Obwohl ständig neue Cybersicherheitstechnologien auf den Markt kommen und weiterentwickelt werden, um aktuelle Bedrohungen bewältigen zu können, bleiben viele Datenschutzverstöße monate- oder gar jahrelang unentdeckt.
Beispielsweise blieb 2018 einer der größten erfolgreichen Angriffe, bei dem 383 Millionen Kunden der Marriott-Hotelgruppe zu Schaden kamen, offenbar vier Jahre lang im Verborgenen.
Um solch anhaltende Datenschutzverstöße zu vermeiden, ist es wichtig, ihre tieferen Ursachen zu analysieren und unsere Haltung zur Cybersicherheit zu ändern, statt nach einer Wunderwaffe zu suchen, die alle Probleme löst. Dieser Artikel geht auf häufige Fehler von Unternehmen ein, die die Wahrscheinlichkeit, dass langfristige Zwischenfälle unerkannt bleiben, weiter erhöhen – was die Auswirkungen kostspieliger Datenverstöße noch verschlimmert. Darüber hinaus gibt er Tipps zur Verringerung der Risiken.
Fehler #1: Isolierte Sicherheitssysteme
Bei Großunternehmen kommt es im Laufe ihrer Entwicklung häufig zu mehreren Fusionen und Übernahmen. Eine solche Strategie kann die Aktienkurse positiv beeinflussen, doch kann dieser Vorgang auch zu mehr Komplexität der IT-Systeme führen und die Datenschutzrisiken erhöhen. Insbesondere der Datenschutzverstoß bei Marriott trat ursprünglich im Reservierungssystem von Starwood auf, einer Kette, die der Hotelriese 2016 erworben hatte. Anstatt Sicherheitskontrollen zu vereinheitlichen und die Erkennungsfunktionen des neu erworbenen Betriebs gleich nach dem Deal zu verbessern, hat Marriott es offensichtlich versäumt, notwendige Maßnahmen zu ergreifen und so zwei Jahre verstreichen lassen, bevor Ende November 2018 ein Datenleck entdeckt wurde.
Es ist immer gut, aus den Fehlern anderer zu lernen. Deshalb sollten Organisationen bei dem Versuch, ihre Sicherheitslage zu verbessern, keine Entwicklungsstufe ihres Unternehmens übersehen. Sollten sie feststellen, dass Geschäftsanwender sensible Daten an unsicheren Orten in On-Premise- und Cloud-Anwendungen speichern, wäre es ratsam, einen Schritt zurückzutreten und eine IT-Bestandsaufnahme durchzuführen. Dieser Prozess ermöglicht Unternehmen, sensible Daten zu ermitteln und zu klassifizieren sowie zu verifizieren, dass sensible Dateien nicht übermäßig gefährdet sind und dass sie nur an dafür vorgesehenen sicheren Orten mit angemessener Zugriffskontrolle gespeichert werden. Organisationen sollten auch ihre Sicherheitsrichtlinien aktualisieren, vereinheitlichen und in der gesamten IT-Infrastruktur anwenden. Die Implementierung systemübergreifender Lösungen würde auch den Prozess der Sicherheitsüberwachung vereinfachen.
Fehler #2: Fehlende Verantwortlichkeit
Viele Unternehmen haben eine komplexe Management-Struktur mit geringer Verantwortlichkeit und nur unzureichendem Einblick in IT-Sicherheitsrichtlinien, deren Entwicklung und Durchsetzung. Der Cyberangriff auf Equifax, der zu einem der berüchtigtsten Datenschutzverstöße in der Geschichte führte, blieb aufgrund eines abgelaufenen Sicherheitszertifikats 76 Tage unentdeckt.
Wie später heraus kam, schränkte das Fehlen klarer Kompetenzabgrenzungen in der IT-Managementstruktur von Equifax die rechtzeitige Implementierung von Sicherheitsinitiativen ein und ermöglichte so das Ablaufen von mehr als 300 Sicherheitszertifikaten.
Im IT-Sicherheitsteam sollte eine Person für die Entwicklung und die Implementierung von Informationssicherheitsrichtlinien verantwortlich sein. Meistens ist das der Chief Information Security Officer (CISO). Der CISO sollte klare Richtlinien mit Verantwortlichkeitsbereichen erarbeiten und IT-Teams eindeutige Arbeitsabläufe für die Sicherheitsfragen vorgeben, für die sie verantwortlich sind.
Ein weiterer wichtiger Tipp ist die Implementierung automatisierter Patching-Tools, mit deren Hilfe IT-Teams proaktiv handeln können, statt mit manuellen Updates überhäuft zu werden. Viele Experten sind der Meinung, der erfolgreiche Angriff auf Equifax hätte so verhindert werden können.
Fehler #3: Fehlende Unterstützung des CEOs
Stellt die Sicherheit für einen Chef kein Geschäftsziel dar, fehlen für IT-Sicherheitsteams möglicherweise die entscheidende strategische Richtung sowie die entsprechenden Ressourcen. In solchen Unternehmen sind IT-Teams üblicherweise mit routinemäßiger Fehlerbehebung überlastet, denn entweder ist die Abteilung personell unterbesetzt oder ihr fehlen die modernen Technologien. In diesem Fall können IT-Teams ihre Sicherheitsbemühungen nicht priorisieren und auf wachsende Bedrohungen nicht proaktiv reagieren.
Jeder CEO sollte Datenschutz als Geschäftsziel betrachten und ein führungsorientiertes Sicherheitskonzept erarbeiten. Regelmäßige Meetings mit dem CISO sind ein Muss. Um den maximalen Nutzen aus solchen Meetings zu ziehen, sollten Organisationen Metriksätze entwickeln, mit deren Hilfe die Wirksamkeit der Cybersicherheitsstrategie bewertet werden kann. Genauso wichtig ist es, dafür zu sorgen, dass IT-Teams sich auf Themen konzentrieren können, die für die Sicherheit des Unternehmens entscheidend sind. Dazu muss in moderne Lösungen investiert werden, die den Großteil der Sicherheitsprozesse automatisieren und dem Unternehmenswachstum entsprechend problemlos skaliert werden können.
Fehler #4: Unwirksame Cybersicherheitsstrategien
Manche Organisationen geben zwar große Summen für Technologien aus, die alle IT-Risiken bewältigen sollen, doch wenn keine Risikobewertung vorgenommen wird, haben sie das Geld vielleicht umsonst ausgegeben. Zum Beispiel könnte ein Unternehmen nicht nur zu viel für das Speichern und den Schutz veralteter Daten ausgeben, sondern auch einen unbefugten Zugriff auf ihre Kundendatenbank übersehen.
Sicherheitsbemühungen sollten priorisiert werden und mit einer IT-Bestandsaufnahme beginnen. Diese hilft, die wichtigsten Datenbestände zu ermitteln und zu schützen, wie beispielsweise Daten, die unter die Datenschutzgrundverordnung (DSGVO) fallen. Wenn alle sensiblen Daten klassifiziert sind, sollten Organisationen die Datenschutzrichtlinien mit jeder Sensibilitätsstufe korrelieren. Dies sollte dann als Basis für den Vorfallreaktionsplan dienen. Zu guter Letzt ist es wichtig, Alarmmeldungen einzurichten, die es Unternehmen ermöglichen, verdächtige Aktivitäten im Netzwerk in Echtzeit zu erkennen.
Fehler #5: Nicht umsetzbarer Vorfallreaktionsplan
Eine Netwrix-Studie zeigt, dass nur 17 Prozent der befragten Unternehmen überhaupt einen Vorfallreaktionsplan haben. Bei den übrigen 83 Prozent besteht keine Gewähr, dass sich ihr Plan in der Realität bewährt. Das bedeutet, dass sie im Falle eines Vorfalls nicht effizient handeln, Zeit verschwenden und versäumen, ihre Kunden sowie die Behörden ordnungsgemäß zu benachrichtigen.
Es wird empfohlen, einen Pseudo-Cyberangriff im Rahmen eines Penetration-Tests zu starten. Damit kann festgestellt werden, ob ein erstellter Plan wirksam ist. Es wird auch dabei gewährleistet, dass jeder genau weiß, was bei einem Vorfall zu tun ist. Die Testergebnisse sollten zur Verbesserung des Plans sowie zur Entwicklung einer gängigen Praxis für Mitarbeiter herangezogen werden.
Für Unternehmen besteht die einzige Möglichkeit, dauerhafte Datenschutzverstöße zu vermeiden, darin, dafür zu sorgen, dass ihre Cybersicherheitsstrategie einen permanenten Schwerpunkt darstellt und nicht eine einmalige Übung ist, die bald vergessen ist. Ein zukunftsorientierter Unternehmensleiter sollte Cyberrisiken gleichberechtigt mit allen anderen Unternehmensrisiken und Cybersicherheit als ein unternehmensweites Problem behandeln. Eine sicherheitsorientierte Kultur sollte ein gemeinsames Bestreben aller Abteilungen sein und sich auf Technologie, Prozesse und Menschen erstrecken. Mit einer zentralisierten IT-Governance und einem weitreichenden Überblick über die IT-Infrastruktur können Unternehmen sicher sein, dass unbefugter Zugriff erkannt und rechtzeitig gestoppt wird.
Jürgen Venhorst, Country Manager DACH bei Netwrix, www.netwrix.de