Die anfängliche Aufregung, die vor vier Jahren beim Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) durch Deutschland, Europa und die Welt ging, hat sich längst gelegt. Die DSGVO ist nun Alltag geworden, ebenso wie Verstöße oder Bußgeldzahlungen. Zwar hat das Umsetzen neuer Regularien den Datenschutz nachhaltig erhöht, weil personenbezogene Daten nun sicherer verarbeitet und gespeichert werden, doch Datendiebstahl und -missbrauch sind nach wie vor an der Tagesordnung. Außerdem nutzen Cyberkriminelle die DSGVO auch, um Lösegeldzahlungen bei Unternehmen zu erzwingen. Immer öfter werden Stimmen laut, dass die DSGVO nicht weit genug ginge oder konkrete Schutzmaßnahmen vorgeben müsste.
Cyberkriminelle nutzen potenzielle Verstöße, um Ransom zu erpressen
„Cyberkriminelle haben sich in den letzten vier Jahren nicht einfach so geschlagen gegeben, sondern ihre Methoden und Techniken an die neue Situation angepasst, insbesondere durch Ransomware-Angriffe“, resümiert Joseph Carson, Chief Security Scientist and Advisory CISO beim PAM-Experten Delinea. „So nutzen sie nun potenzielle Verstöße gegen die DSGVO als Mittel, um Unternehmen zu zwingen, ihre horrenden Lösegeldforderungen zu bezahlen. Und das mit Erfolg: Erstaunliche 83 Prozent der Unternehmen geben laut einer aktuellen Studie zu, Lösegeldforderungen nach Ransomware-Attacken zu bezahlen.“
Joseph Carson, Chief Security Scientist, Delinea
Auch Michael Scheffler, Country Manager DACH des Datensicherheitsspezialisten Varonis, warnt, dass Cyberkriminelle bei Ransomware-Angriffen nicht nur Daten verschlüsseln und mit einer Veröffentlichung drohen, sondern auch mit einer Meldung an die jeweiligen Aufsichtsbehörden. Er mahnt deshalb, Datenzugriffe konsequent einzuschränken: „Hat jeder Mitarbeitende Zugriff auf Millionen Dateien, unter denen sich auch Tausende DSGVO-relevante befinden, wird das potenzielle Ausmaß eines Angriffs und die Auswirkungen von dieser Menge an nicht nutzbaren, verschlüsselten Dateien deutlich. Beschränkt man hingegen – wie es die DSGVO vorsieht – die Berechtigungen auf Dateien, die ein Mitarbeitender für seine Arbeit tatsächlich benötigt, reduziert sich das Ausmaß, die Störungen des Betriebsablaufs und der Effekt eines Angriffs wesentlich“, so Scheffler.
Michael Scheffler, Varonis
Datenschutz kann nicht gewährleistet werden, solange Passwörter im Spiel sind
Eine Verschärfung der DSGVO mittels konkret vorgeschriebener Sicherheitsmaßnahmen wünscht sich Patrick McBride, der Chief Marketing Officer von Beyond Identity. Er moniert, dass bei der Umsetzung der DSGVO übersehen wird, dass Privacy und Security Hand in Hand gehen, und keine wirkliche Sicherheit gewährleistet werden kann, solange Passwörter und traditionelle MFA im Spiel sind.
So erklärt McBride: „Die DSGVO macht an sich keine spezifischen Aussagen zur Verwendung von Passwörtern, doch sie verpflichtet Unternehmen und Organisationen dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen sicher zu verarbeiten. Dementsprechend sollten die Generierung und Absicherung von Passwörtern dieser sicheren Verarbeitung angemessen sein. Unternehmen müssen also prüfen, ob es keine besseren und sichereren Alternativen zur Authentifizierung gibt als Passwörter.“
Dabei herrsche in der Sicherheitsbranche immer noch der Irrglaube, dass Passwörter grundsätzlich Sicherheit bieten können, wenn sie nur lang und komplex genug sind. Doch diese Annahme sei falsch. „Um wirklichen Datenschutz zu gewährleisten und die Privatsphäre zu schützen, müssen Regierungen endlich damit anfangen, eine Passwort-basierte Authentifizierung in Unternehmern abzuschaffen“, so McBride.
Dabei gibt der CMO von Beyond Identity zu denken, dass nicht nur klassische Passwörter große Sicherheitsmängel aufweisen, sondern auch andere traditionelle MFA-Faktoren – etwa SMS-Links oder Push-Benachrichtigungen – von Cyberkriminellen mithilfe von Standard-Phishing und Man-in-the-Middle-Exploits leicht umgangen werden können. „Herkömmliche MFA ist im Grunde genommen nutzlos und wird nie die Sicherheit und Zuverlässigkeit bieten, die sie verspricht. Sämtliche Regularien und gesetzliche Vorschriften sollten dieser Tatsache Rechnung tragen und veraltete Passwort- und MFA-Praktiken endlich anpassen. Staatliche Stellen müssen sicherstellen, dass Unternehmen phishing-resistente, passwortlose MFA verwenden, um sensible und kritische Daten wirklich zu schützen.“
Patrick McBride, Beyond Identity
