Für Unternehmen sind Daten so wertvoll wie Bargeld

Herausforderung Nummer 1 ist der Datenschutz

Thorsten Krüger, Director Regional Sales IDP DACH & CEE bei Gemalto (früher SafeNet) beschäftigt sich seit über 20 Jahren mit dem Vertrieb und der Beratung von IT und IT-Sicherheitslösungen. Er ist Experte für die Themen Verschlüsselung, Key Management und starke Authentifizierung. Vor Gemalto war Herr Krüger für internationale Unternehmen wie ActivCard tätig, in denen er unterschiedliche Vertriebs- und Managementpositionen innehatte.
Unternehmen haben heutzutage mit Datentsunamis zu kämpfen. Hinzu kommen noch die massiven Auswirkungen, die die Einführung von IoT-Geräten auf die Anzahl der produzierten Daten hat.
Daten sind mehr als nur Informationen. Daten sind so wertvoll wie Zahlungsmittel - und somit auch bei Hackern und Kriminellen begehrt.
Daten sind mehr als nur Informationen. Daten sind so wertvoll wie Zahlungsmittel - und somit auch bei Hackern und Kriminellen begehrt.
Foto: whiteMocca - shutterstock.com

Anzeichen für ein Nachlassen des Datenwachstums gibt es nicht. Der richtige Umgang mit digitaler Information ist heute ein wesentlicher Faktor für das Verständnis der Markttrends und der Kundenanforderungen - und ihr Wert für ein Unternehmen sowie die Auswirkung auf die Unternehmensgewinne sind gestiegen.

Der Wert von Daten ist in den letzten Jahren derart gewachsen, dass die meisten Unternehmen (85 Prozent) der Meinung sind, sie seien zur Bewältigung der geschäftlichen Herausforderungen so wertvoll wie Zahlungsmittel. Diese Werte ergeben sich im Rahmen einer internationalen Untersuchung zum Thema Datenschutz, bei der über 1000 IT-Entscheider befragt wurden. 70 Prozent der Studienteilnehmer setzen sie zur Verbesserung der Nutzererfahrung ein. Außerdem geben 56 Prozent an, die analsierten Informationen zur Bestimmung der Nachfrage zu nutzen.

Der Besitz von Information und die Fähigkeit, diese in Business Intelliegence umzusetzen, sind speziell auf einem wettbewerbsintensiven Markt wichtig. Wertvoll sind diese Daten jedoch nur, wenn ihre Integrität gewahrt bleibt. Wird diese von Cyberkriminellen unterwandert, könnte das dazu führen, dass Unternehmen Entscheidungen auf Basis ungenauer Daten treffen. IT-Verantwortliche müssen also auch dafür sorgen, dass beispielsweise bei Audits die Daten verifizierbar sind.

Folglich suchen Hacker ständig nach Wegen, diese Tatsache zu ihrem eigenen Vorteil zu nutzen, indem sie erbeutete Daten an Wettbewerber verkaufen oder so manipulieren, dass sie im Unternehmen zu Unterbrechungen führen.

Das erreichen sie durch die Transformation der Verkaufszahlen, um beispielsweise den Aktienwert zu verändern. Angesichts des enormen Wertes von solchen digitalen Assets und der kommenden DSGVO müssen Unternehmen unbedingt verstehen, dass Daten nicht nur verwaltet, sondern auch geschützt werden müssen.

Laut des neuen EU-Gesetzes zufolge hat jede Firma, die personenbezogene Daten von Bürgern verarbeitet, im Fall einer Dateschutzverletzung empfindliche Strafen zu zahlen und erleidet möglicherweise Umsatzeinbußen aufgrund des beschädigten Kundenvertrauens.

Cyberkriminelle überwachen Organisationen aktiv, um genau zu erkennen, welche Daten sie sammeln und speichern. Dies läuft wie eine Art Profitanalyse ab, um voraussagen zu können, womit die Cyberkriminellen das meiste Geld machen könnten, falls sie in Besitz der Daten kämen.

Normalerweise handelt es sich bei den wertvollsten Daten um Kundeninformationen oder personenbezogene Daten (Personally Identifiably Information, PII). PII hilft Unternehmen bei der Personalisierung ihrer Angebote und der Vorhersage von Markttrends.

Durch Informationen wie Geburts- und Zahlungsdaten, können Kunden und andere nahestehende Personen identifiziert und ihre finanziellen und anderen persönlichen Daten kompromittiert werden.

Daten sind wertvoll für Unternehmen wie auch für Hacker

Alternativ könnten Kriminelle Daten wie kürzlich getätigte Einkäufe nutzen, um Kunden mithilfe von Social Engineering anzusprechen. Mit diesen Informationen könnte sich ein Hacker als vertrauenswürdige Organisation darstellen, wie zum Beispiel als Bank, um ihre Zielperson zu überzeugen, weitere persönliche Details preiszugeben.

Unternehmen, die die in ihrem Besitz befindlichen PPI nicht verschlüsseln, laufen Gefahr, dass sie ihnen gestohlen, an Wettbewerber verkauft oder veröffentlicht werden. Davon abgesehen stellten wir in unserer Studie fest, dass über ein Drittel der Unternehmen wertvolle Informationen wie Kundendaten (35 Prozent) oder Zahlungsdaten (32 Prozent) noch immer nicht verschlüsseln.

Die Abwehr muss stehen!

Um sich selbst zu schützen, haben Unternehmen in der Vergangenheit auf Cybersicherheitskonzepte zurückgegriffen, die ihre Netzwerke und Perimeter sichern. Dass PII nicht verschlüsselt wurden, könnte darauf zurückzuführen sein, dass die Mehrheit der Unternehmen (86 Prozent) in die erfolgreiche Abwehr von Cyberattacken vertraut. Dabei rät das BSI und andere Sicherheitsexperten schon lange vom "Assume the Breach"-Paradigma. Trotzdem zeigen die Ergbenisse den Mangel an Verständnis in Unternehmen, wenn es um die Sicherung von Netzwerken und Daten geht.

Der Glaube, dass Netzwerksicherheit auch Datenschutz bedeutet, hat zu Vertrauen in die falschen Maßnahmen geführt. Zwar nutzen über zwei Drittel (69 Prozent) der Unternehmen statische Passwörter, um Daten zu schützen. Allerdings schützen selbst die kompliziertesten Passwörter Daten nicht zu hundert Prozent. Kurz gesagt: Ein vollkommen sicheres Passwort gibt es nicht.

Eine weitere Folge ist, dass viele Firmen der Sicherung ihrer Perimeter Priorität einräumen. Diese umfasst Maßnahmen wie:

  • Firewalls

  • IDPS

  • AV

  • Inhaltsfilterung

  • Anomalie-Erkennung

Ähnlich wie Passwörter ist auch die Perimetersicherung gegenüber raffinierten Cyberangriffen größtenteils wirkunslos. Trotzdem haben drei Viertel (76 Prozent) der Unternehmen ihre Investitionen in Perimetersicherheitssysteme erhöht, um sich vor externen Angreifern zu schützen.

Fazit

Angesichts der bald in Kraft tretenden Datenschutzbestimmungen werden sich die gesetzlichen Cybersicherheitsanforderungen ändern. Unternehmen, die ihre Investitionen in Perimetersicherheit getätigt haben, werden bald merken, dass die eigentliche Quelle aller Informationen damit nicht geschützt ist.

Dabei lauern genau dort die größten Gefahren für Unternehmen, und dort müssen sie den Fokus ihrer Anstrengungen auf die Sicherheit richten. Führen Unternehmen keine grundlegenden Sicherheitsmaßnahmen wie Verschlüsselung und Zwei-Faktor-Autentifizierung ein, bleiben ihre Daten ungeschützt, was Datendiebstahl oder -Manipulation leicht macht.

Investitionen in Cybersicherheit sind deutlicher in den Fokus gerückt, da sich die Inhaber des Wertes der Daten, die dadurch geschützt werden, bewusst geworden sind. Wenn Daten so wertvoll wie Zahlungsmittel sein sollen, müssen sie genauso scharf bewacht werden wie das Gold in Fort Knox.

Das fehlende Verständnis für korrekte Cybersicherheitslösungen steht der Einhaltung der Datenschutzgesetze jetzt im Weg. Bald werden Unternehmen, die ihre Cybersicherheit nicht verbessern, strenge rechtliche, finanzielle und rufschädigende Folgen tragen müssen. Perimetersicherheit bietet keinen ausreichenden Schutz, deshalb müssen Firmen die richtigen Sicherheitsprotokolle einführen, um Daten über den kompletten Life Cycle sichern.