Datensicherheit als Fail?

Die drei größten Cybersecurity-Fehler

Seit April 2017 verantwortet Thomas Ehrlich als Country Manager DACH und Osteuropa das Wachstum und die Positionierung von Varonis in dieser Region, dessen Sicherheitslösungen Daten vor Insider-Bedrohungen und Cyber-Attacken schützen. Zuvor war er seit 1999 beim Datenspeicherungs- und -managementspezialisten NetApp in verschiedenen Positionen tätig, zuletzt als Vice President Global Accounts. Nach seinem Studium der Wirtschaftsinformatik arbeitete er zudem als Systemingenieur bei Silicon Graphics.
Datensicherheit wird - nicht zuletzt dank der DSGVO - immer mehr zur Chefsache. Dabei bedeuten wachsende Budgets aber nicht automatisch größeren Schutz.

Weltweit steigen die Ausgaben für IT-Sicherheit. Laut den Analysten von Cybersecurity Ventures wird die Investitionssumme in diesem Bereich in den nächsten fünf Jahren die Marke von einer Billion Dollar knacken.

Drei grundsätzliche Fehler auf höchster Ebene führen ins Security-Verderben.
Drei grundsätzliche Fehler auf höchster Ebene führen ins Security-Verderben.
Foto: wk1003mike - shutterstock.com

Aber trotzdem gibt es mehr Datenschutzverletzungen, Datendiebstähle, Leaks und Hacks als je zuvor. Wie lässt sich diese Diskrepanz erklären? Ausschlaggebend sind diese drei grundsätzlichen Fehler, die einige IT-Verantwortliche, aber auch Geschäftsführung und Vorstand regelmäßig begehen.

1. Die falsche Sichtweise

Traditionell konzentrieren sich Unternehmen und Anwender beim Thema IT-Sicherheit auf ihre Netzwerke, Systeme und Infrastrukturen und besinnen sich nicht (ausreichend) darauf, was eigentlich schützenswert ist: ihre Daten. Das ist ungefähr so, als würde man Straßen immer sicherer machen, gleichzietig aber die Sicherheit der Fahrzeuge vernachlässigen. Und niemand würde heute wohl in ein Auto ohne Sicherheitsgurte steigen - auch wenn die Straßen über Leitplanken verfügen.

2. Der falsche Fokus

"Vorsorgen ist besser als heilen" weiß der Volksmund. Entsprechend fokussieren Unternehmen stark auf Präventiv-Technologien. Auf den ersten Blick mag dies vernünftig erscheinen, allerdings werden sie so angreifbar durch Bedrohungen, an die sie nicht gedacht haben oder vor denen sie die eingesetzten Technologien nicht schützen können. Eine zu starke oder gar einseitige Fokussierung auf solche Technologien hat zur Folge, dass Unternehmen nicht in der Lage sind zu erkennen, wann ein Insider am Werk ist oder ihre Präventiv-Kontrollen versagen.

Ein Blick in Verizons Data Breach Investigations Report 2017 bestätigt das: Demnach dauert es in 70 Prozent aller Security-Vorfälle mehrere Monate oder gar Jahre, bis eine Datenschutzverletzung bemerkt wird. So wie eine Grippe-Impfung gut vor Grippe schützt, aber eben nicht vor einem Herzinfarkt, braucht es auch in Sachen IT-Sicherheit einen mehrschichtigen Ansatz (etwa wenn der Perimeter überwunden wurde) und eine bessere Überwachung. Nur so können neue Bedrohungen und Schäden, die ein Angreifer von innen oder außen verursacht, schnell erkannt und zuverlässig bekämpft werden.

3. Der falsche Ansatz

Oft fehlt eine echte Strategie, wenn es darum geht, die sensiblen Unternehmensdaten zu schützen. Für jede neue Bedrohung, jeden neuen Angriffsvektor und jede neue Compliance-Anforderung wird ein neues Tool eingesetzt. Die Folge: Mangelnde Übersicht, fehlende Kommunikation zwischen den Lösungen und hohe Kosten. Bei gleichzeitig geringer Wirkung.

Laut einer aktuellen Studie von Forrester wünschen sich die meisten IT-Verantwortlichen statt dieser fragmentierten und meist nur reaktiven Herangehensweise eine einheitliche Oberfläche, in der ihre Datensicherheit gebündelt wird. Die Absenz einer Strategie macht sich auch dadurch bemerkbar, dass nur 34 Prozent der Unternehmen wissen, wo ihre sensiblen Daten gespeichert sind und lediglich 41 Prozent einen "need-to-know"-Ansatz bei der Zugriffsrechte-Vergabe anwenden. Gerade im Vorfeld der nahenden EU-Datenschutzgrundverordnung (DSGVO) stellt das ein ernsthaftes Problem dar.

Fazit: Datensicherheit first!

Es sind diese Fehler, die uns Woche für Woche über erfolgreiche Hackerangriffe auf Unternehmen lesen lassen. Die Kosten, die den Unternehmen hierdurch entstehen, sind enorm. So büßte etwa das US-Handelsunternehmen Target in Folge eines Datenlecks 46 Prozent des Umsatzes ein.

Wenn Unternehmendaten in falsche Hände oder gar an die Öffentlichkeit geraten, kann daraus nicht nur eine Bedrohung für die Reputation erwachsen, sondern auch für den Umsatz und (je nach Falllage) auch die nationale Sicherheit. Es ist an der Zeit, umzudenken und endlich die Daten ins Zentrum der IT-Security-Strategie zu rücken. (fm)

»

IDG Executive Education - Cybersecurity

IDG Executive Education

Exklusiv-Seminar "Cybersecurity"

COMPUTERWOCHE/CIO und das Fraunhofer AISEC - Institut für Angewandte und Integrierte Sicherheit laden Manager am 7. und 8. März 2018 zu einer Fortbildung in Cybersecurity ein. Lernen Sie aktuelle Risiken kennen und einzuschätzen, stellen Sie den Kontext für Ihr eigenes Business her und entwickeln Sie die passenden Abwehrstrategien.

Mehr Infos unter:

www.idg-executive-education.de