Kaum ein Thema polarisiert so, wie der Datenschutz. Wichtig ja, aber gleichzeitig lästig. Die User und Unternehmen reagieren gleichermaßen genervt. Für die einen ist es umständlich, für die anderen vermeintlich kostspielig. In diesem Beitrag sammeln wir Stimmen zum Europäischen Datenschutztag 2023 und heben die entscheidenden Datenschutz-Herausforderungen hervor.

Am 28. Januar ist wieder der Europäische Datenschutztag. Das Datum des erstmals 2007 begangenen Aktionstags bezieht sich auf die Verabschiedung der Datenschutzkonvention des Europarates aus dem Jahr 1981, mit der sichergestellt werden sollte, dass die Rechte und Grundfreiheiten europäischer Bürger bei der automatischen Verarbeitung personenbezogener Daten geschützt sind.

»Der wertvollste Rohstoff der Welt ist nicht mehr Öl, sondern Daten«, dieses Zitat stammt von Kiran Bhageshpur, CTO von Qumulo, bereits von 2017. Daran hat sich bis dato nichts geändert. Benjamin Bohne, Group Vice President Sales Central EMEA bei Cloudera, hält es für wichtig, mit Kampagnen für Datenschutz und Privatsphäre zu sensibilisieren: »Schaut man sich die kontinuierlich steigenden Zahlen von Cybersecurity-Vorfällen an, ist das Thema dringender denn je. Heutzutage kann es sich kein Unternehmen mehr erlauben, das Thema Datenschutz zu vernachlässigen.« Vielmehr müsse der Datenschutz ein zentraler Geschäftsprozess sein.

Für Charles Smith, Consultant Solution Engineer, Data Protection bei Barracuda Networks ist der Datenschutz für Unternehmen aus zwei Gründen von entscheidender Bedeutung: »Erstens müssen Unternehmen sicherstellen, dass Kunden- und Unternehmensdaten, einschließlich wertvoller geistiger Eigentumsrechte und Finanzdaten, sicher und geschützt sind und den nationalen und internationalen Datenschutzbestimmungen entsprechen, wie der DSGVO in Europa. Andernfalls drohen im Falle einer Datenpanne hohe Geldstrafen, der Verlust des Kundenvertrauens und eine Schädigung des Markenrufs. Die Geheimhaltung von Daten hilft auch, der Gefahr von Datendiebstahl und Ransomware-Angriffen zu begegnen. Ransomware-Angriffe entwickeln sich weiter, und Cyberkriminelle stehlen oft Daten und drohen damit, sie offenzulegen, wenn die Lösegeldforderung nicht bezahlt wird, wodurch ebenfalls finanzielle Verluste und Rufschädigung drohen.« Es müsse daher sichergestellt werden, dass alle Datentypen mit einer Ende-zu-Ende-Verschlüsselung geschützt sind. Die gleiche Verschlüsselung sei auch für gesicherte Daten wichtig, denn viele Angreifer haben es auch auf Backups abgesehen.

Strukturreform der Datenschutz-Aufsichtsbehörden

Der Bitkom fordert eine Strukturreform der Datenschutz-Aufsichtsbehörden und eine Weichenstellung zu einer Datenökonomie in Deutschland. Dies wäre laut Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, längst überfällig: »Wir befinden uns im Jahr fünf der Geltung der Datenschutz-Grundverordnung. Mit der DSGVO ist die Bedeutung von Datenschutz stärker in das Bewusstsein gerückt, aber nach wie vor gibt es etwa aufgrund unterschiedlicher Auslegungen durch die Aufsichtsbehörden große Unsicherheit bei der Umsetzung der Vorschriften in Unternehmen. Statt mit 18 verschiedenen Datenschutzaufsichten weiterzumachen ist es höchste Zeit, Schwerpunktaufsichten zu bilden, bestehende Dopplungen abschaffen und die Absprachemechanismen zu verbessern. So würden zugleich Kapazitäten frei, um die Beratungsangebote der Aufsichten deutlich auszubauen.« Die Zeit dränge, denn es kommen mit dem Data Act und AI Act bald zahlreiche neue Zuständigkeiten auf die Datenschutz-Aufsicht zu. Vor allem kleinere und mittlere Unternehmen würden mit den neuen Regulierungen erneut, wie schon bei der DSGVO, große Schwierigkeiten bekommen, wenn nicht rechtzeitig Maßnahmen ergreifen werden.

»Wir dürfen aber nicht nur über Datenschutz, wir müssen auch über das Datenteilen reden«, ergänzt Dehmel. »Die gemeinsame, verantwortungsvolle Nutzung von Daten kann große Vorteile für Gesellschaft und Wirtschaft, aber auch für Verkehr, Umwelt- und Klimaschutz bringen. Insbesondere der EU Data Act soll das Datenteilen befördern – ohne jedoch zu klären, wie Unternehmen die neuen Regeln mit dem Datenschutz zum Beispiel für Kunden- oder Patientendaten vereinbaren sollen. Hier fehlt es also noch an Rechtssicherheit. Auch der vertragliche und operative Aufwand ist noch deutlich zu hoch und alle Beteiligten müssen mehr tun, um das notwendige Vertrauen bei den Menschen aufzubauen. An dieser Stelle sind Politik und Verwaltung in der Pflicht, mit Open Data eine Vorbildfunktion auszuüben und mit Best-Practice-Beispielen voranzugehen. Eine wichtige Rolle kann auch dem Dateninstitut zukommen, wenn es ihm gelingt, die notwendigen Hilfestellungen bei der Umsetzung der hoch komplexen Regulierung zu geben, damit deutlich mehr Unternehmen sich aktiv an der Datenökonomie beteiligen und von ihr profitieren.«

Weitere Informationen:

• Europäischer Datenschutztag 2022: lästig, aber wichtig

Axway: Datenschutzvorgaben das ausgleichende Element zwischen Benutzererfahrung & Sicherheit

Emmanuel Methivier, Business Program Director and Catalyst, Axway: »Digitalisierung hat die Verarbeitungsgeschwindigkeit von Daten exponentiell beschleunigt. In der virtuellen Welt ist es eine Selbstverständlichkeit, unverzüglich und mit minimalem Aufwand von überall mit Personen und Unternehmen auf der ganzen Welt in Kontakt zu treten. Nahtlose Prozesse und Benutzerzentrierung eröffnen Unternehmen weitreichende und vielfältige Gestaltungsmöglichkeiten der Produkt- und Serviceerfahrung ihrer Kunden. Soziale Netzwerke, Musik- und Video-Streamingdienste, Online-Shopping, Payment, Banking, und Mobilitätsservices sind nur einige der zahlreichen Anwendungen, die fester Bestandteil des Alltags von Verbrauchern geworden sind.

Das anhaltende Wachstum der Digitalwirtschaft spiegelt sich auch im Datenvolumen wider: Schätzungsweise mehr als 50 ZBytes an Daten werden jährlich weltweit generiert, verarbeitet und transferiert, Tendenz weiterhin stark steigend. Die einzigartig hohe Qualität der Benutzererfahrung hat jedoch eine Kehrseite: Durch die digitale Vernetzung sind Daten einem überaus hohen Risiko für Offenlegung, Verlust oder Diebstahl ausgesetzt, die Sicherheitsvorkehrungen jedoch manchmal unzureichend, nicht zuletzt deshalb, weil Unternehmen die Benutzererfahrung nicht durch rigide Sicherheitsvorkehrungen beeinträchtigen möchten. Dieses Tauziehen zwischen Benutzerfreundlichkeit und Sicherheit birgt für die eigentlichen Besitzer der Daten die Gefahr verletzter Vertraulichkeit und Privatsphäre. Datenschutzbestimmungen, wie zum Beispiel die DSGVO, sorgen dafür, dass die Rechte von Personen in der digitalen Welt abgebildet und durchgesetzt werden. Sie rufen Unternehmen dazu auf, die technischen Möglichkeiten zum Absichern von Daten zu erweitern und bilden somit das Element, das Benutzererfahrung und Sicherheit miteinander in Einklang bringt.«

Adverity: Jetzt die Zeit für Investitionen

Andreas Niederbacher, Chief Information Security Manager bei Adverity: »Auch 2023 stehen die Themen Datenschutz und Informationssicherheit wieder ganz oben auf der Agenda von Unternehmen – oder zumindest sollten sie das. Aber aufgrund der derzeitigen Wirtschaftslage sind viele Unternehmen in Bezug auf Investitionen in die IT- und Datensicherheit sehr zurückhaltend. Dabei ist jetzt der optimale Zeitpunkt, ein effizientes, risikobasiertes Informationssicherheitssystem zu implementieren. Denn gerade die letzten Jahre haben durch die Einführung neuer Datenschutzgesetze sowie genereller IT-Sicherheitsanforderungen zu einer zunehmenden Komplexität geführt. Doch es gibt auch gute Nachrichten: Künstliche Intelligenz, integrierte Plattformen und standardisierte Ansätze unterstützen Unternehmen bei der Bewältigung der Anforderungen wie nie zuvor. Das Mantra, dass Cyberangriffe keine Frage des `ob´ sind, sondern vielmehr eine Frage des `wann´, gilt mehr denn je.

Aktuell konzentrieren sich Projekte in der Informationssicherheit sehr oft auf die Verbesserung und das Testen von Wiederherstellungsverfahren. Denn diese müssen im Notfall effektiv sein – und das gilt nicht nur für die derzeit viel diskutierten Blackout-Szenarien. Die Vergangenheit hat gezeigt, dass erfolgreiche Ransomware-Angriffe Unternehmen für eine sehr lange Zeit beeinträchtigen können, falls unzureichende Vorbereitungen getroffen wurden.

Darüber hinaus lässt sich auch ein klarer Trend erkennen: Die Durchführung von Supplier-Audits zur Erhöhung der unternehmensweiten IT-Sicherheit. Dies dient neben einer verbesserten Transparenz (z.B. im Bereich der Regelung von Verantwortungen) auch dem Reifegrad der Informationssicherheit, da auf Basis des Auditergebnisses gezielte Maßnahmen getroffen werden können. Es zeichnet sich bereits ab, dass diese Audits in den kommenden Jahren standardisierter und omnipräsent sein werden.«

Aqua Security:Datenschutz & Datensicherheit auch für Cloud-Native-Applications

Arne Jacobsen, Director Sales EMEA bei Aqua Security: »Unternehmen sammeln, speichern und verwalten mehr Daten als je zuvor. Diese zu schützen war einst relativ einfach, als alle Daten einer Organisation noch auf dem einzigen NAS im Rechenzentrum gespeichert waren. Heute ist dies ungleich schwerer. Denn Daten finden sich heute verteilt auf zahlreichen unterschiedlichen Systemen, in mehreren Clouds oder sogar am Edge. Um Kosten einzusparen und weiter innovativ zu bleiben, setzen Unternehmen weiterhin auf Digitalisierung – und bei der Verlagerung ihrer Workloads in die Public-Cloud auf Cloud-Native-Applications.

Um die Sicherheit auch für diese Workloads zu garantieren, benötigen Security-Teams jedoch neue Fähigkeiten und Technologien. Cloud Native Workloads lassen sich eben nicht mit veralteten Ansätzen für physische oder virtuelle Workloads absichern. Um Datenschutz und Datensicherheit zu garantieren, kämpfen Unternehmen an vielen Fronten. Diejenigen, die auf Cloud Native Applications setzen, müssen diese Workloads und Daten auch zwingend mit für diese Workloads entwickelter Cloud Native Security absichern. Hierfür bieten sich für diesen Zweck entwickelte CNAPPs (Cloud Native Application Protection Platform) an.«

Commvault: Top Ten für Datenschutz und -sicherheit

Der Europäische Datenschutztag ist ein guter Anlass, wenn es denn eines Anlasses bedarf, sich mit Datenschutz und -sicherheit in der eigenen Organisation zu befassen. »Cyberkriminelle werden jeden Tag raffinierter und die Cyber-Angriffe nehmen weiter zu«, kommentiert Elke Steinegger, Area Vice President and General Manager Germany bei Commvault. »Die durchschnittliche Zahl der wöchentlichen Cyberangriffe liegt weltweit bei rund 1.200. Es ist nicht mehr die Frage, ob ein Angreifer illegalen Zugriff auf die IT-Infrastruktur einer Organisation erhält, sondern vielmehr, wann es passiert und welche Folgen die Attacke nach sich zieht. Zum Glück sind Organisationen den Cyberattacken nicht schutzlos ausgeliefert. So etabliert sich gerade mit Cyber Deception eine neue Form der Verteidigung, die Unternehmen beim Schutz ihrer Daten vor Angreifern einen Schritt weiterbringt. Sie werden selbst zum Manipulator und schlagen den Angreifern ein Schnippchen, indem sie diese auf vermeintlich attraktive Fake-Ziele lenken, anstatt ihnen die eigenen Daten preiszugeben. Natürlich sollten Unternehmen auch grundlegende Maßnahmen gegen Cyberkriminelle ergreifen. Leider hapert es bei vielen Organisationen noch am nötigsten.

Top Ten für Datenschutz und -sicherheit

1. Strategie für Datenschutz und -sicherheit

Eine Strategie für Datenschutz und -sicherheit ist eine Selbstverständlichkeit, die in der Praxis oft fehlt. Eine solche Strategie muss neben Maßnahmen für Datenschutz und -sicherheit auch konkrete Pläne für den Katastrophenfall und eine schnelle und zuverlässige Wiederherstellung verlorener oder kompromittierter Daten beinhalten. Spezielle Aufmerksamkeit verdienen sensible Daten von Kunden und Partnern.

2. Verschlüsselung

Verschlüsselung ist die wichtigste Einzelmaßnahme zum Schutz von Daten. Sie trägt der Tatsache Rechnung, dass sich ein illegaler Zugriff auf Daten nicht mit hundertprozentiger Sicherheit verhindern lässt. Zwar können auch verschlüsselte Daten Cyberkriminellen in die Hände fallen. Sie sind für diese aber absolut wertlos. Sensible Daten sollten während ihrer gesamten Lebensdauer verschlüsselt sein, im Ruhezustand ebenso wie bei der Übertragung. Überspitzt gesagt: Verschlüsseln Sie Ihre Daten, bevor es ein Ransomware-Krimineller tut!

3. Multi-Personen-Authentifizierung

Die Nützlichkeit von Multi-Faktor-Authentifizierung (MFA) hat sich inzwischen herumgesprochen. Multi-Personen-Authentifizierung (MPA) geht einen Schritt weiter, indem kritische Aufgaben die Genehmigung mehrerer Befugter benötigen. Dies ist eine der einfachsten Möglichkeiten, Datenexfiltration oder -löschung zu verhindern. Warum sollten Ihre Daten auch nicht so sicherer sein, wie die Atomraketen der Großmächte?

4. Unveränderliche Datenspeicherung

Bei unveränderlicher Speicherung können bestimmte Daten geschrieben, aber nicht verändert oder gelöscht werden. In Kombination mit MPA kreiert die unveränderliche Speicherung eine hochsichere Datenspeicherebene, die sich perfekt für die Speicherung vertraulicher Daten eignet. Entsprechend entwickelt sich unveränderliche Speicherung schnell zu einem Standardbestandteil von Data-Governance-Vorschriften wie GDPR und HIPAA.

5. Datensouveränität

Allzu häufig verstoßen Organisationen gegen Vorschriften, die den Ort der Verarbeitung und Speicherung ihrer Daten festlegen. Jeder Ort, an dem sich private Daten befinden, auch wenn sie dort nur vorübergehend gespeichert sind, muss sich gemäß den gesetzlichen Bestimmungen in einer bestimmten Region befinden. Bei Missachtung riskieren Organisationen einen Image-Schaden, und empfindliche finanzielle Strafzahlungen. Gegebenenfalls hat eine Geschäftsführerin oder ein Geschäftsführer auch persönlich für etwaige Verstöße zu haften.

6. Data Governance & Kontrolle

Eine kürzlich durchgeführte Studie fand heraus, dass knapp ein Viertel der deutschen Unternehmen keinen genauen Überblick hat, wo seine sensibelsten Daten gespeichert sind. Um ihre Daten effizient schützen zu können, müssen Organisationen aber zunächst einmal wissen, welche Daten sie haben, wo sie sich befinden und welche Daten gefährdet sind. Man kann nicht schützen, was man nicht kennt!

7. Klassifizierung von Daten

Zu wissen, welche Daten vorhanden sind und wo sie sich befinden, ist nur ein Teil der Lösung. Organisationen müssen überlegen, welche Daten sensible Kundendaten, geschäftskritische Daten usw. sind und welche Bedeutung sie für die Organisation und ihre Kunden haben. Wenn ein Unternehmen nur Daten vor Ort schützt, entgehen ihm möglicherweise einige wichtige Kundendaten, die in seiner SaaS-basierten CRM-Lösung gespeichert sind. Apropos, Sie können sich nicht nur auf Ihren SaaS-Anbieter oder Ihren IaaS-Cloud-Provider verlassen, wenn es um den Datenschutz für Ihre Daten geht. Die Verantwortlichkeit für Ihre Daten liegt letztlich immer bei Ihnen, auch im Falle sogenannter »shared responsibility«.

8. Aufbewahrungsdauer

Es ist von entscheidender Bedeutung zu wissen, welche Daten vorhanden sind und wie wichtig sie sind, aber auch, wie lange sie relevant bleiben? Diese Frage ist für die meisten Organisationen schwer zu beantworten und findet seinen Niederschlag im Kauf immer größerer Speichersysteme. Die Möglichkeit, Daten eine voraussichtliche Lebensdauer zuzuordnen, kann sich erheblich auf die Bilanz eines Unternehmens auswirken und die privaten Daten der Kunden schützen. Systeme zum automatischen Auffinden, Klassifizieren und Festlegen von Aufbewahrungsfristen verringern das ungebremste Wachstum der Datenmenge, verkürzen die Zeit für die Wiederherstellung ungenutzter Daten und senken die Kosten.

9. Testen und aktualisieren

Das Testen und Aktualisieren von Resilienzplänen, oft auch als Runbooks bezeichnet, ist ein regelmäßig übersehener Aspekt einer Datenschutzstrategie. Die Zusammenarbeit mit Lösungsanbietern oder strategischen Datenschutzunternehmen, die Erfahrung mit der Erstellung eines Plans haben, kann den Zeitaufwand für die Aktualisierung erheblich verringern. Manche mögen Runbooks für überholt halten. Im Fall der Fälle erweisen sie sich aber immer wieder als zentrale Ressource, um alle Maßnahmen und Beteiligten zu koordinieren.

10. Risikobewertung

Wie erwähnt sollten Organisationen mit strategischen Partnern zusammenarbeiten, um halbjährlich oder jährlich eine Risikobewertung durchzuführen. Regelmäßige Assessments können dazu beitragen, das Muskelgedächtnis für eine solide Datensicherheit und eine solide Einstellung zum Datenschutz aufzubauen. Der Vorteil der Zusammenarbeit mit etablierten Anbietern für Datenschutz und -sicherheit besteht u.a. darin, dass sie über die neuesten Bedrohungen und Strategien zur Risikominderung auf dem Laufenden sind

Cloudera: Datenschutz-Fehltritte vermeiden mit Privacy-by-Design

Benjamin Bohne, Group Vice President Sales Central EMEA bei Cloudera, erläutert, warum der Datenschutz ein zentraler Geschäftsprozess sein muss und wie Unternehmen Datenschutz-Fehltritte vermeiden können:

»Daten zu aggregieren ist eine Sache, mit ihnen verantwortungsvoll umzugehen eine andere. Unternehmen, die ersteres tun aber letzteres niedriger priorisieren, sehen sich schnell mit Strafzahlungen konfrontiert. Damit das nicht passiert, sollte der Datenschutz ein Kernelement jeder Datenstrategie sein.

Der Geschäftserfolg und die Zukunftsfähigkeit eines Unternehmens im 21. Jahrhundert hängt immer mehr von Daten ab. Deswegen werden heutzutage so viele Informationen gesammelt wie nie zuvor. Diese Daten sind jedoch nicht nur für Unternehmen eine Goldgrube, sondern auch für Cyberkriminelle. Im vergangenen Jahr wurde ein neuer Rekord bei den gemeldeten Datenschutzverletzungen erreicht: mehr als 100 Millionen Konten waren weltweit betroffen. Für deutsche Firmen entstand durch Datenschutzverletzungen ein durchschnittlicher Schaden von 4,85 Millionen Dollar.

Während große Konzerne die Schadenssummen vielleicht – wenn auch schmerzhaft – stemmen können, bedeuten sie für kleinere Betriebe möglicherweise den wirtschaftlichen Ruin. Ganz zu schweigen vom großen Reputations- und Vertrauensverlust. Angesichts der Vielzahl unterschiedlicher Gesetze in diesem Bereich zerbrechen sich viele Firmen den Kopf, um unbeschadet durch dieses rechtliche Minenfeld zu navigieren.

Unternehmen sind dazu verpflichtet, personenbezogene Daten zuverlässig nur an berechtigte Entitäten zu übermitteln und sie vollständig sicher abzuspeichern. Wenn sie dem nicht nachkommen, drohen Folgen für das Unternehmen. Wer dabei Fehler macht, muss mit hohen Strafzahlungen rechnen.

Gleichzeitig setzen die sich ständig ändernden Vorschriften flexible und innovative Geschäftsprozesse voraus. Unternehmen, die ihre Geschäftsmodelle zukunftsfähig aufstellen möchten, sollten Daten jedoch so verfügbar wie möglich machen. Denn je zugänglicher Daten sind, desto besser lässt sich aus ihnen ein Mehrwert ziehen.

Wie können Unternehmen Datenschutz im betrieblichen Alltag etablieren?

Um Sicherheit und Flexibilität im Gleichgewicht zu halten, gibt es keine andere Möglichkeit, als den Datenschutz neben Vertrieb und Marketing sowie Buchhaltung und Kundenservice als weiteren zentralen Geschäftsprozess zu integrieren. Ohne dezidierte Datenschutzprozesse zu wirtschaften, ist heutzutage keine Option mehr.

Durch die Etablierung der Datenschutzmaßnahmen im betrieblichen Alltag verringert man das Risiko einer kostspieligen Datenschutzverletzung und sorgt für eine strengere Einhaltung der Vorschriften. Dies sollte vor allem durch die richtigen Prozesse und Technologien für das Datenmanagement unterstützt werden. Unternehmen, die die Daten ihrer Kunden, Mitarbeiter und Stakeholder proaktiv schützen wollen, sollten eine belastbare Datenstrategie verfolgen, bei der Datenschutz im Vordergrund steht. Grundsätzlich handelt es sich hierbei um einen Plan, der darlegt, wie das Unternehmen seine Daten verwaltet. Immer mehr Firmen greifen dabei auf hybride Cloud-Umgebungen zurück.

»Privacy by Design« – der erste Schritt zum Schutz vor Datenschutzverstößen

Außerdem sollten sich Unternehmen über die Implementierung eines Privacy-by-Design-Ansatzes in ihre Datenstrategie Gedanken machen. Privacy by Design wurde von der kanadischen Datenschutzspezialistin Dr. Ann Cavoukian entwickelt: Das Konzept zielt darauf ab, den Datenschutz proaktiv in die Konstruktionsvorgaben von Informationstechnologien, vernetzten Infrastrukturen und Geschäftspraktiken einzubinden.

Wer Privacy-by-Design umsetzt, integriert den Datenschutz als präventive strategische Maßnahme, die nicht erst nach einem Verstoß erfolgt. Ein Datenmanagement, das die Privatsphäre des Einzelnen respektiert, gesetzliche Vorgaben einhält und es dem Unternehmen ermöglicht, zuverlässig und schnell Daten zu aggregieren, lässt sich folgendermaßen realisieren:

1. Die Datenstrategie definieren, sensible Daten kategorisieren und deren Verwendung dokumentieren.

2. Die Datenstrategie anhand der rechtlich vorgegebenen Datenschutzbestimmungen bewerten.

3. Die Datenarchitektur anpassen, um neue und bestehende Anwendungsfälle rechtssicher und zuverlässig umsetzen zu können.

4. Die Datenstrategie über eine Datenplattform implementieren, um alle Informationen zentral zu verwalten.

Heutzutage haben Betriebe keine andere Wahl, als den Datenschutz zu einem der entscheidenden Geschäftsprozesse zu erheben. Denn für ihren Geschäftserfolg ist er von entscheidender Bedeutung. Wer Datenschutzmaßnahmen als Teil des betrieblichen Alltags implementiert, verringert das Risiko kostspieliger Datenschutzverletzungen. Um die rechtlichen Vorschriften durchgehend einzuhalten, sind die richtigen Datenmanagement-Prozesse und -Technologien die Basis«

Beyond Identity: Daten schützen: Passwörter abschaffen

Chris Meidinger, Technical Director, EMEA bei Beyond Identity: »Die Flut erfolgreicher Angriffe macht deutlich, dass sich keine effektive Datensicherheit mehr auf Passwörtern aufbauen lässt. Passwörter sind des Cyberkriminellen bester Freund: Bei knapp 70 Prozent der Sicherheitsvorfälle in EMEA wurden entwendete Anmeldedaten missbraucht, zeigt der aktuelle Data Breach Investigations-Report von Verizon.

Mit gekaperten Passwörtern – egal, ob abgegriffen via einfachen Social-Engineering-Techniken, ausgefeilten Phishing-Angriffen oder direkt aus dem Arbeitsspeicher - spazieren Cyberkriminelle durch die Vordertür in Unternehmensnetzwerke hinein. Um sich und ihre Daten zu schützen, haben zwar viele Unternehmen zusätzliche Maßnahmen wie Multi-Faktor-Authentisierung (MFA) eingesetzt, aber das Resultat ist lediglich ein weiterer Arbeitsschritt für den Angreifer. Cyberkriminelle müssen bei traditioneller MFA neben dem klassischen Passwort nur noch einen MFA-Code klauen oder gegebenenfalls den User zu einem Klick im richtigen Moment bewegen. Mittlerweile haben effektive Hacker diese Angriffsschritte standardisiert.

Wirksamer, langfristiger Schutz von Unternehmensdaten erfordert die strategische Abschaffung klassischer Passwörter. Viele IT-Verantwortliche wählen den Ansatz, den Anteil an Anmeldungen mittels Passwort schrittweise zu reduzieren. Ein guter Anfang ist dort gemacht, wo Angreifer besonders leichtes Spiel haben, weil sie häufig nur ein gestohlenes Passwort von sensiblen Daten entfernt, sind: Bei SaaS- und Cloud-Apps. Gerade bei Salesforce oder Microsoft 365 handelt es sich oft um besonders schützenswerte Daten.

Zur Umsetzung bewähren sich die offenen Standards der FIDO (Fast IDentity Online) Alliance. Die gängigen, verwundbaren MFA-Techniken – egal ob Einmal-Passwörter/TOTP, Push-Nachrichten, SMS oder Magic-Links – sind obsolet. Eine Anmeldung auf Basis von FIDO zeichnet sich als passwortlos und Phishing-resistent aus. Werden weitere Kontextdaten herangezogen, können Zugänge kontextuell und risikobasiert gewährt und gekappt werden. MDM-, EDR-, XDR-, VPN- und sonstige Systeme sind oft bereits im Unternehmen vorhanden und produzieren wertvolle Daten, die sich hierfür optimal eignen. So bildet sich am Ende eine Zero-Trust-Authentisierung. Verlässliche Identitäten sind absolut erforderlich für Zero Trust und eine der Grundsäulen effektiver, moderner Datensicherheit.«

Bitdefender: Wer Identitäten schützt, schützt Daten

Bogdan Botezatu, Director Threat Research & Reporting bei Bitdefender: »Datenschutz ist nicht nur Aufgabe des Staates, der Behörden oder der IT-Anbieter. Auch professionelle Nutzer und der Normalverbraucher stehen in der Pflicht. Der Schutz von Zugangsdaten spielt dabei eine zentrale Rolle, weil Cyberkriminelle in ihnen zutreffend den ersten Türöffner für den Zugriff auf sensible Informationen sehen: Zum Ausnutzen von gekaperten digitalen Identitäten für weitere Cyber-Spionage als Anlass für einen Erpressungsversuch durch deren Veröffentlichung oder als Ausgangspunkt für betrügerische Aktionen.

Eine Umfrage von Bitdefender unter 1.000 deutschen Endverbrauchern aus dem Jahr 2022 zeigt, dass der notwendige Identitätsschutz bei der Cyberabwehr von den Anwendern nicht immer mitgedacht wird. Dezidierte Tools zum Schutz der Privatheit sehen viele Verbraucher offenbar bisher als nicht so wichtig an. 57 Prozent der Befragten nutzen zwar allgemeine Online-Sicherheits- oder Antiviruslösungen – schon das ist wenig. Spezifische Funktionalitäten gehören aber bei deutlich weniger Befragten zum IT-Sicherheitsrepertoire: Nur 31 Prozent verwendeten einen Password Manager, ganze 13 Prozent eine Lösung gegen Identitätsdiebstahl und zwölf Prozent einen dezidierten Dienst, um digitale Identitäten oder Daten zu schützen.

An der Notwendigkeit solcher Tools besteht kein Zweifel. Vehikel für den Identitätsdiebstahl ist und bleibt opportunistisches oder gezieltes Phishing – sei es über Mail, soziale Chatdienste oder SMS. Zugangsdaten über bösartige Links zu erspähen ist das Mittel der Wahl für die Betreiber von Phishing-Kampagnen. Die Angriffe richten sich sowohl gegen private wie professionelle Anwender, Systeme und Daten.

Cybersicherheitslösungen für Privatanwender, die etwa deren digitalen Fußabdruck überprüfen und Handlungsempfehlungen zum Schutz der digitalen Identität geben, aber auch für Unternehmen, wie (Extended) Endpoint Detection and Response (XDR), unterstützten die Abwehr und sind dabei unerlässlich. Aber auch die Aufmerksamkeit des menschlichen Anwenders bleibt entscheidend. Denn der Anwender übernimmt letztlich den aktiven Part, um einen Link zu öffnen und den Download bösartigen Codes zu starten. Eine angemessene Technologie und gesunder Menschenverstand bieten hinreichenden Schutz. Datenschutz ist also auch Privatsache.«

Forenova: Datenschutz muss am richtigen Ort und zur richtigen Zeit geschehen

Paul Smit, Director Professional Services bei ForeNova: »Datenschutz ist eine gesellschaftliche, geopolitische und wirtschaftliche Aufgabe für die IT-Sicherheitsverantwortlichen privater und staatlicher Organisationen. Nach Profit strebende Cyberkriminelle suchen auch deshalb mittlerweile Zugang zu sensiblen Daten: Ransomware-Akteure erpressen hohe Lösegelder, weil die Opfer den Pflichten des Datenschutzes nachkommen müssen. Einer Umfrage von Forenova und von Cybersecurity Insiders unter 236 professionellen Anwendern in den USA und Kanada von 2022 zufolge war jedes dritte Unternehmen von Ransomware betroffen. In 18 Prozent dieser Fälle drohten die Angreifer damit, Daten offenzulegen.

Diese Angriffe mit einer gezielten Exfiltration als wirksame Drohkulisse erfordern eine mehrstufige Vorbereitung wie Infektion eines Systems, Vernetzen mit einem Command-and-Control-Server und die Suche nach Inhalten, die ein Lösegeld notwendig machen. Daher braucht die Opfer-IT eine gestaffelte mehrstufige Abwehr: Eine Säule ist dabei das Monitoring des Datenverkehrs im Netz, das die Manöver der Hacker frühzeitig erkennt. Diese unscheinbaren Indizien zu entdecken ist wichtig, da sich häufig ein Malware-Code im Rahmen einer APT-Attacke nach Infektion des Systems erst einmal unauffällig verhält. Fileless-Malware-Angreifer tarnen ihre Aktionen mit legitimen Tools. Auch dieses Vorgehen erzeugt Spuren im Datenverkehr. Eine weitere Säule ist der Schutz am Endpunkt. Diese Systeme verhindern oder stoppen vor Ort die laufende Exfiltration. Künstliche Intelligenz erkennt kleine abweichende Muster von Datenverkehr im Netzwerk oder von Systemverhalten am Endpunkt.

Nicht weniger wichtig ist eine datenschutzkonforme Cyberabwehr: Eine Network Detection and Response analysiert in Echtzeit nur die Metadaten eines Netzverkehrs – nicht die Inhalte. Solche Analysen können in einem Rechenzentrum eines Dienstleisters in Europa erfolgen. Auch eine EDR entfaltet seinen Schutz, ohne den Datencontent im Blick zu haben – etwa durch das au