Deutsche Firmen misstrauen US-Konkurrenz
Blauäugigkeit beim Datenschutz
Trotz PRISM, Edward Snowden und alledem: Viele Firmen wähnen ihre Daten sicher vor Ausspähung, Klau oder Verlust. Die Wirtschaftsprüfer von Ernst & Young machen bei deutschen Anwendern schlichte Leichtfertigkeit aus. "Wenn es um ihre eigene Sicherheit geht, sind die Unternehmen leider oft blauäugig und wiegen sich in falscher Sicherheit", sagt Bodo Meseke, der die Abteilung für Forensic Technology & Discovery Services bei Ernst & Young leitet. Die Analysten von Freeform Dynamics beobachten ähnliche Tendenzen und mahnen an, beim Datenschutz nicht nur zu reagieren, sondern proaktiv zu handeln. Die Quintessenz dieser Warnungen und Hinweise: Auch wenn sich die Anwender seit Langem mit der Datensicherheit beschäftigen, sind längst nicht alle Hausaufgaben erledigt - und weil weder Hacker noch die technologische Entwicklung stillstehen, ist ständiges Um- und Weiterdenken nötig.
Blindes Vertrauen auf die Firewall
Nach Mesekes Beobachtung denken viele deutsche Firmen, ihre Rechner seien mit Firewall und Passwortschutz ausreichend geschützt. "Dabei haben nicht erst die jüngsten Enthüllungen gezeigt, dass Spionage und Abhörmethoden inzwischen deutlich weiter fortgeschritten sind", so Meseke. "Ein professioneller Datendieb kann ein Passwort mit entsprechenden Tools umgehen - grundsätzlich kann jede Information geknackt werden."
- Analyse der Informationssicherheit 2013
A.T. Kearney hat den Stand der Informationssicherheit 2013 analysiert. - Die Angreifer liegen immer vorn
A.T. Kearney sieht im Kampf um die IT-Sicherheit von Unternehmen immer die Angreifer vorn. Die Analysten verwenden folgende Abkürzungen: APT (Advanced persistent threat) umschreibt gezielte Angriffe mit hohem Aufwand; DLP steht für Data loss prevention (Schutz vor unbefugtem Daten-Kopieren) und SIEM für Security and event management. DDoS heißt Distributed denial of service (Angriff mit vielen Anfragen, um das System lahmzulegen; IDS (Intrusion detection system) umschreibt die Überwachung aller Netzwerk-Prozesse und IPS (Intrusion prevention system) das Melden verdächtiger Aktivitäten und den Versuch, diese zu blocken. DPI ist das Kürzel für Deep packet inspection (das Überwachen und Filtern von Datenpaketen). Die Grafik zeigt das Ping-Pong-Spiel von Angriffstechnologie und Schutzmechanismus. - Wie Angriffe ablaufen
Wie A.T. Kearney beobachtet, laufen Angriffe typischerweise in fünf Schritten ab. Zunächst wird das Opfer über soziale Netzwerke oder Anrufe identifiziert, um ihm dann Schadsoftware unterzuschieben. In Schritt drei übernimmt der Angreifer die Kontrolle. Er lädt Malware nach und kann seinen Machtbereich dadurch ausweiten. In Schritt vier zieht der Angreifer Informationen des Opfers ab, etwa Kundenlisten, Entwicklungsdaten oder anderes. Im fünften und letzten Schritt schließlich beseitigt er seine Spuren - und baut sich nicht selten noch eine Hintertür für neue Angriffe ein. - Die Angriffsmöglichkeiten in den Unternehmen
Vom Büro-Netzwerk bis zum Rechenzentrum - es lässt sich nicht verhindern, dass Unternehmen viele Angriffspunkte bieten. A.T. Kearney weist nicht nur auf digitale Kriminalität wie etwa Angriffe durch Cloud Computing hin, sondern auch auf ganz Handfestes: Vorstandsbüros seien häufig wenig gegen physischen Zugriff durch Reinigungspersonal oder Handwerker gesichert. - Zyklus der Informationssicherheit
Informationssicherheit sollte dem Plan-Do-Check-Act-Zyklus nach ISO 2700x folgen. Die erste Stufe (Plan - Planung und Konzeption) beinhaltet Risikoanalyse, Strategieentwicklung und die Auswahl der Sicherheitsmaßnahmen. Stufe zwei (Do - Umsetzung und Betrieb) umfasst den Realisierungsplan und die Umsetzung der Maßnahmen sowie Notfallpläne und Schulungen. Auf Stufe drei (Check - Überwachung und Kontrolle) erfolgen das Erkennen von Vorfällen und die Kontrolle der Wirksamkeit der gewählten Maßnahmen. Stufe vier (Act - kontinuierliche Verbesserung) sieht Fehlerbehebung und die Optimierung der Maßnahmen vor. - Angreifergruppen
Wer ein Unternehmen schützen will, darf nicht nur an externe Angreifer denken. Die Analysten von A.T. Kearney benennen fünf verschiedene Gruppen, die gefährlich werden können. Das sind zum Einen organisierte Verbrecher und Geheimdienste. Zum Anderen sind es Hacker, die möglicherweise schlicht und einfach aus Neugier fremde Systeme knacken. Cracker dagegen stehlen Kreditkartendaten; Hacktivisten sind politisch motiviert. Ein erhebliches Schadenspotenzial geht aber auch von Unternehmens-Insidern aus. A.T. Kearney erinnert an die berühmten Steuer-CDs.
Die Unternehmen müssten deshalb nach Einschätzung von Ernst & Young versuchen, den Hackern ihr diebisches Treiben so anstrengend wie möglich zu machen - in der Hoffnung, dass diese sich deshalb anderen Zielen zuwenden. Die Instrumente dafür wie Instrusion Detection oder Intrusion Prevention sind jedoch nicht einmal in 15 Prozent der Unternehmen im Einsatz. Das zeigt eine Studie, für die Ernst & Young 400 deutsche Firmen befragte.
Stattdessen wiegt man sich in trügerischer Sicherheit. 86 Prozent der Manager in Deutschland halten es nämlich für unwahrscheinlich, dass ihr Unternehmen zum Spionage-Opfer werden könnte. Mehr als vier Fünftel der Befragten stützen ihren Optimismus dabei vor allem auf ihre standardmäßigen Firewalls und Passwortsysteme.
Spezialabteilungen Mangelware
Ernst & Young moniert außerdem, dass es lediglich in 14 Prozent der Firmen eine spezielle Sicherheitsabteilung gebe. In 72 Prozent der Unternehmen sei die Datensicherung hingegen eine reine Angelegenheit der IT-Abteilung. In diesem Umstand erkennt auch Freeform Dynamics ein Defizit, allerdings mit etwas anderer Stoßrichtung. Sowohl Ernst & Young als auch Freeform Dynamics teilen die Ansicht, dass Datensicherheit im Idealfall nicht einfach eine von vielen Aufgaben der IT-Abteilung sein sollte. Während sich Ernst & Young stark für die Einrichtung eigenständiger Security-Abteilungen einsetzt, plädiert Freeform Dynamics dafür, das Thema zur Chefsache zu machen.
- Wie sich IT-Sicherheit und Cloud Security unterscheiden
Datenverluste und das Kompromittieren von unternehmenskritischen Informationen sind in traditionellen IT-Infrastrukturen und Cloud-Computing-Umgebungen auf unterschiedliche Faktoren zurückzuführen, so die IT-Firmen Symantec und Intel. In Unternehmensnetzen sind dafür drei Faktoren verantwortlich: - Wohlmeinende Mitarbeiter:
Sie verzichten fahrlässig auf das Verschlüsseln von wichtigen Daten oder nehmen Geschäftsinformationen auf USB-Sticks oder privaten Mobilgeräten mit nach Hause. Weitere potenzielle Gefahren durch solche Mitarbeiter: der Verlust von Mobilsystemen wie Notebooks oder die Weitergabe von Account-Daten an Kollegen. - Böswillige Mitarbeiter:
Sie verschaffen sich gezielt Zugang zu Geschäftsdaten, um diese zu verkaufen oder für persönliche Zwecke zu missbrauchen. Ein typisches Beispiel: Ein Mitarbeiter kopiert vor dem Wechsel zu einem Konkurrenten Kundendaten, Preislisten oder Projektunterlagen. - Cyber-Kriminelle:
Sie verschaffen sich meist über ungenügend abgesicherte Endgeräte wie PCs, Notebooks und Smartphones Zugang zum Firmennetz und kopieren verwertbare Informationen. - Spezielle Risiken für Cloud Security:
In Cloud-Computing-Umgebungen kommen zu den genannten potenziellen Risiken weitere hinzu. Dazu zählt die Nutzung von Cloud-Services ohne Wissen der IT-Abteilung. Dies können Online-Storage-Dienste wie Dropbox sein, aber auch CRM-Angebote wie Salesforce. Das „Aussperren“ der IT-Fachleute torpediert eine unternehmensweite IT- und Cloud-Security- Strategie. - Spezielle Risiken für Cloud Security:
Ein weiterer Faktor ist das verteilte Speichern unternehmenskritischer Daten: Sie lagern teilweise auf IT-Systemen im Unternehmensnetz, teils auf denen des Cloud-Computing-Service- Providers. Dies erschwert es, den Zugriff auf diese Informationen zu reglementieren und ihren Schutz sicherzustellen. - Spezielle Risiken für Cloud Security:
Ein dritter Punkt: Cyber-Kriminellen und „böswilligen Insidern“ stehen mehr Angriffspunkte zur Verfügung: das Unternehmensnetz, die Cloud-Computing-Umgebung des Providers und die Kommunikationswege zwischen Kunde und Cloud-Service-Provider.
Im Papier "The Data Protection Imperative" werben die britischen Berater dafür, dass sich Vorstände und Top-Manager um eine proaktive Gestaltung des Datenschutzes kümmern. Ein Kerngedanke dabei ist es, die in den Daten steckenden Informationen als wertvolle Güter zu begreifen, aus deren Verfügbarkeit und Analyse sich wirtschaftliche Potenziale heben lassen. Um das aber zu können, sind laut Freeform Dynamics andere Ansätze als bisher gefragt.
Ein Aspekt dabei sind Investitionen in zeitgemäße Technologie. Es reiche beispielsweise nicht mehr aus, ausschließlich in der Nacht Backups durchzuführen. Das gilt schlicht deshalb, weil der Verlust einer unternehmensweiten Tagesarbeit an Daten inzwischen unglaublich teuer geworden ist. Und weil es mittlerweile moderne Spiegelungs- und Snapshot-Lösungen gibt, die sämtliche Systeme im Stunden- oder sogar Minutenrhythmus sichern können.
Fünf Dinge sollten nach Ansicht von Freeform Dynamics Data-Protection-Systeme gewährleisten:
-
die Sicherung kritischer Unternehmensdaten;
-
das Verhindern von Datenverlust oder Verfälschung,
-
das Verfügbarmachen der für den Betrieb wichtigen Informationen,
-
die Rückführung von Daten in die Systeme im Falle eines Ausfalles,
-
die effiziente und bombensichere Archivierung historischer Daten.