Cyber incidents und Business interruptions sind mit je über 40% größte Risiken für Unternehmen.
Oft steckt hinter dem schädigenden Verhalten eines Mitarbeiters ein externer „Auftraggeber“.
Dieser kann ein Mitbewerber, ein Konkurrent, ein ehemaliges Organisationsmitglieder oder in sensiblen Branchen auch ein ausländischer Geheimdienst sein.
Die Interessen der externen Angreifer liegen in der Regel in den Bereichen der Betriebsspionage und der Sabotage.
Angriffspunkte der Informationsgewinnung im Bereich der Betriebsspionage können Preisinformation, Produktentwicklung, Produktionstechnologie, Know-How, kurzfristige Ziele und Entwicklungen oder langfristige Unternehmensstrategien sein.
Definitionen
Intelligence: Wissen und Informationen, das bzw. die durch Analyse von offen verfügbaren Einzel- und Rohinformationen erzeugt wurden.
Wirtschaftsspionage: staatlich gelenkte oder gestützte, von fremden Nachrichtendiensten ausgehende Ausforschung von Wirtschaftsunternehmen und Betrieben.
Industriespionage: als Ausforschung, die ein (konkurrierendes) privates Unternehmen gegen ein anderes betreibt.
Handlungen der Sabotage dienen in der Regel dazu, einem Konkurrenten in seinem Handeln stark einzuschränken und/oder einen Image-Verlust herbeizuführen.
Durch ein Compliance Management System (CMS) wird es externen Angreifern zwar erschwert, Mitarbeiter zu korrumpieren und wissentlich für ihre Zwecke einzusetzen. Allerdings können Mitarbeiter auch unwissentlich („Social Engineering“), unter anderem durch Schwachstellen im IT-System, nicht adäquater „Clean-Desk-Policy“ oder falschem und nicht regelkonformen Verhalten der Mitarbeiter für unlautere Absichten missbraucht werden.
Budgetierung und Umsetzung der Sicherheitsmaßnahmen (Teillösungen) sind oft die größte Schwachstellen!
Grundsatz: bequem ist unsicher und unbequem ist sicher!
Expansionsphilosophie ist oft wichtiger als Sicherheitsphilosophie!
Partner in den Hand in Hand gehenden Bereichen Compliance und Sicherheit sollten in „ruhigen Zeiten“ und nicht erst in einer Notsituation bestimmt werden. Jedes Unternhmene sollte danach streben, das eigene Security Rating zu verbessern, auch als Vorbereitung und Grundlage, falls das eigenen Unternehmen „geratet“ wird.