sdecoret - stock.adobe.com
Datensicherheit im Zeitalter der digitalen Integration
Die digitale Integration und Vernetzung bringt viele Vorteile, aber auch neue Angriffsvektoren mit sich. Unternehmen müssen dies bei der Sicherheitsstrategie berücksichtigen.
Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) wirksam. Trotz der Gültigkeit des neuen EU-Gesetzes kann man nicht sagen, dass sich die Situation beim Thema Datenschutz verbessert hat. Das verdeutlichen die Ergebnisse des neuen Breach Level Index (BLI). Bei dieser Untersuchung wurden bekannt gewordene Datenschutzvorfälle des Vorjahres untersucht. Die Sicherheitsexperten veröffentlichen die Ergebnisse bereits seit 2013 und die neuen Erkenntnisse zeigen eindeutig die unzureichende Absicherung von persönlichen Informationen.
Die Ergebnisse sind ein Indikator für die aktuelle Situation und Entwicklung beim Datenschutz weltweit. Dabei sind allein im Jahr 2017 über 2,6 Milliarden verlorene Datensätze dokumentiert worden, dies entspricht einer erneuten Zunahme um 88 Prozent im Vergleich zu 2016. Besonders erschütternd ist die drastische Zunahme von menschlichem Versagen: 1,9 Millionen Datensätze gingen infolge von Fahrlässigkeit verloren, eine Zunahme von unglaublichen 580 Prozent in nur einem Jahr.
Für IT-Sicherheitsfachkräfte ist dies sicherlich nicht neu. In der Praxis sind die Probleme häufig bekannt und man versucht der Lage Herr zu werden. Neue Vorgaben erhöhen die Erwartungshaltung, bieten aber häufig nur wenig inhaltlich umsetzbare Leitfäden.
Cloud-Migration und Informationsflut setzen IT-Abteilungen unter Druck
Natürlich drohen jetzt durch die DSGVO saftige Bußgelder und Sanktionen. Außerdem haben Bürger das Recht auf Information über ihre gespeicherten Daten, müssen bei einem Datenschutzvorfall informiert werden und haben ein Recht auf Vergessen werden. Bedingungen, die ebenfalls durch IT-Verantwortliche umgesetzt werden müssen.
Neben rechtlichen Anordnungen müssen Führungsetagen ihre Prozesse digitalisieren. Der Wettbewerb um Marktanteile entscheidet sich immer stärker durch die Fähigkeit zum Einsatz von virtueller Innovation. Daher ist es keine Überraschung, dass gerade der deutsche Mittelstand laut einer BITKOM-Studie beim Thema Cloud-Migration mit größeren Unternehmen fast gleichauf ist. Mittlerweile nutzen zwei von drei Unternehmen die „Wolke“ und es gibt keine großen Unterschiede zwischen Enterprise und KMU-Unternehmen. Gleichzeitig geben aber 51 Prozent der Befragten an, dass sie Angst um ihre Daten in der Cloud haben.
Diese Befürchtungen sind auch berechtigt, falls Organisationen es versäumen, ihre Sicherheitsstrategien entsprechend anzupassen. Im Breach Level Index wird deutlich, dass gleich mehrere Organisationen ihre Public oder Private Clouds nicht richtig geschützt haben. Prominente Beispiele sind die Vorfälle „Accenture“, im Pentagon oder sogar bei der National Security Agency (NSA). Alle drei haben ihre Informationen in der AWS Cloud nicht ausreichend geschützt. In diesen Beispielen wurden die S3 Buckets der Amazon Web Services (AWS) nicht entsprechend gesichert, so dass die enthaltenen Daten öffentlich zugänglich waren.
Neben den neuen Vorgaben der DSGVO, immer größeren Datenmengen und einer Zunahme der Datenschutzverletzungen führt der BLI außerdem aus, dass organisierte Cyberkriminelle ebenfalls den zunehmenden Wert von Informationen schätzen. Ein Beispiel ist die Kampagne DragonFly 2.0, die seit 2015 ausgeführt wird. Dabei versuchen die Angreifer, Zugang zu Energiesystemen in Europa und Nordamerika zu erschleichen und dort Daten abzugreifen.
Richtige Maßnahmen ergreifen: Access Control und starke Verschlüsselung
Im Zeitalter der Digitalisierung und immer größer werdenden, vernetzten Ökosystemen braucht es ein grundlegendes Umdenken beim Thema IT-Sicherheit und Datenschutz. Anstatt auf „Breach Prevention“ zu setzen, sollten Unternehmen vielmehr von „Breach Acceptance“ ausgehen. Perimeter-basierte Sicherheit alleine ist nicht mehr zeitgemäß. Stattdessen müssen Organisationen damit rechnen, dass in Folge von Cyberattacken oder personeller Fahrlässigkeit ihre Netzwerke kompromittiert werden. Aus diesem Grund braucht es dringend zusätzliche Sicherheitsmechanismen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wirbt aktiv für ihren Einsatz: „Aktuelle kryptografische Mechanismen liefern grundsätzlich ausgezeichnete Sicherheitsgarantien. So können zum Beispiel zwei Parteien, die nur ihre lokalen Rechner zuverlässig kontrollieren und die kein Geheimnis miteinander teilen, über ein Netzwerk hinweg eine abhörsichere Verbindung zueinander aufbauen – selbst wenn das gesamte restliche Netzwerk von einem Gegner kontrolliert wird.“
Trotzdem haben viele Organisationen Bedenken und nur ein geringer Prozentsatz aller verlorenen Daten durch Verschlüsselung geschützt. Lange galten die Implementierung und die Verwaltung von sicheren Schlüsseln als kosten- und arbeitsintensiv. Heute ist dieses Bild überholt. Mit entsprechenden Lösungen für das Management von Schlüsseln können auch bestehende Verschlüsselungslösungen so ergänzt werden, dass eine angebrachte Sicherung von Information immer gewährleistet wird – ohne dass diese nicht verfügbar wären oder die Verschlüsselung zu einem bestimmten Zeitpunkt ausgehebelt werden könnte.
„Die Kombination von Mehrfaktor-Authentifizierung und Verschlüsselung schafft wichtige Grundlagen für die Umsetzung neuer Gesetzesnormen wie der DSGVO.“
Armin Simon, Gemalto
Das BSI lobt den Einsatz von kryptografischen Schutzmechanismen und auch die DSGVO geht an mehreren Stellen im Gesetzestext auf die Thematik ein. Neben starker Verschlüsselung und der richtigen Verwaltung des Schlüsselmaterials muss zudem die zugreifende Person richtig authentifiziert werden. Eine wirksame Methode zur Absicherung und Identitätsverifizierung ist die Zwei-Faktor-Authentifizierung (2FA). Hier hat der Markt in den vergangenen Jahren neue Innovationen hervorgebracht, die über klassische Smart Cards und Tokens hinausgehen. Facebook, Amazon und viele Online-Anbieter unterstützen bereits 2FA für ihre Nutzer.
Die Kombination von Multifaktor-Authentifizierung (MFA) und Verschlüsselung schafft wichtige Grundlagen für die Umsetzung neue Gesetzesnormen wie der DSGVO. Gerade Unternehmen, die nach Ablauf der Deadline unter Zugzwang stehen, sollten nicht in Panik verfallen. Stattdessen macht es mehr Sinn, mit Experten einen nachhaltigen Maßnahmenkatalog auszuarbeiten und diesen in einem angebrachten Zeitrahmen umzusetzen.
Fazit
Der richtige Einsatz von starker Verschlüsselung und Access Control ist für Unternehmen im Zeitalter der Digitalisierung und im Jahr der DSGVO unabdingbar. Die digitale Integration ist alternativlos und bringt viele Vorteile mit sich, aber sie provoziert auch neue Angriffsvektoren. Sicherheitsmechanismen wie 2FA bereiten Unternehmen auf diese Herausforderung vor. Dabei schaffen sie den Spagat zwischen nachhaltiger IT-Sicherheit und den neuen Erwartungen der User.
Anwender sind deutlich sensibler beim Umgang mit ihren Daten in der digitalen Welt geworden – und erwarten, dass Unternehmen mehr Verantwortung im Bereich Datenschutz übernehmen. Perimeter-Sicherheit und die reine Vorsorge gegen Angriffe reichen nicht mehr aus, um sensible Informationen richtig zu schützen. Das neue Paradigma von „Assume the Breach“ oder „Breach Acceptance“ muss in Unternehmen umgesetzt werden.
Über den Autor:
Armin Simon ist Regional Director Deutschland bei Gemalto.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
