Deloitte Studie: Massive Zunahme von Cyber-Attacken
Finanzriesen im Visier von professionellen Hackern und organisiertem Verbrechen
Wien (pts032/13.07.2006/13:50) Initiativen gegen Identitätsdiebstahl und Kontobetrug sowie Vorkehrungen für Business Continuity zählen zu den wichtigsten Sicherheitsmaßnahmen der Finanzinstitute.
Die Zahl der Cyber-Attacken auf die weltweit führenden Finanzinstitute ist im letzten Jahr stark angestiegen, vor allem Attacken externen Ursprungs. Mehr als drei Viertel der Befragten (78 % gegenüber 26 % im Vorjahr) sind mindestens einmal Opfer einer externen Attacke geworden und fast die Hälfte (49 % gegenüber 35 % im Vorjahr) stellte zumindest einen Sicherheitsverstoß durch eine interne Attacke fest. Diese Ergebnisse stammen aus der 2006 durchgeführten Sicherheitsstudie "Global Security Survey". Die vierte Ausgabe der jährlich erscheinenden Deloitte Sicherheitsstudie ist das Ergebnis einer Befragung leitender Datenschutzbeauftragter der weltweit führenden Finanzinstitute und gilt als globaler Maßstab für den Stand von IT-Sicherheit und Datenschutz in der Finanzdienstleistungsbranche.
Die drei in den letzten 12 Monaten am häufigsten vorkommenden (externen und internen) Attacken in der globalen Finanzdienstleistungsbranche wurden zumeist mit dem Ziel ausgeübt, finanzielle Gewinne in irgendeiner Form zu erzielen. Mehr als die Hälfte (51 %) aller externen Attacken erfolgte in Form von Phishing- oder Pharming-Angriffen, gefolgt von Attacken mit Spyware oder Malware (18 %). Insider-Betrug (28 %), d. h. Betrug durch Mitarbeiter, und der unberechtigte Zugriff auf Kundendaten (18 %) zählen zu den drei häufigsten internen Sicherheitverletzungen.
"Das Ausmaß und die Art dieser Attacken sind Zeichen einer neuen Realität für die internationale Finanzbranche", erklärt Michael Vertneg, Partner von Enterprise Risk Services Deloitte Österreich. Die Ausführung und Verwertung dieser Angriffe erfordere erhebliche Ressourcen und eine ausgezeichnete Koordination, so Vertneg, woraus man schließen könne, dass nun professionelle Hacker und das organisierte Verbrechen an die Stelle von Scriptkiddies und "Einmaltätern" getreten seien. Das bedeute auf der einen Seite nicht nur, dass Unternehmen mit besser entwickelten und schwerer zu entdeckenden Attacken zu rechnen haben, sondern auch, dass sie erhöhten Risiken und potenziellen Verlusten ausgesetzt seien. Daher rät Deloitte, dass Finanzinstitute diese Faktoren auf alle Fälle in ihre allgemeine Sicherheitsstrategie einbeziehen sollten.
Banken reagieren auf potentielle Risken und setzen Sicherheitsmassnahmen
Diese Veränderung in der Art der IT-Attacken und die potenziellen Risiken, die diese darstellen, sind von den Finanzdienstleistern nicht unbemerkt geblieben. Banken beginnen nun auf diese Risiken zu reagieren und Sicherheitsmaßnahmen zu setzen. In diesem Jahr zählten Initiativen gegen Identitätsdiebstahl und Kontobetrug (58 %) sowie die Einführung von Lösungen für das Identity & Access Management (41 %) zu den fünf wichtigsten Sicherheitsmaßnahmen für 2006. Weiters zählen die Implementierung von Disaster-Recovery-Systemen und Vorkehrungen für Business Continuity (49 %) zu den Top-5-Sicherheitsmaßnahmen, was auch ein Zeichen dafür ist, dass die Finanzbranche auf die derzeitigen Ereignisse und die auftretenden Risiken rasch reagiert. Die verheerende Anzahl von weltweiten Naturkatastrophen in den letzten Jahren verdeutlicht die Signifikanz einer guten Business-Continuity-Planung: Die Studie stellte fest, dass 88 % der befragten Unternehmen über ein unternehmensweites Business-Continuity-Management-Programm verfügen. Damit beweisen die Finanzdienstleister wieder ihre mehr als deutliche Spitzenstellung in diesem Bereich.
Laut Michael Vertneg zeigt Deloittes Sicherheitsstudie, dass die Finanzinstitute die rasante Entwicklung in der Sicherheitsbranche aufmerksam verfolgen. Die Prioritäten der Banken haben sich geändert, so Vertneg, und Finanzinstitute haben nun begonnen, Maßnahmen zur Abschwächung der verschiedenen Risiken und Bedrohungen zu setzen. Aber auch wenn es nur natürlich sei, sich in erster Linie auf die unmittelbaren Risikofaktoren zu konzentrieren, so sollten Unternehmen unbedingt einen harmonischen und ganzheitlicheren Ansatz bei ihren Sicherheitsmaßnahmen und Initiativen verfolgen.
Interessanterweise zählen gegenüber der letzten Studie Sensibilisierungs- und Schulungsmaßnahmen nicht mehr zu den fünf populärsten Sicherheitsmaßnahmen. Obwohl 96 % der Befragten angaben, über den Missbrauch von IT-Systemen durch Mitarbeiter besorgt zu sein, haben im letzten Jahr nur ein Drittel (34 %) ihren Mitarbeitern Schulungen für Informationssicherheit und Datenschutz angeboten. Zur Verschärfung der Sensibilisierung und als Sicherheitsmaßnahmen verwenden die meisten Finanzinstitute Warnungen auf Webseiten und E-Mails (63 %).
Weitere wichtige Erkenntnisse aus der Studie:
* 95 % der Teilnehmer gab an, dass ihre Sicherheitsbudgets im letzten Jahr gestiegen sind. Investiert wurde in erster Linie in logische Zugangskontrollsysteme (76 % der Befragten).
* Fast drei Viertel der Finanzinstitute (72 %), die Sicherheitsverstöße verzeichneten, gaben an, dass sich der dadurch entstandene Schaden für das Unternehmen mit allen direkten und indirekten Kosten auf ungefähr $ 1 Million (U.S.) belaufen würde.
* In diesem Jahr gaben 71 % der Befragten an, eine klar festgelegte Sicherheitsstruktur (z. B. festgelegte Verantwortlichkeiten, Strategien und Abläufe) zu haben. 24 % der Befragten sind im Begriff, eine derartige Sicherheitsstruktur aufzubauen.
* Die Anzahl der Finanzinstitute mit einer Informationssicherheitsstrategie ist auf 61 % gesunken. Weitere 21 % gaben an, eine derartige Strategie für ihr Unternehmen zu entwickeln oder zu erneuern.
Regionale Highlights
Europa, Naher Osten und Afrika (EMEA): Bei der Ernennung eines Chief-Information-Security-Officers (CISO) liegen in diesem Jahr die Befragten aus der EMEA-Region im Spitzenfeld: Die EMEA-Region weist die höchste Prozentzahl (91 %) von Finanzinstituten mit CISOs auf. Auch bei anderen Bereichen der Informationssicherheit verzeichnet die EMEA-Region gegenüber dem Rest der Welt gute Ergebnisse. Lediglich bei den Sensibilisierungs- und Schulungsmaßnahmen zu Sicherheits- und Datenschutzthemen für Mitarbeiter fällt die EMEA-Region zurück: Im Vergleich zum globalen Durchschnitt (49 %) bieten in der EMEA-Region nur 41 % aller Finanzinstitute ihren Mitarbeitern Schulungen im Bereich Sicherheit an.
Aufbau und Durchführung der Studie
Die Studie wurde anhand von persönlichen Befragungen und Online-Fragebögen von Deloitte durchgeführt, wobei in erster Linie leitende Datenschutzexperten (Chief-Security-Officer, Chief-Information-Officer, Sicherheitsmanagementteam etc.) der Top-100-Liste der globalen Finanzdienstleistungsunternehmen befragt wurden (unter österreichischer Beteiligung). Die Fragen bezogen sich auf die Bereiche Governance, Investitionen in Sicherheit, Risiken, Einsatz von Sicherheitstechnologien, Qualität der Betriebsabläufe und Datenschutz. Die Studie berücksichtigt sowohl öffentlich-rechtliche als auch private Unternehmen aller Kontinente, aufgeschlüsselt nach fünf geographischen Regionen: Europa/Naher Osten/Afrika (EMEA), Asiatisch-Pazifischer Raum (APAC), Japan, USA, Kanada und Lateinamerika/Karibik (LACRO). Aufgrund der breit gefächerten Zielgruppe der befragten Unternehmen und des qualitativen Formats der Studie sind die hier dargestellten Ergebnisse nicht auf jede der genannten Regionen zu verallgemeinern.
Kontakt:
DI Michael Vertneg
Deloitte Enterprise Risk Services
Tel.: +43-(1)-537 00-3700
E-Mail: mvertneg@deloitte.at
Elisabeth M. Seidl
Deloitte Marketing & Communications
Tel.: +43-(1)-537 00-8540
E-Mail: eseidl@deloitte.at
| Aussender: | pts - Presseinformation (A) |
| Ansprechpartner: | Elisabeth M. Seidl |
| Tel.: | +43-(1)-537 00-8540 |
| E-Mail: | eseidl@deloitte.at |
