Beratungsunternehmen haben immer Zugang zu höchst vertraulichen, sensiblen Informationen über ihre Kunden und empfangen und speichern diese. Daher sind sie ein zunehmend attraktives Ziel für Cyberkriminelle. In Anbetracht der Datenschutzverletzungen, von denen Beratungsunternehmen betroffen sind, können sie die sehr reale Gefahr eines Verstoßes nicht länger ignorieren.
Laut dem Bericht „2021 Cost of a Data Breach“ von IBM und dem Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenpanne im Jahr 2021 auf 4,65 Millionen Dollar pro Panne bei professionellen Dienstleistern wie Beratungs- und Buchhaltungsunternehmen. Auf entgangene Geschäfte entfielen 38 % der Gesamtkosten für Datenverletzungen. Dazu gehören Geschäftsunterbrechungen und Umsatzeinbußen durch Systemausfälle, aber auch verlorene Kunden und Reputationsschäden.
Kundenbeziehungen zu Beratungsunternehmen basieren auf einem sehr hohen Maß an Vertrauen. Datenschutzverletzungen können verheerende Auswirkungen auf künftige Geschäfte haben. Cyber-Vorfälle haben daher das Potenzial, die Geschäftsbeziehung zu zerstören. Der Verlust bestehender Kunden und die Rufschädigung, durch welche keine neuen Kunden gewonnen werden können, kann Unternehmen dazu zwingen, ihre Türen zu schließen.
Doch was sind die häufigsten Bedrohungen, denen sich Beratungsunternehmen gegenübersehen, und wie können sie diese abwehren?
Phishing und Social-Engineering-Angriffe
Die Tage der Brute-Force-Angriffe auf Unternehmensnetzwerke sind längst gezählt. Die meisten Cyberkriminellen finden es heutzutage einfacher, mit Phishing und Social Engineering in ein Netzwerk einzudringen. Um sich Zugang zu einem Arbeitscomputer zu verschaffen, genügt es, Mitarbeiter zur Preisgabe von Anmeldedaten zu verleiten oder auf einen infizierten Link oder Anhang zu klicken. Wenn sie erst einmal drin sind, können sie leicht das gesamte Netzwerk infizieren.
Die meisten Ransomware-Angriffe werden durch Phishing ausgeführt. Mitarbeiter, die eine scheinbar harmlose oder bekannte Website besuchen, können unwissentlich Opfer eines Drive-by-Downloads werden, bei dem Malware ohne das Wissen des Benutzers heruntergeladen und installiert wird.
Um diese Art von Angriffen zu verhindern, müssen Unternehmen Anti-Malware-Lösungen und Firewalls einsetzen und regelmäßig aktualisieren. Außerdem müssen sie ihre Mitarbeiter darüber aufklären, wie sie angegriffen werden können und wie sie reagieren sollten. Darüber hinaus sollten Beratungsunternehmen TPM-Funktionen (Trusted Platform Module) aktivieren und eine Zero-Trust-Architektur einführen.
Das TPM, das kürzlich von Microsoft als Voraussetzung für Windows 11 eingeführt wurde, stellt sicher, dass Sicherheitsfunktionen wie die Verhinderung der Datenausführung und die Festplattenverschlüsselung genutzt werden. Die Zero-Trust-Architektur räumt mit dem traditionellen „Castle-and-Moat“-Ansatz der Cybersicherheit auf, der sich auf die Errichtung von Mauern gegen Außenstehende konzentriert, den Nutzern innerhalb des Netzwerks aber völlige Freiheit lässt. Sie schlägt einen neuen Ansatz für die Cybersicherheit vor: Vertraue nie, überprüfe immer. Zero Trust stellt sicher, dass Benutzer, Geräte und Netzwerkverkehr beim Zugriff auf vertrauenswürdige Ressourcen überprüft werden und den Regeln des geringsten Rechts unterliegen. Sollte ein Computer infiziert werden, werden Angreifer daran gehindert, sich seitlich durch das Netzwerk zu bewegen.
Böswillige Insider
Die Fluktuationsrate der Mitarbeiter bei Beratungsunternehmen ist höher als in anderen Branchen. Das bedeutet, dass die Berater jedes Jahr das Unternehmen wechseln und oft bei konkurrierenden Unternehmen landen. Viele von ihnen werden wahrscheinlich versuchen, vertrauliche Informationen mitzunehmen, wenn sie das Unternehmen verlassen. Je nach der Menge der Daten, um die es geht, kann dies für ein Unternehmen eine Katastrophe bedeuten. Nicht nur, weil Daten exfiltriert werden, sondern auch, weil diese sensiblen Daten aus der Sicherheit des Unternehmensnetzes herausgenommen werden und somit angreifbar sind.
Beratungsunternehmen sollten eine Data Loss Prevention Lösung einsetzen (DLP), um dieses Problem in den Griff zu bekommen. Die meisten DLP-Lösungen verfügen über Gerätekontrollfunktionen, mit denen Unternehmen die Verwendung von Wechseldatenträgern wie USB-Sticks, Mobiltelefon oder externen Laufwerke, die zum Datendiebstahl verwendet werden könnten, blockieren oder einschränken.
DLP-Tools können auch die Übertragung von als sensibel eingestuften Daten blockieren. So können böswillige Insider daran gehindert werden, sensible Informationen per E-Mail zu versenden, sie in die Cloud oder in File-Sharing-Dienste hochzuladen, auszudrucken oder per Copy-Paste in den Text einer E-Mail einzufügen.
Nachlässigkeit der Mitarbeiter
Schließlich sind die Mitarbeiter leider das schwächste Glied in der Sicherheitskette eines Unternehmens. Ihre Leichtgläubigkeit ist die Ursache für Phishing- und Social-Engineering-Angriffe, und es ist ihre Unachtsamkeit, die unbeabsichtigt zu Datenschutzverletzungen führen kann. Ob sie nun ein Dokument mit hochsensiblen Informationen an die falsche Adresse schicken, nicht freigegebene Applikationen nutzen oder unsichere Dienste von Drittanbietern zur Übertragung und Freigabe sensibler Daten verwenden – Mitarbeiter sind für einige der katastrophalsten Datenschutzverletzungen der letzten zehn Jahre verantwortlich.
DLP-Lösungen können Unternehmen auch bei Nachlässigkeit der Mitarbeiter helfen. Beratungsunternehmen können definieren, was sensible Daten für sie im Kontext ihres Geschäfts oder sogar bestimmter Projekte bedeuten, und Richtlinien anwenden, um die Übertragung von Dateien mit diesen Daten zu blockieren. Durch Inhaltsüberprüfung und kontextbezogenes Scannen können DLP-Lösungen sensible Daten in Hunderten von Dateitypen identifizieren und verhindern, dass sie über beliebte Messaging-Apps wie Skype oder Slack über persönliche E-Mails oder Cloud-Anwendungen weitergegeben werden.
Einige Lösungen, wie Endpoint Protector, gehen noch einen Schritt weiter und ermöglichen die Anwendung verschiedener Richtlinien für bestimmte Abteilungen. Auf diese Weise können Mitarbeiter, die direkt mit wichtigen Kunden arbeiten, strenger kontrolliert werden als Mitarbeiter, die nicht täglich mit sensiblen Daten zu tun haben. DLP-Richtlinien können somit auf die Bedürfnisse eines Beratungsunternehmens zugeschnitten werden und ermöglichen eine flexible Implementierung, die Effizienz und minimale Unterbrechungen für die Mitarbeiter eines Unternehmens gewährleistet.
Beratungsunternehmen haben im Falle einer Datenpanne viel zu verlieren. Die Reputation ist ein entscheidender Faktor für ihren Erfolg, und sie zu verlieren, kann drastische Folgen haben. Datenschutzverletzungen können ein Schlag sein, von dem sich Beratungsunternehmen möglicherweise nicht mehr erholen, weshalb Prävention und ein solider Rahmen für die Cybersicherheit für ihre Geschäftsabläufe unverzichtbar geworden sind.