Internetkriminalität: Sind Sie gesichert? Ein Leitfaden durch das Labyrinth der Cyber-Versicherungen

Transkript

1 Im Blickpunkt Internetkriminalität: Sind Sie gesichert? Ein Leitfaden durch das Labyrinth der Cyber-Versicherungen Durch den technischen Fortschritt eröffnen sich neue Geschäftschancen und Möglichkeiten für die Interaktion mit Kunden. Andererseits bringt dieser Fortschritt jedoch auch zunehmend neue Gefahren mit sich, insbesondere die der Internetkriminalität. zitierten, um die Zahlung zu verweigern. Das liegt unter anderem daran, dass die Internetkriminalität eine relativ neue Form des kommerziellen Risikos ist. Versicherungsunternehmen sind sich noch nicht hundertprozentig sicher, welche Informationen über die Schutzmaßnahmen des Versicherten sie einholen sollten, bevor sie die Haftung übernehmen. Auch 1 Laut einer aktuellen Studie entstand einem Unternehmen, die eine solche Versicherung abschließen, wissen oft nicht genug über ihr Unternehmen ein Schaden von eigenes Sicherheitsniveau, um die Fragen des US-Dollar, weil ein Feld in einem OnlineFormular nicht ausreichend geschützt wurde. Versicherers wahrheitsgemäß beantworten zu können. Falsche Informationen machen Mit den richtigen Schutzmaßnahmen wäre eine Versicherungspolice ungültig und haben dieser Schaden vollständig vermeidbar in zahlreichen Fällen dazu geführt, dass gewesen. Internetkriminellenutzen mit Schadensmeldungen abgewiesen wurden. immer neueren Methoden Schwachstellen aus.. Obwohl die Sicherheitsbeauftragten und andere Fachleute für Internet Bedrohungen der Online-Sicherheit Sicherheit alles daran setzen, Angreifern sind inzwischen das drittgrößte immer einen Schritt voraus zu sein, Risiko für international führende werden sie nie jeden erfolgreich Unternehmen. abwehren können. Deshalb versuchen viele Unternehmen und Organisationen, Lloyds Risk Index, 2013 Versicherungen abzuschließen, um zumindest vor den finanziellen Folgen eines solchen s geschützt zu sein. Für Was sollten Unternehmen also tun, um Versicherungsunternehmen ist es jedoch sich besser auf den Abschluss einer nicht einfach, die entsprechende Haftung Versicherung gegen Internetkriminalität zu übernehmen und Empfehlungen für eine vorzubereiten? Wie können Sie beurteilen, geeignete Versicherungspolice zu geben. ob Sie ausreichend versichert sind? Erfüllen Sie die Bedingungen Ihrer Der Bereich Cyber-Versicherungen gleicht Versicherungspolice oder könnte diese derzeit einem Labyrinth und es mangelt erlöschen? Welche Sicherheitsmaßnahmen nicht an Fällen, in denen Versicherungen erwarten Versicherungsunternehmen bei im Schadensfall das Kleingedruckte ihren Kunden? oder komplexe Auslegungen der Police Der Selbstschutz ist eine Grundvoraussetzung Die wahrscheinlichen Kosten eines Hackerangriffs lassen sich nur schwer beziffern. Die diesbezüglichen Schätzungen schwanken international enorm und viele der in der Vergangenheit genutzten Schätzungen haben sich als unzuverlässig erwiesen. Bislang existiert nicht einmal eine allgemein akzeptierte Definition des Begriffs Internetkriminalität und e können die verschiedensten Formen annehmen, von Distributed Denial of Service (DDoS) über Malware und Ransomware und die Ausbeutung von Botnetzen bis hin zum Daten- und Umsatzdiebstahl. Der Bericht Bedrohungen für die IT-Sicherheit 2014 eine globale Analyse hebt die führende Rolle von Botnetzen hervor. Im Jahr 2013 kamen sie bei 34 Prozent aller e zum Einsatz und belegten in allen Branchen und Regionen die Führungsposition unter den sformen. Auf den Plätzen folgten ungewöhnliches Verhalten (15 Prozent), Netzwerkmanipulation (10 Prozent) und e auf Internetanwendungen (8 Prozent). 1. Der Bericht Bedrohungen für die IT-Sicherheit 2014 eine globale Analyse, wurde in Zusammenarbeit von NTT Com Security, Solutionary, Dimension Data, NTT Innovation Institute und NTT Data erstellt Copyright NTT Com Security 2014

2 Ein Rahmen für das Risikomanagement im Bereich Online-Sicherheit Risiko auf ein akzeptables Niveau reduzieren Risiko beurteilen Risiko eines s mit technischen Mitteln mindern Finanzielles Risiko durch Versicherung senken Risiko auf akzeptablem Niveau halten Quelle: Lawrence, A., Gordon, Martin P., Loeb, Tashfeen Sohail, A framework for using insurance for cyber-risk management, Communications of the ACM, Vol. 46 No. 3, Seiten 81-85, 2003 Unabhängig von der sform steht jedoch außer Frage, dass Sicherheitsverstöße das Geschäft beeinträchtigen und dass Unternehmen sowohl in Sicherheitsmaßnahmen zur sabwehr investieren als auch geeignete Versicherungen abschließen sollten. Diese Maßnahmen schließen einander keinesfalls aus. Im Gegenteil: Sie sollten eigene Sicherheitsmaßnahmen implementieren, bevor Sie eine Versicherung abschließen. Internetkriminalität und Internetspionage verursachen der Weltwirtschaft vermutlich Jahr für Jahr Schaden in Milliardenhöhe, doch mit dem Dollarbetrag allein lässt sich das Ausmaß des Schadens nicht adäquat beschreiben. CSIS, The Economic Impact of Cybercrime and Cyber Espionage Unternehmen müssen sich bewusst sein, welchen Gefahren sie ausgesetzt sind, und entsprechende Sicherheitsmaßnahmen ergreifen. Sie müssen allerdings auch verstehen, dass technische Lösungen ihre Ressourcen zwar schützen können, dieser Schutz aber nie hundertprozentig sein kann, solange neue Bedrohungen schneller auftauchen als neue Sicherheitstechnik. Die Weitergabe des verbleibenden Risikos mithilfe einer Cyber-Versicherung scheint daher angeraten. Der entsprechende Markt ist allerdings noch nicht ausgereift. Nur wenige Versicherungsunternehmen und -makler verfügen über das erforderliche Hintergrundwissen, um die Risiken angemessen quantifizieren zu können. Viele können nur schwer einschätzen, wann und zu welchen Bedingungen sie eine Versicherung anbieten sollten. Der Versicherungsnehmer muss dem Versicherer nachweisen, welche Schutzmaßnahmen bereits implementiert wurden. Das schließt die Maßnahmen zum Schutz von Ressourcen und zur Minderung des srisikos ebenso ein wie die Prozesse zur kontinuierlichen Überwachung dieser Risiken. Ohne diese Informationen kann das Versicherungsunternehmen nicht beurteilen, welchen Risiken der Versicherungsnehmer ausgesetzt ist. Wählen Sie Ihre Versicherungspolice sorgfältig aus Unternehmen aller Größenordnungen sind in gewisser Weise von ihrer IT-Infrastruktur abhängig, sodass bei einem Systemoder Anwendungsausfall das Geschäft unterbrochen oder zumindest beeinträchtigt wird. Das zieht Einkommenseinbußen und eventuell einen Reputationsverlust oder gar einen Einbruch des Aktienkurses nach sich. Dennoch versichern Unternehmen sich nicht ausreichend gegen Internetangriffe und in den letzten Jahren machten eine Reihe von Gerichtsverfahren Schlagzeilen, 2 in denen Versicherungsunternehmen sich weigerten, im Rahmen etablierter Versicherungsformen für im Internet entstandenen Schaden zu haften. Die Gerichte entschieden in aller Regel zugunsten der Versicherer. Eine allgemeine Berufshaftpflichtversicherung kommt in der Regel nicht im gleichen Maß für Eigenschäden auf wie eine spezielle Cyber- oder Internet-Versicherung. Im Fall eines Internetangriffs umfasst dieser Eigenschaden den Einkommensverlust und die Kosten für das Krisenmanagement, darunter die Öffentlichkeitsarbeit, juristische Beratung, forensische Untersuchung und die IT-Spezialisten, die zur Minimierung der Auswirkungen des s erforderlich sind. Schätzungen zufolge machen das Krisenmanagement und die Honorare von Spezialisten mindestens die Hälfte der Kosten eines Internetangriffs aus. Es ist äußerst unwahrscheinlich, dass Ihre Haftpflichtversicherung für diese Kosten aufkommen würde. 2. Fallstudie Sony and Zurich Insurance, Seite 3 2

3 Beurteilen Sie, welchen Gefahren Sie ausgesetzt sind Für Versicherungsunternehmen ist es wichtig, dass Versicherungsnehmer in vollem Umfang verstehen, welchen Risiken sie ausgesetzt sind. Nur so lässt sich ein adäquater Versicherungsschutz vereinbaren. Das oben stehende Diagramm zeigt, wie die Versicherung sich in das Risikomanagement einfügt. Um Risiken auf ein akzeptables Niveau zu senken, sind sowohl technische Abwehrmaßnahmen als auch eine Versicherung zur Minderung des finanziellen Risikos erforderlich. Um Ihr Unternehmen vor potenziellen Gefahren zu schützen, müssen Sie sich zunächst einen umfassenden Überblick über die Bedrohungen verschaffen, denen die verschiedenen Unternehmensbereiche ausgesetzt sind. Nutzen Sie dazu die Best Practices Ihrer Branche. Wenn die dazu erforderlichen Fähigkeiten nicht unternehmensintern verfügbar sind, sollten Sie Expertenrat einholen und eine umfassende Bewertung der Bedrohungslage für Ihr Unternehmen erwägen. Diese zeigt die verschiedenen Bedrohungen auf und enthält Empfehlungen, eine nach Prioritäten geordnete Liste erforderlicher Maßnahmen und Unterstützung bei der Erstellung einer längerfristigen Strategie für ein kontinuierliches Risikomanagement. Vor allem macht eine solche Bewertung Sie auf eventuelle Schwachstellen in Ihrer IT-Infrastruktur aufmerksam und zeigt auf, in welchen Bereichen Verbesserungen am dringendsten erforderlich sind. Der zusammenfassende Bericht dieser Untersuchung sollte auch einen Zeitplan für die Umsetzung dieser Maßnahmen enthalten. Sie können Ihrem Versicherungsunternehmen diesen Bericht vorlegen, um nachzuweisen, dass Sie die Sicherheit ernst nehmen. Mindern Sie Ihr Risiko: Sehen Sie Ihr Unternehmen aus der Perspektive eines Angreifers Die Bedrohungslage ändert sich ständig. Die Tests, denen Sie Ihre Abwehrmaßnahmen unterziehen, sollten dies widerspiegeln. Schleichende und anhaltende Hackerangriffe oder Advanced Persistent Threats (APTs) erfordern ein hohes Maß an Geheimhaltung über einen langen Zeitraum hinweg. Zahlreiche medienwirksame e auf multinationale Unternehmen waren erfolgreich, weil sie die Schutzmaßnahmen des Unternehmens umgehen konnten. Wenn Sie Ihr Unternehmen aus dem Blickwinkel eines Angreifers betrachten können, sind Sie dem effektiven Schutz Ihrer Datenbestände bereits einen Schritt näher. Außerdem können Sie mit dieser Herangehensweise Ihrer Versicherung gegenüber belegen, dass Sie zuverlässige Sicherheitsmaßnahmen implementiert haben. Abwehrmaßnahmen gegen APT-e lassen sich nicht mit herkömmlichen Methoden wie Penetrationstests prüfen, da diese meist auf einen bestimmten Infrastrukturbereich oder eine Internetanwendung abzielen. Deshalb nutzen Unternehmen oft APT-Simulationen, um das Risiko zu mindern. Dabei verfahren die Tester genauso, wie ein Hacker handeln würde, um Ihr Unternehmen auszuspionieren, potenzielle Einfallstore zu finden und auszunutzen. Zunächst sammeln sie persönliche und geschäftliche Daten, dann ermitteln sie den Weg des geringsten Widerstandes und nutzen ihn, um in ihr Unternehmen einzudringen und unbemerkt Daten zu stehlen. Eine APT-Simulation verschafft Ihnen also einen Überblick über die Schwachstellen in Ihren Prozessen, technischen Maßnahmen und im Verhalten Ihrer Mitarbeiter, die von Angreifern ausgenutzt werden könnten. Anhand dieser Informationen können Sie Ihre Prozesse zur sabwehr testen und geeignete Systeme und Maßnahmen implementieren, um das Risiko eines erfolgreichen s zu mindern. Best Practices für den Schutz vor Internetkriminalität 1 Einschätzen der Risiken: Führen Sie eine jährliche Risikobewertung durch, um sich einen Überblick über die Gefahren zu verschaffen, denen Ihr Unternehmen ausgesetzt ist. Sensibilisieren Sie die Vorstandsmitglieder fortlaufend für aktuelle Risiken 2 Fortlaufendaktualisieren: Halten Sie hardware- und softwarebasierte Sicherheitsmaßnahmen immer auf dem aktuellen Stand. Auch Internetkriminelle kennen das Motto steter Tropfen höhlt den Stein. Lassen Sie beim grundlegenden Schutz also keine Lücken entstehen 3 Arbeiten im Heimbüro und unterwegs: Etablieren Sie strenge Richtlinien für den Zugriff auf Daten. Immer mehr Mitarbeiter nutzen ihre Privatgeräte auch beruflich. Sorgen Sie dafür, dass Ihr Netzwerk sicher bleibt egal, über welche Geräte die Nutzer darauf zugreifen 4 Mitarbeiter sensibilisieren und schulen: Informieren Sie Ihre Mitarbeiter über Ihre Richtlinien und Prozesse für die sabwehr 5 Sicherheitsvorfälle managen: Entwickeln und etablieren Sie Pläne für das Management von Sicherheitsvorfällen und testen Sie diese regelmäßig 6 Überwachung: Überwachen Sie alle IT-Systeme und deren Logdateien fortlaufend, um potenzielle e zeitnah aufzudecken 7 Netzwerksicherung: Sichern Sie Ihre Netzwerkgrenze und verhindern Sie den unautorisierten Zugriff auf Ihr Netzwerk 8 Schutz vor Malware: Implementieren Sie Maßnahmen zum Schutz vor Malware und führen Sie regelmäßige Malware-Scans durch 9 Verwaltung von Zugriffsrechten: Weisen Sie Benutzern nur die Zugriffsrechte zu, die sie wirklich benötigen, und überwachen Sie die Aktivitäten der Benutzer 10 Klare Regeln für soziale Medien: Soziale Medien gehören inzwischen zu den bevorzugten Einfallstoren für Internetkriminelle. Legen Sie klare Regeln für die Nutzung sozialer Medien im Unternehmen fest und setzen Sie diese durch 3

4 Mindern Sie Ihr Risiko: Finden Sie heraus, was möglich ist APTs sind langfristig angelegte e, bei denen verschiedene Methoden zum Überwinden der Sicherheitsmaßnahmen an der Netzwerkgrenze zum Einsatz kommen. Die meistgenutzte Methode sind nach wie vor per versandte Links und Anhänge, 3 94 Prozent aller gezielten e werden mit als -Anhang versandter Malware angebahnt. 4 Bei einer aktuellen Untersuchung scheiterten die getesteten Antivirenprogramme an 54 Prozent der zur Übernahme eines gehackten Systems bestimmten Malware. 5 Es gilt inzwischen als erwiesen, dass Antivirensoftware zwar immer noch zur Abwehr von Malware beitragen kann, aber nur in etwa der Hälfte der Fälle erfolgreich ist und daher allein nicht ausreicht, um eine Umgebung vor all der Malware zu schützen, die derzeit im Umlauf ist. Zusätzliche Maßnahmen sind erforderlich, um mit Malware infizierte Dateien in Echtzeit abzufangen, zu untersuchen und zu bereinigen, sodass sie Ihren Nutzern rechtzeitig zur Verfügung stehen und Ihr Geschäft nicht beeinträchtigt wird. Versicherungsunternehmen haben die Leistungsgrenzen von Antivirensoftware ebenfalls als Problem erkannt. Deshalb ist es vorteilhaft, wenn Sie nachweisen können, dass Sie bereits Maßnahmen eingeleitet haben, um alle Dateien zu überprüfen, die in Ihrem Unternehmen eingehen. 77 Prozent der Unternehmen, die Unterstützung bei der sabwehr anforderten, hatten keine Abwehrstrategie. NTT Com Security, Bedrohungen für die IT-Sicherheit 2014 eine globale Analyse Handeln Sie proaktiv Das Risiko eines Hackerangriffs wird nicht mehr zurückgehen. Im Gegenteil: e werden nicht nur häufiger, sondern auch raffinierter. Eine allgemeine Haftpflichtversicherung hat sich in zahlreichen Fällen als unzureichend erwiesen, um die finanziellen Folgen eines Hackerangriffs abzufangen. Die Kosten, die durch die Schädigung des Rufs Ihres Unternehmens, das Abwandern von Kunden und direkte finanzielle Verluste entstehen, könnten jedoch erheblich sein. Ihr Unternehmen kann es sich schlicht nicht leisten, dieses Risiko zu ignorieren. Mit dem Abschluss einer angemessenen Versicherung sorgen Sie dafür, dass Sie das finanzielle Risiko und schlussendlich einen Teil der Kosten infolge zukünftiger e nicht allein tragen. Für Versicherungsunternehmen ist es jedoch noch immer eine Herausforderung, eine solche Haftung zu übernehmen. Deshalb sollten Unternehmen alles in ihrer Macht Stehende tun, um die Gefahren zu ergründen, denen sie ausgesetzt sind, angemessene Maßnahmen ergreifen, um das Risiko zu minimieren, und dem Versicherungsunternehmen gegenüber belegen, dass die Informationssicherheit und das Risikomanagement zu ihren obersten Prioritäten gehören. Nach geht die angestrebte Gewinnmargeum 16 % zurück Nach geht die angestrebte Gewinnmargeum 16 % zurück Versicherung muss für Datenverlust 6,8 Strafe zahlen USA: Hedge-Fonds erleidet Millionenverlust durch Hackerangriff Sony verspricht 15 Millionen US-Dollar und kostenlose PS3-Spiele als für Datenverlust Nach geht die angestrebte Gewinnmargeum 16 % zurück Versicherung muss für Datenverlust 6,8 Millionen US-DollarStrafe zahlen Sony verspricht 15 Millionen US-Dollar und kostenloseps3-spiele als für Datenverlust Sony verspricht 15 und kostenlose PS3-Spiele als für Datenverlust Sony verspricht 15 und kostenlose PS3-Spiele als für Datenverlust Versicherung muss USA: Hedge-Fonds erleidet Millionenverlust für Datenverlust durch Hackerangriff 6,8 Versicherung muss für Datenverlust 6,8 Strafe zahlen Strafe zahlen sziel, Zielobjekt USA: Hedge-Fonds erleidet Millionenverlust durch Hackerangriff Sony Datenverlust Rücktritt Nach geht die angestrebte Gewinnmargeum 16 % zurück 3. Bloor Research, The need to protect against file based attacks 4. Trend Micro, Spear-Phishing Most Favored APT Attack Bait 5. NTT Com Security, Bedrohungen für die IT-Sicherheit 2014 eine globale Analyse 4

5 Zusammenarbeit mit NTT Com Security Mit NTT Com Security steht Ihnen ein innovativer, dynamischer und weltweit anerkannter Spezialist für Informationssicherheit und Risikomanagement mit erfahrenen Mitarbeitern zur Seite, die an der vordersten Front der Entwicklung in dieser Branche arbeiten. NTT Com Security bietet eine breite Palette an Beratungs-, Managed und Technologie-Services an, mit denen sich die Anforderungen jedes Unternehmens erfüllen lassen. Mit unseren On-Premiseund WideAngle Managed Security Services können Sie Ihr Unternehmen und seine Ressourcen rund um die Uhr schützen. Wenn Sie für so viele Kreditkartenund Anmeldedaten verantwortlich sind, muss der Schutz dieser personenbezogenen Daten für Sie oberste Priorität haben. Das war hier jedoch nicht der Fall, und als die Datenbank gezielt angegriffen wurde, waren die Sicherheitsmaßnahmen schlicht nicht ausreichend, um hartnäckige, zielstrebige Kriminelle abzuwehren. David Smith Deputy Commissioner und Director of Data Protection Im Dienste einer sichereren Welt NTT Com Security hat sich dem Informationssicherheits- und Risikomanagement verschrieben. Mit unseren WideAngle Beratungsdienstleistungen, Managed Security Services und Technologieservices können sich unsere Kunden auf ihre Geschäfte konzentrieren, während wir uns um ihre Risiken kümmern. Dank der Bandbreite unseres Engagements in Governance, Risk und Compliance (GRC), innovativen Managed Security Services und dem pragmatischen Einsatz von Technologien sind wir in der Lage, unseren Kunden einen umfassenden Blickwinkel zu vermitteln. Mit WideAngle unterstützen wir unsere Kunden darin, Projekte zu priorisieren und Standards voranzutreiben. Wir konzentrieren uns auf die individuellen Bedürfnisse des Kunden, der im Sinne des Firmenerfolges Compliance- und Risiko-Entscheidungen zu treffen hat. Wir möchten jederzeit richtige und objektive Empfehlungen aussprechen. Unsere Beraterteams nutzen den Prozess WideAngle Risk Insight, um in enger Zusammenarbeit mit Ihnen eventuelle Sicherheitslücken in Ihrer IT-Infrastruktur aufzudecken, und unterstützen Sie auf jeder Etappe der APT-Simulation. Die Informationssicherheit und das Risikomanagement sind von Natur aus Aufgaben, die nie erledigt sind. Viele Unternehmen lagern sie vollständig an NTT Com Security aus und lassen ihre Sicherheitsinfrastruktur rund um die Uhr von unseren erfahrenen Spezialisten überwachen und verwalten. Der Abschluss einer Versicherung gegen Internetkriminalität darf nicht als Alternative zum Erstellen und Durchsetzen angemessener IT-Protokolle betrachtet werden. Er sollte erst dann in Erwägung gezogen werden, wenn Sie eine robuste Strategie zur Vermeidung von Sicherheitsverstößen implementiert haben. Weitere Informationen darüber, wie NTT Com Security Sie beim Aufdecken von Sicherheitslücken und dem kontinuierlichen Management Ihrer Informationsressourcen unterstützen kann, finden Sie auf der Unser globaler Ansatz ist darauf ausgelegt, Kosten und Komplexität zu reduzieren und gleichzeitig den wachsenden Wert von Informationssicherheit und Risikomanagement als Unterscheidungsmerkmal leistungsstarker Unternehmen zu berücksichtigen. NTT Com Security (ehemals Integralis) ist ein innovatives und unabhängiges Unternehmen mit Niederlassungen in Amerika, Europa und im asiatisch-pazifischen Raum. Es ist Teil der NTT Communications Group, einer Tochter von NTT (Nippon Telegraph and Telephone Corporation), einem der weltweit größten Telekommunikationsunternehmen. Fallstudie: Sony und Zurich Insurance Im März 2014 entschied ein New Yorker Gerichtshof, dass Zurich American Insurance Co. nicht verpflichtet ist, Sony Corp. of America und Sony Computer Entertainment America in Rechtsstreitigkeiten zu unterstützen, die von den en auf die Online- Services des Sony PlayStation Networks (PSN) herrührten. > Im Jahr 2011 wurde das PSN gehackt und die Daten von Millionen von Nutzern wurden gestohlen > Nach diesem war das PSN für mehrere Wochen nicht verfügbar > Schätzungen zufolge kostete der Vorfall Sony im Jahr 2011 etwa 173 > Aufgrund fehlender Sicherheitsmaßnahmen, die diesem Vorschub leisteten, verhängte das britische Information Commissioner s Office (ICO) 2013 eine Geldstrafe von Pfund gegen Sony > Sony verlangte Unterstützung von Zurich American und Zurich Insurance Ltd bei den Rechtsstreitigkeiten und möglichen Untersuchungen infolge des s auf das PSN > Etwa 50 Sammelklagen gegen Sony wurden eingereicht > Der Verlust von Sony wird inzwischen auf etwa zwei Milliarden US-Dollar geschätzt > Im Jahr 2014 entschied das zuständige Gericht, dass Zurich nicht verpflichtet ist, Sony zu unterstützen > Auch wenn Sony gegen diese Entscheidung Berufung eingelegt hat und das Verfahren noch nicht abgeschlossen ist, illustriert dieser Fall, wie riskant es ist, sich bei Hackerangriffen auf eine allgemeine Haftpflichtversicherung zu verlassen > Laut ICO hatten Untersuchungen ergeben, dass es möglich gewesen wäre, den auf das PSN abzuwehren, wenn die Software auf dem aktuellen Stand gewesen wäre. Außerdem wies das ICO darauf hin, dass die Passwörter aufgrund des technischen Fortschritts nicht mehr sicher waren 5