Folgender Blogbeitrag zum Thema Digital Risk Management wurde von Andreas Leukart im Rahmen eines Leistungsnachweises des CAS Legal Tech verfasst und enthält subjektive Färbungen. Bewertet wurde der Beitrag von Studiengangsleiter Ioannis Martinis und redigiert von der Redaktion des Institute for Digital Business.

Digital Risk Management – das sollte uns zu denken geben.

Fast wöchentlich lesen wir Berichte zu Hackerangriffen, Datenverlusten oder Malware. Solche “Cyber Risks” können Unternehmen erschüttern. Schon das zeigt: Digital Risk Management ist wichtig. Gefahren lauern aber auch für uns Private: wir scheinen gläserne Konsumenten zu sein, hinterlassen online Spuren und sind offenbar ein leichtes Ziel für Cyber-Angriffe. Sind wir in der Datenwelt irgendwo falsch abgebogen? Und wenn ja, wie finden wir aus dem dunklen Wald heraus? Es ist höchste Zeit, sich von der Rolle als Hänsel und Gretel zu verabschieden und zu wachen Ninjas zu werden. “Think like a Hacker, defend like a Ninja”, sagt Ralph Hutter, Studiengangsleiter des CAS Cyber Risk & Security und des CAS Mobile Business & Ecosystems an der HWZ. Er sagt das zu Recht, denn Cyber-Angriffe sind real, werden gut organisiert ausgeführt und können grossen Schaden anrichten.

Cyber Threats und Cyber Security Awareness

Die European Union Agency for Cybersecurity (enisa) hat die 15 häufigsten Cyber Threats im Jahr 2020 analysiert: auf den Plätzen eins bis drei liegen Malware, Web-based attacks und Phishing. Cyber-Kriminalität ist ein Geschäftsmodell – das sagt Ralph Hutter auch im Podcast «HWZ on Air: in a nutshell». Unternehmen sollten sich dem bewusst sein. Und sie sollten die Balance finden zwischen Risiko Management, Governance und Compliance. Zentral für ein gutes Digital Risk Management sind eine solide IT-Infrastruktur und die Fähigkeit, Angriffe früh zu erkennen. Ganz wichtig ist dabei auch die Sensibilisierung der Mitarbeitenden. Denn nicht selten sind sie der «Entry Point» von Cyber Threats. Es lohnt sich also, die Awareness für solche Risiken erhöhen (vgl. das VEB/HWZ Whitepaper «Cyber Security Awareness»). Wenn wir denken wie Hacker, sind wir ihnen einen Schritt voraus!

Corona-Pandemie als Herausforderung für das Digital Risk Management

Cyber-Attacken nehmen während Krisen oder Katastrophen jeweils zu (“Disaster Fraud“). Während der Pandemie gab es z.B. mehr Phishing-Mails oder unseriöse Nachrichten für Paketabholungen. Mitarbeitende im Home Office greifen zudem über Fernzugriff, teils mit privaten Geräten, auf das Unternehmensnetzwerk zu. Auch damit steigt die Gefahr von Cyber Threats (z.B. Angriffe auf ungesicherte Gateways). In Zukunft werden wir weiterhin flexibel arbeiten. Also sollten wir auch die Risiken im Griff haben. Das Dokument «Home Office – Sicherer Umgang mit Fernzugriffen» des nationalen Zentrums für Cybersicherheit (NCSC) gibt eine gute Übersicht zu den Möglichkeiten, wie wir diese Risiken reduzieren können. Starke Passwörter, die Sensibilisierung der Mitarbeitenden und Offline Backups (z.B. bei Ransomware-Angriffen) sind schon eine gute Basis für ein solides Digital Risk Management.

Digital Risk Management bei Passwort, Harddisk und Co.

Mit einer der grössten Security-Schwachstellen schlagen wir uns täglich herum: den Passwörtern. Und wer kann von sich schon behaupten, für jedes Log-In ein eigenes Passwort zu haben? Eben. Aber es gibt Abhilfe, z.B. in Form von:

  • Zwei-Faktor-Authentifizierung
  • Password-Manager bzw. Password-Safe (wie z.B. SecureSafe, 1Password)
  • Biometrische Daten statt Passwörter

Um die Sicherheit der eigenen Daten zu erhöhen, eignen sich auch Harddiskverschlüsselungen oder Daten-Backups in der Cloud. Am besten mit einer Technologie nach dem «zero-knowledge»-Prinzip: Dann hat der Anbieter der Lösung weder Zugriff auf Daten, noch kennt er das Passwort dazu. Daten bleiben so komplett privat. Die Werkzeuge für gute Security sind also da. Wir müssen sie nur nutzen.

Cyber Security, Digital Risk Management

Quelle: Pixabay.com (Bild: Peter-Lomas) (22.05.2021)

Digital Privacy und Online Tracking

Es ist kein Geheimnis, dass wir im Netz Spuren hinterlassen. Und die können nachverfolgt werden. Tracking Cookies erlauben z.B. personalisierte Werbung. Die Geolokalisierung kann ein detailliertes Bewegungsmuster erstellen. Zahlungsvorgänge verraten unsere Konsumvorlieben. Websites erkennen uns mittels sog. “Browser Fingerprinting” wieder. All diese Daten haben einen wirtschaftlichen Wert. Diesem Wert müssen wir uns bewusst sein. Denn wir sollten nur die Daten preisgeben, die wir auch preisgeben wollen. Klar, wir müssen vor Missbrauch geschützt werden. Das ist vor allem die Aufgabe des Gesetzgebers. Aber auch wir können etwas tun: z.B. sollten wir nur notwendige Cookies zulassen, die Geolokalisierung reduzieren und Tools für den Schutz unserer Privatsphäre nutzen (z.B. um Browser Fingerprinting zu reduzieren). Das sind die ersten Schritte zu guter Digital Privacy.

Fazit

Ralph Hutter hat in der Vorlesung über Digital Risk Management anschaulich die Gefahren aufgezeigt, die uns online erwarten können. Neben dem Einsatz von hilfreichen Tools ist schon viel gewonnen, wenn wir uns mit offenen Augen im Netz bewegen – am besten so wachsam wie ein Ninja!