In einer vernetzten Welt mit den Herausforderungen umgehen: CCOE-Podiumsdiskussion zum Thema Cybersicherheit

Dieser Artikel wurde ursprünglich am 27. Mai 2024 im San Diego Business Journal veröffentlicht und wird hier mit Genehmigung erneut veröffentlicht.

Ob Fußball, Baseball, Hockey oder Indy-Car-Rennen – kein Team geht ohne Training in ein wichtiges Meisterschaftsspiel. Auch Unternehmen müssen trainieren, wenn sie im Internet tätig sein und sich gegen Hacker und andere böswillige Akteure behaupten wollen. Einige dieser böswilligen Akteure sind auf Geld aus, andere sind Agenten von Nationalstaaten.

Schulungen, Tabletop-Übungen, Reaktion auf Vorfälle und Notfallplanung standen im Vordergrund, als das Cyber Center of Excellence ( CCOE) in San Diego und das San Diego Business Journal am Montag, dem 20. Mai 2024, ihre neueste vierteljährliche Ausgabe von Cyber Trends 2024 vorstellten .

Zu den Diskussionsteilnehmern gehörten Matt Murdock von Synoptek, Kim Young von der Stadt Carlsbad und Steve Millendorf von Foley & Lardner LLP.

In diesem Monat moderierte Eric Basu die Diskussion. Basu ist Gründungsmitglied des CCOE, Unternehmer und CEO von Haiku, einem Hersteller von Cybersicherheits-Schulungssoftware.

Die vollständige Aufzeichnung der Podiumsdiskussion ist unten zusammen mit ausgewählten Ausschnitten eingebettet:

Anzahl der Beschwerden über Cyberkriminalität steigt

Das FBI meldet einen Anstieg der Beschwerden über Cyberkriminalität in allen Branchen um 150 % in den letzten fünf Jahren, was einem Schaden von insgesamt über 37,5 Milliarden US-Dollar entspricht. Darüber hinaus stiegen die weltweiten Kosten für Datenverstöße laut IBM auf durchschnittlich über 4,5 Millionen US-Dollar.

Mehr als die Hälfte der kostspieligen Angriffe richtet sich gegen kleine und mittlere Unternehmen: Unternehmen, die oft nicht gut vorbereitet sind und möglicherweise nicht einmal das Ausmaß der Gefahr erkennen, der sie ausgesetzt sind. Sie sind auch der wirtschaftliche Motor unserer Region. Weltweit mangelt es an Cyber-Fachkräften, die diese Angriffe abwehren könnten. Die neuesten Zahlen zeigen, dass Cyberseek.org 448.000 offene Stellen in den Vereinigten Staaten und allein 5.000 in San Diego verzeichnet.

Es ist von entscheidender Bedeutung, das systemische Risiko anzugehen. San Diego ist mit mehr als 1.000 Cyber-Unternehmen und dem Information Warfare Systems Command der Marine, NAVWAR, führend in diesem Bereich. Der Cluster für Cybersicherheit sorgt für mehr als 26.000 Arbeitsplätze. Er hat eine wirtschaftliche Gesamtwirkung von 4 Milliarden US-Dollar pro Jahr, was der Ausrichtung von 24 Comic-Cons entspricht. Das kollaborative Ökosystem entwickelt neue Technologien, Abwehrmaßnahmen und Cyber-Krieger, um dieser sich ständig weiterentwickelnden Bedrohungslandschaft entgegenzuwirken.

Der Datenverletzungsbericht von IBM zeigt, dass alarmierende 95 % der untersuchten Unternehmen im Jahr 2023 mehr als eine Datenverletzung erlebt haben. Und wie in der letzten Podiumsdiskussion erörtert wurde, werden die Angriffe mit der Weiterentwicklung der KI immer raffinierter.

Die Realität des Risikos durch Dritte

Basu: Welche vertraglichen Best Practices empfehlen Sie für Technologietransaktionen, die Unternehmen dabei helfen könnten, diese Risiken zu mindern?

Millendorf: Wenn wir uns jetzt nur auf die Lieferkette und kritische Infrastrukturen konzentrieren, denn ich denke, bei jedem Geschäft, bei dem es um Informationen jeglicher Art geht, insbesondere um personenbezogene Daten, geistiges Eigentum und den Zugriff auf Computer, wird man bestimmte Anforderungen stellen wollen. Aber wenn man sich hauptsächlich auf die Lieferkette und kritische Infrastrukturen konzentriert, muss man sicherstellen, dass wir über ziemlich solide, ziemlich präskriptive Sicherheitsmaßnahmen verfügen.

Generell empfehle ich, dass alle diese Vereinbarungen vorsehen, dass der Anbieter über ein schriftliches Informationssicherheitsprogramm verfügt, vorzugsweise eines, das auf einem gängigen Standard basiert, entweder NIST SP 800-53, dem NIST Cybersecurity Framework, ISO 27001 oder etwas in dieser Art. Und insgesamt sollten für diese Art von Branchen, also auch hier wieder für kritische Infrastrukturen der Lieferkette, fortlaufende unabhängige Audits in Form von Penetrationstests oder Schwachstellenscans vorgeschrieben werden, die wahrscheinlich mindestens einmal pro Woche durchgeführt werden sollten. Wir hätten vertragliche Verpflichtungen, dies zu verlangen.

Wenn Software Teil der Lieferkette ist, was häufig der Fall ist, würde ich Bedingungen für sichere Softwareentwicklungsprozesse und Tests auf Schwachstellen verlangen. Zusätzlich zum Schutz der IT-Infrastruktur, wie ich gerade erwähnt habe, durch Schwachstellentests für ihre Systeme, möchte ich auch Schwachstellentests für die eigentliche Software selbst.

Den CVSS-Score kennenlernen; Penetrationstests

Millendorf: Eine weitere Anforderung, die ich in der Regel stelle, ist die kontinuierliche Überwachung der CVE-Datenbank und das Patchen aller Schwachstellen mit einem CVSS-Score von 7 oder höher. Für diejenigen, die es nicht wissen: CVE ist eine Datenbank für Schwachstellen. Sie wird derzeit von Mitre betrieben. Sie ist öffentlich zugänglich, Sie können also darauf zugreifen. CVSS-Werte sind die Bewertungsmethode, mit der die Kritikalität einer Sicherheitslücke eingestuft wird, wobei 1 für „nicht sehr kritisch” und 10 für „große Gefahr” steht. Sie können einen täglichen Feed dazu abonnieren.

Es ist wirklich einfach, dies von Anbietern in diesem Bereich zu verlangen. Auch hier würde ich dies nicht nur für die Software verlangen, die sie über ihre IT-Systeme entwickeln, denn der Angriff auf SolarWinds ist ein gutes Beispiel dafür, wie ein Dritter eindringen, die Software manipulieren und diese Software dann in eine Reihe anderer Produkte für seine eigenen Kunden einfließen lassen kann. Es gibt Schwachstellen, die auf Softwareebene hätten entdeckt werden müssen und können, und es gibt Schwachstellen, die auf IT-Ebene hätten entdeckt werden müssen, wo die Software entwickelt und vertrieben wurde.

Eine weitere Sache, um die ich oft bitte, ist die Möglichkeit, unsere eigenen Penetrationstests durchzuführen. Um ehrlich zu sein, ist das für die meisten Anbieter eine ziemlich harte Nuss. So in der Art: „Hey, wir werden Ihr System absichtlich angreifen und Ihnen mitteilen, ob wir tatsächlich eindringen konnten.“ Es handelt sich um White-Hat-Hacking, ohne dass sie unbedingt benachrichtigt werden, was ein kleines Problem darstellen kann, wenn man ihnen Warnmeldungen schickt. Sie sollten Warnmeldungen erhalten. Aber wenn sie nicht wissen, dass [Sie sie testen], kann das schwer zu schlucken sein.

Sie sollten zumindest in der Lage sein, eigene unabhängige Audits durchführen zu lassen. Und wenn Sie wissen, dass die Ergebnisse der unabhängigen Audits nicht zufriedenstellend sind oder dass es in den letzten 12 Monaten oder so zu einer Sicherheitsverletzung gekommen ist, möchten wir sicherstellen, dass Sie alle Probleme behoben haben, die Sie behoben haben wollen.

Ich bitte auch recht häufig um eine Benachrichtigung bei Sicherheitsverletzungen. Es ist mir egal, wie kritisch diese sind, was vor sich geht. Ich möchte wissen, ob ein Risiko besteht, insbesondere wenn sie meine Daten hosten und versuchen, eine Entschädigung und hoffentlich eine beschränkte Haftung oder zumindest eine Art Obergrenze für die Haftung bei Sicherheitsverletzungen zu erhalten. Hoffentlich bei jeder Sicherheitsverletzung, aber zumindest wenn sie ihren eigenen Sicherheitsverpflichtungen nicht nachkommen, sollten sie dafür verantwortlich sein.

All dies wirft eine weitere Frage auf, die wir meiner Meinung nach bereits angeschnitten haben. Alle Unternehmen sollten über eine Art Notfallplan verfügen und diesen mindestens einmal jährlich im Rahmen einer Planspielübung testen und optimieren.

Basu: Sehen Sie einen Mehrwert darin, von Anbietern eine Art standardisierte Compliance wie SOC 2 oder ähnliches zu verlangen?

Millendorf: Ja, das tue ich. SOC ist meiner Meinung nach immer eine schwierigere Frage als ISO. Ich denke, ISO ist ein etwas höherer Standard. Aber zumindest gibt es einen Standardkatalog von Kontrollen, an denen sie sich orientieren. Sie sagen nicht einfach: „Ja, das sieht gut aus. Daumen hoch.“ Man muss den Daumen in den Wind halten und sicherstellen, dass er in die richtige Richtung weht.

SOC gibt Ihnen etwas. ISO gibt Ihnen etwas. Wenn Sie sich auf das NIST-Cybersicherheits-Framework oder SB 853 stützen, gibt Ihnen das etwas. Zumindest gibt es da eine gewisse Grundlage.

Regulierung von Cybersicherheit und Datenschutz

Basu: Im Gegensatz zur Europäischen Union gibt es in den Vereinigten Staaten meines Wissens keine einheitlichen Gesetze zur Regulierung der Cybersicherheit und des Datenschutzes. Darüber hinaus haben mehrere Bundesstaaten ihre eigenen Gesetze zu Cybersicherheit, Datenverstößen und Benachrichtigungspflichten. Unternehmen müssen also eine Menge beachten. Für kleine Unternehmen ist dies besonders schwierig, da sie sich darauf konzentrieren, ihr Geschäft zu führen, Löhne zu zahlen und Kunden zu gewinnen. Welchen Rat haben Sie für KMUs, die ebenfalls Ziel all dieser Verstöße sind, damit sie die Anforderungen an Datenschutz und Cybersicherheit erfüllen können?

Millendorf: Selbst in der EU wird das Gesetz allgemein als DSGVO bezeichnet. Allerdings gibt es darunter einige Abweichungen. Jedes Land kann 60 Änderungen an seinen Bestimmungen vornehmen und in einigen Fällen festlegen, was meldepflichtig ist und was nicht. Es klingt also einheitlich in Europa, ist aber nicht so einheitlich, wie es eigentlich klingt.

In den Vereinigten Staaten gibt es auch einige branchenspezifische Gesetze. Für den Finanzsektor gilt der Gramm-Leach-Bliley Act, für den Gesundheitssektor das HIPAA. Es gibt eine Reihe weiterer Gesetze, von denen viele ihre eigenen Meldepflichten bei Verstößen enthalten, die von den Gesetzen auf Bundesstaatsebene nicht abgedeckt sind. Wenn Sie also im Gesundheitswesen tätig sind und über personenbezogene Gesundheitsdaten verfügen, die unter das HIPAA-Gesetz fallen, müssen Sie sich im Falle eines Verstoßes in der Regel nicht mit den Gesetzen auf Bundesstaatsebene befassen. Sie müssen sich wirklich nur mit einem einzigen Bundesgesetz auseinandersetzen.

Die staatlichen Behörden haben alle ihre eigenen Varianten, und das ist einer der Bereiche, in denen Sie sich im Falle einer Datenschutzverletzung an einen guten Datenschutzberater oder Datenschutzcoach wenden sollten, der sich mit den verschiedenen Gesetzen wirklich auskennt.

Was die Vorbereitung angeht, würde ich mir erneut die Cybersicherheits- und Datenschutz-Frameworks des NIST ansehen, um mir ein gutes Bild davon zu machen, was die besten Vorgehensweisen in Bezug auf deren Anforderungen sind, und um hoffentlich eine Sicherheitsverletzung zu vermeiden und mit der Reaktion auf den Vorfall und den tatsächlich eingetretenen Auswirkungen umzugehen. Ich mag diese Frameworks, weil es sich um Rahmenwerke handelt. Es sind keine spezifischen Anforderungen. Sie eignen sich sowohl für kleinere Unternehmen als auch für sehr große Organisationen.

Was ich noch erwähnen möchte, insbesondere für kleine Unternehmen: Ich halte dies für ein Problem. Datenminimierung ist entscheidend. Kleine Unternehmen haben aus welchen Gründen auch immer entweder nicht die Zeit, darüber nachzudenken, oder nicht wirklich die Ressourcen, um alle Daten zu löschen. Sie bewahren Daten jahrelang auf. Ich hatte einen Kunden, bei dem es zu einer Datenschutzverletzung kam. Sie dachten, es würde nur um 50 aktuelle Mitarbeiter gehen. Nun, nein, tatsächlich hatten sie Daten aus 20 Jahren für jeden Mitarbeiter und dessen Begünstigte, die jemals den Betrieb betreten hatten. Am Ende mussten wir etwa 800 Personen benachrichtigen. Und das liegt daran, dass man diese Daten für einen Mitarbeiter, der im Jahr 2000 beschäftigt war, wirklich nicht mehr braucht. Wahrscheinlich nicht. Ich denke also, dass das Löschen von Daten wahrscheinlich eine der wichtigsten Maßnahmen für kleine Unternehmen ist. Wenn man die Daten nicht hat, kann es auch zu keinem Datenleck kommen.

Abschließende Gedanken: Sich an die Sichtweise der Hacker anpassen

Millendorf: Ich denke, das Wichtigste für Unternehmen, wenn es um Cybersicherheit geht, ist, wirklich über den Tellerrand hinauszuschauen und wie ein Hacker zu denken. Das ist wirklich schwer. Wir denken: „Hier sind die Regeln, und wir alle halten uns daran.“ Hacker halten sich nicht an Regeln. Deshalb sind sie Hacker. Das ist wahrscheinlich ein wichtiger Punkt, wenn man über Schwachstellen und Auswirkungen nachdenkt und darüber, ob etwas letztendlich von Bedeutung sein wird oder nicht.

Schulungen sind für jeden, der mit IT-Geräten zu tun hat, enorm wichtig, egal ob es sich um die Sekretärin oder den CEO handelt. Ich führe Schulungen für Unternehmen durch. Dabei gehe ich nicht von der Perspektive des Unternehmens aus. Ich schule sie als individuelle Schulung zum Thema Identitätsdiebstahl. Denn wenn man das kann und selbst darüber nachdenkt, dann beginnt man, das auch in seinem Unternehmen anzuwenden. Wenn man jedoch davon ausgeht, dass es sich um eine Unternehmensangelegenheit handelt, denkt man: „Ach, das ist deren Problem. Was geht mich das an?“ Das ist übrigens keine gute Denkweise, aber so ist es nun einmal.

Wir haben auch mehrmals die Richtlinien und Verfahren für die Reaktion auf Vorfälle, Schulungen und deren jährliche Überprüfung in Tabletop-Übungen erwähnt.

Keine Footballmannschaft geht ohne Training in den Super Bowl und spielt einfach drauf los. Das Gleiche gilt nicht nur für das Training, sondern insbesondere auch für die Reaktion auf Vorfälle und die Tabletop-Übungen: Man muss gut vorbereitet und eingespielt sein. Auf diese Weise weiß man, was zu tun ist, wenn das Unvermeidliche eintritt. Man wiederholt dann nur noch das, was man bereits gelernt hat, anstatt zu versuchen, es spontan zu lernen.

Das Cyber Center of Excellence (CCOE) ist eine gemeinnützige Organisation mit Sitz in San Diego, die Unternehmen, Hochschulen und Behörden mobilisiert, um die regionale Cyberwirtschaft und -präsenz zu fördern und eine sicherere digitale Wirtschaft für alle zu schaffen.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

San Diego 858.847.6737

In einer vernetzten Welt mit den Herausforderungen umgehen: CCOE-Podiumsdiskussion zum Thema Cybersicherheit

Anzahl der Beschwerden über Cyberkriminalität steigt

Die Realität des Risikos durch Dritte

Den CVSS-Score kennenlernen; Penetrationstests

Regulierung von Cybersicherheit und Datenschutz

Abschließende Gedanken: Sich an die Sichtweise der Hacker anpassen

Autor(en)

Steven M. Millendorf

Verwandte Einblicke

Made in China: Was die Automobilindustrie über das weltweite Aufkommen der chinesischen Fertigung vernetzter Fahrzeuge angesichts zunehmender US-Beschränkungen wissen sollte

Die Zukunft sichern: Herausforderungen für Automobilwerkstoffe in einer sich verändernden Welt bewältigen

Die wichtigsten Erkenntnisse der TEDAI 2025