Sind ESG-Daten das nächste Ziel für Ransomware-Akteure?
Inhaltsverzeichnis:
Wie ein berühmter Frosch einmal sagte: Es ist nicht einfach, grün zu sein. Ende Januar, Berichte erschienen eines Ransomware-Angriffs auf den Sustainability Business-Bereich von Schneider Electric, der die Frage aufwirft: Wie wertvoll sind Nachhaltigkeitsdaten von Unternehmen? Da Unternehmen sich ernsthaft mit Umwelt-, Sozial- und Governance-Strategien (ESG) befassen, müssen sie möglicherweise mehr tun, um diese Informationen unter Verschluss zu halten.
Was ist bei Schneider Electric passiert?
Die Ransomware-Gruppe Cactus gab an, über 1.5 TB Daten des Unternehmens zu verfügen, und drohte damit, diese öffentlich zu veröffentlichen, wenn der französische multinationale Konzern nicht zahlte. Einen Monat später ist es soweit veröffentlicht 25 MB von Daten, um die Bedrohung deutlich zu machen. Es ist immer noch nicht bekannt, ob Schneider Electric ein Lösegeld für die Daten gezahlt hat oder ob Cactus die Informationen verschlüsselt und gleichzeitig gestohlen hat, was seine allgemeine Vorgehensweise ist.
Schneider Electric war schon einmal Opfer eines Ransomware-Angriffs; Die Clop-Bande erlangte im Mai 2023 im Rahmen des Angriffs auf den Dateiübertragungsdienst MOVEit von Progress Software Zugriff auf einige ihrer Daten und saugte dabei die Informationen Tausender Unternehmen auf.
Diesmal konzentrierte sich der Angriff auf eine bestimmte Division. Der Geschäftsbereich Sustainability Business ist ein Geschäftsbereich von Schneider Electric, der sich auf einen relativ neuen Markt konzentriert: die Erfassung und Berichterstattung von Nachhaltigkeitsdaten.
Ein wachsender Bedarf an ESG-Daten
Nachhaltigkeitsdaten stellen das „E“ in ESG dar, einer wachsenden Bewegung, die darauf abzielt, Unternehmen stärker für ihre Auswirkungen auf den Planeten und die Gesellschaft verantwortlich zu machen. Auf der Nachhaltigkeitsseite geht es um Kennzahlen wie den Verbrauch (von Ressourcen wie Energie und Wasser) sowie Emissionen (typischerweise Treibhausgase).
Diese Daten sind für Anleger nützlich, die Unternehmen zunehmend nach ihrer ESG-Leistung bewerten. Investmentverwaltungsgesellschaft Kapitalgruppe gefunden dass neun von zehn Investmentprofis weltweit ESG in ihren Strategien berücksichtigen, wobei 10 % glauben, dass dadurch attraktive Investitionsmöglichkeiten eröffnet werden können. Allerdings sagen 57 % von ihnen, dass diese Daten schwieriger zu bekommen sind. Je mehr davon Anleger haben, desto wohler fühlen sie sich, wenn sie Geld in diese Unternehmen investieren
.Andere Belastungen veranlassen Unternehmen, sich auf die Nachhaltigkeitsberichterstattung zu konzentrieren. In der EU ist die Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen (CSRD) wird dies durchsetzen Europäische Nachhaltigkeitsberichterstattungsstandards (ESRS), indem eine detailliertere Nachhaltigkeitsberichterstattung über EU-Unternehmen oder solche, die in der Union tätig sind, vorgenommen wird.
Um den Wert der Nachhaltigkeitsdaten zu verstehen, die diese Initiativen unterstützen, folgen Sie dem Geld. Die Big Four betreiben aktiv ein datengesteuertes Nachhaltigkeitsgeschäft. Deloitte investiert 1 Milliarde US-Dollar in seiner Nachhaltigkeits- und Klimapraxis im April 2022 und bietet a Nachhaltigkeitsanalysedienst Praxis, die Kunden dabei hilft, die Ressourcennutzung sowohl intern als auch in ihren Lieferketten zu überwachen. EY, KPMG und PwC bieten allesamt Dienstleistungen zur Erstellung einer Nachhaltigkeitsstrategie und zur anschließenden Integration von Betriebsdaten zur Unterstützung an.
Eine wachsende Angriffsfläche
Das Sammeln und Melden dieser Daten birgt für Unternehmen mehrere Risiken:
Datentiefe und -breite
Unternehmen sammeln eine Vielzahl an Betriebsdaten aus ihren eigenen Anlagen, die vom Stromverbrauch einzelner Maschinen über die Abfallproduktion bis hin zu Kraftstoffmengen und Flottenzahlen reichen.
Einige, wie PwC, Anwalt Datenseen, die eine Mischung aus Betriebs-, Biodiversitäts- und Sicherheitsdaten enthalten. Diese werden mit anderen Datenseen verknüpft, die Kunden- und Marktinformationen sowie Daten aus ERP-Systemen, IoT-Sensoren und sogar HR-Daten enthalten. Es ist vorgesehen, dass all diese Informationen durch die Instrumente zur Nachhaltigkeitsberichterstattung fließen.
Datenumfang
Die andere Bedrohung ist der Umfang der gesammelten Daten, der über die firmeneigenen Abläufe einer Organisation hinaus bis hin zu den Daten ihrer Lieferanten reicht. Das Modell von PwC für Nachhaltigkeitsdaten bezieht Informationen Dritter von anderen in der Lieferkette des Unternehmens ein.
Durch den Angriff auf Schneider Electric wurde dessen EcoStruxure Resource Advisor-Plattform kompromittiert. Es handelt sich um ein cloudbasiertes System, das Daten über den Anlagenbetrieb und die Lieferketten sammelt und analysiert. Dies ermöglicht es Kunden, den Energieverbrauch zu überwachen und vorherzusagen sowie Emissionsberichte zu erstellen. In seinen Werbematerialien heißt es stolz, dass das Unternehmen nicht nur die eigenen Datenfeeds seiner Kunden, sondern auch Daten von Drittanbietern bezieht.
Datenzentralisierung
Unternehmen wie Schneider Electric jagen Gewinne aus Nachhaltigkeitsdatendiensten, indem sie ihren Kunden die Erfassung und Analyse dieser Daten abnehmen. Dies macht diese Nachhaltigkeitsdatendienstleister zu einem attraktiven Ziel für Cyberkriminelle, die große Mengen dieser wertvollen Kundeninformationen abgreifen wollen. Die Nachhaltigkeitsabteilung von Schneider Electric zählte mehrere hochwertige Unternehmen zu ihren Kunden, darunter Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo und Walmart.
So bleiben Sie im Streben nach Nachhaltigkeit sicher
Es ist nicht klar, ob der Angriff auf Schneider Electric gezielt erfolgte oder nur ein glücklicher Zufall für Gelegenheitsdiebe war, aber so oder so sind diese sensiblen Daten eindeutig ein wertvolles Ziel. Was können Unternehmen also tun, um sich zu schützen?
Die Bewertung effektiver Sicherheitspraktiken von Anbietern ist von entscheidender Bedeutung, einschließlich der Bewertung ihrer Zertifizierungen für Cybersicherheitskontrollen. Allerdings garantieren diese Zertifizierungen keine hundertprozentige Sicherheit. Andere Maßnahmen können die Wahrscheinlichkeit eines Datendiebstahls verringern.
Es ist wichtig, einen starken Datenbestand zu pflegen – den Überblick über alle geteilten Daten zu behalten und klar zu dokumentieren, auf welche Arten sensibler Informationen ein Drittanbieter zugreifen kann. Auch die Einrichtung von Protokollen zur Verwaltung des Zugriffsrisikos, sowohl durch Drittanbieter als auch intern, ist eine gute Sicherheitspraxis.
Unabhängig davon, ob Sie mit einem Drittanbieter zusammenarbeiten oder alle Daten intern sammeln und aufbewahren, ist der Schutz vor Ransomware von entscheidender Bedeutung. Dies bedeutet die Einführung von Kontrollen, wie z. B. der grundlegenden Endpunkterkennung und -prävention bis hin zur verwalteten Erkennung und Reaktion (MDR). Grundlegende Cyber-Hygiene, einschließlich rechtzeitiger Sicherheitsupdates und Endbenutzerschulungen, sind ebenfalls nützliche Verteidigungslinien.
ESG-Daten werden für Online-Gauner immer attraktiver, unabhängig davon, ob sie sie wahllos in ihren Netzen erbeuten oder absichtlich danach suchen. Effektive Cybersicherheitsmaßnahmen, die gut dokumentiert sind, werden einen großen Beitrag zum Schutz dieses neuen Juwels in der Krone leisten.
