[datensicherheit.de, 10.07.2018] Die jüngste Erhebung des „Data Security Confidence Index“ (DSCI) weist laut Gemalto spezielle Ergebnisse für Deutschland auf. Demnach geben 37 Prozent aller deutschen Organisationen eine starke Veränderung ihres Firmenalltags durch die DSGVO an – 32 Prozent sehen sich nach dem 25. Mai 2018 nicht als DSGVO-konform an, während 28 Prozent dagegen keinerlei Probleme mit der Umsetzung hatten. Generell seien deutsche Unternehmen zuversichtlicher hinsichtlich ihrer Bereitschaft und ihren Fähigkeiten auf dem Gebiet des Datenschutzes. Die Umfragewerte in den USA, in Frankreich oder Großbritannien beispielsweise seien deutlich schlechter. Allerdings gäben 44 Prozent aller deutschen IT-Entscheider Sicherheitsbedenken als die größte Hürde bei der Adaption von neuer Technologie an.

Datenschutz-Grundverordnung bleibt Herausforderung

Gemalto hat am 10. Juli 2018 die aktuellen Ergebnisse des jährlich erhobenen „Data Security Confidence Index“ (DSCI) bekanntgegeben. Unter anderem gäben zwei Drittel (65 Prozent) der Unternehmen zu, nicht in der Lage zu sein, alle von ihnen gesammelten Daten zu analysieren. Nur die Hälfte (54 Prozent) wisse, wo alle ihre sensiblen Daten gespeichert sind. Diese Ungewissheit werde noch verschärft, da über zwei Drittel der Organisationen (68 Prozent) eingestanden hätten, dass sie nicht alle Verfahren im Einklang mit den Datenschutzgesetzen, wie der Datenschutz-Grundverordnung (DSGVO), durchführten.
Dies sind laut Gemalto nur einige Ergebnisse des fünften „Data Security Confidence Index“, für dessen Erhebung weltweit 1.050 IT-Entscheidungsträger und 10.500 Verbraucher befragt worden seien. Die Untersuchung zeige weltweite Unterschiede in der Fähigkeit der Unternehmen, die von ihnen gesammelten Daten zu analysieren.
Die beste Nutzung der gesammelten Daten sei in Indien (55 Prozent) und Australien (47 Prozent) verzeichnet worden. Obwohl neun von zehn (89 Prozent) global tätigen Organisationen der Aussage zustimmten, dass die Analyse von Daten ihnen einen Wettbewerbsvorsprung verschaffe, könnten nur eins von fünf Benelux- (20 Prozent) und britischen (19 Prozent) Unternehmen diese Einsicht umsetzen.

Ohne Daten-Analyse keine -Wertschätzung und unzureichende -Sicherheit

„Wenn Unternehmen nicht in der Lage sind, alle von ihnen gesammelten Daten zu analysieren, können sie auch nicht deren Wert verstehen – und das bedeutet, dass sie nicht wissen, wie sie die geeigneten Sicherheitskontrollen für diese Daten anwenden können“, betont Jason Hart, „Vice President“ und „CTO für Data Protection“ bei Gemalto.
Hart: „Ungesicherte Daten sind eine wahre Fundgrube für Hacker, ob sie diese nun im ,Dark Web‘ verkaufen, sie manipulieren, um sich finanziell zu bereichern, oder sie rufschädigend verwenden. Um eine Vorstellung von den möglichen Schäden zu bekommen, muss man sich nur die jüngsten Hacks bei der World Anti-Doping Agency und der International Luge Federation ansehen.“ Hinzu komme, dass es Jahre dauern könne, bis Manipulationen entdeckt werden, und da Daten überall, von der Unternehmensstrategie bis hin zur Produktentwicklung, die Informationsgrundlage stellten, dürften ihr Wert und ihre Integrität nicht unterschätzt werden.

Bild: Gemalto

Jason Hart: Unternehmen müssen ihr wertvollstes Gut – ihre Daten – durch Verschlüsselung, Zwei-Faktor-Authentifizierung und Key-Managment schützen!

Vertrauen in Absicherung gegen Datenschutzverletzungen gering

Zur Frage, wie die Datensicherheit gewährleistet wird, sind laut der Gemalto-Umfrage fast die Hälfte (48 Prozent) der IT-Experten der Meinung, dass die Perimeter-Sicherheit wirksam gegen unbefugten Zugriff auf ihre Netzwerke schützt. Die Mehrheit der IT-Experten (68 Prozent) glaube allerdings, dass unbefugte Benutzer sich Zugang zu ihren Netzwerken verschaffen könnten, wobei australische Firmen die Wahrscheinlichkeit am höchsten (84 Prozent) und britische sie am geringsten einschätzten (46 Prozent).
Sind die Angreifer aber erst einmal eingedrungen, zeigten sich nur weniger als die Hälfte der Organisationen (43 Prozent) als extrem zuversichtlich hinsichtlich der Sicherheit ihrer Daten. Die Sicherheitsbedenken seien in britischen Unternehmen am größten: Dort seien nur 24 Prozent bereit, sich diesbezüglich als „extrem zuversichtlich“ zu bezeichnen, während die Rate in Australien mit 65 Prozent am höchsten sei.
Auch wenn bei den Befragten immer noch ein gewisses Vertrauen in ihre Art der Netzwerksicherung bestehe, habe ein Drittel (27 Prozent) eine Verletzung ihrer Perimeter-Sicherheit in den letzten zwölf Monaten berichtetet. Bei den Unternehmen, die irgendwann einen Einbruch erlitten hatten, seien nur zehn Prozent dieser kompromittierten Informationen durch Verschlüsselung geschützt gewesen, die übrigen hätten offen gelegen.

Verbraucher halten Einhaltung der Bestimmungen für entscheidend

Der Umfrage zufolge haben eine zunehmende Sensibilisierung für Datenpannen sowie die Mitteilungen im Umfeld der DSGVO dazu geführt, dass die Mehrheit (90 Prozent) der Verbraucher die Einhaltung der Datenschutzbestimmungen durch Unternehmen für wichtig erachtet. Tatsächlich wisse jetzt über die Hälfte (54 Prozent) der Verbraucher, was Verschlüsselung ist und wie die Verbraucherdaten geschützt werden sollten.
Hart ergänzt: „Es ist an der Zeit, dass Unternehmen ihren Laden in Ordnung bringen. Hier sollten die Verantwortlichen für die Datensicherheit den Anfang machen. Es ist erforderlich, dass eine zentrale Figur, wie beispielsweise ein ,Data Protection Officer‘ – der gemäß DSGVO unter Umständen sogar unentbehrlich ist –, als Board-Mitglied ernannt wird, um Datensicherheit als Grundlage in alle Prozesse zu implementieren. Der nächste Schritt besteht in vermehrten Einsichten und Analysen anhand der gesammelten Daten, damit gewährleistet ist, dass die Daten richtig geschützt und sachkundigere Entscheidungen getroffen werden können. Wir brauchen einen Kurswechsel!“
Unternehmen müssten erkennen, so Hart, dass es „nicht mehr die Frage ist, ob eine Datenschutzverletzung eintritt, sondern wann diese erfolgt“, und ihr wertvollstes Gut – ihre Daten – durch Verschlüsselung, Zwei-Faktor-Authentifizierung und Key-Managment schützen, statt sich nur auf den Perimeter-Schutz zu konzentrieren.

Weitere Informationen zum Thema:

gemalto
Gemalto research reveals businesses collect more data than they can handle

datensicherheit.de, 20.09.2017
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt

datensicherheit.de, 02.10.2017
Kein Einzelfall: US-Börsenaufsicht gibt Informationsdiebstahl durch Hacker zu

[datensicherheit.de, 11.07.2017] Neben der wachsenden Anzahl von Sicherheitseinbrüchen und fast 1,4 Milliarden verlorenen oder gestohlenen Datensätzen im Jahr 2016 (siehe Breach Level Index), glauben immer noch viele IT-Entscheider, dass Perimeterschutz weiterhin ein geeignetes Mittel sei, um Nutzer ohne entsprechende Freigabe aus ihren Netzwerken fernzuhalten. Allerdings sind die Investitionen in neue Technologien zu niedrig, um die nötige Sicherheit gewährleisten zu können. Diese Aussagen untermauert der heute veröffentlichte vierte Data Security Confidence Index von Gemalto.

Befragung von 1.050 IT-Verantwortlichen weltweit

Insgesamt wurden 1.050 IT-Verantwortliche weltweit zum Thema Perimeterschutz befragt. Von diesen gaben 94 Prozent an, dass Schutz der Perimeter eine effiziente Sicherheitslösung ist, um nicht-autorisierte Nutzer aus den Netzwerken fernzuhalten. 65 Prozent sind sich nicht absolut sicher, dass Dateien geschützt sind, falls die Sicherheitsmechanismen eines Perimeters überwunden wären. Dies ist eine leichte Verbesserung im Gegensatz zum Vorjahr (69 Prozent). Trotz allem glauben fast 6 von 10 Unternehmen (59 Prozent), dass alle ihre vertraulichen Informationen geschützt sind.

Fokus auf Perimeter, aber es fehlt an Technologieverständnis und Datenschutz

Für die meisten Firmen hat der Perimeterschutz immer noch höchste Priorität, obwohl solche Schutzvorkehrungen gegen moderne Cyberattacken nahezu nutzlos sind. Laut der Untersuchung haben 76 Prozent aller Unternehmen mehr Investitionen in Perimetersicherheit wie Firewalls, IDPS, Anti-Virus, Content Filter und Anomalieerkennung getätigt, um gegen externe Angriffe gerüstet zu sein. Trotzdem glauben mehr als zwei Drittel (68 Prozent), dass User ohne Legitimierung Zugriff auf ihre Netzwerke haben – dies verdeutlicht die Ineffizienz von Perimeter-basierten Ansätzen.

Die Ergebnisse lassen auf ein schwindendes Vertrauen in die eingesetzten Sicherheitslösungen schließen, besonders da mehr als ein Viertel (28 Prozent) aller Unternehmen in den letzten 12 Monaten einen Vorfall verbuchten. Die Lage spitzt sich zudem zu, da nur acht Prozent der entwendeten Daten verschlüsselt waren.

Besorgniserregend ist zudem die Tatsache, dass mehr als die Hälfte der Befragten nicht wissen, wo ihre sensiblen Daten genau gespeichert sind. Etwa ein Drittel der Befragten nutzen keine Verschlüsselung für ihre Finanzdaten (32 Prozent) und Kundeninformationen (35 Prozent). Nach einem erfolgreichen Diebstahl haben Cyberkriminelle vollen Zugang zu diesen Informationen und können sie zum Idenditätsdiebstahl oder zu Attacken mit Ransomware einsetzen.

Bild: Gemalto

Jason Hart, Vice President Chief Technology Officer Data Protection, Gemalto

„Ganz offensichtlich gibt es eine Spaltung zwischen der Wahrnehmung und der Realität bei der Effizienz von Perimetersicherheit“, sagt Jason Hart, Vice President Chief Technology Officer Data Protection bei Gemalto. „Der Irrglaube, dass Unternehmensdaten aktuell bereits ausreichend geschützt seien, ist höchstgefährlich. Perimeterschutz liefert unzureichende Sicherheitsmechanismen und ein falscher Fokus birgt große Risiken für die Datensicherheit. IT-Entscheider müssen verstehen, dass Cyberkriminelle es auf ihre wertvollsten Assets abgesehen haben. Daher sollte der Schutz von Informationen eine hohe Priorität erhalten.“ 

Die meisten Unternehmen nicht ausreichend auf DSGVO vorbereitet

Durch die anstehende Durchsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) ab dem 28. Mai 2018 stehen Firmen beim Thema Schutz von persönlichen Daten unter Zugzwang, sonst drohen Bußgelder und der öffentliche Gesichtsverlust. Kritisch ist, dass 53 Prozent der Teilnehmer nicht glauben, dass sie bis dahin alle nötigen Vorgaben der Verordnung erfüllt haben werden. Mit weniger als einem Jahr Zeit sollten Unternehmen jetzt dringend die nötigen Schritte einleiten, um Compliance mit der DSGVO zu erreichen. Wichtige Rolle spielen dabei Verschlüsselung, Zwei-Faktor-Authentifizierung und Strategien zum Schlüsselmanagement.

Hart fügt hinzu: „Investitionen im Bereich Cybersicherheit standen in den letzteren 12 Monaten ganz oben auf der Agenda von Unternehmen. Leider mache ich mir Sorgen, da viele nicht wissen wie sie ihre wichtigsten Daten richtig schützen können und wo diese genau gespeichert sind. Das sorgt gerade bei der Compliance mit der DSGVO für große Probleme. Wenn Organisationen ihre Sicherheitsstrategie nicht anpassen, wird es nicht lange dauern, bis ernsthafte finanzielle und rechtliche Konsequenzen drohen. Zudem droht natürlich der Verlust des öffentlichen Vertrauens.“

Über die Studie

Das unabhängige Marktforschungsinstitute Vanson Bourne hat 1.050 IT-Entscheider in den USA, UK, Frankreich, Deutschland, Indien, Japan, Australien, Brasilien, Benelux, im Nahen Osten und Südafrika für Gemalto befragt. Bei den Branchen wurden Vertreter aus Produktion, Healthcare, Finance, Governance, Telekommunikation, Handel, Ver- und Entsorger, Beratungs- und Immobilienunternehmen, Versicherungen, IT und Rechtsanwälten ausgesucht. Alle Teilnehmer stammen aus Unternehmen mit mindestens 250 und höchstens 5.000 Mitarbeitern.

Weitere Informationen zum Thema:

Gemalto
Data Security Confidence Index

datensicherheit.de, 29.06.2017
Neue Ransomware-Angriffe: Unternehmen sollten ihren eigenen Fortschritt bewerten