Data Threat Report – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Fri, 30 Oct 2020 17:09:08 +0000 de hourly 1 In der Corona-Krise: Gedanken über die Zukunft der Datensicherheit https://www.datensicherheit.de/corona-krise-gedanken-zukunft-datensicherheit https://www.datensicherheit.de/corona-krise-gedanken-zukunft-datensicherheit#comments Thu, 29 Oct 2020 19:57:49 +0000 https://www.datensicherheit.de/?p=38151 Datensicherheit wirkt sich auf alles aus – und das wird sich nicht ändern

[datensicherheit.de, 29.10.2020] IT-Sicherheitsabteilungen seien in diesem Jahr, 2020, gefordert wie vielleicht noch nie und seien entsprechend ausgelastet. „Normalerweise wird während des ,National Cybersecurity Awareness Month‘ (NCSAM) über die vergangenen Monate nachgedacht und damit begonnen, Vorhersagen über neue Bedrohungen für die Datensicherheit zu treffen“, so Tina Stewart, „VP Global Market Strategy for Cloud Protection and Licensing“ bei Thales. Angesichts der beispiellosen Zahl von Beschäftigten im Home-Office, der „Pandemie“ und der Suche nach einem Impfstoff, seien viele Organisationen mit der gegenwärtigen und kurzfristigen Cyber-Sicherheit überfordert. Jetzt sei ein guter Zeitpunkt, sich daran zu erinnern, dass die Auseinandersetzung mit der langfristigen Sicherheit von Daten „der Schlüssel zum Aufbau einer Zukunft“ sei, der wir alle vertrauen könnten.

thales-tina-stewart

Foto: Thales

Tina Stewart rät, sichereres „Daten-Ökosystem“ zu etablieren

Unternehmen und Verbraucher sollten gerade jetzt gemeinsam versuchen, mehr über Datensicherheit nachzudenken

Daten hätten die Macht, Ergebnisse zu beeinflussen. Der NCSAM sei ein wichtiger Moment, in dem Unternehmen und Verbraucher gemeinsam versuchten, mehr über die Internet-Sicherheit nachzudenken und entsprechende Maßnahmen zu ergreifen.
Stewart betont: „Besonders Daten müssen besser geschützt werden. Datensicherheit wirkt sich auf alles aus, und das wird sich nicht ändern.“ Zentraler Ansatzpunkt sei ein „sichereres Daten-Ökosystem“.

Datensicherheit von morgen als Auftrag für heute

Die gegenwärtige und kurzfristige Zukunft der Cyber-Sicherheit hänge stark von den täglichen Best-Practices ab, mit denen sich die Mitarbeiter beschäftigten, wie Multifaktor-Authentifizierung, Nutzung von VPNs und sicherer Dateiaustausch.
„Das Festnageln von Sicherheitsgrundlagen hilft Unternehmen bei der Umstellung auf die Cloud und bei der Unterstützung von überall aus arbeitender Beschäftigten, die nun anfälliger für Cyber-Bedrohungen sind.“ Der NSCAM, welcher sich nun im 17. Jahr seines Bestehens befinde, biete Cyber-Sicherheitsressourcen für IT-Leiter und die Führungsebene an, um bei der Prävention und Reaktion auf Vorfälle zu helfen.

Tipp 1: Implementierung einer einheitlichen Datensicherheitslösung!

In dem „2020 Thales Data Threat Report – Global Edition“ werde die Komplexität als Sicherheitsbarriere Nummer 1 identifiziert. Die meisten Datensicherheits-Lösungen seien nach wie vor spezialisiert und isoliert und zwängen Unternehmen dazu, viele Systeme und Anbieter zu verwalten.
Mangelnde Transparenz und betriebliche Komplexität verhinderten, „dass Unternehmen wissen, wo all ihre sensiblen Daten gespeichert sind, was die Sicherheit erschwert“. Obwohl dieses Hindernis real sei, sei es nicht unüberwindbar. Durch die Implementierung einer einheitlichen Datensicherheitslösung, „die Daten auffindet, schützt und kontrolliert, wo immer sie sich befinden“, könne die Komplexität gelöst werden.

Tipp 2: Ordnungsgemäße Zugriffsverwaltung stärkt Datensicherheit!

„Da ein beträchtlicher Teil der Beschäftigten immer noch aus der Ferne arbeitet, ist eine robuste Netzwerk-Zugangskontrolle von größter Bedeutung. Phishing-Betrügereien und Malware-Angriffe sind auf einem Allzeithoch, da Cyber-Kriminelle Schwachstellen ausnutzen.“
Jetzt sei es an der Zeit, effektive Datenerkennungslösungen zu implementieren, welche IT-Teams in die Lage versetzten, granulare Zugriffskontrollen zu nutzen, die strukturierte und unstrukturierte Daten im Ruhezustand und während der Übertragung schützten. Durch eine ordnungsgemäße Zugriffsverwaltung könne der richtige Benutzerzugriff auf die richtige Ressource und auf der richtigen Vertrauensebene gewährt werden.

Tipp 3: Fachkräfte sind wesentlicher Erfolgsfaktor für Datensicherheit!

Der Mangel an Arbeitskräften im Bereich der Cyber-Sicherheit – vor dem schon seit zehn Jahren gewarnt werde – sei ein Hindernis, das sich zu einer sich verschärfenden globalen Krise entwickele. „Hinzu kommt, dass Frauen während ihrer gesamten Ausbildung systematisch von Wissenschaft und Mathematik abgehalten werden, was ihre Möglichkeiten, sich im Bereich der Cyber-Sicherheit zu engagieren, einschränkt, wie eine Studie der American Association of University Women (AAUW) belegt.“
Der private Sektor, Regierungen, gemeinnützige Organisationen sowie Berufs- und Handelsverbände müssten zusammenarbeiten, um mehr Frauen für diesen Bereich zu gewinnen, da die Geschlechtervielfalt am Arbeitsplatz für künftige Innovationen von entscheidender Bedeutung sei, so Stewart.

Weitere Informationen zum Thema:

THALES
2020 Data Threat Report – Global Edition / Survey and analysis from IDC

datensicherheit.de, 15.04.2020
Thales-Analyse zeigt: Cyberangriffe zu COVID-19 folgen der Ausbreitung des Virus

]]>
https://www.datensicherheit.de/corona-krise-gedanken-zukunft-datensicherheit/feed 1
Digitale Transformation: Zunehmende Sicherheitsdefizite https://www.datensicherheit.de/digitale-transformation-zunehmende-sicherheitsdefizite https://www.datensicherheit.de/digitale-transformation-zunehmende-sicherheitsdefizite#respond Thu, 30 May 2019 18:25:51 +0000 https://www.datensicherheit.de/?p=32594 Laut aktueller Erhebung von Thales signalisieren europäische Unternehmen wachsende Sicherheitsprobleme

[datensicherheit.de, 30.05.2019] Laut einer aktuellen Erhebung von Thales signalisieren europäische Unternehmen wachsende Sicherheitsdefizite – mit fast einem Drittel (29%) der Befragten, die 2018 Jahr eine Datenschutzverletzung vermelden mussten, und nur weniger als der Hälfte (55%), die ihre Bereitstellungen hinsichtlich der Digitalen Transformation für „sicher“ oder „sehr sicher“ halten. Diese Ergebnisse und weitere Details seien im kürzlich veröffentlichten „2019 Thales Data Threat Report“ als europäische Ausgabe auf der Basis von Forschung und Analysen von IDC zu finden.

Gegenüber Datenschutzbedrohungen anfällig

Über 84 Prozent der europäischen Unternehmen setzten Technologien im Zuge der Digitalen Transformation ein oder planten es, aber nur wenig mehr als die Hälfte (55%) hielten die Bereitstellung für „sicher“ oder gar „sehr sicher“. 86 Prozent der europäischen Unternehmen gingen davon aus, dass sie gegenüber Datenschutzbedrohungen anfällig seien. Beinahe ein Drittel (29%) der befragten europäischen Unternehmen seien allein im Jahr 2018 von einer Datenschutzverletzung betroffen gewesen.
Bei den erwähnten 84 Prozent der Unternehmen zählten zu den digitalen, transformativen Technologien Cloud-Technologien, „Big Data“, Technologien im mobilen Zahlungsverkehr, die Nutzung Sozialer Medien, Container, „Blockchain“ und das Internet der Dinge (IoT). Vertrauliche Daten seien durch die Digitale Transformation einem hohen Risiko ausgesetzt.

Datenschutzverletzungen weiterhin auf dem Vormarsch

„In ganz Europa setzen Unternehmen digitale transformative Technologien ein. Während sie allerdings ihre Geschäftsziele ausweiten, setzen sie gleichzeitig vertrauliche Daten einem Risiko aus. Die im Rahmen der Erhebung befragten europäischen Unternehmen räumen der Prävention von Datenschutzverletzungen im Rahmen ihrer Ausgaben für IT-Sicherheit immer noch keine Top-Priorität ein“, berichtet Sebastien Cano, „Senior Vice President of Cloud Protection and Licensing Activity“ bei Thales.
Sie konzentrierten sich eher auf breiter angelegte bewährte Sicherheitsempfehlungen und Probleme der Marke selbst. Dennoch seien Datenschutzverletzungen weiterhin auf dem Vormarsch. Das sollte für Unternehmen Anlass genug sein, ihre Verschlüsselungsstrategie ernsthaft zu überdenken und so den Prozess der Digitalen Transformation abzusichern. Cano: „Ganz besonders dann, wenn der Weg in die Cloud führt und Firmen gleichzeitig regulatorischen Vorgaben und Compliance-Anforderungen genügen müssen.“

Vertrauen in Sicherheit durch Digitale Transformation herausgefordert

Allerdings sei bei weitem nicht jeder zuversichtlich, was die Sicherheit in solchen Umgebungen anbelangt. In Europa schätzten eben über die Hälfte der Befragten (55%) ihre Implementierungen als „sehr“ oder „extrem sicher“ ein.
Die Befragten in Großbritannien hätten dabei ganz offensichtlich mehr Vertrauen in den bestehenden Sicherheitslevel als der europäische Durchschnitt. Dort bewerteten 66 Prozent ihre IT-Umgebungen als „sehr“ oder „höchst sicher“. Bei den allgemein als besonders sicherheitsaffin geltenden Deutschen lägen die Werte dagegen mit 49 Prozent deutlich darunter.

Sicherheit in Multi-Cloud-Umgebungen bleibt eine der größten Herausforderungen

Am häufigsten würden sensible Daten im Rahmen der Digitalen Transformation in der Cloud verwendet. Die überwältigende Mehrzahl der europäischen Unternehmen (90%) nutze bereits alle Arten von Cloud-Umgebungen oder plane dies noch innerhalb des laufenden Jahres zu tun („Software-as-a-Service“, „Platform-as-a-Service“ und „Infrastructure-as-a-Service“). Mit dem Einsatz dieser Umgebungen verbänden Unternehmen allerdings auch eine Reihe von Bedenken. Im Wesentlichen seien es drei Befürchtungen, die Unternehmen hinsichtlich ihrer Sicherheitsbelange hegten:

  • 38 Prozent der Befragten fürchteten, dass Cloud-Provider nicht ausreichend für den Schutz ihrer Daten sorgten, wenn der Provider akquiriert wird oder die Sicherheitsvorkehrungen ausfallen.
  • 37 Prozent befürchteten mangelnde Transparenz beim Einsatz von Sicherheitsmaßnahmen.
  • 36 Prozent fürchteten Schwachstellen in einer gemeinsam genutzten Infrastruktur und Datenschutzvorfälle beim Cloud-Providerbeziehungsweise Angriffe, die sich gegen den Provider richten.

Unternehmen arbeiteten hart daran, die Auswirkungen dieser Bedenken wenigstens zu mildern. Über ein Drittel der Befragten (37%) betrachte die Verschlüsselung der Daten plus einer lokalen Verwaltung der Schlüssel entweder im Unternehmen selbst oder beim Service-Provider sowie detaillierte Informationen zu Architektur und IT-Sicherheit, zur physischen Sicherheit sowie zu den SLAs (Service-Level-Agreements) im Falle einer Datenschutzverletzung als die wichtigsten Tools, um Sicherheitsrisiken in der Cloud zu adressieren.

Nicht unbedingt Priorität: Compliance

Trotz über 100 neuer Datenschutzverordnungen, einschließlich der DSGVO/GDPR, die praktisch jedes Unternehmen in Europa betreffe (91%), werde Compliance bei den Sicherheitsinvestitionen nicht unbedingt Priorität eingeräumt. Lediglich im Vereinigten Königreich zähle sie zu den wichtigsten Treibern. Das sähen dort 40 Prozent der Befragten so.
Interessant sei, dass 20 Prozent der Unternehmen in Großbritannien im Jahr 2018 aufgrund von Datenschutzmängeln bei Compliance-Audits durchgefallen seien. Wenn es darum geht, Datenschutzvorgaben zu entsprechen, verließen sich die Befragten primär auf zwei Methoden um strikten Regularien zu genügen – die Verschlüsselung persönlicher Daten (47%) und die „Tokenisierung“ persönlicher Daten (23%).

Sicherheit von Daten nicht auf die leichte Schulter nehmen!

„Wir beobachten inzwischen eine bedeutsame Verschiebung hin zu Technologien im Sinne der Digitalen Transformation. Die damit einhergehenden Fragen zur Sicherheit von Daten in diesen Umgebungen sollte man nicht auf die leichte Schulter nehmen“, betont Frank Dickson, „Program Vice President for Security Products Research“ bei IDC.
Datenschutzregularien seien in den letzten 18 Monaten ganz weit oben auf der Agenda gewesen, darunter so viele erst jüngst in Kraft getretene. Unternehmen sähen sich vor der Frage, Kosten für das Gewährleisten von Compliance gegen das Risiko eines potenziellen Datenschutzvorfalls und den nachfolgenden Strafen abzuwägen.

Angriffszahlen gleichbleibend – auf hohem Niveau

Eines der erschreckendsten Ergebnisse des Berichtes sei, dass beinahe zwei Drittel (61%) aller befragten europäischen Unternehmen bereits Opfer einer Datenschutzverletzung geworden seien. Das Vereinigte Königreich komme dabei mit etwas mehr als der Hälfte der Unternehmen (54%) etwas besser weg als der Rest in Europa.
Allerdings hätten sich 29 Prozent der europäischen Unternehmen allein im Jahr 2018 einer Datenschutzverletzung ausgesetzt gesehen. Eine weitere erschreckende Zahl: Eines von zehn Unternehmen habe sowohl im letzten Jahr als auch zu einem weiteren Zeitpunkt mit einer Datenschutzverletzung zu kämpfen gehabt.

THALES-Report 2019

Abbildung: THALES

2019 Thales Data Threat Report Europäische Ausgabe: Sensible Daten sind in digitalen Transformationsumgebungen weit verbreitet…

Weitere Informationen zum Thema:

THALES
2019 Thales Data Threat Report Europäische Ausgabe / Umfrage und Analyse von IDC

datensicherheit.de, 30.04.2019
Digitale Transformation: Vier Empfehlungen für den Healthcare- und Pharmabereich

datensicherheit.de, 21.06.2018
Thales Data Threat Report 2018: Europa-Ausgabe vorgestellt

datensicherheit.de, 24.03.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

]]>
https://www.datensicherheit.de/digitale-transformation-zunehmende-sicherheitsdefizite/feed 0
Datenschutzverletzung: Warum es danach auf die richtige Kommunikation ankommt https://www.datensicherheit.de/datenschutzverletzung-richtige-kommunikation https://www.datensicherheit.de/datenschutzverletzung-richtige-kommunikation#respond Wed, 08 Aug 2018 15:29:21 +0000 https://www.datensicherheit.de/?p=28324 Insbesondere die Retail-Branche in den USA hat schlechte Nachrichten zu vermelden

[datensicherheit.de, 08.08.2018] Wir haben August 2018 – zwei Drittel dieses Jahres liegen schon fast hinter uns und damit auch eine ganze Reihe von ernsten und weitreichenden Datenschutzverletzungen, die es mühelos in die Schlagzeilen geschafft haben. Einige dieser Vorfälle sind 2018 aufgetreten, andere gehen auf das Jahr 2017 zurück, wurden aber erst jetzt bekannt. Cindy Provin, „CEO“ bei Thales eSecurity: „Das unterstreicht die harte Realität in Sachen Cyber-Sicherheit.“

Datenschutzverletzung bei 50 Prozent der Befragten

„Wir haben vor kurzem den jährlichen ,Data Threat Report: Retail Edition‘ veröffentlicht, und die Ergebnisse zeigen deutlich, dass diese Sicht der Dinge nicht übertrieben ist. Insbesondere die Retail-Branche in den USA hat schlechte Nachrichten zu vermelden“, erläutert Provin: 50 Prozent der Befragten hätten im letzten Jahr eine Datenschutzverletzung erlitten – und damit mehr als doppelt so viele Betroffene wie im Vorjahr mit noch 19 Prozent.
Die gute Nachricht in der schlechten sei, dass die Branche auf diesen immensen Anstieg mit höheren Investitionen in die IT-Sicherheit reagiert habe: 84 Prozent der befragten Unternehmen wollten mehr Geld für IT-Sicherheit ausgeben. Für die Unternehmen, die bereits Opfer eines Datenschutzvorfalls geworden sind und daraufhin in die Infrastruktur und/oder Personal investiert haben, um in Zukunft besser geschützt zu sein, sei das allerdings nur die „Spitze des Eisbergs“. Als nächstes stehe dann auf der Kommunikationsagenda, die wenig erfreulichen Nachrichten den Betroffenen mitzuteilen.

Firmen sollten sich in die Lage ihrer Kunden versetzen!

Wenn der gesetzlichen Anzeigepflicht nachgekommen werden muss, könne das schnell „knifflig und komplex“ werden. Die Lage sei zudem von Fall zu Fall und von Land zu Land unterschiedlich. Etliche Firmen sähen sich mit der DSGVO (GDPR) erstmalig mit einer Anzeigepflicht von Datenschutzverletzungen konfrontiert. Diese Anzeige habe zeitnah, nämlich innerhalb von 72-Stunden nach dem Bekanntwerden einer Datenschutzverletzung zu erfolgen. Eine Firma müsse dann sowohl die betreffende Aufsichtsbehörde in Kenntnis setzen als auch alle, die potenziell betroffen sind, informieren.
Hierbei gelte es, ein empfindliches Gleichgewicht zwischen den regulatorischen Anforderungen und der Informationspflicht gegenüber den eigenen Kunden zu wahren. Provin: „Das Ergebnis ist eine meist alles andere als befriedigende Kommunikation. Ich für meinen Teil bin überzeugt, dass Firmen einen Schritt zurücktreten und sich in die Lage ihrer Kunden versetzen sollten. Was würden Sie hören wollen, wenn Sie erfahren von einer Datenschutzverletzung betroffen zu sein? Welche Schritte würden Sie erwarten?“

Vier Erwartungen an Unternehmen nach einen Schadensfall:

Im Wesentlichen würde Provin persönlich vier Dinge von einem Unternehmen erwarten, bei dem sie Kundin ist:

  1. Für sie sei es nicht ganz unwesentlich zu erfahren, dass ihre Daten vielleicht gerade im„Dark Web“ verkauft werden oder sonstigen Risiken ausgesetzt sind. Für sie sei dies eine „große Sache“ – und so erwarte sie, dass sich das Unternehmen entsprechend um sie und ihre Daten sorgt.
  2. Das allein reiche natürlich nicht, wenn sie handlungsfähig bleiben will. Einfach gesagt: Sie brauche so viele und so klare Informationen wie möglich, wie sie sich jetzt gegen potenziellen Identitätsdiebstahl und den Missbrauch ihrer Daten auf lange Sicht schützen kann.
  3. Im Idealfall gehe das Unternehmen noch einen Schritt weiter und empfehle vertrauenswürdige Websites, die kostenloses Kredit-Monitoring anbieten, und Dienste, die bei einem Identitätsdiebstahl hilfreiche Maßnahmen zur Wiederherstellung anbieten.
  4. Es sollte eine Art Service-Hotline geben, bei der sie weitere Informationen in Realzeit bekommt. Wenn es ohnehin schon zu einer Datenschutzverletzung gekommen ist, sei dann der beste Zeitpunkt offen und transparent zu kommunizieren – auch den unbequemen Fakt, dass es Zeit kostet, den Vorfall aufzuklären. Das sei im Bereich Cyber-Kriminalität nicht anders als bei der Aufklärung von anderen Straftaten.

Unternehmen sollten erlittenen Vertrauensverlust wiedergutmachen!

„Das sind sehr grundlegende Dinge, die Firmen tun können und tun sollten. Die Erfahrung der letzten Jahre hat aber gezeigt, dass dies längst nicht immer so ist. Ich erinnere mich an einen Fall bei dem ein Unternehmen per E-Mail einen Datenschutzvorfall anzeigte. Ausgerechnet diese E-Mail wirkte alarmierend verdächtig. Nicht nur, dass sie von einer unklaren Subdomain aus verschickt wurde. Nein, die Nutzer wurden zusätzlich aufgefordert auf einen Link zu klicken, der scheinbar lauter Kauderwelsch enthielt“, berichtet Provin.
In der wichtigen Zeit direkt nach einer Datenschutzverletzung sollte sich jedes Unternehmen darauf konzentrieren, den erlittenen Vertrauensverlust bei seinen Kunden wiedergutzumachen. Hier habe man ein Beispiel wie man es nicht machen sollte. Die betreffende E-Mail habe exakt wie die eines Scammers gewirkt, obwohl es sich tatsächlich um eine legitime Nachricht gehandelt habe. „Das Unternehmen hat sich damit wohl eher einen Bärendienst erwiesen“, so Provin.

Richtig kommunizieren, um Loyalität der Kunden zu bewahren!

Datenschutzverletzungen seien inzwischen allgegenwärtig. Deswegen sei es an der Zeit zu erkennen, dass die Anzeigepflicht sich ganz erheblich auf eine Unternehmensmarke auswirke. In turbulenten Zeiten wie diesen hätten Unternehmen es in der Hand, selbst die Voraussetzungen zu schaffen wie sich eine betroffene Marke wieder erholen kann.
Der Schlüssel liege darin, wie eine Firma mit ihren Kunden kommuniziert. „Kommunikation ist einer der wichtigsten Schritte, wenn es darum geht sich die Loyalität seiner Kunden entweder zu bewahren oder sie endgültig zu verspielen“, unterstreicht Provin.

Weitere Informationen zum Thema:

THALES
2018 Thales Data Threat Report – Retail Edition

datensicherheit.de, 16.076.2018
Digitale Assistenten: Verbraucher befürchten Datenmissbrauch

datensicherheit.de, 21.06.2018
Thales Data Threat Report 2018: Europa-Ausgabe vorgestellt

datensicherheit.de, 24.03.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

]]>
https://www.datensicherheit.de/datenschutzverletzung-richtige-kommunikation/feed 0