Datensicherheit wird - nicht zuletzt dank der DSGVO - immer mehr zur Chefsache. Dabei bedeuten wachsende Budgets aber nicht automatisch größeren Schutz.
Weltweit steigen die Ausgaben für IT-Sicherheit. Laut den Analysten von Cybersecurity Ventures wird die Investitionssumme in diesem Bereich in den nächsten fünf Jahren die Marke von einer Billion Dollar knacken.
Drei grundsätzliche Fehler auf höchster Ebene führen ins Security-Verderben. Foto: wk1003mike - shutterstock.com
Aber trotzdem gibt es mehr Datenschutzverletzungen, Datendiebstähle, Leaks und Hacks als je zuvor. Wie lässt sich diese Diskrepanz erklären? Ausschlaggebend sind diese drei grundsätzlichen Fehler, die einige IT-Verantwortliche, aber auch Geschäftsführung und Vorstand regelmäßig begehen.
1. Die falsche Sichtweise
Traditionell konzentrieren sich Unternehmen und Anwender beim Thema IT-Sicherheit auf ihre Netzwerke, Systeme und Infrastrukturen und besinnen sich nicht (ausreichend) darauf, was eigentlich schützenswert ist: ihre Daten. Das ist ungefähr so, als würde man Straßen immer sicherer machen, gleichzeitig aber die Sicherheit der Fahrzeuge vernachlässigen. Und niemand würde heute wohl in ein Auto ohne Sicherheitsgurte steigen - auch wenn die Straßen über Leitplanken verfügen.
2. Der falsche Fokus
"Vorsorgen ist besser als heilen" weiß der Volksmund. Entsprechend fokussieren Unternehmen stark auf Präventiv-Technologien. Auf den ersten Blick mag dies vernünftig erscheinen, allerdings werden sie so angreifbar durch Bedrohungen, an die sie nicht gedacht haben oder vor denen sie die eingesetzten Technologien nicht schützen können. Eine zu starke oder gar einseitige Fokussierung auf solche Technologien hat zur Folge, dass Unternehmen nicht in der Lage sind zu erkennen, wann ein Insider am Werk ist oder ihre Präventiv-Kontrollen versagen.
Ein Blick in Verizons Data Breach Investigations Report 2017 bestätigt das: Demnach dauert es in 70 Prozent aller Security-Vorfälle mehrere Monate oder gar Jahre, bis eine Datenschutzverletzung bemerkt wird. So wie eine Grippe-Impfung gut vor Grippe schützt, aber eben nicht vor einem Herzinfarkt, braucht es auch in Sachen IT-Sicherheit einen mehrschichtigen Ansatz (etwa wenn der Perimeter überwunden wurde) und eine bessere Überwachung. Nur so können neue Bedrohungen und Schäden, die ein Angreifer von innen oder außen verursacht, schnell erkannt und zuverlässig bekämpft werden.
11 Placebos für die IT-Sicherheit
Splash Screens Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht.
Antivirus Software Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance.
Perimeter Security Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen.
Alarm-Ermüdung Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden.
Ignoranz Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus.
Passwort-wechsel-dich Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss?
Security Training Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt.
Harte Worte Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen.
Mauer-Fetisch Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei.
Sharing Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken.
Schadens-PR "Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?
3. Der falsche Ansatz
Oft fehlt eine echte Strategie, wenn es darum geht, die sensiblen Unternehmensdaten zu schützen. Für jede neue Bedrohung, jeden neuen Angriffsvektor und jede neue Compliance-Anforderung wird ein neues Tool eingesetzt. Die Folge: Mangelnde Übersicht, fehlende Kommunikation zwischen den Lösungen und hohe Kosten. Bei gleichzeitig geringer Wirkung.
Laut einer aktuellen Studie von Forrester wünschen sich die meisten IT-Verantwortlichen statt dieser fragmentierten und meist nur reaktiven Herangehensweise eine einheitliche Oberfläche, in der ihre Datensicherheit gebündelt wird. Die Absenz einer Strategie macht sich auch dadurch bemerkbar, dass nur 34 Prozent der Unternehmen wissen, wo ihre sensiblen Daten gespeichert sind und lediglich 41 Prozent einen "need-to-know"-Ansatz bei der Zugriffsrechte-Vergabe anwenden. Gerade im Vorfeld der nahenden EU-Datenschutzgrundverordnung (DSGVO) stellt das ein ernsthaftes Problem dar.
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Fazit: Datensicherheit first!
Es sind diese Fehler, die uns Woche für Woche über erfolgreiche Hackerangriffe auf Unternehmen lesen lassen. Die Kosten, die den Unternehmen hierdurch entstehen, sind enorm. So büßte etwa das US-Handelsunternehmen Target in Folge eines Datenlecks 46 Prozent des Umsatzes ein.
Wenn Unternehmendaten in falsche Hände oder gar an die Öffentlichkeit geraten, kann daraus nicht nur eine Bedrohung für die Reputation erwachsen, sondern auch für den Umsatz und (je nach Falllage) auch die nationale Sicherheit. Es ist an der Zeit, umzudenken und endlich die Daten ins Zentrum der IT-Security-Strategie zu rücken. (fm)