Steigende Bedrohung der Datensicherheit: Europäische IT-Experten sind zu selbstsicher

Gefährliche Lücken in den Sicherheitsvorkehrungen

Von unserem Gastautor Chris Harris, Sales Engineering Director EMEA bei Thales

[datensicherheit.de, 16.07.2020] Am 25. Mai 2020 jährte sich das Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) zum zweiten Mal – Zeit genug für Unternehmen, diese Verordnung umzusetzen. Dennoch wurden einige von ihnen mit Geldstrafen belegt, weil sie es versäumt hatten, effiziente technische und organisatorische Datensicherheitsmaßnahmen einzuführen. Das wirft die Frage auf: Machen sich Unternehmen genug Gedanken um den Datenschutz? Inwieweit arbeiten sie tatsächlich an der Absicherung ihrer Datensätze?

Um dies herauszufinden, wurden in einer Studie über 500 Führungskräfte in Europa befragt, die für IT- und Datensicherheit verantwortlich sind oder Einfluss darauf haben. Ihre Antworten beleuchten, wie europäische Unternehmen an das Thema herangehen. Der diesjährige 2020 Thales Data Threat Report-European Edition zeigt, dass europäische Unternehmen weiterhin mit zahlreichen Herausforderungen bei der Datensicherheit zu kämpfen haben. Allerdings ist das nur eine Momentaufnahme.

Chris Harris, Sales Engineering Director EMEA, Bild: Thales

Gefährliche Lücken in den Sicherheitsvorkehrungen

Während Unternehmen in der digitalen Transformation neue Geschäftsmodelle und Wettbewerbsvorteile erschließen, sehen sie sich ebenso mit neuen Herausforderungen für die Datensicherheit konfrontiert. Umgesetzt wurde die digitale Transformation bereits von 24 Prozent der befragten Unternehmen. Allerdings macht sie das auch verwundbarer, denn: Je mehr ein Unternehmen digital umgebaut und je mehr es mit dem Internet verbunden ist, desto wahrscheinlicher ist es, dass sich eine Verletzung der Datenschutzrichtlinien ereignet. Zudem kann es Unternehmen während der schwierigen Umstellung treffen, während sie die strategischen, organisatorischen, technologischen und finanziellen Entscheidungen diskutieren, um die digitale Transformation in den nächsten Jahren zu bewältigen. Andererseits kann deren höherer Entwicklungsstand in Bezug auf den digitalen Wandel auch zur Folge haben, dass sie sich stärker bewusst sind, ob eine Datenschutzverletzung vorliegt. Dagegen sind weniger digitalisierte Unternehmen natürlich weniger exponiert, jedoch kann es auch schlicht sein, dass diese über zu wenig Fachwissen verfügen, um zu erkennen, dass die Datensicherheit gefährdet ist.

Mehr als ein Viertel, 28 Prozent, der europäischen IT-Experten gaben zu, im vergangenen Jahr mit einer Datenschutzverletzung konfrontiert worden zu sein. Darüber hinaus haben fast die Hälfte, 48 Prozent, der europäischen Unternehmen zu irgendeinem Zeitpunkt in ihrer Geschichte einen Datensicherheitsvorfall erlebt. Ungefähr ein Viertel, 24 Prozent, der befragten Unternehmen hatten außerdem in den letzten 12 Monaten eine Compliance-Auditierung nicht bestanden. Angesichts dieser Erfahrungen sollte man meinen, dass die Unternehmen ihre Datensicherheit nun ernster nehmen als je zuvor. Dies scheint aber nicht der Fall zu sein. Tatsächlich hat es den Anschein, dass es gefährliche Lücken in den Sicherheitsvorkehrungen gibt.

Zu viele sensible Daten in der Cloud

Bestes Beispiel ist die Frage nach der Cloud: Europäische Unternehmen führten an, dass sie 46 Prozent ihrer Daten in der Cloud speichern und schätzten, dass etwa die Hälfte dieser Informationen, 43 Prozent, sensibler Natur sind. Ungeachtet dieser Werte gab jeder einzelne Befragte zusätzlich zu Protokoll, dass sein Unternehmen einige Daten in der Cloud gespeichert hätte, die nicht durch Verschlüsselung geschützt seien. Dagegen sagten sie, dass ihre Firmen etwas mehr als die Hälfte, 54 Prozent, ihrer Cloud-basierten Daten durch Verschlüsselung absichern. Der Schutz dieser Daten wird angesichts der Komplexität einer Multi-Cloud-Umgebung zu einem noch größeren Problem. Rund 80 Prozent der Befragten gaben an, dass sie zwei oder mehr PaaS-, SaaS- und IaaS-Lösungen verwenden. Mehrere Cloud-Lösungen erschweren es Unternehmen aber, die Sicherheitskontrollen einheitlich in ihren gesamten Umgebungen anzuwenden, wodurch sie sich selbst und ihre Daten angreifbar machen.

Seltsamerweise finden die oben genannten Herausforderungen bei den Befragten nicht die volle Resonanz. Nur sieben von zehn Umfrageteilnehmern, 68 Prozent, erklärten, dass sie sich anfällig für digitale Angriffe fühlen – gegenüber 86 Prozent im Jahr 2018. Dieser Zuwachs an Selbstsicherheit hat zur Folge, dass ein Fünftel der Unternehmen, 20 Prozent, plant, die Budgets für Datensicherheit im nächsten Jahr zu senken. Sie vergessen völlig, dass gegen sie hohe Geldstrafen verhängt werden können, wenn sie nicht über die von der DSGVO und anderen Richtlinien geforderten Sicherheitsmaßnahmen verfügen, die einen erfolgreichen Angriff oder Verstoß gegen den Datenschutz hätten verhindern können.

Bedeutung von quanten-sicherer Verschlüsselung steigt

Der Eindruck, dass die IT-Experten in Europa zu selbstsicher werden, bestärkt sich auch beim Blick auf zukünftige digitale Bedrohungen. Zwar berichteten 93 Prozent der Befragten, dass Quanten Computing die sensiblen Daten ihrer Organisation gefährden könnte. Nur ein Drittel, 31 Prozent, der Befragten aber plant, Bedrohungen durch Quantencomputer dadurch auszugleichen, dass sie von statischer Verschlüsselung oder symmetrischer Kryptographie abrücken – beide Technologien gelten als anfällig oder sogar wirkungslos gegen Quantencomputer. Eine ähnliche Anzahl, 30 Prozent, kündigte immerhin an, dass sie planen, eine Schlüsselverwaltung einzuführen, die einen quanten-sicheren Zufallszahlen-Generator unterstützt. Viele der IT-Experten wissen jedoch nicht, wie sie reagieren sollen. Sie sind sogar offen dafür, einfach alle Lösungen zu testen. Diese Unentschlossenheit ist gefährlich, denn bereits in fünf Jahren könnten derartige Bedrohungen auftauchen.

Fazit

Unternehmen können mehrere Schritte gehen, um ihre Datensicherheit zu erhöhen. Falls deren IT-Umgebung aus mehreren Clouds besteht, sollten sie sich für eine Multi-Cloud-Sicherheitslösung entscheiden, um ihre sensiblen Daten zu schützen. Außerdem sollten sie diese Bemühungen einen Schritt weiter führen und Verschlüsselungslösungen für ruhende Daten einsetzen, Multifaktor-Authentifizierung über ein Authentication-as-a-Service (AaaS)-Angebot anwenden und Programme zur Datenexploration nutzen. Nur auf diese Weise erhalten die Unternehmen einen vollständigen Blick über ihre gespeicherten Informationen.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2020
Thales-Analyse zeigt: Cyberangriffe zu COVID-19 folgen der Ausbreitung des Virus

datensicherheit.de, 16.01.2020
Thales: IT-Sicherheitsprognosen für das Jahr 2020