alphaspirit - Fotolia

Datensicherheit: Die alten Modelle haben ausgedient

Unternehmen können eine Reihe von Vorkehrungen treffen, um Angriffe durch Cyberkriminelle abzuwehren. Dabei ist eine holistische Sicherheitsstrategie ein erster wichtiger Schritt.

Datensicherheit ist nicht erst seit der breit rezipierten Angriffe WannaCry, Petya oder KRACK ein Thema bei Unternehmen. Laut seines kürzlich veröffentlichten 2017 Global Threat Intelligence Report hat NTT Security festgestellt, dass beispielsweise 56 Prozent aller Angriffe in der Finanz- und Versicherungsindustrie Malware ins Unternehmen einschleusen wollten, gemäß einer mittelalterlichen Burgeroberung.

In der EMEA-Region (Europa, Naher Osten, Afrika) waren dies größtenteils Trojaner/Dropper (67 Prozent) oder Viren/Würmer (15 Prozent). Die Angriffe selbst werden immer ausgefeilter und dadurch häufig überhaupt nicht oder erst nach Monaten entdeckt. In dieser Zeit können sie großen Schaden in der Organisation anrichten, zum Beispiel wichtige Daten abzapfen oder komplette Systeme verseuchen.

Es gibt drei primäre Gefahrenpotenziale, die alle Organisationen betreffen können. Dazu gehört ein Angriff durch Einfallstore in der Software oder Hardware. Ziel solcher Attacken ist es, Malware in Unternehmen einzuschleusen oder durch Ransomware Geldbeträge zu erpressen. Ein Hack von außen kann allerdings auch dazu dienen, Kopien von Daten zu ziehen – besonders beliebt ist intellektuelles Eigentum, bei dem Firmen dann Wettbewerbsvorteile und im schlimmsten Fall ihre Existenzgrundlage verlieren. Da die Informationen nur kopiert werden, sind diese Art von Hack beziehungsweise die dadurch entstandenen Schäden nur sehr schwer zu erkennen.

Die dritte potenzielle Gefahr geht von den eigenen Mitarbeitern aus. Nur eine Minderheit sind verärgerte Angestellte, die Daten abzapfen, um sie zum nächsten Arbeitgeber mitzunehmen. Die Mehrheit bringt sensible Kundendaten oder Unternehmensinterna eher versehentlich in Gefahr – etwa, indem sie Informationen über unsichere File-Share-Lösungen mit Dritten teilen. Dazu gehört auch das Risiko, dass Makler ihren Laptop verlieren oder er gestohlen wird, mit allen darauf befindlichen Daten, Passwörtern und Unternehmenszugängen. Eine Möglichkeit, Daten vor einem unbefugten internen Zugriff zu schützen: Mitarbeiter erhalten nur die Zugangsrechte, die ihnen aufgrund ihrer Position beziehungsweise Rolle zustehen.

Identitäts- und Zugriffs-Management schützt vor unbefugtem Zugang zu Daten

Idealerweise wird dieses Identity- und Access Management (IAM) über ein System gesteuert, das die jeweiligen Rechte automatisch vergibt und vor allem auch ändert, etwa wenn der Mitarbeiter in eine andere Abteilung wechselt. Ein Kundenberater benötigt beispielsweise keinen Zugriff auf Personaldaten oder den Cashflow einer Organisation.

Identity und Access Governance bietet einen kompletten Überblick, welcher Mitarbeiter Zugriff auf welche Ressourcen hat – und auch, ob Anwender nur auf die richtigen, ihrer Rolle entsprechenden Daten und Applikationen zugreifen können. Damit reduzieren sich die Risiken für Datenlecks: Der Zugriff wird direkt blockiert, wenn sich die Rolle oder der Status eines Anwenders verändert.

Hinzu kommt eine durchgängige Passwortrichtlinie, die dafür sorgt, dass die abgegrenzten Rollen und Rechte nicht einfach durch Brute-Force-Attacken übernommen werden können. Diese Vorgehensweise sowie die höhere Automatisierung von Prozessen reduzieren die Arbeitslast der IT-Abteilung und rationalisieren gleichzeitig die Arbeitsabläufe insgesamt.

Firmen können alle Vorteile von IAM nutzen, ihre IT-Abteilung entlasten und Anwendern den Zugriff auf Daten und Applikationen geben, den sie benötigen – und gleichzeitig über eine sichere IT-Infrastruktur verfügen, die bestmöglich gegen Cyberangriffe geschützt ist. Wichtig ist, dass das Thema Security und IAM nicht nur in der IT-Abteilung verankert ist, sondern im gesamten Unternehmen gelebt werden muss: mit automatisierten Prozessen, klaren Verantwortlichkeiten und einem auch für Nicht-IT-Experten verständlichem User-Interface.

Ein IAM-System ist ein Schritt, um die im Unternehmen gespeicherten Informationen zu schützen. Es kann allerdings nur ein Puzzleteil innerhalb einer sehr viel umfangreicheren Sicherheitsstrategie eines Unternehmens sein – diese muss Security ganzheitlich betrachten.

Vertrauen war gestern, Schutz ist heute

Gerade in Branchen, in denen Verträge über Makler im Außendienst abgeschlossen werden, ist eine Verschlüsselung aller Daten enorm wichtig. Dies gilt nicht nur für den Daten-Transfer vom externen Laptop zur Zentrale, sondern auch für die Datenspeicherung vor Ort. Bleiben die Daten verschlüsselt, sind sie auch bei einem erfolgreichen Cyberangriff für den Hacker nutzlos – der Aufwand, sie zu entschlüsseln, ist deutlich aufwändiger als der Profit, der daraus gezogen werden kann. Allerdings sollten Organisationen beim Thema Verschlüsselung nicht Halt machen, sondern ihre komplette Sicherheitsarchitektur überdenken.

Denn das alte Burgmodell, wonach eine Firewall das äußere Perimeter des Netzwerks schützt, hat ausgedient. Das heißt natürlich nicht, dass Firewalls und Endpoint Protection überflüssig wären – sie sollten aber nur die äußeren Schutzmechanismen einer ausgeklügelten Sicherheitsstrategie sein, die auf einem Zero-Trust-Modell basiert. Dieses stellt das konventionelle Modell, nach dem alle Komponenten innerhalb eines Unternehmensnetzwerks vertrauenswürdig sind, auf den Kopf: Die neue Devise heißt „null Vertrauen“, und auf dieser Basis werden Security-Maßnahmen implementiert, die eine Organisation intern absichern. Sollte ein Angriff von außen tatsächlich erfolgreich sein, verhindern sie, dass sich die Malware ausbreitet.

Das Zero-Trust-Modell ist in Zeiten der im Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung (EU-DSGVO) ein Schritt nach vorne, um Unternehmen zu schützen. In der EU-DSGVO hat die EU einen Rechtekatalog gesetzlich verankert, um die persönlichen Daten von Verbrauchern stärker zu schützen.

Zahlreiche Organisationen, die bisher nur unzureichenden Einblick in die eigenen Daten haben – und diese somit auch bislang nicht hinreichend schützen konnten – sehen sich damit einer schwierigen Aufgabe gegenübergestellt. Verstöße gegen die neue Verordnung können nämlich zu Geldbußen von vier Prozent des globalen Umsatzes oder 20 Millionen Euro führen, je nachdem, welches die höhere Summe ist. Laut Statistischem Bundesamt kommen durch diese reformierten Richtlinien allein im ersten Jahr insgesamt Kosten von 1,5 Milliarden Euro auf die deutsche Wirtschaft zu.

Christopher Schmid, NTT Data

„Eine hundertprozentige Datensicherheit wird es in einer digitalen Welt nicht mehr geben. Allerdings können Organisationen eine Reihe von Vorkehrungen treffen, um Angriffe von Cyberkriminellen abzuwehren.“

Christopher Schmid, NTT Data

Da die IT-Abteilungen aus technischer Sicht für die Löschung der Daten sowie für die Regelung und Dokumentation des Zugangs zu personenbezogenen Daten verantwortlich sind, werden diese im Zuge der neuen Datenschutz-Regelungen Anpassungen vornehmen müssen. Denn in vielen Unternehmen ist eine Vielzahl sensibler Daten abgespeichert: Das können beispielsweise neben Informationen zum Einkaufsverhalten, verbunden mit privater Adresse beziehungsweise Kontaktdaten oder Finanzinformationen wie Bank- und Kreditkartenkonten sowie Einkommen sein. Für Cyberkriminelle ist dies eine Schatztruhe voller Daten, die sich gewinnbringend über verschiedene Marktplätze im Darknet zu Geld machen lassen.

Fazit: Daten lassen sich schützen, aber ein Restrisiko bleibt

Eine hundertprozentige Datensicherheit wird es in einer digitalen Welt nicht mehr geben. Allerdings können Organisationen eine Reihe von Vorkehrungen treffen, um Angriffe von Cyberkriminellen abzuwehren. Eine holistische Sicherheitsstrategie ist ein erster wichtiger Schritt, ebenso die entsprechende Umsetzung. Mit Blick auf die Burgmauern und -Tore ebenso wie auf die Szenerien innerhalb der Mauern.

Allerdings sollten sich Unternehmen dann nicht auf ihren Lorbeeren ausruhen: Die Security-Maßnahmen müssen kontinuierlich angepasst, aktualisiert und überdacht werden. Nur dann können Firmen die Gewissheit haben, die EU-DSGVO umzusetzen. Kombiniert mit automatisiert aktualisierten Zugriffsrechten für Mitarbeiter und regelmäßigen Schulungen, um diese auf die Gefahren von Sicherheitslecks und Cyberangriffen aufmerksam zu machen, sind alle Daten innerhalb einer Organisation bestmöglich geschützt.

Über den Autor:
Christopher Schmidt ist Head of IT Security, Solution Sales, bei NTT DATA Deutschland.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Benutzerkonten und Rechte im Griff

Verschlüsselung als Sicherheitsstrategie

Sicherheitskonzepte mit Bedacht angehen

Artikel wurde zuletzt im November 2017 aktualisiert

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close