[datensicherheit.de, 07.06.2019] Spionage, Datendiebstahl, Sabotage: Die deutsche Industrie leidet unter Cyberattacken. Deutschen Unternehmen ist in den Jahren 2016 und 2017 ein Schaden von 43 Milliarden Euro durch Datenspionage und Sabotage entstanden. Das bezifferte der Branchenverband BITKOM in seinem Report im letzten Jahr. Besonders kleine und mittlere Unternehmen waren nach Angaben der BITKOM von den Angriffen betroffen; die Zahl der Phishing-Attacken ist dabei stark gewachsen.

Unternehmen benötigen immer länger um Angriffe zu erkennen und abzuwehren

Laut der Studie „Annual Cost of Cybercrime 2019“ des Beratungshauses Accenture benötigen Unternehmen jedoch immer länger, um Angriffe zu erkennen und abzuwehren und verlieren dadurch mehr Geld. Demnach verändern sich die heutigen Cyberangriffe auf vielfältige Weise: von den Unternehmen, die im Visier der Kriminellen sind, über Angriffstechniken, bis hin zu den Arten von Schäden, die sie anrichten. Im letzten Jahr gab es laut der Studie durchschnittlich 145 Sicherheitsverletzungen, die in die Kernnetze der Unternehmenssysteme eingedrungen sind. Das sind elf Prozent mehr als im Vorjahr und 67 Prozent mehr als vor fünf Jahren. Und nicht nur die Zahl der Angriffe selbst steigen, sondern auch die Kosten. Der Studie zufolge belaufen sich diese im Schnitt auf ca. 13 Millionen Dollar pro Unternehmen. Das sind 1,4 Millionen Dollar Zusatzkosten gegenüber dem Jahr 2018.

Die Kosten berücksichtigen auch die Maßnahmen, die betroffenen Unternehmen auf sich nehmen, um einen Datenverstoß über einen Zeitraum von vier Wochen zu finden, zu untersuchen und einzudämmen. Nach USA und Japan folgen deutsche Unternehmen mit den dritthöchsten Schadenssummen von 13,1 Millionen US-Dollar.

Datendiebstahl am schnellsten wachsendes Risiko der Cyberkriminalität

Der Datendiebstahl ist das kostspieligste und am schnellsten wachsende Risiko der Cyberkriminalität. Nicht zuletzt auch aufgrund der DSGVO-Bußgelder bei Verstößen. Aber Daten sind nicht das Einzige, das Kriminelle interessiert. Dem Accenture-Bericht zufolge sind zunehmend geschäftskritische Dienste und Industriesysteme (Fertigungs-, Steuerungs- und Gebäudetechnologie) im Visier der Kriminellen. Gerade durch das Internet der Dinge, Sensorik und zunehmende Vernetzung steigen die Risiken. So können DDoS-Angriffe stundenlang Online-Dienste nachhaltig stören oder Unternehmen zum Stillstand bringen. Obwohl Daten ein wichtiges Ziel sind, wollen Cyberkriminelle nicht nur stehlen. Es gibt einen Trend, Daten nicht einfach zu kopieren, sondern diese zu manipulieren, so dass sie entweder ruiniert oder nicht mehr vertrauenswürdig sind. Die Integrität der Daten zu beeinträchtigen rückt in den Mittelpunkt.

In der digitalen Welt spielt vor allem die Verfügbarkeit und Erreichbarkeit von Web-Diensten eine Schlüsselrolle. Wer zu lange benötigt, um Bedrohungen abzuwenden oder einen konkreten Angriff abzuwehren, kann bestraft werden.

CIAM unterstützt Unternehmensziele

Angesichts der Kosten- und Reputationsschäden, die IT-Sicherheitsverletzungen verursachen, besitzen Unternehmen jedoch gute Möglichkeiten, Beziehungen zu den Verbrauchern bzw. ihren Kunden zu verbessern. Der Einsatz von Kunden-Identitätslösungen fördert den Vertrauensaufbau und erhöht die Chance, dass Geschäftsziele erreicht werden. Gerade die Sicherstellung der Kundendaten hat höchste Geschäftspriorität. Unternehmen können sich so von ihren Mitbewerbern differenzieren.

Viele Verbraucher sind besorgt, dass ihre digitalen Identitäten online ausgetauscht werden und die Informationen von verschiedenen Unternehmen genutzt werden. Wenn Verbraucher wählen könnten, würden sie lieber weniger teilen. Das sollte Unternehmen beunruhigen, da sie auf Verbraucherdaten angewiesen sind, um zum Beispiel Geschäftsentscheidungen zu treffen. Unternehmen müssen diese Bedenken berücksichtigen und sich darauf konzentrieren, Vertrauen und Markentreue aufzubauen, indem sie den Verbrauchern mehr Transparenz und Kontrolle darüber geben, wie sie ihre Daten sammeln, verwalten und weitergeben.

„Lean in to consent“ ist deshalb eine vertrauensbildende Option. Es ist eine von sechs gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten im Sinne der DSGVO. Die Zustimmung der Verbraucher gibt einem Unternehmen verschiedene Freiheiten und Verantwortlichkeiten und ist die Grundlage für den Aufbau vertrauenswürdiger, transparenter digitaler Beziehungen.

In einer von ForgeRock in Auftrag gegebene Studie von Forrester Consulting von Ende 2018 sagten die Befragten, dass Customer Identity and Access Management (CIAM) die Datenschutzhürden überwindet, indem es sicherstellt, dass die Datenerhebung strikt innerhalb der Grenzen der Einwilligungsrichtlinien erfolgt. Die meisten der Befragten gaben an, dass CIAM ihnen dabei hilft, die Kundenidentitäten und -daten besser zu schützen und Erkenntnisse aus den von ihnen gesammelten Kundendaten zu gewinnen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.09.2018
Studie: KI und IoT sind Herausforderungen für den Datenschutz

datensicherheit.de, 19.09.2018
Airlock: Neuer Leitfaden „IAM-Projekte erfolgreich umsetzen“ vorgestellt

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

datensicherheit.de, 07.08.2018
Sicherer Umgang mit Zugriffsrechten

Von unserem Gastautor Sadrick Widmann, CPO bei cidaas.

[datensicherheit.de, 30.11.2018] Da wie auch in der „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO)“ nochmal deutlich wird, steht Werbung egal ob in postalischem, telefonischem oder digitalem Forum immer unter dem Vorbehalt der Einwilligung der Konsumenten.

Hier wird ein wichtiger Hinweis für Unternehmen gegeben: „Werden personenbezogene Daten unmittelbar bei der betroffenen Person erhoben, z. B. für Kauf -und Dienstleistungsverträge, Prospektanforderungen oder Gewinnspiele, ist diese umfassend nach Art. 13 Abs. 1 und 2 DS – GVO u. a. über die Zwecke der Verarbeitung der Daten zu unterrichten. Eine schon geplante oder in Betracht kommende Verarbeitung oder Nutzung der Daten für Zwecke der Direktwerbung ist daher der betroffenen Person von Anfang an transparent darzulegen“.

Das in einer modernen Big Data gestützten Erhebung von Kundedaten, die dem Kunden eine größtmögliche Transparenz und Sicherheit gibt, auch eine Chance für Unternehmen liegt, eigene Prozesse sicherer, kommunikativer und produktiver zu gestalten wird hierbei von Unternehmen oft übersehen.

Vor allem mittelständische Unternehmen, welche den rechtlichen Anforderungen mit einer gleichzeitig verbesserten User Experience in Zukunft gerecht werden, können sich Wettbewerbsvorteile sichern. Hierbei kommt dem Erfassen, Verwalten und Kommunizieren der „Digitalen Identität“ von Kunden, Partnern, Händler und Mitarbeitern eine Schlüsselrolle zu. Eine zentralisierte Datenschutz- und Sicherheitspolitik durch eine moderne Benutzerverwaltung (Consent Management) im Unternehmen ist daher ein Muss.

Die digitale Identität bietet dabei Unternehmen die Chance Kunden oder auch Händlern personalisierte Dienstleistungen und Services anzubieten, zum andern gewährt sie die Möglichkeit des Schutzes und der kundenfreundlichen Verwaltung von personenbezogenen Daten.

Eine entsprechende Customer Identity and Access Management (CIAM) Software Lösung ermöglicht es den Dialog mit Kunden, Unternehmen und Maschinen über alle Devices individuell und gleichzeitig DSGVO konform zu steuern und falls erforderlich auch den Anforderungen der Zahlungsdiensterichtlinie PSD2 (Payment Services Directive) gerecht zu werden.

Kernstück der EU-DSGVO ist: Ein Nutzer muss identifizierbar sein und seine Einwilligung zur Verwendung von Daten erteilen und diese jederzeit widerrufen können. Das Einhalten der neuen Datenschutzvorschrift, die gemäß Art. 5 Abs. 1 d) fordert, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neusten Stand sein müssen, wird durch ein CIAM-System, wie cidaas, schnell und rechtskonform umsetzbar, da der Kunde in einem Benutzer Selfe Service seine Daten direkt verwalten kann. Durch ein einfaches Benutzer-Management können Kundenprofile zudem einfach gelöscht und somit dem Recht auf Löschung (Art. 13 EU-DSGVO) nachkommen werden.

Dieser sichere und individuelle Kundendialog ist für eine Vielzahl von Branchen relevant.:

• Banken und Versicherungen
• e-Commerce
• Gesundheitswesen
• Bildungswesen
• Öffentliche Verwaltungen
• Industrie 4.0

Sicherheit der Daten und die Authentifikation der Identität essentiell

Dies betrifft im Übrigen die reale, wie auch in der digitalen Welt. Unter Authentifizierung versteht man das Anmelden bei einem System, sei es zum Beispiel digital zu einem Bankkonto, Onlineshop oder Mitarbeiterportal. Oder auch physisch zu einem Geschäftsraum, wobei die Identität des Benutzers festgestellt und geprüft wird. Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder einen Service. Eine moderne, auf Big Data Technologie basierenden Customer Identity and Access Management (CIAM) Software verwaltet nicht nur die Daten, sondern bietet auch das entsprechende Authentifizierungstool und ermöglicht zum Beispiel bei der Mitarbeiterverwaltung auch die Verteilung von Rollen und Zugriffsrechten.

Aber auch beim Schutz von Zugängen zu Onlineshops muss eine sogenannte „starke Authentifizierung“ sichergestellt werden. Die EU-Datenschutzgrundverordnung (EU-DSGVO) verbietet zwar nicht direkt die Authentifizierung mit Nutzername und Passwort. Aber es wird ausdrücklich gefordert, dass personenbezogene Daten vor unbefugtem Zugriff sicher sein müssen. Hierbei wird gleichzeitig die Benutzerfreundlichkeit wird immer wichtiger werden.

Eine Multi-Faktor-Authentifizierung sorgt durch User Profiling und biometrischen Faktoren für die hohe Sicherheit, wie sie in Art. 32 der EU-DSGVO gefordert wird.

Zur Identifikation und Authentifikation können verschiedene Verfahren eingesetzt und kombiniert werden

Im Einzelnen umfasst dies:

• Gesichtserkennung: Identifiziert Benutzer mit zukunftsweisender, biometrischer Methode der Gesichtsmerkmale
• Spracherkennung: Identifizierung über Stimme
• TouchID: Identifizierung über Fingerabdruck
• Muster: Identifizieren über ein vom Benutzer gezeichnetes Muster
• Push-Benachrichtigung: Identifizierung über die Akkreditierung allein auf dem benutzten Gerät
• TOTP: Ein einmaliger, zeitlich begrenzter Code, der zur Identifikation verwendet wird
• Back-up code – Für den Fall, dass ein Benutzer sein Mobiltelefon nicht zur Hand hat,
• FIDO U2F USB-basierte Sicherheitstechnologie
• Email
• SMS
• IVR – Verifizierungscodes per Sprachanruf

Eine Zwei-Faktor-Authentifizierung (2FA) –von zum Beispiel Finger- oder Gesichtserkennung mit einem Passwort bietet hierbei die geforderte „starke Sicherheit“. Werden zudem durch starke Prognosefaktoren und Big Data Analysen der Nutzer mit hoher Sicherheit erkannt und mit Built-in Werkzeugen betrügerische Versuche oder Verdachtsfälle gestoppt, ist den Anforderungen des Datenschutzes genüge getan.

Anforderungen CIAM

Eine Customer Identity and Access Management (CIAM) Software Lösung ist problemlos für mittelständische Unternehmen einsetzbar. Hierbei sollten bei der Entscheidung für einen Tool verschiedene Punkte beachtet werden:

• Skalierbarkeit – damit die Software ohne Aufwand an die unternehmerische Entwicklung angepasst werden kann.
• Cloudsoftware gehostet auf deutschen Servern für DSGVO-Konformität und schnelle automatisierte Updates
• Standards wie Social Login oder Single Sign On sollten ebenfalls zum Produktumfang gehören.
• Einsetzbar in der Digitalen, wie auch in reale Welt – um ein umfassendes System zu haben. Denn Datenbetrug erfolgt nicht zuletzt auch oft durch Mitarbeiter.
• Die einfache Integration in die bestehende Sicherheits- und CRM-Architektur.

Weitere Informationen zum Thema:

datensicherheit,de, 20.09.2018
DSGVO-Anforderungen: 87 Prozent der geprüften deutschen Webshops ungenügend

datensicherheit.de, 18.09.2018
Nach British Airways-Hack drohen der Fluggesellschaft DSGVO-Sanktionen

datensicherheit.de, 18.09.2018
DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

datensicherheit.de,  25.07.2018
DSGVO-Audits: Hohe Durchfallquote erwartet

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung