Wie zurückgelassene Dateien ehemaliger Mitarbeiter Unternehmen schädigen können.

Von unserem Gastautor Sascha Hempe, Regional Sales Manager, DACH bei Datadobi

[datensicherheit.de, 21.11.2023] Verwaiste Daten, im Englischen „Orphaned Data“, sind Daten, die innerhalb eines Unternehmens keinen Owner haben. Beispielsweise, weil die für die Erstellung und Speicherung der Daten verantwortliche Person das Unternehmen verlassen hat, ohne das Eigentum oder das Wissen über die Daten an eine andere Person oder Abteilung zu übertragen. Solche „verwaiste Daten“ können für Organisationen zahlreiche Probleme darstellen.

Sascha Hempe von Datadobi, Bild: Datadobi

„Es keine Option, die Risiken verwaister Daten einfach zu ignorieren. Wenn man keine Maßnahmen zur effektiven Verwaltung von Daten ergreift, können die Sicherheit, der Ruf und die finanzielle Stabilität des Unternehmens auf dem Spiel stehen.“

Wie  sich Orphaned Data ansammeln

Angestellte in modernen Büroumgebungen produzieren während der Arbeit naturgemäß Daten, wie etwa E-Mails, Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen oder Datenbanken. Je nach Branche und Funktion sind die Menge und die Art der erzeugten Daten unterschiedlich. Die absolute Mehrheit dieser von Menschenhand erzeugten unstrukturierten Daten sind weitgehend harmlos. Der Nutzen dieser Daten für das Unternehmen ist im Allgemeinen jedoch eher gering. Auch harmlos, wenn auch lästig, sind private Daten, die Mitarbeiter auf ihren Geräten und in Folge auf der Speicherinfrastruktur hinterlassen. Speichert ein Mitarbeiter beispielsweise seine Urlaubsfotos auf dem Dienstcomputer, so ist dies auf den ersten Blick kein großes Problem – der Rechner wird nach dem Ende des Arbeitsverhältnisses ohnehin meist neu formatiert. Doch Unternehmen fertigen von allen Daten Backups an, meist nach dem 3-2-1-Prinzip. Das bedeutet, dass die private Urlaubsfotosammlung nicht nur auf dem Rechner des ehemaligen Mitarbeiters gespeichert ist, sondern wahrscheinlich auch auf dem Backupspeicher und dem zweiten Air-Gap- oder Cloud-Backup-Speicher. Und dort können die Daten deutlich schwieriger als nutzlos identifiziert und gelöscht werden.

Neben diesen lästigen und Speicher belegenden harmlosen Daten, gibt es auch Orphaned Data der gefährlichen Art: Denn viele Mitarbeiter, die ihre Geräte auch für private Zwecke nutzen, speichern oft zahlreiche Daten auf ihre Rechner, die dort nicht hingehören. Dazu können urheberrechtlich geschützte Dateien wie Videos, Filme, Serien, Musik, Bilder und Softwares zählen, oder auch Torrents, die zum Download von Dateien genutzt werden. Oft wurden diese Dateien aus irgendeiner Quelle aus dem Internet lokal auf den Rechner heruntergeladen. Solche Daten können hohe Risiken bergen, beispielsweise durch die Verbreitung von Viren und Malware. Oder schlicht, weil sie illegal kopiert wurden und innerhalb der Infrastruktur eines Unternehmens gespeichert sind. Im schlimmsten Fall kann es sich um tatsächliche „illegale Daten“ handeln, deren alleiniger Besitz strafbar ist. Auch können sich auf Rechnern ehemaliger Mitarbeiter sensible oder vertrauliche Informationen befinden, die aus Compliance-Gründen nicht mehr gespeichert werden dürfen.

Doch ob harmlos, mehr oder weniger gefährlich oder gar illegal, alle Arten von Orphaned Data können zahlreiche Risiken bergen:

• Operative Risiken: Orphaned Data können für Unternehmen auf der operativen Ebene eine enorme finanzielle Belastung darstellen. Sie belegen teuren Speicherplatz und müssen aktiv und kontinuierlich verwaltet werden. Sie belasten die IT-Infrastruktur unnötig und mindern dadurch die Systemleistung. Auch führen die unnötigen Daten zu längeren Backup-Intervallen. Die Kosten für die Speicherung und Pflege dieser Daten können sich schnell aufsummieren, insbesondere wenn eine große Menge Mitarbeiter in einer Organisation arbeitet, und diese eine hohe Fluktuation aufweist.
• Sicherheitsrisiken: Wenn verwaiste Daten sensible oder vertrauliche Informationen enthalten, können sie eine Goldgrube für Cyberkriminelle sein. Geraten die Informationen in die falschen Hände, kann dies verheerende Folgen haben, wie Identitätsdiebstahl, Finanzbetrug oder Unternehmensspionage. Auch können von Mitarbeitern illegal heruntergeladene Dateien Malware in die IT-Infrastruktur einschleusen, die nur darauf wartet, aktiviert zu werden.
• Compliance-Risiken: Wenn ein Unternehmen verwaiste Daten nicht ordnungsgemäß verwaltet, können sich diese im Laufe der Zeit ansammeln und zur Nichteinhaltung von Vorschriften wie DSGVO, SOX, HIPAA und FISMA führen. Die Nichteinhaltung von Branchenvorschriften kann für Unternehmen ein Albtraumszenario sein. Die potenziellen rechtlichen und finanziellen Strafen können ruinös sein und zu hohen Geldstrafen, Gerichtsverfahren und sogar zur Schließung des Unternehmens führen.
• Reputationsrisiken: Der Verlust sensibler oder vertraulicher Daten aufgrund von Nachlässigkeiten bei der Datenverwaltung ist für viele Unternehmen ein weiteres Schreckensszenario. Dies könnte ein fataler Schlag für den Ruf des Unternehmens und das Vertrauen der Kunden sein. Der Schaden, der durch einen solchen Vorfall entsteht, kann unermesslich sein, und es kann Jahre dauern, bis man sich von dem Verlust des Vertrauens und der Loyalität der Kunden erholt hat. Ganz zu schweigen von den Kosten, die durch mögliche Klagen und Vergleiche entstehen.

Die Einführung von Richtlinien und Verfahren zur Datenverwaltung

Offenbar belegen verwaiste Daten nicht nur unnütz Speicherplatz, sie können Unternehmen auf zahlreiche Art und Weise schädigen. Es ist für Unternehmen also von großem Interesse, das Problem verwaister Daten dauerhaft zu lösen. Dies bedeutet in der Theorie, bestehende verwaiste Daten entweder wieder einem neuen Owner zuzuordnen oder sie zu löschen, wenn nicht mehr benötigt werden. Was einfach klingt, kann in der Praxis unendlich schwieriger sein. Denn ein Unternehmen, das unbekannte Mengen verwaister Daten hat, hat offenbar keine festgelegten Richtlinien für die Erstellung und Speicherung von Daten – und sehr wahrscheinlich auch keine technische Lösung, um verwaiste Daten zu identifizieren und zu löschen. Um sicherzustellen, dass alle Daten ordnungsgemäß dokumentiert, gespeichert und gepflegt werden, müssen Unternehmen zuerst einmal Richtlinien und Verfahren zur Datenverwaltung einführen. Dies kann die Durchführung regelmäßiger Datenaudits, die Zuweisung klarer Eigentumsrechte und Verantwortlichkeiten für Daten sowie die Festlegung von Richtlinien für die Erstellung und Speicherung von Daten beinhalten.

Herstellerunabhängige Lösungen für die Verwaltung unstrukturierter Daten

Dies gelingt am einfachsten mit einer herstellerunabhängigen Lösung für die Verwaltung unstrukturierter Daten. Die Lösung muss herstellerunabhängig sein, damit sie alle auf zahlreichen unterschiedlichen Datenspeichern abgelegten Daten zugreifen kann. Mitgelieferte proprietäre Lösungen für das Datenmanagement von Speicherherstellern tun sich schwer damit, Daten auf Speichern anderer Hersteller zu verwalten. Darüber hinaus ist die Verwaltung aller unstrukturierter Daten deutlich einfacher, wenn man dies aus nur einer einzigen Lösung und Oberfläche tun kann. Solche Lösungen ermöglichen es, verwaiste Daten zu identifizieren und zu verwalten, indem sie Einblick in unstrukturierte Daten gewährt, die im gesamten Unternehmensbestand gespeichert sind. Durch den Vergleich der Liste der aktuellen Mitarbeiter mit den Daten, die sich auf dem Speicher befinden, können so alle Daten identifiziert werden, die keinen eindeutigen Eigentümer haben. Anschließend können aus der Lösung selbst Maßnahmen ergriffen werden. Dies kann unter anderem das Löschen, die Übertragung des Eigentums oder die Verlagerung in eine geeignetere Umgebung umfassen.

Fazit: Aktives Datenmanagement reduziert das Risiko

Unter dem Strich ist es keine Option, die Risiken verwaister Daten einfach zu ignorieren. Wenn man keine Maßnahmen zur effektiven Verwaltung von Daten ergreift, können die Sicherheit, der Ruf und die finanzielle Stabilität des Unternehmens auf dem Spiel stehen. Um alle Daten ordnungsgemäß zu dokumentieren, zu speichern und zu verwalten, müssen Unternehmen Richtlinien und Verfahren zur Datenverwaltung einführen und diese mit der Nutzung einer geeigneten Lösung für das Management unstrukturierter Daten umsetzen. So wird das Risiko verwaister Daten erheblich reduziert.

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2021
Datenmanagement und Datensicherheit mit Backup & Replication

Besonders drastisches Besipiel bei einem Autohersteller

[datensicherheit.de, 16.11.2023] IT und OT verschmelzen immer mehr, mit dem Effekt, dass auch Produktionsumgebungen direkt von Cyberangriffen betroffen sein können und somit Datensicherheit Relevanz besitzt. Ein besonders drastisches Beispiel ereignete sich im letzten Jahr, als Hacker die gesamte Fertigung von Toyota lahmlegten. Nils Gerhardt, Chief Technology Officer von Utimaco zeigt fünf Grundsätze auf, die Unternehmen beachten sollten, um ihre Produktion bestmöglich abzusichern.

Nils Gerhardt, Chief Technology Officer von Utimaco, Bild: Utimaco

1. Sensible Daten verschlüsseln

Softwarebasierte Daten- und Ordnerverschlüsselung sorgt dafür, dass Kriminelle im Zweifelsfall mit erbeuteten Daten nichts anfangen können. So bleiben Geschäftsgeheimsinne auch dann gewahrt, wenn ein Unternehmen Opfer eines Hackerangriffs geworden sein sollte. Effektive Verschlüsselung mit rollenbasierter Zugriffkontrolle trägt zudem dazu bei, Datenschutzbestimmungen wie die DSGVO zu erfüllen.

Bei der Suche nach einer geeigneten Lösung sollten Industrieunternehmen einige Punkte beachten: Zunächst gilt es zu prüfen, ob ein Anbieter geeignete Nachweise zur Erfüllung lokaler Compliance-Vorschriften liefern kann. Der Verschlüsselungsvorgang sollte zudem so vonstatten gehen, dass er möglichst Transparent abläuft, das heißt, wenig Auswirkungen auf Mitarbeiter hat. Gerade im Produktionsumfeld ist wichtig, dass eine Lösung auf verschiedenen Geräten und Plattformen lauffähig ist. Sie sollte außerdem Daten nicht nur im Ruhezustand, sondern auch in Bewegung schützen und vor allem die Arbeit in der Cloud unterstützen.

2. Schlüssel sicher verwalten

Ein Safe ist nur sicher, solange der zugehörige Schlüssel nicht in falsche Hände gerät. Ähnlich verhält es sich auch im digitalen Raum. Die geschützte Verwahrung kryptografischer Schlüssel ist ein Grundpfeiler jeglicher Datensicherheit. Verlust oder Kompromittierung eines Schlüssels machen Datensicherheitsprotokolle von Unternehmen mit einem Schlag zunichte. Daher muss an dieser Stelle besondere Wachsamkeit gelten. Im besten Fall nutzen Unternehmen zur Erzeugung und Verwaltung der Schlüssel Hardware-Sicherheitsmodule. Gegenüber softwarebasierten Lösungen haben diese den Vorteil, dass sie praktisch nicht aus der Ferne attackiert werden können, da die Schlüssel selbst nie in den Hauptspeicher eines Rechners eingelesen werden.

3. Daten sicher teilen

In Branchen, in denen sich die Fertigungstiefe teilweise auf weit unter 50 Prozent beläuft, ist das Teilen von Daten mit vor- oder nachgelagerten Akteuren innerhalb der Wertschöpfungskette elementar. Leider ist der Datenaustausch oft noch eine Schwachstelle in den Sicherheitsstrategien von Unternehmen. Sie sollten daher darauf achten, dass Lösungen zur Datenverschlüsselung auch die sichere Freigabe ermöglichen – ohne Mitarbeiter oder Partner dabei zu überfordern.

Im Zeitalter des IoT kommt auch dem automatischen Datenaustausch zwischen Geräten eine immer größere Bedeutung zu. Für diesen Fall kann man sich Tokenisierung zunutze machen. Bei diesem Verfahren werden sensible Daten für die Übertragung durch an sich wertlose Tokens ersetzt. Dadurch wird ein Angriff auf Kommunikationskanäle und das Abfangen der dort übertragenen Daten nutzlos.

4. Digitale Kommunikation elektronisch signieren

Einer der wichtigsten Angriffsvektoren ist und bleibt Phishing. Angreifer geben sich dabei mitunter als Angehörige des Unternehmens aus, um so an Zugangsdaten von Mitarbeitern zu gelangen oder diese zu bestimmten Handlungen zu bewegen. In großen Unternehmen und/ oder wenn ein größerer Teil der Belegschaft im Homeoffice arbeitet, kann es durchaus schwerfallen, die Authentizität einer E-Mail zu beurteilen. Elektronische Signaturen können hier ein wirksames Mittel sein, um gegen diese Form des Identitätsdiebstahls vorzugehen.

5. Up to date bleiben

Quantencomputer mögen zunächst nach Science-Fiction klingen, doch die Technologie macht sukzessive Fortschritte und es ist davon auszugehen, dass sie binnen absehbarer Zeit zur praktischen Nutzung gelangt. Ab diesem Zeitpunkt wird es leider auch nicht mehr weit sein, bis sie in die falschen Hände gerät.

Mit der überlegenen Rechenleistung von Quantencomputern könnten böswillige Akteure konventionelle Verschlüsselungen knacken, die bisher als sehr sicher galten. Im Bereich der Industriespionage ist immer auch mit staatlichen Akteuren zu rechnen, denen ganz andere Ressourcen zur Verfügung stehen als profitorientierten Hackergruppierungen. Unternehmen deren Geschäftsmodelle auf geistigem Eigentum gründen, sollten sich daher bereits heute mit dieser drohenden Gefahr befassen. Ihre Sicherheitslösungen sollten „Quantum-ready“ sein, was bedeutet, dass sie bei Bedarf mit neuen, auch gegen Quantenrechner gesicherten Algorithmen aktualisiert werden können.

Weitere Informationen zum Thema:

datensicherheit.de, 17.10.2019
Produktionsstillstand in deutschen Industrieunternehmen

Dirk Pinnow, Herausgeber von datensicherheit.de, plädiert vor Deutschem Expertenrat für Besuchersicherheit zur Übernahme von Verantwortung für virtuelles Vermögen wie bisher für materielle Aktiva

[datensicherheit.de, 21.03.2023] Mit seinem „BERLINER SICHERHEITSGESPRÄCH“ (BeSi) am 20. März 2023 in der AXICA Berlin am Pariser Platz mit dem Titel „1 – 2 – 3 – 4 – 5 – 6 – FAILED – Sicherheit für temporäre IT-Strukturen bei Veranstaltungen“ präsentierte der Deutscher Expertenrat für Besuchersicherheit (DEB) seinen Mitgliedern vor Ort und online ein „Panel-Talk“ zur Datensicherheit. Die Moderation übernahm Olaf Jastrob, 1.Vorsitzender des DEB. Pinnow setzte seinen Impuls mit dem Titel „1 – 2 – 3 – safed & secured…“ unter einen Dreiklang und stellte drei Thesen auf: 1. Datensicherheit geht uns alle an! 2. Datensicherheit ist „Chefsache“! 3. „Datensicherheit“ statt „IT-Sicherheit“!

Foto: DEB

Auf dem BeSi-Podium (v.l.n.r.): Dirk Pinnow, Olaf Jastrob, Andreas Grunszky

Datensicherheit als stets aktuelle Herausforderung für alle IT-Nutzer

Davon ausgehend, dass alle Teilnehmer des Abends regelmäßig E-Mail verwenden, brachte er ein einfaches Beispiel, um die zunehmende Gefahr zu veranschaulichen: Anhand eines realen gefälschten DHL-Posteingangs bei seinen E-Mails zeigte er auf, woran sich solche Fälschungen heute noch zumeist leicht erkennen lassen. Er betonte aber, dass die Fälschungen immer besser werden und insbesondere unter Zeitdruck die Neigung besteht, dann doch auf einen Link oder einen Anhang einer solchen dubiosen E-Mail zu klicken.

„Lassen Sie sich nie unter Termindruck setzen oder von absurd hohen bzw. niedrigen Geldforderungen beeindrucken!“, riet Pinnow. Es sollte stets geprüft werden, ob ein E-Mail-Eingang mit Link und/oder Attachment wirklich plausibel ist. Er gab ferner die Empfehlung, wenn vermeintlich das eigene Kreditinstitut oder Lieferanten/Dienstleister eine dringlich anmutende E-Mail schicken, eben besser nicht über die E-Mail auf die Website zu gehen, sondern das jeweilige Web-Account über den Browser direkt durch Eintippen der URL aufzurufen, sich einzuloggen und dann dort den Posteingang zu prüfen.

Datensicherheit als Vermögensschutz und damit als Chefsache

Anhand des Begriffs „virtuelles Vermögen“ (z.B. Kundenstamm- bzw. Projekt-/Prozessdaten, Schutzmarken, Web-Domains, Lizenzen, Patente, Know-how usw.) erläuterte Pinnow, dass dieses im 21. Jahrhundert oft mehr über den Wert eines Unternehmens und sein Wertschöpfungspotenzials aussagt als die traditionelle Bilanzsumme (z.B. mit Mobiliar, technischer Ausrüstung und Fuhrpark). Vermögensschutz sei nun grundsätzlich „Chefsache!“ – und deshalb gelte es, sich als Entscheider verantwortungsvoll auch dieser immateriellen Werte zu widmen.

In diesem Zusammenhang empfahl er, eine betriebliche Checkliste zu erstellen. Zu dieser gehören etwa eine Daten-Inventur (Erfassung der Datentypen und -mengen), eine Daten-Klassifizierung (Bewertung der Daten nach Nützlichkeit von „existenziell wichtig“ über „nützlich“ und „evtl. potenzialreich“ bis hin zu „entbehrlich“ / „Müll“). Zudem sollten sich alle Entscheider Gedanken über das Daten-Rechtemanagement machen (wer darf wann, wo und wie auf betriebliche Daten zugreifen?). Ferner unterstrich er die Notwendigkeit, eine erprobte Notfall- und Wiederanlaufplanung im Kontext der Datensicherheit vorzuhalten – insbesondere im Zusammenhang mit sogenannten Ransomware-Attacken könnte ein funktionierendes BackUp-System über den Fortbestand der eigenen Existenz entscheiden.

Datensicherheit muss Teil ganzheitlicher betrieblicher Sicherheitskultur sein!

Da „Daten-Müll“ für Gegner und Konkurrenten eine Daten-und Informationsquelle sein könnte und das Blatt Papier A4 (80g/m²) wohl noch lange ein wichtiger Datenträger in den Unternehmen sein wird, sei es wichtig, sich nicht erst um die Sicherheit der Informations- und Kommunikationstechnik Gedanken zu machen, sondern bereits die Daten-Ebene zu sichern und zu schützen. Pinnow erwähnte die „Dreieinigkeit“ der Schutzziele der Datensicherheit: Verfügbarkeit (Soft-/Hard-/Orgware), Integrität (nur berechtigte Veränderung) und Vertraulichkeit (Autorisierung des Zugriffs / Leserechtes).

Abschließend legte er dem Auditorium nahe, nicht allein auf technische und organisatorische Aspekte zu fokussieren, sondern auch den „Faktor Mensch“ gebührend zu beachten: Denn die Abkürzung „IT“ steht leider nicht selten für „Interner Täter“ – dieser kann im Einzelfall kriminell sein, häufiger indes lethargisch / fatalistisch (in „innerer Kündigung“) und manchmal auch übereifrig (s. BYOD-Problematik, d.h, Nutzung privater IT für betriebliche Zwecke). Mit der Datensicherheit sei es wie mit der eigenen Gesundheit – kaum jemand möchte sich dafür anstrengen… Aber so Pinnow: „Datensicherheit ohne eine ganzheitliche betriebliche Sicherheitskultur wäre sinnlos!“

Weitere Informationen zum Thema:

Deutscher Expertenrat Besuchersicherheit auf YouTube, 20.03.2023
1 – 2 – 3 – 4 – 5 – 6 – FAILED – Sicherheit für temporäre IT-Strukturen bei Veranstaltungen (Start bei 3:47)

eco-Vorstand plädiert, nationale Alleingänge zu vermeiden – Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen

[datensicherheit.de, 05.09.2022] Laut einer aktuellen Stellungnahme vom eco – Verband der Internetwirtschaft e.V. fordert eco-Vorstand Prof. Norbert Pohlmann: „Nationale Alleingänge vermeiden. Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen, um Akzeptanz digitaler Identitäten und offenen Wettbewerb zu fördern.“ Eine aktuelle eco-Studie zeigt demnach, dass vielen Menschen verfügbaren digitalen Behördendienste zu kompliziert und zu unsicher sind – Bürger wünschten sich von Behörden mehr Online-Services (60%), besseres Nutzungserlebnis (76%) und Gewährleistungen für die Sicherheit (77%).

Foto: eco e.V.

Prof. Norbert Pohlmann: Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen, um Akzeptanz digitaler Identitäten und offenen Wettbewerb zu fördern!

eco sieht als wichtigen Grund für die Zurückhaltung das ausbaufähige Nutzungserlebnis

Ob zur digitalen Abgabe der Steuererklärung oder zur Online-Anmeldung eines Fahrzeugs: „Wer digitale Behördendienste nutzen möchte, muss sich online einloggen und identifizieren – beispielsweise auf Basis des eID-Verfahrens mit dem neuen elektronischen Personalausweis.“ Doch nur ein Drittel der Menschen in Deutschland nutze überhaupt solche digitalen Behördendienste, so ein Ergebnis der Studie „Security & digitale Identitäten in einer digitalisierten Welt“, von eco 2022 in Zusammenarbeit mit dem Analystenhaus techconsult erstellt.

Ein wichtiger Grund für die Zurückhaltung sei das ausbaufähige Nutzungserlebnis (User Experience), das viele Menschen (76%) mit behördlichen Online-Diensten verbinden würden. Insbesondere die mangelhafte Struktur und Auffindbarkeit der Online-Angebote halte viele zurück. „Mit einem ,funktioniert’ ist es nicht getan“, stellt Professor Pohlmann fest: „Die Menschen erwarten einen vergleichbaren Komfort und die einfache Bedienbarkeit, die sie aus ihren täglich genutzten kommerziellen Anwendungen gewöhnt sind – am Rechner genauso wie auf dem Smartphone.“

Vor allem für ältere Menschen stelle die Bedienbarkeit eine wichtige Anforderung dar. Während beispielsweise in der Altersklasse bis 49 Jahre etwas mehr als zwei Drittel die Bedienbarkeit als wichtigen Faktor erachteten, seien es bei Älteren um die 90 Prozent.

eco warnt: Viele Menschen bezweifeln Sicherheit der eigenen Daten

Ungeklärte Fragen hinsichtlich des Datenschutzes und der Datensicherheit spielten außerdem für 47 Prozent eine große Rolle, die gegen den Einsatz von sogenanntem E-Government-Diensten sprächen. Hierbei seien vor allem ältere Menschen tendenziell deutlich besorgter, als dies bei jüngeren der Fall sei. Für Unsicherheit sorge dabei der aktuelle Wildwuchs digitaler Identitäten: Ein Drittel der Bürger verwalte aktuell mehr als zehn verschiedene Benutzerkonten, um Internetdienste zu nutzen. Jeder Zehnte verfüge sogar über mehr als 20 Benutzerkonten.

Diese durch eine universelle Identität abzulösen, komme für die allermeisten (77%) erst bei Gewährleistung der Sicherheit dieser Identität infrage. „Hochsensible persönliche Daten preiszugeben, ist eine große Hürde für jeden Menschen“, unterstreicht Professor Pohlmann und führt aus: „Wenn diese beispielsweise durch Sicherheitslücken in die falschen Hände oder unberechtigt an die Öffentlichkeit gelangen, führt dies zu massiven Schäden und Vertrauensverlusten.“

Es sei grundsätzlich gut, dass die Bundesregierung das Thema digitale Identitäten in ihrer Digitalstrategie aufgreife und als Priorität benenne. Entsprechende Projekte müssten aber im Zusammenhang mit der geplanten EUid und der Evaluation der eIDAS-Verordnung in Brüssel gedacht werden, um nationale Alleingänge zu vermeiden. „Nutzerfreundlichkeit und offene Standards sollten dabei im Mittelpunkt stehen, um die Akzeptanz digitaler Identitäten und einen offenen Wettbewerb zu fördern“, betont Professor Pohlmann.

Abbildung: eco / techconsult

eco-Studie: Hürden für die Nutzung digitaler Identitäten

Laut eco grundsätzlich hohe Akzeptanz für digitale Behördendienste

Viele digitale Behördendienste würden die Menschen demnach gerne nutzen, wenn sie denn zur Verfügung stünden. Knapp 60 Prozent der Bürger seien mit der Anzahl der verfügbaren Dienste unzufrieden. Ganz oben auf der Wunschliste der Bürger seien die Ausstellung von Ausweisen und Pässen (53%), die An- oder Ummeldung des Wohnsitzes (53%) sowie Dienste zum Ausstellen von allgemeinen Dokumenten wie der Geburtsurkunde (50%) und die Kfz-Zulassung (50%). Aber auch nahezu alle anderen möglichen Dienste würden grundsätzlich hohe Akzeptanz genießen. Beispielsweise seien heute knapp ein Viertel der Bürger Briefwähler und forderten die Wahlunterlagen digital über das Portal ihrer Gemeinde an.

Die Öffentlichen Verwaltungen selbst böten primär Dienste zur Beantragung von staatlichen Leistungen gegenüber Unternehmen und Bürgern an (33%). Dahinter folgten Dienste für die Steuererklärung (25%) sowie die elektronische Ausstellung des Führerscheins (23%), die An- oder Ummeldung des Wohnsitzes (23%) die Anforderung von Wahlunterlagen (23%) und die Ausstellung allgemeiner Dokumente (23%).

Die Verfügbarkeit von Diensten solle in Zukunft noch stark ansteigen. So planten beispielsweise 27 Prozent der Kommunen, welche bisher noch keine digitalen Dienste für Bürger anböten, in Zukunft erste Angebote einzuführen. Hier eigneten sich insbesondere bereits in anderen Kommunen etablierte Dienste wie die Ausstellung von Ausweisen und Pässen oder die digitale An- oder Ummeldung des Wohnsitzes. Diese eco-Studie stehe vollständig zum Download zur Verfügung. Das Analystenhaus techconsult habe im Frühjahr 2022 zur Erstellung rund 300 Bürger, 170 Unternehmen und 40 Öffentliche Verwaltungen befragt.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Security & digitale Identitäten in einer digitalisierten Welt / Potenziale und Hürden bei der Nutzung digitaler Identitäten

Kontrolle des Zugangs zu sensiblen Informationen beste Methode zur Abschwächung der Bedrohungen für Daten

Von unserem Gastautor Thorsten Krüger, Regional Director DACH, CEE, CIS bei Thales

[datensicherheit.de, 16.03.2022] Die tiefgreifende Digitalisierung hat traditionelle Geschäftsmodelle umgestoßen und eine dicht vernetzte Unternehmenslandschaft geschaffen. Die aktuelle Pandemie-Situation hat diese Akzeptanz in den Unternehmen noch weiter beschleunigt. Die heutige Weltwirtschaft basiert auf der Sammlung und dem Austausch von Daten.

Datenzentrierte Bedrohungslandschaft

Unternehmensdaten werden zunehmend außerhalb der traditionellen Grenzen des Unternehmens in verschiedenen Cloud-Plattformen gespeichert und verarbeitet, wodurch sich die Bedrohungslandschaft massiv verändert. Ransomware-Angriffe sind auf dem Vormarsch, oft in Form von Erpressung und der Kompromittierung von IT-Systemen. Das Sicherheitsmodell der geteilten Verantwortung für die Cloud-Sicherheit besagt, dass es in der Verantwortung des Unternehmens liegt, die von den Kunden anvertrauten Daten sowohl vor Cyberbedrohungen als auch vor Missbrauch durch Insider zu schützen.

Foto: Thales

Thorsten Krüger, Regional Director DACH, CEE, CIS bei Thales

Die Unternehmen verlassen sich bei der Bewältigung dieser Herausforderungen auf viele so genannte Patentrezepte, die die Datensicherheit im Endeffekt jedoch nur noch komplexer und kostspieliger gemacht haben.

In der Vergangenheit haben Unternehmen viele Insellösungen zur Datenverschlüsselung eingeführt, die nur bestimmte Arten von Daten, Systemen oder Umgebungen schützen können. Dieser Ansatz führt zu Sicherheitslücken und komplexen Abläufen, die Ineffizienzen und steigenden Kosten mit sich bringen. Die Unternehmen führen in hohen Maße Multi-Cloud-Strategien ein, weshalb es von großer Bedeutung ist, eine einheitliche Lösung für den Schutz der Daten über mehrere Cloud-Umgebungen sowie vor Ort zu haben.

Warum Datensicherheit kompliziert ist

Daten fließen heute überall im Unternehmen und sensible Daten müssen geschützt werden, unabhängig davon, wo sie fließen oder gespeichert sind. Es muss ermittelt werden, wo sich die sensibelsten Daten in den lokalen, Cloud- und virtuellen Umgebungen befinden. Dafür sollte man Dateiserver, Anwendungen, Datenbanken und virtuelle Maschinen nach Daten durchsuchen, die geschützt werden müssen. Unternehmen implementieren bereits Identitäts- und Zugriffsmanagement-Kontrollen (IAM) und Zugriffssicherheitsrichtlinien, um festzulegen, wie Systeme und Daten geschützt werden sollen.

Die enorme Komplexität der Datensicherheit ergibt sich daraus, dass viele Tools diese Zugriffskontrollen und -richtlinien nicht zuverlässig durchsetzen können. Der Verizon 2021 Data Breach Investigation Report hebt hervor, dass die Kontrolle des Zugangs zu sensiblen Informationen die beste Methode ist, um Bedrohungen für Daten abzuschwächen.

Diese Kontrollen umfassen:

• Inventarisierung und Klassifizierung aller Daten
• Verschlüsseln sensibler Daten
• Beschränkung des Zugriffs auf sensible Daten nur durch autorisierte Personen und Systeme

Viele Unternehmen entscheiden sich für Sicherheitstools, die von Cloud-Anbietern entwickelt wurden. Diese Lösungen lassen sich zwar nahtlos in die jeweilige Cloud-Plattform integrieren, bieten aber keine Interoperabilität über mehrere Cloud-Umgebungen hinweg. Infolgedessen haben Unternehmen, die auf Multi-Cloud-Strategien setzen, eine Vielzahl von Datenschutz-Tools im Einsatz, die zu mehr betrieblicher Komplexität, mehr Konfigurationsfehlern und mehr Sicherheitslücken führen.

Fazit: Vereinfachung der Datensicherheit

Eine robuste Identitätsüberprüfung und Zugriffskontrolle auf die Daten, kann verhindern, dass Cyberkriminelle die Identität von Maschinen und Nutzern vortäuschen. Zudem muss sichergestellt werden, dass niemand diese Zugangskontrollen verletzen kann, selbst wenn er physischen Zugang zu den Netzwerken erlangt hat. Um dies zu erreichen, muss die Herangehensweise an die Cybersicherheit grundlegend verändert werden: Die Daten sind als die neue Grenze zu betrachten und sie müssen geschützt werden, sobald sie in das IT-Ökosystem eines Unternehmens gelangen.

Die effektivste Art, Daten zu schützen, besteht darin, sie zu verschlüsseln und nur dann zu entschlüsseln, wenn eine autorisierte Instanz (Person oder Maschine) den Zugriff beantragt hat und ihre Identität einwandfrei verifiziert wurde. Grundsätzlich betrachtet haben Daten zwei Zustände: Sie sind entweder „at Rest“ oder sie werden in ein Netzwerk übertragen. Die Verschlüsselung von Daten, sowohl im Ruhezustand als auch bei der Übertragung, führt dazu, dass die Datensicherheit in der Organisation lückenlos gewährleistet wird. Dies ist von entscheidender Bedeutung.

Weitere Informationen zum Thema:

datensicherheit.de, 11.02.2021
Supply Chain: Angriffe als IT-Security Trend 2021

[datensicherheit.de, 13.02.2022] Alle Jahre wieder rund um den Valentinstag machen sich Singles vermehrt auf die Suche nach einem Seelenverwandten – vermehrt mittels Nutzung von Dating-Apps. Mag es sich das erste Mal noch so aufregend anfühlen, einem bis dato Unbekannten zu schreiben, raten Datensicherheitsexperten indes ganz nüchtern zur Vorsicht. Folgende Frage sollte beantwortet werden können: „Ist die Person, mit der Sie gerade digital anbandeln, wirklich die, für die sie oder er sich ausgibt?“ Anthony Etien von GlobalSign geht in seiner aktuellen Stellungnahme auf diese Problematik ein: „Niemand hört das gern. Trotzdem ist es eine Tatsache, dass der Valentinstag auch für Betrüger weltweit eine der aktivsten Zeiten ist – eine Gelegenheit mit unterschiedlichsten Betrugstechniken Geld zu ergaunern.“ Auf der anderen Seite setzten auch Dating-Apps neue Methoden ein, um die Identität der Benutzer zu schützen.

Doxer bedrohen Datensicherheit – Diebstahl der Identität

Etien berichtet: „Online-Dating-Apps bleiben weiterhin überaus beliebt. In Zeiten der ,COVID-19-Pandemie‘ und der damit einhergehenden ,Lockdowns‘ haben viele Menschen das Internet genutzt, um neue Bekanntschaften zu schließen. Eine Tatsache, die sich Hacker und Betrüger weidlich zunutze gemacht haben.“ Dating-Apps wie „Tinder“, „Meetic“ oder „Bumble“ seien ein Einfallstor für Hacker, mit dem Ziel auf persönliche Daten der Mitglieder zuzugreifen.
Inzwischen sei der Schutz von Benutzerdaten zu einem der Hauptanliegen großer App-Anbieter geworden. Eine Kaspersky-Studie vom Juni 2021 enthülle die Bedrohungen, denen diese ausgesetzt seien, aber auch die Befürchtungen der Nutzer. „Die Zahlen sprechen für sich. So zeigt die Studie beispielsweise, dass in Frankreich 10 Prozent der Nutzer Opfer des sogenannten Doxing geworden sind“, so Etien. Bei dieser Methode werde das Internet nach Informationen über die Identität und das Privatleben eines Menschen durchforstet – und diese Daten dann veröffentlicht, um ihm zu schaden.
Etien warnt: „Die ungeheure Menge an personenbezogenen Daten, die auf solchen Plattformen verfügbar sind, macht es Angreifern extrem leicht. Und so können ,Doxer‘ potenziell auf Namen, Informationen zum Arbeitsplatz, Telefon- und Kreditkartennummer oder sogar die Adresse zugreifen.“

Bei Online-Kommunikation stets Grundregeln der Datensicherheit beachten!

„In der Tat haben Soziale Medien und verschiedene Apps das Dating für uns viel einfacher gemacht“, meint Anna Larkina, Sicherheitsexpertin bei Kaspersky. Man finde vielleicht die Liebe seines Lebens online, aber leider gebe es „Bots“ und Betrüger, die auf Dating-Plattformen nach leichter Beute suchten. Deshalb bleibe es bei der Online-Kommunikation weiterhin wichtig, sich an die Grundregeln des digitalen Datenschutzes zu halten.
Larkina führt aus: „Um sicher online zu daten, empfehle ich, keine personenbezogenen Daten wie Ihre Telefonnummer, Ihren Standort, Ihre Privat- und Büroadresse usw. mitzuteilen. Wenn Sie Bedrohungen in einem so frühen Stadium verhindern, können Sie Online-Dating sorgenfrei genießen.“
Sie rät indes zur Vorsicht: Das größte Risiko für Benutzer dieser Apps sei der sogenannte Liebesbetrug. „Und wir wollen wirklich nicht, dass am Valentinstag Ihre Suche nach der großen Liebe mit der Suche nach Ihrem verlorenen Geld endet.“

Fake-Profile unterlaufen Datensicherheit

Diese Betrugstechnik bestehe darin, ein Opfer über eine Dating-App zu kontaktieren, es zu verführen und es dann um eine, in den meisten Fällen nicht unbeträchtliche Geldsumme, zu erleichtern.  „Normalerweise verbringen solche Betrüger Wochen damit, das Vertrauen ihrer Opfer zu gewinnen, sie mit erfundenen Geschichten darüber, wer sie sind und wie sie leben, zu füttern. Anfangs bringen sie das Thema Geld überhaupt nicht zur Sprache. Schließlich soll das Opfer annehmen, dass die neue Liebe echt ist“, berichtet Detective Superintendent Matt Bradford von der City of London Police.
Diese Betrugsform sei zweifelsohne ein globales Phänomen. Letztes Jahr habe das FBI enthüllt, dass es sich dabei um die zweitlukrativste Art von Cyber-Kriminalität handele, die im Jahr 2020 überhaupt gemeldet wurde – mit einem entstandenen Schaden in Höhe von 600 Millionen US-Dollar. Liebesbetrüger schreckten dabei vor nichts zurück und würden ihre Opfer unter dem Vorwand, Hilfe zu benötigen, um finanzielle Unterstützung, Hilfe beim Bitcoin-Betrug oder sogar die Übernahme medizinischer Kosten bitten. Um ihre Nutzer so gut wie möglich zu schützen, hätten die Anbieter hinter den Dating-Apps, wie etwa die Website „Meetic.fr“, Leitfäden zur Online-Sicherheit in ihre Vertrauens-Charta aufgenommen. Diese rieten den Nutzern ausdrücklich zur Vorsicht und würden empfehlen, niemals Geld zu überweisen, finanzielle Informationen zurückzuhalten und insbesondere bei Fernbeziehungen umsichtig zu sein.
Doch damit sei das Problem der „Fake-Profile“ noch nicht gelöst. Mittlerweile sei es sattsam bekannt, „dass Dating-Sites voll von solchen Profilen sind“. Fake-Profile werden demnach aus den Fotos und Profilen anderer Personen erstellt – mit dem Ziel, Opfer anzulocken und ihnen immer größere Geldsummen abzupressen. Diese gefälschten Profile seien für Dating-Giganten das größte Ärgernis. Doch derzeit setzten die meisten Dating-Sites noch keine ausreichenden Authentifizierungssysteme ein, um sicherzustellen, dass ein Profil auch wirklich das Eigentum derjenigen Person ist, die es verwendet. „Tinder“ sei hierbei eine Ausnahme und habe möglicherweise die Lösung für dieses Problem gefunden.

Option biometrischer Gesichtserkennung für mehr Datensicherheit

Im Kampf gegen sogenannte Fake-Profile habe „Tinder“ beschlossen, die Sache selbst in die Hand zu nehmen. „Seit einigen Monaten verifiziert die App Ihr Profil, indem Selfies mit den Fotos in Ihrem Account abgeglichen werden. Stimmen die Fotos überein, erhält Ihr Profil als Nachweis der Verifizierung ein blaues Häkchen. Dies bietet zusätzliche Sicherheit, wenn Sie mit Fremden Kontakt aufnehmen.“ Dies ermögliche die biometrische Authentifizierung. Sie verifiziere die Identität einer Person, „indem Gesicht und Kopf vermessen werden.“
Auf der Unternehmenswebsite erkläre „Tinder“, „dass der Verifizierungsprozess in zwei Schritten erfolgt: der Posenüberprüfung und der Gesichtsüberprüfung“. Durch das Sammeln dieser Informationen könne die Künstliche Intelligenz feststellen, „ob Ihr Selfie mit Ihrem Profil übereinstimmt“. Diese Informationen würden in einer „Vorlage“ zusammengestellt, „die mit der aus Ihren Profilfotos erstellten Vorlage verglichen wird“. Stimmen diese überein, gelte das Profil als verifiziert.
Biometrische Technologien hielten langsam Einzug in unseren Alltag. Dies sei natürlich keine neue Entwicklung – die biometrische Authentifizierung werde bereits von elf europäischen Ländern (Frankreich, Österreich, Finnland, Deutschland, Ungarn, Griechenland, Italien, Lettland, Litauen, Slowenien und den Niederlanden) verwendet. „Die Niederlande bestehen dabei auf dem Einsatz dieser Technologie für gerichtliche Zwecke.“ Zusätzlich zu Dating-Apps und Sicherheitsdiensten verwendeten viele „iPhone“-Besitzer jetzt die biometrische Authentifizierung, um ihre Telefone zu entsperren, die Sicherheitskontrollen am Flughafen zu passieren und online auf Behördendienste zuzugreifen. Etiens abschließender Kommentar: „Somit überrascht es nicht, dass diese Technologie nun auch für Dating-Portale und Apps genutzt wird.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2021
Dating-App: Sicherheitslücken für Nutzer ein Risiko

statista
Most popular dating apps in the United States as of April 2021, by number of monthly downloads

kaspersky, 29.06.2021
Dating apps in 2021: technically safer but threats of stalking and doxing still loom

kaspersky
What is Doxing – Definition and Explanation

kaspersky, 19.07.2021
One in six users has been doxed while dating online

INSIDE THE FBI, 12.02.2021
Romance Scams / Protect Your Heart and Your Bank Account

meetic.fr
Charte de confiance

MUO, Emma Garofalo, 20.01.2022
4 Red Flags That Your Tinder Match Might Be Fake

tinder
What is Photo Verification?

tinder
How does Photo Verification work?

GlobalSign Blog, Petteri Ihalainen, 15.08.2016
What is Biometric Authentication?

EURACTIV, Luca Bertuzzi, 26.10.2021
Facial recognition technologies already used in 11 EU countries and counting, report says

NEC, 07.07.2020
The Top 9 Common Uses of Biometrics in Everyday Life

Datensicherheit ganzheitlich denken – Pure Storage erwartet wachsenden Bedarf an Lösungen für schnelle Datenwiederherstellung nach Attacken

[datensicherheit.de, 16.12.2021] „Die aktuellen, alarmierenden Meldungen in Sachen Cyber-Sicherheit sowie bisher unbekannter Sicherheitslücken und Schwachstellen werfen nicht nur ein Schlaglicht auf das Thema IT-Sicherheit – sondern werfen auch Fragen auf, wie Unternehmen nach einem Angriff schnell wieder auf die Beine kommen.“ In den vergangenen Monaten seien zahlreiche Fälle bekanntgeworden, „in denen Unternehmen mehrere Wochen benötigten, um ihrer Daten wirklich wieder Herr zu werden“. Markus Grau, „Principal Technology Strategist“ im „EMEA CTO Office“ bei Pure Storage, warnt in seinem aktuellen Kommentar, dass Cyber-Angriffe auf Unternehmen und sich Störungen der Lieferketten fortsetzen werden.

Foto: Pure Storage

Markus Grau: Wir erwarten weitere Störungen der Supply Chains durch Cyber-Kriminelle!

Zuverlässige, robuste Datensicherheitsstrategie für Unternehmen!

„Angesichts von geforderten Lösegeldern, die oft in die Millionen gehen, ist es kaum verwunderlich, dass die Ransomware-Angriffe weiter zunehmen“, so Grau. Den meisten Unternehmen sei klar, „dass Angriffe unvermeidlich sind“.
Bei der Vorbereitung auf diese Angriffe sollte es jedoch nicht nur um Prävention gehen. Unternehmen sollten sicherstellen, dass sie über eine zuverlässige, robuste Datensicherheitsstrategie verfügen. Im Jahr 2022 werde sich der Fokus der Unternehmensführungen auf die Wiederherstellung von Daten und Anwendungen nach Ransomware-Angriffen richten.

Angriffe auf die Datensicherheit der Unternehmen aus allen möglichen Richtungen

Wir lebten heute in einer Welt, in der Cyber-Kriminelle Unternehmen aus allen möglichen Richtungen angriffen und infiltrierten. Sie setzten dabei eine erschreckend breite Palette von Techniken ein. Die Angreifer würden immer kreativer und richteten mit ihren Angriffen immer größeren Schaden an.
Grau: „Für das nächste Jahr erwarten wir, dass Hacker es auf die Daten mit dem größten Wert für das jeweilige Unternehmen abgesehen haben. Natürlich sind nicht alle Daten gleichwertig – das wissen die Kriminellen.“

Warnung vor strategischen Angriffen auf das gesamte Unternehmen und dessen Datensicherheit

Die Störungen der Lieferketten werden sich laut Grau zudem fortsetzen: „Wir erwarten weitere Störungen der ,Supply Chains‘ durch Cyber-Kriminelle.“ Dies werde sowohl durch Angriffe auf Software als auch durch strategische Angriffe auf das gesamte Unternehmen – und nicht nur auf Daten – geschehen.
Abschließend warnt Grau: „Ziel ist es, die gesamte IT-Management-Umgebung zu kompromittieren oder ein Unternehmen zu zwingen, den Geschäftsbetrieb einzustellen, um somit erheblichen Schaden zu verursachen.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.11.2021
Aus aktuellem Anlass: 7 Tipps zu Ransomware-Angriffen für Unternehmen / Michael Scheffler gibt Betrieben Tipps, wie ein Ransomware-Angriff abgewehrt bzw. dessen Auswirkungen reduziert werden können

datensicherheit.de, 28.09.2021
Ransomware: 5 Tipps für Unternehmen, um sich zu schützen / Tanja Hofmann gibt fünf aktuelle Tipps, wie Organisationen ihre IT-Sicherheit verbessern können

[datensicherheit.de, 03.11.2021] Offensichtlich können es unzureichende Richtlinien zur Einhaltung von Datensicherheit Ransomware-Angreifern erleichtern, Daten von Unternehmen als Druckmittel zu benutzen – einige Angreifer gehen inzwischen zu erpresserischen Taktiken über: Anstatt Dateien einfach nur zu verschlüsseln, drohen sie damit, die Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. So bringen sie das geschädigte Unternehmen in eine Lage, in der Geldbußen sowie eine Rufschädigung seiner Marke drohen. Pure Storage betont in einer aktuellen Stellungnahme: „Aus diesem und vielen anderen Gründen sind die Einhaltung von Vorschriften und die Informationssicherheit eng miteinander verwoben.“ Die Einhaltung von Datenschutz-Bestimmungen werde damit zu einer noch wichtigeren Säule jeder Sicherheitsstrategie. Die nachfolgende kurze Liste von Pure Storage zeigt demnach „Best Practices“, also bewährte Maßnahmen auf, welche Unternehmen helfen sollen, die Vorschriften einzuhalten und Ransomware-Kriminellen aus dem Weg zu gehen.

1. Tipp: Erstellen eines Compliance-Frameworks

„Ein Rahmenwerk für die Sicherheit oder die Reaktion auf Vorfälle erklärt, wie man Vorfälle erkennt, darauf reagiert und sich davon erholt.“ In ähnlicher Weise biete ein Compliance-Framework eine Struktur für alle „Compliance“-Vorschriften, welche sich auf ein Unternehmen beziehen, „z.B. wie interne Compliance- und Datenschutzkontrollen zu bewerten sind“. Ein solches Rahmenwerk helfe auch bei der Identifizierung von Daten, z.B. von personenbezogenen oder sensiblen Daten, welche strengere Sicherheitsprotokolle erforderten.

2. Tipp: Definieren von Richtlinien darüber, welche Daten gesammelt werden und warum

Dieser Schritt sei Teil der Erstellung eines Rahmenwerks. Es gebe viele Gründe, „das Was und das Warum der Datenerfassung zu dokumentieren“. Die Aufsichtsbehörden könnten verlangen, dass solche Richtlinien festgelegt werden – „wenn die Daten von Verbrauchern stammen, können sogar noch strengere Anforderungen an die Beschreibung der Erfassungsrichtlinien gestellt werden (siehe Nr. 4)“.

3. Tipp: Erstellen von Datenschutzrichtlinien

„Information der Kunden darüber, welche Daten gesammelt werden, wofür sie verwendet werden und wie und wie lange sie gespeichert werden.“ Kunden sollten auch drüber informiert werden, wie sie Zugang zu ihren persönlichen Daten erhalten oder „vergessen“ werden können, „d.h. wie ihre Daten aus den Systemen entfernt werden“.

4. Tipp: Verstärken des Engagements für die Offenlegung

„Öffentlich zugängliche Datenschutzrichtlinien weitergeben, diese veröffentlichen und pflegen.“

5. Tipp: Auf dem Laufenden über die neuesten gesetzlichen Bestimmungen, die sich auf die „Compliance“ auswirken, bleiben

Ein „Privacy by Design“-Betriebsmodell könne helfen, mit den sich ständig ändernden Vorschriften Schritt zu halten und sich an sie anzupassen. „Das bedeutet, dass Sie den Datenschutz in die Entwicklung und den Betrieb von IT-Systemen, Infrastrukturen und Geschäftspraktiken einbeziehen, anstatt zu versuchen, ihn nachträglich einzubauen.“

6. Tipp: Richtlinien zur Aufbewahrung und Löschung von Daten festlegen

Dieser Schritt sei von entscheidender Bedeutung. „Aufbewahrungszeitpläne legen fest, wie lange Daten auf einem System gespeichert werden, bevor sie gelöscht werden, und die Zeitpläne können je nach Branche variieren.“ Ein regelkonformes, ausgereiftes und sicheres Unternehmen zeichne sich dadurch aus, dass es solide Richtlinien für die Datenaufbewahrung und -löschung entwickele, die ständig überprüft würden.

7. Tipp: Ein Datenverschlüsselungsprotokoll wählen

„Festlegen, welche Art von Datenverschlüsselung eingesetzt werden soll und wo – vor Ort, in der ,Cloud‘ etc.“ Je nachdem, wo die Daten gespeichert sind, könnten die Entscheidungen unterschiedlich ausfallen.

8. Tipp: Mit dem CISO über Netzwerkkontrollen sprechen

Da „Compliance“ eng mit Sicherheit zusammenhänge, sollten Unternehmen ihren CISO in Gespräche über die Konfiguration von Netzwerkgeräten, die Zugriffskontrolle mit minimalen Rechten, die Ereignisprotokollierung und die mehrstufige Authentifizierung miteinbeziehen.

9. Tipp: Anonymisierung sensibler Daten

Falls erforderlich, sollten Daten anonymisiert werden, um persönliche Identifizierungsdaten durch Maskierung, Tokenisierung, Hashing oder Anonymisierung zu entfernen.

10. Tipp: Dokumentieren, wie alle von einer Sicherheitsverletzung betroffenen Parteien benachrichtigen werden

Entsprechend der DSGVO seien solche Benachrichtigungen obligatorisch – „und Unternehmen möchten auf jeden Fall, dass der Benachrichtigungsprozess reibungslos abläuft“. Es gelte festzulegen, „wer für die Benachrichtigung verantwortlich ist, wie man das Problem löst und was man tun, um weitere Vorfälle zu verhindern“.

Fazit zu den Tipps von Pure Storage

Die Nutzung von Daten sei mit immensen Möglichkeiten verbunden, aber auch mit Verantwortung: „Unternehmen, die an die Weisheit ,Daten sind das neue Öl‘ glauben, müssen auch die ,Compliance‘ berücksichtigen, denn anderenfalls gehören die Daten vielleicht nicht mehr lange dem Unternehmen.“

Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken

[datensicherheit.de, 10.08.2021] Nach eigenen Angaben von Varonis Systems ist der Umsatz auch im zweiten Quartal 2021 deutlich gesteigert worden – einer der Treiber sei dabei Ransomware, welche jedoch nur stellvertretend und ein prominentes Beispiel für die Bedrohung der Datensicherheit insgesamt sei.

Foto: Varonis Systems

Michael Scheffler: Varonis erkennt Datenexfiltrationen, welche bei Double Extortion Ransomware einer Verschlüsselung vorausgehen

Varonis überwacht lokale sowie Cloud-Datenspeicher und identifiziert auffälliges Verhalten sofort

„Seit unserer Gründung weisen wir darauf hin, dass der Schutz des Perimeters und der Endpunkte wichtig, aber unzureichend ist. Perimeter sind schwer zu definieren und noch schwieriger zu überwachen. Endpunkte sind austauschbar und verlieren an Bedeutung, insbesondere da nur noch sehr wenige Daten auf diesen Geräten gespeichert werden“, erläutert Michael Scheffler, „Country Manager DACH“ bei Varonis Systems, und positioniert sich: „Wenn Angreifer den Perimeter überwinden, beispielsweise durch einen Phishing-Angriff, sind wir im Gegensatz zu den meisten anderen Lösungen in der Lage, die Daten unserer Kunden vor Ransomware, Exfiltration und anderen Attacken zu schützen.“
Varonis überwache die lokalen und „Cloud“-Datenspeicher und identifiziere auffälliges Verhalten sofort. Die Software sei in der Lage, die gesamte Verschlüsselung zu stoppen, und erkenne, welche kritischen Daten wiederherstellt werden müssten. Ebenso erkenne Varonis Datenexfiltrationen, welche bei der „Double Extortion“-Ransomware einer Verschlüsselung vorausgingen, und könne Angriffe so schon frühzeitig identifizieren und Gegenmaßnahmen einleiten.

Ransomware zeigt laut Varonis sehr gut die generelle Problematik der Datensicherheit auf

Scheffler führt aus: „Ransomware zeigt sehr gut die generelle Problematik der Datensicherheit: Daten müssen dort geschützt werden, wo sie sind. Ich muss in der Lage sein, bei abnormalem Verhalten Alarm zu schlagen, dann vollständig zu verstehen, was passiert ist, der Ursache auf den Grund zu gehen, eine sehr effektive Forensik durchzuführen und sehr schnell zu einer Lösung zu kommen.“ Dabei sei es auch von größter Wichtigkeit, alle Plattformen einzubeziehen und einen Kontext herzustellen, „um präzise erkennen zu können, was passiert und aus welcher Richtung ein Angriff erfolgt“.
Im Grunde gehe es bei der Datensicherheit nur um drei einfache Fragen: „Wissen wir, wo unsere wichtigen Daten gespeichert sind? Haben nur die richtigen Personen Zugang zu den Daten? Und ist gewährleistet, dass die Daten korrekt verwendet werden?“ Könne man alle drei mit „ja“ beantworten, seien die Daten sicher. „Ist die Antwort auf nur eine der Fragen ein ‚Nein‘, hat man ein Problem“, betont Scheffler.

Varonis stellt nach eigenem Bekunden die wertvollen Unternehmensdaten ins Zentrum der Sicherheitsstrategie

„Wenn wir unseren Kunden zeigen, dass sie durch die Integration von Wichtigkeit, Zugriff und Nutzung von Daten endlich ein ganzheitliches Verständnis und eine deutliche Risikoreduzierung erreichen können, die mit nur einer dieser Dimensionen nicht umzusetzen ist, wird die Einzigartigkeit unserer Lösung deutlich. Damit Daten sicher sind, müssen Sie alle drei Fragen jederzeit mit ‚ja‘ beantworten können. Das ist der Grund, warum unsere Plattform und die zugrunde liegende Technologie einen so dauerhaften Wettbewerbsvorteil bieten und warum wir glauben, dass wir einen Vorsprung von 15 Jahren haben“, so Scheffler.
Varonis stelle die wertvollen Unternehmensdaten ins Zentrum der Sicherheitsstrategie und dabei in einen Kontext – „wo sie gespeichert sind, was sie enthalten, wer darauf zugreifen kann und woher“. Automatisierung und Maschinelles Lernen verbinden demnach diese Punkte, um Visualisierungen von Risiken und Profilen einer normalen Nutzung zu erstellen. Auf diese Weise erkenne Varonis Bedrohungen und behebe automatisch den Schaden, „den ein einzelner kompromittierter Benutzer oder ein kompromittiertes System anrichten kann (Explosionsradius)“.

Weitere Informationen zum Thema:

VARONIS
Ransomware

datensicherheit.de, 10.08.2021
Neue Ransomware-Studie von Palo Alto Networks / Durchschnittliche Ransomware-Lösegeldforderung auf 5,3 Millionen US-Dollar im ersten Halbjahr 2021 gestiegen

datensicherheit.de, 26.07.2021
Ransomware-Attacken: Lehren aus dem Vorfall bei Colonial Pipeline / Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen – Ransomware-Angriffe zumeist opportunistisch

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene

datensicherheit.de, 09.07.2021
Ransomware-Attacken: Was wir heute von gestern für morgen lernen können / Ed Williams kommentiert aktuelle Hacker-Angriffe mit Ransomware, zeigt Trends auf und gibt Tipps

Gesellschaft für Informatik erörtert u.a. faires Forschungsdatenmanagement

[datensicherheit.de, 29.07.2021] Die Gesellschaft für Informatik e.V. (GI) lädt zu einer neuen Veranstaltungsreihe, der „Forschungsdaten-Soiree“ ein – in der ersten Auflage geht es demnach um „Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit“ Nachgegangen werden soll folgenden Fragen: „Was bedeutet FAIRes Forschungsdatenmanagement für die Informatik? Mit welchen Herausforderungen sehen sich Wissenschaftler/innen im Forschungsalltag konfrontiert? Welche Lösungsansätze wurden in einzelnen Sub-Disziplinen erarbeitet? Wie kann der Transfer dieser ,Best Practices‘ in andere Sub-Disziplinen gelingen?“

GI möchte Austausch zum Forschungsdatenmanagement in der Informatik befördern

Mit diesem neuen Veranstaltungsformat möchte die GI nach eigenen Angaben „den Austausch zum Forschungsdatenmanagement (FDM) in der Informatik befördern“ und lädt daher alle Interessierten ein, sich aktiv daran zu beteiligen.
In kurzen Impulsvorträgen sollen einzelne Sub-Disziplinen der Informatik ihre Forschungsdaten sowie ihre spezifischen Herausforderungen und Lösungsansätze im FDM vorstellen.
Neben der Darstellung unterschiedlicher Forschungsdaten der Informatik werde jede Veranstaltung zudem einem FDM-Thema gewidmet sein, „das disziplinübergreifend relevant ist und ebenfalls in kurzen Impulsvorträgen präsentiert wird“.

Es soll ein niedrigschwelliger Austausch zum Forschungsdatenmanagement in der Informatik ermöglicht werden

„Vom Spezifischen kommen wir so ins Allgemeine und öffnen die Diskussion im Anschluss für alle Teilnehmenden. Dadurch soll ein niedrigschwelliger Austausch zum Forschungsdatenmanagement in der Informatik ermöglicht werden.“

Abbildung: Gesellschaft für Informatik e.V.

Forschungsdaten-Soiree #1: Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit
19.08.2021, 17.00–18.30 Uhr
Interaktive Diskussions-Veranstaltung über „Zoom“ – Anmeldung erforderlich

In dieser Auftaktveranstaltung werde man sich den Forschungsdaten widmen, welche beim Hochleistungsrechnen (HPC) entstehen, und über Datensicherheit im Forschungsdatenmanagement diskutieren. Kurze Inputvorträge von Prof. Dr.-Ing. André Brinkmann (Johannes Gutenberg-Universität Mainz), Prof. Dr. Martin Schulz (TU München) und Prof. Dr. Hannes Federrath (Universität Hamburg) bilden laut GI die Grundlage für die anschließende Diskussion.

Weitere Informationen zum Thema:

NFDI CS
Abendveranstaltung / Forschungsdaten-Soiree #1: Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit

NFDI CS
Anmeldung zur Veranstaltung „Forschungsdaten-Soiree #1: Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit“ am 19.08.2021, 17:00 – 18:30 Uhr