5 Minuten Lesezeit 1 Oktober 2017
Eine Hand, die zu einem Touchscreen reicht.

Acht Gründe für mehr Cybersecurity in Immobilienunternehmen

Paul van Kessel
Von Paul van Kessel

EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.

5 Minuten Lesezeit 1 Oktober 2017
Verwandte Themen Konsumgüterindustrie & Handel Cybersecurity Digitalisierung Studie zur globalen Informationssicherheit – GISS Immobilien- und Bauwirtschaft
Gefällt mir

Weitere Materialien

Die EY Global Information Security Survey zeigt, dass Cyberangriffe in Immobilienunternehmen nicht ernst genug genommen werden. Ist Ihr Unternehmen vorbereitet?

Unsere aktuellste Studie, die Global Information Security Survey, beschäftigt sich mit den wichtigsten Herausforderungen, denen sich Unternehmen im Bereich Cybersecurity heute stellen sollten. Wir haben dabei weltweit knapp 1.200 Führungskräfte aus mehr als 20 Branchen befragt. Unsere Erkenntnisse basieren auf den Untersuchungsergebnissen sowie der umfassenden Erfahrung, die wir weltweit in Kundenprojekten zur Erhöhung der Cybersecurity gemacht haben.

Ein Blick auf die Ergebnisse aus der Immobilienbranche zeigt, dass diese Unternehmen Cybersecurity zwar weiterhin ganz oben auf die Agenda setzen und gute Fortschritte in der Erkennung und Beseitigung von Schwachstellen erreicht haben, sich aber mehr Sorgen denn je über die Bandbreite und Komplexität möglicher Bedrohungen machen.

Wie Unternehmen ihre Cyber-Resilienz in einer konvergenten Welt verlieren

In der heutigen Online-Welt ist jedes Unternehmen zwangsläufig digital und arbeitet mit der Unternehmenskultur, den Technologien und den Prozessen des Internet-Zeitalters. In der vernetzten, konvergenten Welt des Internet of Things (IoT) entwickelt sich ein breites digitales Umfeld, in dem jede Anlage, die ein Unternehmen besitzt oder nutzt, einen Knotenpunkt des Netzwerks bildet. Aus diesem Grund fällt es Unternehmen schwerer denn je, das digitale Umfeld zu verstehen, in dem sie sich bewegen.

Unternehmen fällt es schwerer denn je, das digitale Umfeld zu verstehen, in dem sie sich bewegen.

Angreifer aus dem Netz durchstreifen dieses Umfeld völlig uneingeschränkt. Sie handeln willkürlich oder punktgenau, sie greifen große oder kleine Unternehmen an, im öffentlichen oder im privaten Sektor. Sie sind dabei gut getarnt: Um die Angreifer zu entlarven, werden Cybersecurity-Verteidigungsmechanismen benötigt, die Bedrohungen auch dann erkennen, wenn sie sich perfekt im jeweiligen Umfeld tarnen.

Vor diesem Hintergrund sollten Unternehmen ihre Resilienz bei unterschiedlichen Bedrohungskategorien unter die Lupe nehmen. Dazu zählen:

  • Gängige Angriffe: Für sie braucht es keine sonderlich versierten Hacker. Die Angriffe nutzen bekannte Schwachstellen mit frei verfügbaren Hacking-Tools und sind damit auch ohne Fachkenntnisse oft erfolgreich.
  • Fortgeschrittene Angriffe: Für sie braucht es typischerweise versierte Hacker. Die Angriffe nutzen komplexe und manchmal unbekannte („zero-day“) Schwachstellen mit ausgeklügelten Tools und Methoden.
  • Neuartige Angriffe: Diese Angriffe nutzen neue Angriffsvektoren und Schwachstellen, die durch Einführung neuer Technologien entstehen. Sie werden meist von versierten Hackern durchgeführt, die in eigenen Recherchen geeignete Schwachstellen identifizieren und nutzen.

Die wichtigsten Umfrageergebnisse für die Immobilienwirtschaft

Hier finden Sie die Antworten der Führungskräfte aus der Immobilienbranche, die wir für unsere Global Information Security Survey befragt haben.

Budget

100%

der Befragten geben an, dass sie ein bis zu 50 Prozent höheres Cybersecurity-Budget benötigen.

Identifikation

14%

halten es für sehr wahrscheinlich, dass ein ausgeklügelter Cyberangriff erkannt wird.

Praktische Umsetzung

58%

haben kein Security Operation Center (SOC), auch wenn SOCs sich mittlerweile zunehmend verbreiten.

Informationsbeschaffung

65%

haben kein oder lediglich ein informelles Programm zur Information über aktuelle Bedrohungen.

Personal

80%

der Befragten halten einen unvorsichtigen Mitarbeiter für die wahrscheinlichste Angriffsquelle.

Berichtwesen

76%

der Unternehmen siedeln die Cybersecurity-Berichterstattung immer noch weitgehend innerhalb der IT an.

Wissen

17%

der Führungsteams verfügen über ausreichende Kenntnisse, um Cyberrisiken angemessen managen zu können.

Funktionalität

91%

geben an, dass ihre Cybersecurity-Funktion die Unternehmensanforderungen nicht ausreichend erfüllt.

Cybersecurity zurückgewinnen: Verteidigungsmechanismen, die ihre Aufgabe erfüllen

Unternehmen werden vermutlich mit einer ganzen Welle unterschiedlich versierter Hacker konfrontiert, gegen die sie sich zur Wehr setzen können und müssen. Die Strategie sollte dabei mehrschichtig sein, mit dem Schwerpunkt auf der Abwehr der gängigsten Angriffe bei gleichzeitiger Einführung differenzierter Ansätze für den Umgang mit fortgeschrittenen und völlig neuen Arten von Angriffen. Da einige dieser Angriffe unweigerlich die Abwehrlinien der Unternehmen durchbrechen werden, sollte der Fokus hier darauf liegen, wie diese Angriffe möglichst schnell erkannt und effektiv abgewehrt werden können.

  • Schließen Sie die Türen vor gängigen Angriffen

    Die Verteidigung gegen gängige Angriffsmethoden besteht darin, die Türen für die häufigsten dieser Bedrohungen zu verschließen. Auf dieser Ebene sind Punktlösungen weiterhin ein Kernelement der Cybersecurity-Resilienz. Die entsprechenden Tools umfassen Antivirussoftware, Systeme zur Erkennung von und zum Schutz vor Eindringlingen (Intruder Detection Systems, IDS, und Intruder Protection Systems, IPS), ein konsistentes Patch Management sowie Verschlüsselungstechnologien, welche die Datenintegrität auch dann noch schützen, wenn ein Hacker schon Zugriff auf sie hat. Auch das Problembewusstsein der Mitarbeiter ist wesentlicher Bestandteil einer effektiven Abwehrlinie. Es gilt, innerhalb des gesamten Unternehmens Sensibilität für Cybersecurity und richtiges Passwort-Management aufzubauen.

  • Erkennen Sie fortschrittliche Angriffe rasch

    Will man sich als Unternehmen wirksam gegen fortgeschrittene Angriffe schützen, muss man erst einmal akzeptieren, dass es Angreifern gelingen wird, ins Netzwerk einzudringen. Diese erfolgreichen Angriffe gilt es dann so schnell wie möglich zu erkennen. Ein SOC im Zentrum der Bedrohungserkennung eines Unternehmens ist hierfür ein hervorragender Ausgangspunkt, weil es ein zentrales, gut strukturiertes und koordiniertes Drehkreuz für alle Aktivitäten im Bereich Cybersecurity darstellt. Immer öfter erweitern SOCs ihr Leistungsangebot von passiven Cybersecurity-Methoden um eine aktive Verteidigung – sorgfältig geplante und kontinuierlich durchgeführte Aktionen, die versteckte Angreifer identifizieren und entfernen sowie wahrscheinliche Bedrohungsszenarien gegen die sensibelsten Unternehmensanlagen abwehren.

  • Verstehen Sie die Grundlagen neuartiger Angriffe

    Zum wirksamen Schutz vor neuartigen Angriffen gehört zunächst die Erkenntnis, dass es Bedrohungen geben wird, die man noch nicht kennt. Innovative Unternehmen mit hoher Vorstellungskraft für neuartige Bedrohungsformen können ihren Cybersecurity-Ansatz so agil gestalten, dass sie im Fall des Falles schnell handeln können. Unternehmen, die gute Governance-Prozesse in ihren Geschäftsalltag implementiert haben, können die Vorteile der „Security by Design“ nutzen, indem sie Systeme und Prozesse erstellen, die auch auf unerwartete Risiken und neue Gefahren angemessen reagieren.

Die Entwicklung eines Notfallplans nach erfolgreichen Cyberangriffen

Unternehmen sollten immer davon ausgehen, dass es nur eine Frage der Zeit ist, bis ein Hacker ihre Abwehrlinien durchbricht. Mit einem entsprechenden CBRP-Notfallplan (Cyber Breach Response Plan), der nach Identifikation des Eindringlings automatisch initiiert wird, hat ein Unternehmen gute Chancen, die Folgen eines Angriffs zu minimieren. Ein CBRP muss jedoch das gesamte Unternehmen umfassen und von jemanden betreut werden, der über die nötige Erfahrung und die entsprechenden Kenntnisse verfügt, um die praktische und strategische Reaktion des Unternehmens zu steuern.

Kontaktieren Sie uns

Suchen Sie weitere Informationen? Erfahren Sie mehr.

Fazit

Angesichts der Unsicherheiten rund um das Internet der Dinge wird Cybersecurity zu einer kritischen Frage, der sich nur wenige Unternehmen bisher angemessen gestellt haben. In der Immobilienwirtschaft, wo 91 Prozent der Befragten angaben, sich dem Thema Cybersecurity noch nicht ausreichend zu widmen, unternehmen Führungskräfte erste Schritte, um sich auf Angriffe vorzubereiten und sich besser vor ihnen zu schützen. 

Über diesen Artikel

Paul van Kessel
Von Paul van Kessel

EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.

Verwandte Themen Konsumgüterindustrie & Handel Cybersecurity Digitalisierung Studie zur globalen Informationssicherheit – GISS Immobilien- und Bauwirtschaft
Gefällt mir