[datensicherheit.de, 10.07.2018] Die jüngste Erhebung des „Data Security Confidence Index“ (DSCI) weist laut Gemalto spezielle Ergebnisse für Deutschland auf. Demnach geben 37 Prozent aller deutschen Organisationen eine starke Veränderung ihres Firmenalltags durch die DSGVO an – 32 Prozent sehen sich nach dem 25. Mai 2018 nicht als DSGVO-konform an, während 28 Prozent dagegen keinerlei Probleme mit der Umsetzung hatten. Generell seien deutsche Unternehmen zuversichtlicher hinsichtlich ihrer Bereitschaft und ihren Fähigkeiten auf dem Gebiet des Datenschutzes. Die Umfragewerte in den USA, in Frankreich oder Großbritannien beispielsweise seien deutlich schlechter. Allerdings gäben 44 Prozent aller deutschen IT-Entscheider Sicherheitsbedenken als die größte Hürde bei der Adaption von neuer Technologie an.

Datenschutz-Grundverordnung bleibt Herausforderung

Gemalto hat am 10. Juli 2018 die aktuellen Ergebnisse des jährlich erhobenen „Data Security Confidence Index“ (DSCI) bekanntgegeben. Unter anderem gäben zwei Drittel (65 Prozent) der Unternehmen zu, nicht in der Lage zu sein, alle von ihnen gesammelten Daten zu analysieren. Nur die Hälfte (54 Prozent) wisse, wo alle ihre sensiblen Daten gespeichert sind. Diese Ungewissheit werde noch verschärft, da über zwei Drittel der Organisationen (68 Prozent) eingestanden hätten, dass sie nicht alle Verfahren im Einklang mit den Datenschutzgesetzen, wie der Datenschutz-Grundverordnung (DSGVO), durchführten.
Dies sind laut Gemalto nur einige Ergebnisse des fünften „Data Security Confidence Index“, für dessen Erhebung weltweit 1.050 IT-Entscheidungsträger und 10.500 Verbraucher befragt worden seien. Die Untersuchung zeige weltweite Unterschiede in der Fähigkeit der Unternehmen, die von ihnen gesammelten Daten zu analysieren.
Die beste Nutzung der gesammelten Daten sei in Indien (55 Prozent) und Australien (47 Prozent) verzeichnet worden. Obwohl neun von zehn (89 Prozent) global tätigen Organisationen der Aussage zustimmten, dass die Analyse von Daten ihnen einen Wettbewerbsvorsprung verschaffe, könnten nur eins von fünf Benelux- (20 Prozent) und britischen (19 Prozent) Unternehmen diese Einsicht umsetzen.

Ohne Daten-Analyse keine -Wertschätzung und unzureichende -Sicherheit

„Wenn Unternehmen nicht in der Lage sind, alle von ihnen gesammelten Daten zu analysieren, können sie auch nicht deren Wert verstehen – und das bedeutet, dass sie nicht wissen, wie sie die geeigneten Sicherheitskontrollen für diese Daten anwenden können“, betont Jason Hart, „Vice President“ und „CTO für Data Protection“ bei Gemalto.
Hart: „Ungesicherte Daten sind eine wahre Fundgrube für Hacker, ob sie diese nun im ,Dark Web‘ verkaufen, sie manipulieren, um sich finanziell zu bereichern, oder sie rufschädigend verwenden. Um eine Vorstellung von den möglichen Schäden zu bekommen, muss man sich nur die jüngsten Hacks bei der World Anti-Doping Agency und der International Luge Federation ansehen.“ Hinzu komme, dass es Jahre dauern könne, bis Manipulationen entdeckt werden, und da Daten überall, von der Unternehmensstrategie bis hin zur Produktentwicklung, die Informationsgrundlage stellten, dürften ihr Wert und ihre Integrität nicht unterschätzt werden.

Bild: Gemalto

Jason Hart: Unternehmen müssen ihr wertvollstes Gut – ihre Daten – durch Verschlüsselung, Zwei-Faktor-Authentifizierung und Key-Managment schützen!

Vertrauen in Absicherung gegen Datenschutzverletzungen gering

Zur Frage, wie die Datensicherheit gewährleistet wird, sind laut der Gemalto-Umfrage fast die Hälfte (48 Prozent) der IT-Experten der Meinung, dass die Perimeter-Sicherheit wirksam gegen unbefugten Zugriff auf ihre Netzwerke schützt. Die Mehrheit der IT-Experten (68 Prozent) glaube allerdings, dass unbefugte Benutzer sich Zugang zu ihren Netzwerken verschaffen könnten, wobei australische Firmen die Wahrscheinlichkeit am höchsten (84 Prozent) und britische sie am geringsten einschätzten (46 Prozent).
Sind die Angreifer aber erst einmal eingedrungen, zeigten sich nur weniger als die Hälfte der Organisationen (43 Prozent) als extrem zuversichtlich hinsichtlich der Sicherheit ihrer Daten. Die Sicherheitsbedenken seien in britischen Unternehmen am größten: Dort seien nur 24 Prozent bereit, sich diesbezüglich als „extrem zuversichtlich“ zu bezeichnen, während die Rate in Australien mit 65 Prozent am höchsten sei.
Auch wenn bei den Befragten immer noch ein gewisses Vertrauen in ihre Art der Netzwerksicherung bestehe, habe ein Drittel (27 Prozent) eine Verletzung ihrer Perimeter-Sicherheit in den letzten zwölf Monaten berichtetet. Bei den Unternehmen, die irgendwann einen Einbruch erlitten hatten, seien nur zehn Prozent dieser kompromittierten Informationen durch Verschlüsselung geschützt gewesen, die übrigen hätten offen gelegen.

Verbraucher halten Einhaltung der Bestimmungen für entscheidend

Der Umfrage zufolge haben eine zunehmende Sensibilisierung für Datenpannen sowie die Mitteilungen im Umfeld der DSGVO dazu geführt, dass die Mehrheit (90 Prozent) der Verbraucher die Einhaltung der Datenschutzbestimmungen durch Unternehmen für wichtig erachtet. Tatsächlich wisse jetzt über die Hälfte (54 Prozent) der Verbraucher, was Verschlüsselung ist und wie die Verbraucherdaten geschützt werden sollten.
Hart ergänzt: „Es ist an der Zeit, dass Unternehmen ihren Laden in Ordnung bringen. Hier sollten die Verantwortlichen für die Datensicherheit den Anfang machen. Es ist erforderlich, dass eine zentrale Figur, wie beispielsweise ein ,Data Protection Officer‘ – der gemäß DSGVO unter Umständen sogar unentbehrlich ist –, als Board-Mitglied ernannt wird, um Datensicherheit als Grundlage in alle Prozesse zu implementieren. Der nächste Schritt besteht in vermehrten Einsichten und Analysen anhand der gesammelten Daten, damit gewährleistet ist, dass die Daten richtig geschützt und sachkundigere Entscheidungen getroffen werden können. Wir brauchen einen Kurswechsel!“
Unternehmen müssten erkennen, so Hart, dass es „nicht mehr die Frage ist, ob eine Datenschutzverletzung eintritt, sondern wann diese erfolgt“, und ihr wertvollstes Gut – ihre Daten – durch Verschlüsselung, Zwei-Faktor-Authentifizierung und Key-Managment schützen, statt sich nur auf den Perimeter-Schutz zu konzentrieren.

Weitere Informationen zum Thema:

gemalto
Gemalto research reveals businesses collect more data than they can handle

datensicherheit.de, 20.09.2017
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt

datensicherheit.de, 02.10.2017
Kein Einzelfall: US-Börsenaufsicht gibt Informationsdiebstahl durch Hacker zu

Von unserem Gastautor Jason Hart, CTO Data Protection bei Gemalto

[datensicherheit.de, 03.04.2017] Cyberkriminelle sind keine gewalttätigen Raubtäter, sondern handeln rational. Ihr Verhalten basiert auf ökonomischen Abwägungen, oder sie suchen nach dem „leichten Geld“: Geld bedeutet den Zugriff auf die richtigen Informationen und leicht bedeutet eine einfache Methode zur Liquidierung.

Problem der Datensicherheit häufig übersehen

Schnelle Beute in der digitalen Welt sind unzureichend gesicherte Systeme, die zudem noch leicht als angreifbar erkennbar sind und besonders wertvolle Informationen enthalten. Experten vergleichen Daten dabei mit Rohöl, dessen Wert ständig steigt und trotzdem von den Eigentümern unterschätzt wird. Häufig wissen Organisationen gar nicht, wie umfangreich ihre Daten eigentlich sind.

Tiefgreifende Datenanalyse von Big Data gibt umfassende Erkenntnisse und liefert einen großen Mehrwert. Details zu Kundenverhalten können durch Aggregation besser erfasst werden. Beispielsweise signifikante Verhaltensänderungen durch Wetterveränderungen auf den Produktabsatz. Nicht alle Variablen liefern nutzbar Ergebnisse, trotzdem lassen sich durch das Mergen von einzelnen Datensätzen bessere Grundlagen zur Analyse schaffen als durch verstreute Datenpools. Dadurch kann der Wert einzelner Datensätze deutlich steigern, wenn sie mit weiteren Informationen abgeglichen werden.

Bild: Gemalto

Jason Hart, CTO Data Protection bei Gemalto

Im Einzelhandel setzt man bereits häufig auf Forschungseinrichtungen, um über verschiedene Marktsegmente Informationen zu erhalten und diese in Aktionen umzusetzen. Zudem arbeiten Institute daran, ihre Erkenntnisse zu vermarkten. In vielen anderen Branchen sieht man ebenfalls die Vorteile von Echtzeit-Analyse, um Preis und Angebot umgehend an den Bedarf anzupassen.

Oft vernachlässigt bei der Entwicklung ist das Thema Sicherheit und Schutz der wertvollen Informationen. Diese dürfen zwar nicht einfach weiterverkauft werden, aber die richtigen Datensätze versprechen Profit, und daher loten auch Kriminelle ihre Optionen aus: Die illegale Aggregation und Weitergabe von Analysedaten ist lukrativ und sollte unbedingt bedacht werden.

Unternehmen unterschätzen das Risiko

Immer wieder werden Kundendatenbanken Ziel von Cyberattacken. Und genau hier entsteht eine Problematik: Unternehmen und Kriminelle schätzen den Wert von gesammelten Daten unterschiedlich ein. Wenn die Angreifer bereits im Besitz von passenden Informationen sind, kann eine Datenbank mit scheinbar unvollständigen Daten eine Art goldenes Puzzle-Stück sein. Daher steigern sie ihren Aufwand für einen Angriff und Unternehmen unterschätzen das Risiko.

Es liegt an den IT-Abteilungen, Informationen zu schützen, deren wahrer Wert sich erst in der Zukunft herausstellen wird. Daher ist eine Risiko und- Wertanalyse unter Einbezug der zukünftigen Entwicklung ein wichtiger Schritt.

Grundsätzlich lässt sich eine Roadmap zum Schutz von Daten aufstellen, die speziell beim Umgang mit Big Data beachtet werden sollte:

• Analyse der Information
  Zuerst geht es um die Erstellung Ist-Zustandes, allerdings unter Einbezug der zukünftigen Entwicklung und der aktuellen Gefahrenlage. Wo werden Daten verarbeitet und gespeichert? Welche Risiken und Angriffsvektoren entstehen? Unternehmen müssen wissen, was sie beschützen wollen, bevor sie ans Werk gehen.
• Zwei-Faktor-Authentifizierung
  Jede Organisation sollte langfristig auf Zwei-Faktor-Authentifizierung setzen, da Passwörter und andere Zugangsdaten immer leichter entwendet werden können. Durch den Einsatz von Zwei-Faktor-Authentifizierung wird ein zusätzlicher Schutzwall aufgestellt, um unrechtmäßigen Zugriff zu unterbinden.
• Verschlüsselung
  Neben den Zugriffsrechen sollten die Daten selber durch Verschlüsselung geschützt werden. Dadurch sind sensible Informationen gesichert, selbst wenn das Netzwerk kompromittiert wurde. Dieser Schutzschicht lässt sich überall realisieren, egal ob die Daten On-premise, in der Public-Cloud oder einer hybriden Lösung gespeichert werden. Unternehmen müssen immer davon ausgehen, dass sich Kriminelle Zugang zu Netzwerken verschaffen. Daher macht eine entsprechende Strategie für richtige Verschlüsselung Sinn.
• Richtiges Management von Schlüsseln
  Neben einer passenden Strategie müssen auch die Chiffrierungsschlüssel richtig gehandhabt werden. Dazu eignen sich passende Hardwaremodule, sie sichern Schlüssel vor Missbrauch und sind zeitgleich leicht zu verwalten.
• Aus- und Weiterbildung
  Um Vertrauen aufzubauen müssen Unternehmen Mitarbeiter und Kunden entsprechend schulen und sensibilisieren. Datenschutz und Datensicherheit sollten immer unter Berücksichtigung des „Faktor Mensch“ betrachtet werden. Nur wen man mit den eigenen Daten richtig umgeht, versteht man, wie man Daten im Unternehmen nachhaltig schützt. Daher ist die Miteinbeziehung der Belegschaft sehr wichtig.

Weitere Informationen zum Thema:

datensicherheit.de, 19.02.2017
IT-Sicherheit als Grundlage für Erfolg und Fortschritt