Von unserem Gastautor Thorsten Krüger, Regional Director DACH, CEE, CIS bei Thales

[datensicherheit.de, 16.03.2022] Die tiefgreifende Digitalisierung hat traditionelle Geschäftsmodelle umgestoßen und eine dicht vernetzte Unternehmenslandschaft geschaffen. Die aktuelle Pandemie-Situation hat diese Akzeptanz in den Unternehmen noch weiter beschleunigt. Die heutige Weltwirtschaft basiert auf der Sammlung und dem Austausch von Daten.

Datenzentrierte Bedrohungslandschaft

Unternehmensdaten werden zunehmend außerhalb der traditionellen Grenzen des Unternehmens in verschiedenen Cloud-Plattformen gespeichert und verarbeitet, wodurch sich die Bedrohungslandschaft massiv verändert. Ransomware-Angriffe sind auf dem Vormarsch, oft in Form von Erpressung und der Kompromittierung von IT-Systemen. Das Sicherheitsmodell der geteilten Verantwortung für die Cloud-Sicherheit besagt, dass es in der Verantwortung des Unternehmens liegt, die von den Kunden anvertrauten Daten sowohl vor Cyberbedrohungen als auch vor Missbrauch durch Insider zu schützen.

Foto: Thales

Thorsten Krüger, Regional Director DACH, CEE, CIS bei Thales

Die Unternehmen verlassen sich bei der Bewältigung dieser Herausforderungen auf viele so genannte Patentrezepte, die die Datensicherheit im Endeffekt jedoch nur noch komplexer und kostspieliger gemacht haben.

In der Vergangenheit haben Unternehmen viele Insellösungen zur Datenverschlüsselung eingeführt, die nur bestimmte Arten von Daten, Systemen oder Umgebungen schützen können. Dieser Ansatz führt zu Sicherheitslücken und komplexen Abläufen, die Ineffizienzen und steigenden Kosten mit sich bringen. Die Unternehmen führen in hohen Maße Multi-Cloud-Strategien ein, weshalb es von großer Bedeutung ist, eine einheitliche Lösung für den Schutz der Daten über mehrere Cloud-Umgebungen sowie vor Ort zu haben.

Warum Datensicherheit kompliziert ist

Daten fließen heute überall im Unternehmen und sensible Daten müssen geschützt werden, unabhängig davon, wo sie fließen oder gespeichert sind. Es muss ermittelt werden, wo sich die sensibelsten Daten in den lokalen, Cloud- und virtuellen Umgebungen befinden. Dafür sollte man Dateiserver, Anwendungen, Datenbanken und virtuelle Maschinen nach Daten durchsuchen, die geschützt werden müssen. Unternehmen implementieren bereits Identitäts- und Zugriffsmanagement-Kontrollen (IAM) und Zugriffssicherheitsrichtlinien, um festzulegen, wie Systeme und Daten geschützt werden sollen.

Die enorme Komplexität der Datensicherheit ergibt sich daraus, dass viele Tools diese Zugriffskontrollen und -richtlinien nicht zuverlässig durchsetzen können. Der Verizon 2021 Data Breach Investigation Report hebt hervor, dass die Kontrolle des Zugangs zu sensiblen Informationen die beste Methode ist, um Bedrohungen für Daten abzuschwächen.

Diese Kontrollen umfassen:

• Inventarisierung und Klassifizierung aller Daten
• Verschlüsseln sensibler Daten
• Beschränkung des Zugriffs auf sensible Daten nur durch autorisierte Personen und Systeme

Viele Unternehmen entscheiden sich für Sicherheitstools, die von Cloud-Anbietern entwickelt wurden. Diese Lösungen lassen sich zwar nahtlos in die jeweilige Cloud-Plattform integrieren, bieten aber keine Interoperabilität über mehrere Cloud-Umgebungen hinweg. Infolgedessen haben Unternehmen, die auf Multi-Cloud-Strategien setzen, eine Vielzahl von Datenschutz-Tools im Einsatz, die zu mehr betrieblicher Komplexität, mehr Konfigurationsfehlern und mehr Sicherheitslücken führen.

Fazit: Vereinfachung der Datensicherheit

Eine robuste Identitätsüberprüfung und Zugriffskontrolle auf die Daten, kann verhindern, dass Cyberkriminelle die Identität von Maschinen und Nutzern vortäuschen. Zudem muss sichergestellt werden, dass niemand diese Zugangskontrollen verletzen kann, selbst wenn er physischen Zugang zu den Netzwerken erlangt hat. Um dies zu erreichen, muss die Herangehensweise an die Cybersicherheit grundlegend verändert werden: Die Daten sind als die neue Grenze zu betrachten und sie müssen geschützt werden, sobald sie in das IT-Ökosystem eines Unternehmens gelangen.

Die effektivste Art, Daten zu schützen, besteht darin, sie zu verschlüsseln und nur dann zu entschlüsseln, wenn eine autorisierte Instanz (Person oder Maschine) den Zugriff beantragt hat und ihre Identität einwandfrei verifiziert wurde. Grundsätzlich betrachtet haben Daten zwei Zustände: Sie sind entweder „at Rest“ oder sie werden in ein Netzwerk übertragen. Die Verschlüsselung von Daten, sowohl im Ruhezustand als auch bei der Übertragung, führt dazu, dass die Datensicherheit in der Organisation lückenlos gewährleistet wird. Dies ist von entscheidender Bedeutung.

Weitere Informationen zum Thema:

datensicherheit.de, 11.02.2021
Supply Chain: Angriffe als IT-Security Trend 2021

Ein Beitrag von unserem Gastautor Jürgen Venhorst, Country Manager DACH bei Netwrix

[datensicherheit.de, 18.05.2020] Laut Gartner werden bis 2022 mindestens 95 Prozent der Cloud-Sicherheitsprobleme vom Kunden verschuldet. Auch wenn Cloud-Anbieter wie Microsoft jetzt zusätzliche Sicherheitsdienste anbieten (zum Beispiel das Microsoft 365 Security Center), brauchen Unternehmen zum Schutz ihrer Daten und Dienste auch eigene Kontrollen.

Warum? Viele unterschiedliche Cloud-Benutzertypen, darunter IT-Teams, Manager und Auftragnehmer, gefährden Unternehmensdaten. Der Netwrix Cloud Data Security Report 2019 stellte jedoch fest, dass die größte Bedrohung in der Cloud von gewöhnlichen Geschäftsanwendern ausgeht. Tatsächlich geben 43 Prozent der Unternehmen an, dass ihre Geschäftsanwender für Sicherheitsvorfälle in der Cloud verantwortlich seien. Das sind zehn Prozent mehr als vor einem Jahr. Um das Risiko eines Vorfalls zu verringern, müssen Unternehmen daher zusätzliche Kontrollen implementieren.

Was genau sind die mit Geschäftsanwendern verbundenen Hauptrisiken und wie können Unternehmen diese Risiken mindern?

Jürgen Venhorst, Country Manager DACH bei Netwrix, Bild: Netwrix

Gründe für die Anfälligkeit von Unternehmen

Einer der Hauptvorteile der Cloud besteht darin, dass Geschäftsanwender jederzeit und von nahezu jedem Ort aus einfacher auf Daten zugreifen können. Leider verstehen nicht alle Geschäftsanwender ihre Verantwortung im Zusammenhang mit der Datensicherheit, und viele Unternehmen bieten kein Cybersicherheitstraining an, um das Sicherheitsbewusstsein zu verbessern. Infolgedessen machen Benutzer vermutlich Fehler, die zu Sicherheitsvorfällen führen können

Tatsächlich ergab die Umfrage von 2019, dass die häufigste Ursache für Sicherheitsvorfälle in der Cloud Versehen waren – bei 45 Prozent der Befragten traten Vorfälle aufgrund von Fehlern auf, ein Anstieg von 28 Prozent im Vergleich zum Vorjahr.

Einblick in das Nutzerverhalten

Tiefgehender Einblick in das Nutzerverhalten ist eine großartige Methode, mit der Unternehmen das Risiko von Datenverletzungen, die durch den Faktor Mensch verursacht werden, verringern können. 36 Prozent der Unternehmen in der Netwrix-Umfrage von 2019 konnten jedoch nicht feststellen, wer für Sicherheitsvorfälle verantwortlich war – ein dramatischer Anstieg von nur sechs Prozent im Jahr 2018. Dies zeigt, dass das Maß an Einblick in Benutzeraktivitäten rund um die Daten in diesen Unternehmen viel zu wünschen übriglässt.

Eine weitere Möglichkeit, das Insider-Risiko zu verringern, besteht darin, mithilfe eines Datenerkennungs- und Klassifizierungstools (DDC) zu ermitteln, über wie viele Daten Unternehmen verfügen, wer Zugriff darauf hat und welche Informationen am kritischsten sind und geschützt werden müssen. Leider hat die Umfrage ergeben, dass viele Unternehmen dieses wichtige Verfahren vernachlässigen: In Unternehmen, in denen Geschäftsanwender an Sicherheitsvorfällen beteiligt waren, hatten 86 Prozent nicht alle in der Cloud gespeicherten Daten klassifiziert.

Maßnahmen zur Risikominderung

Zum Insider-Bedrohungen müssen Unternehmen Insider-Bedrohungen ergreifen, um die Mitarbeiteraktivitäten unter Kontrolle zu halten. Einige Unternehmen planen bereits Schritte: Sie sind bereit, in die Ausbildung des derzeitigen IT-Personals zu investieren (37 Prozent), ein ausreichendes Budget bereitzustellen (36 Prozent) und regelmäßige Statusberichte anzufordern (31 Prozent). Dennoch gibt fast ein Viertel (23 Prozent) der IT-Teams an, dass ihr Management nichts unternimmt, um Cloud-Sicherheitsinitiativen zu unterstützen, sodass sie auf die wachsenden Sicherheitsrisiken in der Cloud schlecht vorbereitet sind.

Empfehlungen

Basierend auf 15-jähriger Erfahrung in der Zusammenarbeit mit Unternehmen bei der Bekämpfung von Insider-Bedrohungen sind folgende drei bewährten Methoden am effektivsten:

• Mitarbeiter sollten stets geschult sein: Man sollte niemals den Wert des menschlichen Faktors für die Cybersicherheit unterschätzen. Regelmäßige Bewusstseinsschulungen und Prüfungen stellen sicher, dass alle Mitarbeiter mit den grundlegenden Sicherheitspraktiken vertraut sind und nicht versehentlich wichtige Daten und die gesamte Infrastruktur gefährden.
• Konkreten Einblick in die Cloud verschaffen: Da sowohl Benutzerfehler als auch Cyberangriffe unvermeidlich sind, muss die Cloud-Umgebung regelmäßig überprüft werden, um feststellen zu können, wer was wann und wo getan hat. Doch in der Lage zu sein, die Ereignisse der Vergangenheit zu überprüfen, ist nur die halbe Miete. Man muss ebenso in der Lage sein, abnormales Verhalten zu erkennen und darauf zu reagieren, bevor es zu einem Sicherheitsvorfall führt. Darüber hinaus kann man konkrete Einblicke in Systeme und Daten erhalten, um Vorfälle ordnungsgemäß zu untersuchen, damit ähnliche Probleme in Zukunft vermieden werden können.
• Klassifizieren der Daten: Mit Datenklassifizierungstechnologie kann man weit kommen – man kann genau nachvollziehen, welche Daten vorhanden sind und wo diese abliegen. Dadurch kann man das Bewusstsein für deren Wert und Sensibilität schärfen, um angemessene Kontrollen zu implementieren und diese Daten ordnungsgemäß zu schützen. Datenklassifizierung ist ein hervorragendes Instrument, um das Risiko eines versehentlichen Datenverlusts aufgrund der Fehler von Geschäftsanwendern zu verringern.

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2020
Eskalierende Datenmengen benötigen skalierbaren Datenschutz

datensicherheit.de, 11.10.2018
Netwrix-Studie: 73 Prozent der deutschen Unternehmen scheitern daran Sicherheitsvorfälle effektiv zu entdecken

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

[datensicherheit.de, 12.01.2020] Laut einer Meldung des foodwatch e.V. haben Verbraucher „einen Rechtsanspruch zu erfahren, was die Hygienekontrollen in Lebensmittelbetrieben ergeben haben“. Dies habe der Verwaltungsgerichtshof Baden-Württemberg als erstes Oberverwaltungsgericht entschieden. Im juristischen Streit um die Verbraucher-Plattform „Topf Secret“ liege damit die erste höchstrichterliche Entscheidung zum Informationsanspruch vor. Über dieses Portal der Verbraucherorganisation foodwatch und der Transparenzinitiative FragDenStaat können Bürger demnach die amtlichen Kontrollberichte der Lebensmittelüberwachung erfragen. Seit dem Start im Januar 2019 seien mehr als 40.000 VIG-Anfragen über „Topf Secret“ verschickt worden – der Großteil der etwa 400 in Deutschland zuständigen Behörden gewähre Bürgern die beantragten Informationen.

Signalwirkung für weiteren Verfahren um Transparenz-Plattform Topf Secret erhofft

„Der Verwaltungsgerichtshof Baden-Württemberg zerpflückt in aller Deutlichkeit die Argumente, die regelmäßig von der Gastro-Lobby gegen ,Topf Secret‘ ins Feld geführt werden. Nun ist höchstrichterlich bestätigt: Bürgerinnen und Bürger haben einen Rechtsanspruch auf die Hygiene-Kontrollergebnisse“, so Rauna Bindewald, Volljuristin und „Campaignerin“ bei foodwatch.
foodwatch sieht nach eigenen Angaben in dieser Entscheidung eine „Signalwirkung für die vielen weiteren Verfahren um die Transparenz-Plattform“. Aktuell wehrten sich Hunderte Lebensmittelbetriebe gerichtlich gegen die Herausgabe von Kontrollergebnissen – auch mit Unterstützung des Deutschen Hotel- und Gaststättenverbandes (DEHOGA), der seine Mitglieder ermutige, gegen auskunftsbereite Behörden vorzugehen.

Markt soll transparenter werden

Mehrere der zentralen Argumente des DEHOGA seien vom VGH Baden-Württemberg nun jedoch ausdrücklich abgewehrt worden. So behaupte der DEHOGA in einem „Argumentationspapier“ unter anderem, dass die über „Topf Secret“ gestellten Anträge missbräuchlich seien, weil die Kontrollergebnisse auf einer Internetplattform veröffentlicht werden sollten – dies entspreche nicht dem Zweck des Verbraucherinformationsgesetzes (VIG).
Der Verwaltungsgerichtshof habe hierzu allerdings deutlich gemacht: „Im Gegenteil, es entspricht der ausdrücklichen Zwecksetzung des § 1 VIG, den Markt transparenter zu gestalten, sodass in einer Internetpublikation eine Stärkung des Verbraucherschutzes gesehen werden kann.“

Negative Darstellung in der Öffentlichkeit durch rechtstreues Verhalten zu verhindern

Außerdem argumentiere der DEHOGA damit, dass die Informationserteilung die grundrechtlich verbürgte Berufsfreiheit der Betriebe verletze. Im Beschluss des VGH heißt es laut foodwatch dazu: „Das Grundrecht der Berufsfreiheit vermittelt kein Recht des Unternehmens, nur so von anderen dargestellt zu werden, wie es gesehen werden möchte oder wie es sich und seine Produkte selber sieht.“ Der VGH weise im konkreten Fall außerdem darauf hin, dass das Unternehmen die negative Darstellung in der Öffentlichkeit durch rechtstreues Verhalten hätte verhindern können.
Zahlreiche Verwaltungsgerichte hätten in den letzten Monaten über die Klagen und Anträge betroffener Betriebe gegen die Weitergabe von Kontrollergebnissen entschieden – mit unterschiedlichem Ausgang. In zweiter Instanz beschäftigten sich derzeit mehrere Oberverwaltungsgerichte mit „Topf Secret“. foodwatch erwartet demnach die Entscheidungen in den nächsten Wochen.

Bürger haben über das VIG Rechtsanspruch, amtliche Informationen zur Lebensmittelüberwachung zu erhalten

Auch das OVG Hamburg habe kürzlich einen Beschluss veröffentlicht, jedoch keine Entscheidung über die eigentliche Rechtsfrage getroffen, ob Bürger die Lebensmittelkontrollberichte erhalten dürfen. Es habe lediglich in einem sogenannten Eilverfahren entschieden, dass die Informationen bis zu einer Entscheidung im Hauptsacheverfahren vorerst zurückgehalten werden müssten.
Nun habe mit dem VGH Baden-Württemberg erstmalig ein Oberverwaltungsgericht zu der eigentlichen Rechtsfrage Stellung genommen. Der VGH sei dabei der Linie des Bundesverwaltungsgerichts gefolgt. Das höchste Verwaltungsgericht habe kürzlich in einem Grundsatzurteil die Informationsrechte ebenfalls eindeutig gestärkt: Bürger hätten über das VIG einen Rechtsanspruch, amtliche Informationen zur Lebensmittelüberwachung zu erhalten – auch eine mögliche Veröffentlichung stehe dem nicht entgegen.

Weitere Informationen zum Thema:

foodwatch die essensretter
TOPF SECRET

foodwatch die essensretter
VERWALTUNGSGERICHTSHOF BADEN-WÜRTTEMBERG Beschluss

[datensicherheit.de, 14.08.2013] Beim Datenschutz in Unternehmen sehen Personalverantwortliche und Datenschutzbeauftragte noch großen Verbesserungsbedarf. Rund die Hälfte (47 Prozent) halte den Reifegrad des eigenen Regelwerks für gering, nur 16 Prozent bezeichneten ihn als hoch. Diese Erkenntnisse sind ein Ergebnis der aktuellen Studie „Datenschutz im Personalmanagement“ von BITKOM Consult und Kienbaum.
Im Laufe der Zeit entstünden in den Unternehmen häufig eine Menge von Einzelregelungen, in Form von Arbeitsanweisungen, Nutzungsbedingungen, „Guidelines“ oder Betriebsvereinbarungen. Da sie jeweils unterschiedlichen Zielen dienten, entstünden Widersprüche. Regelungslücken seien schwer zu finden und vor allem die Anforderungen an eine datenschutzrechtliche Einwilligung würden häufig nicht erfüllt, sagt Lars Kripko, Datenschutzexperte bei BITKOM Consult. Die Folge sei, dass 42 Prozent der Befragten hohe Abweichungen zwischen den Datenschutzregeln und der Praxis meldeten. Nur in jedem fünften Unternehmen (21 Prozent) seien diese Abweichungen allenfalls gering.
Das Datenschutzniveau eines Unternehmens hängt unmittelbar von einem entsprechenden Regelwerk ab, das die notwendige Erlaubnis zur Verarbeitung von Mitarbeiterdaten beschreibt. So wird darin zum Beispiel definiert, wer auf Bewerberunterlagen zugreifen darf. Die Studie zeigt laut BITKOM auch, wie sich die Qualität der Datenschutzregeln verbessern ließe – je größer der Anteil der Arbeitszeit ist, den der Datenschutzbeauftragte für seine Datenschutztätigkeit aufbringen darf und damit auch je größer das Unternehmen ist, desto besser das Ergebnis. Es scheine zu gelten, dass mehr zeitliche Ressourcen für den Datenschutz zu einem höheren Reifegrad des Reegelwerks führen, so Kripko. Allerdings führten der Studie zufolge größere zeitliche Ressourcen für den Datenschutz nicht zu einer geringeren Abweichung der Regelwerke von der gelebten Praxis. Die Datenschutzbeauftragten schienen mit der ihnen zur Verfügung stehenden Zeit im Wesentlichen den Aufbau der Regelwerke voranzutreiben, erläutert Kripko. Für die Kontrolle auf Wirksamkeit oder Einhaltung der Regeln reichten die verfügbaren Ressourcen offenbar nicht aus.

Weitere Informationen zum Thema:

Bitkom CONSULT & Kienbaum
Studie „Datenschutz im Personalmanagement“ (Registrierung erforderlich)