Mit einer großen Anzahl von Mitarbeitern, die oft Produkte direkt an Kunden verkaufen, aber auch als Teil globaler Lieferketten für größere Organisationen, sammeln und verarbeiten Elektronikunternehmen sensible Daten in großem Umfang. Zu den sensiblen Daten, die sie sammeln, gehören persönlich identifizierbare Informationen (PII) und Finanzdaten, aber auch branchenspezifisches geistiges Eigentum (IP) wie Blaupausen, Schaltpläne und Patente. Als solche sind sie eine wahre Datengoldgrube für Hacker und anfällig für böswillige Insider und Industriespionage.
In der Elektronikindustrie stellen vor allem Geschäftsgeheimnisse eine große Herausforderung für die Datensicherheit dar. Innovation ist oft das Herzstück erfolgreicher Elektronikunternehmen, und wenn ihr geistiges Eigentum von Konkurrenten oder ausscheidenden Mitarbeitern gestohlen wird, kann das eine Katastrophe bedeuten.
Cybersecurity als geschäftliche Notwendigkeit
Die meisten Elektronikunternehmen müssen heute bei Verhandlungen über die Lieferkette, bei der Auftragsvergabe oder bei Vereinbarungen über Qualitäts- und Zahlungsbedingungen nachweisen, dass sie auf dem Gebiet der Cybersicherheit bereit sind. In einigen Branchen müssen alle Unternehmen in ihrer Lieferkette die bestehenden internationalen Normen oder speziell für diesen Bereich entwickelte Rahmenwerke einhalten.
Dies gilt für alle Auftragnehmer oder Unterauftragnehmer des US-Verteidigungsministeriums (DoD). Schätzungsweise 300.000 Unternehmen, die in der Lieferkette der Defense Industrial Base (DIB) tätig sind, müssen eine Cybersecurity Maturity Model Certification (CMMC) erhalten, um sich für einen Auftrag des DoD zu bewerben, ihn zu gewinnen oder an ihm teilzunehmen.
In Deutschland hat der Verband der Automobilindustrie (VDA) eine Bewertung der Informationssicherheit (ISA) entwickelt, die auf internationalen Standards wie ISO/IEC 27001 und 27002 basiert. Der VDA richtete daraufhin den Trusted Information Security Assessment Exchange (TISAX) ein, um als Bewertungs- und Austauschmechanismus zu fungieren, über den Unternehmen Prüfungen zur Einhaltung der ISA einreichen können. Alle Unternehmen, die Teil der weltweiten Lieferkette des VDA sind, müssen ein gültiges TISAX-Gutachten vorlegen, um einen Auftrag in der deutschen Automobilindustrie zu erhalten.
Gesetzliche Verpflichtungen
Über diese branchenspezifischen Vorschriften hinaus müssen Elektronikhersteller auch die personenbezogenen Daten schützen, die sie von Kunden und Mitarbeitern erheben und verarbeiten. Solche Daten werden durch Gesetze wie die Allgemeine Datenschutzverordnung der EU (DSGVO) und den California Consumer Privacy Act (CCPA) geschützt. Jedes Unternehmen, das Kreditkartenzahlungen akzeptiert, muss außerdem den Payment Card Industry Data Security Standard (PCI DSS) einhalten, der den Schutz von Zahlungssystemen vor Verstößen, Betrug und Diebstahl von Karteninhaberdaten durchsetzt.
Die Nichteinhaltung des Datenschutzes und die Nichtgewährung der Rechte der Betroffenen können zu massiven Strafen führen. Die europäischen Datenschutzbehörden können bei Nichteinhaltung der DSGVO Geldstrafen von bis zu 22.600.000 US-Dollar oder 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängen. Nach dem CCPA können die Strafen bis zu 750 US-Dollar pro Verbraucher und Vorfall betragen, aber die von einer Datenschutzverletzung betroffenen Parteien haben auch ein privates Klagerecht.
Schutz sensibler Daten durch Data Loss Prevention
Eine Möglichkeit für Elektronikunternehmen, sensible Daten zu schützen, ist der Einsatz von Data Loss Prevention (DLP)-Lösungen. Während Standard-Cybersicherheitslösungen Unternehmensnetzwerke und -geräte schützen, konzentrieren sich DLP-Produkte direkt auf den Schutz sensibler Daten. Mithilfe vordefinierter Profile für weithin geschützte Datenkategorien wie PII, IP und Finanzinformationen, aber auch für die Einhaltung verschiedener Vorschriften wie GDPR, PCI DSS und CCPA, können DLP-Tools Datenschutzrichtlinien unternehmensweit anwenden.
Lösungen wie Endpoint Protector ermöglichen es Unternehmen außerdem, die Definitionen sensibler Daten mit Hilfe von Schlüsselwörtern, die für ihr Unternehmen spezifisch sind, und benutzerdefinierten Inhaltswörterbüchern anzupassen. Auf diese Weise können Elektronikhersteller den Datenschutz leicht an ihre Bedürfnisse anpassen.
Sobald sensible Daten definiert sind, nutzen DLP-Lösungen kontextbezogenes Scannen und Inhaltsinspektion, um in über hundert Dateitypen nach ihnen zu suchen und ihre Verwendung und Übertragung zu überwachen und zu kontrollieren. Elektronikunternehmen können so verhindern, dass Mitarbeiter sensible Daten stehlen oder versehentlich über unsichere Kanäle wie persönliche E-Mails, Messaging-Apps, File-Sharing und Cloud-Dienste weitergeben. DLP-Lösungen können auch verhindern, dass sensible Daten kopiert oder gedruckt werden.
Durch die Überwachung von Datenübertragungen können Elektronikunternehmen auch ihre internen Sicherheitsmechanismen verbessern, indem sie schlechte Praktiken unter den Mitarbeitern und Schwachstellen in den bestehenden Datenschutzrichtlinien aufdecken. DLP-Lösungen melden und protokollieren auch automatisch alle versuchten Richtlinienverstöße und helfen den Unternehmen dabei, herauszufinden, welche Mitarbeiter möglicherweise versuchen, Daten zu stehlen oder eine zusätzliche Datensicherheitsschulung benötigen.
Wechseldatenträger als Quelle von Datenverlusten
Während sich das Internet in den letzten Jahren zur beliebtesten Methode für die Übertragung von Dateien entwickelt hat, sind Wechseldatenträger nach wie vor eine ständige Quelle für Datenverluste in Unternehmen. Insbesondere USB-Geräte können aufgrund ihrer Größe leicht verlegt oder gestohlen werden und sind leicht zu verstecken. Insider verwenden USBs oft, um Daten zu exfiltrieren, wenn sie ein Unternehmen verlassen. USBs können aber auch als Infektionswerkzeug verwendet werden, um Malware innerhalb eines Unternehmensnetzwerks durch böswillige Agenten zu verbreiten.
DLP-Lösungen können Elektronikunternehmen auch bei der Bewältigung dieses Problems unterstützen. Viele verfügen über eine Device Control Lösung, mit denen Unternehmen die Verwendung von Peripheriegeräten, USB-Anschlüssen und Bluetooth-Verbindungen einschränken oder blockieren können. Durch die Beschränkung auf vertrauenswürdige Geräte können Unternehmen jederzeit feststellen, welcher Mitarbeiter welches Gerät zu welchem Zeitpunkt für sensible Datenübertragungen genutzt hat.
Ein weiterer Schritt, den Elektronikhersteller unternehmen können, ist die Verwendung einer erzwungenen Verschlüsselung auch für vertrauenswürdige Geräte. Das bedeutet, dass alle sensiblen Daten, die auf Wechseldatenträger kopiert werden, automatisch verschlüsselt werden. Sollte ein Gerät verloren gehen oder gestohlen werden, haben Dritte ohne den Entschlüsselungscode keinen Zugriff auf die darauf gespeicherten sensiblen Daten.
Plattformübergreifende Cybersicherheit
Eine weitere Herausforderung für Elektronikunternehmen besteht darin, dass die meisten Unternehmen Netzwerke mit mehreren Betriebssystemen betreiben. Es mag zwar verlockend sein, die Sicherheitsbedürfnisse von macOS- oder Linux-Rechnern zu vernachlässigen, weil sie aufgrund ihrer Architektur schwerer angreifbar sind, doch müssen Elektronikunternehmen erkennen, dass die Bedrohungen durch Insider für alle Betriebssysteme gleich sind, da die Täter bereits Zugang zu den Arbeitscomputern haben. Unabhängig davon, ob sie darauf abzielen, Daten zu stehlen, oder ob sie diese durch Nachlässigkeit verlieren, sind die Mitarbeiter oft das schwächste Glied in der Cybersicherheitsstrategie eines Unternehmens.
Daher müssen Elektronikunternehmen eine Datenschutzsoftware wie DLP in Betracht ziehen, die die gleichen Funktionen nicht nur für Windows, sondern auch für andere Betriebssysteme bietet, die Teil ihrer Netzwerke sein könnten, wie macOS und Linux.
Eine wirklich plattformübergreifende Lösung zu finden, kann eine schwierige Aufgabe sein, da viele Produkte auf ein Betriebssystem spezialisiert sind und nur eine abgespeckte Version ihrer Lösung für andere Betriebssysteme anbieten. Unternehmen sollten daher Produkte wählen, die für alle Betriebssysteme in ihrem Netzwerk die gleichen Funktionen bieten, um sicherzustellen, dass der Datenschutz für alle Geräte im Unternehmensnetzwerk gleich bleibt.