des Vertrauens in unsere Kontrollen, insbesondere da wir bereits das robustere ISO 27001-Rahmenwerk implementiert haben, sind wir jedoch noch einen Schritt weiter gegangen und haben die Cyber Essentials Plus-Zertifizierung erlangt, indem wir unsere Kontrollen von einem unabhängigen, akkreditierten CE+-Sicherheitspartner validieren ließen.
Möchten Sie mehr erfahren? Finden Sie heraus, wie Sie Ihr Unternehmen online schützen können – Hier lesen
