Von Tsion Gonen, CSO for Identity & Data Protection bei Gemalto
Cyber-Hacks sind zu einem alltäglichen Problem geworden, und das gilt es zu akzeptieren. Früher oder später ist jedes Unternehmen betroffen. Neue und unkonventionelle Lösungsvorschläge zum Thema Datensicherheit sind gefragt.
Das Jahr 2014 war zweifelsohne ein Wendepunkt für den Umgang mit firmeneigenen Daten und deren Sicherheit. In verschiedensten Branchen wurden große, prestigeträchtige Unternehmen gehackt: von Home Depot, über JP Morgan zu Sony Pictures. Wie der Breach Level Index ermittelte, gab es 1540 Datenschutzverstöße weltweit, fast 50 Prozent mehr als im Jahr zuvor. Noch besorgniserregender ist allerdings die Menge der gestohlenen Daten: Fast eine Milliarde Datensätze waren 2014 betroffen. Das sind 71 Prozent mehr als im Jahr 2013.
Egal wie viel Zeit und Geld für den Schutz von Daten und Informationen ausgegeben werden – Cyber-Kriminelle finden immer einen Weg um die Abwehrmechanismen herum. Allein letztes Jahr gab es mehr als 1500 dieser Fälle. Mal platzierten die Hacker Malware in POS-Systemen von Zulieferern, mal verschafften sie sich sensible Login-Daten von Mitarbeitern. Die Liste lässt sich fortsetzen, eindeutig ist aber, dass die Anzahl und Häufigkeit von Hacks steigt. Die Anzahl von Datenangriffen, bei denen über 100 Millionen Kundendaten betroffen waren, verdoppelte sich im Jahr 2014.
Trotz dieser alarmierenden Zahlen verlässt sich die Mehrzahl von Unternehmen bei IT-Sicherheitsstrategien weiterhin auf den Perimeterschutz. Dies bedeutet, dass Unternehmen „Mauern“ um ihre Daten errichten und deren Grenzen auf mögliche Eindringlinge beobachten. Da dieser Ansatz bisher nicht erfolgreich war, ist es Zeit für Veränderungen.
Neue Denkansätze im Bereich der Datensicherheit
Wie also gelingt es Datensicherheit zu gewährleisten, selbst wenn Hacker bereits in das Netzwerk eingedrungen sind?
Zunächst müssen Unternehmen erkennen, dass sie sich im Kampf gegen Cyber-Angriffe nicht behaupten werden können, solange sie nur auf althergebrachte Sicherheitsstrategien setzen. Wie Einstein schon sagte: „Die Definition von Wahnsinn ist, immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten.“ In diesem Fall ist die Wiederholung der Fokus auf den oben erwähnten Perimeterschutz.
Zweitens sollten Unternehmen aufhören sich selbst und anderen vorzumachen, dass sie einen Angriff auf ihre Netzwerke abwehren können. Eher sollte diese Gefahr akzeptiert, und Sicherheitsstrategien entsprechend erweitert werden. Sich ein Problem einzugestehen, ist der erste Schritt der Besserung. Zu vermuten ist, dass Unternehmen weiterhin 90 Prozent ihres Etats für Perimeterschutz verplanen wie bereits in den letzten Jahren.
Diese Aussagen sollten allerdings nicht als Anreiz gesehen werden, wichtige Netzwerkschutz-Tools zu vernachlässigen. Vielmehr sollten Unternehmen ihr wertvollstes Gut schützen, und ihre Sicherheitsstrategien daran ausrichten.
Schritt drei ist das Erschweren des Zugriffs für Hacker. Diesen so schwierig wie möglich zu gestalten führt dazu, dass Cyber-Kriminelle eventuell aufgeben und sich ihr nächstes Opfer suchen. Betriebswirtschaftlich gesagt, bedeutet dies, Angreifern einen möglichst kleinen ROI zu bieten. Dies ist nicht durch den Bau einer umso größeren „Schutzwand“ um das Netzwerk möglich – Cyber-Kriminelle werden sich lediglich eine höhere Leiter bauen.
Wie sollten Unternehmen also vorgehen? Zunächst gilt es, sich in die Haut der Angreifer zu versetzen, um sie zu verstehen – Ziel aller Angriffe sind Daten! Von dieser Erkenntnis ausgehend erfolgt das Verschieben der Sicherheitsstrategien näher hin zu dem was wirklich wichtig ist: dem Zugang zu den Daten und den Daten selbst. Dies bedeutet, dass Benutzer und ihre Zugriffe stärker überwacht werden, und dass wichtige Daten verschlüsselt sein müssen.
Multi-Faktor-Authentifizierung (MFA) und Zugriffskontrollen überprüfen die richtige Identität der Anwender und ermöglichen eingeschränkte Zugriffsrechte: nur wer berechtigt ist bestimmte Daten zu sehen, kann dies tatsächlich tun. Letztendlich ist es aber eine gute Verschlüsselung, die den ROI der Hacker klein hält. Durch den Schutz der Daten selbst mit Hilfe von Verschlüsselung, werden diese für den Hacker wertlos. Fokussierten sich mehr Unternehmen auf die Verschlüsselung ihrer Daten und weniger auf das Verhindern von Hacks, wären Kundendaten und Informationen sicherer – und IT-Sicherheitslücken in Zukunft ungefährlicher.
