Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Perspektive wechseln: Daten, Daten, Daten. Vom Nebenprodukt in den Fokus.

Geschrieben von Michael Buckbee | May 21, 2014 8:00:00 AM

Von Cyril Simonnet, Sales Director DACH / NORDICS / Emerging Markets

Nebenprodukt. Notwendiges Übel. In allen Abteilungen irgendwie zu bewältigen. Die Rede ist von den täglich anfallenden Daten. Allerdings, diese eher negative Betrachtungsweise hat sich mit dem, was wir eher unspezifisch „Big Data“ nennen, radikal verändert. Kaum ein Unternehmen kann es sich noch leisten, beispielsweise die nutzergenerierten Daten als „Ballast“ zu betrachten.

Das allein ändert allerdings noch nichts an der Herausforderung diese Datenmenge technisch bewältigen, schützen und für Geschäftsprozesse nutzbar machen zu müssen und zu wollen.

Es sind vor allem zwei nicht ganz triviale Aspekte, wenn man an die Sicherheit von Daten denkt. Welche Daten sind gefährdet und wie kann man das wissen. Sprich: wie ist es um die Qualität meiner Daten/-haltung und die Datenhoheit tatsächlich bestellt?

Befragt

Ein genauerer Blick auf einige der jüngsten Untersuchungen präsentiert ein zunächst zwiespältiges Bild.

Ernst & Young veröffentlichte im Juli letzten Jahres die Ergebnisse einer Befragung von 400 Führungskräften deutscher Unternehmen, befragt worden sind Geschäftsführer, Leiter Konzernsicherheit und Leiter IT-Sicherheit. Trotz der täglich veröffentlichten Meldungen zu Datenlecks, Datenklau, Cyberspionage oder dem wieder entdeckten Scamming als Basis für Identitätsdiebstähle…auf die Frage „Wie schätzen Sie die derzeitige Bedrohung durch Industriespionage und Datenklau für Ihr eigenes Unternehmen ein?“, machten sich die angesprochenen Manager vergleichsweise wenig Sorgen. Nur jeder dritte von ihnen sieht sein eigenes Unternehmen direkt bedroht. Satte 86 Prozent der Befragten schätzen das Risiko Opfer von Cyber-Angriffen zu werden als sehr gering bis mäßig ein.

Demgegenüber verzeichnet eine Studie von EiQ Networks von Anfang April diesen Jahres, dass 71 Prozent der befragten IT-Entscheider in Bezug auf die reale Sicherheitslage im Unternehmen verunsichert sind und sich nicht unbedingt in der Lage sehen, mit möglichen Sicherheitslecks richtig umgehen zu können. Grundlage waren die Antworten von 268 IT-Entscheidern aus dem gehobenen Management, von IT-Sicherheitsverantwortlichen, aber auch Netzwerkadministratoren und Systemingenieuren.

Wie passt das zusammen?

Schaut man sich die beiden Befragungen etwas genauer an, fällt vor allem eines auf, und genau in diesem Punkt liegen sie dann auch wieder beieinander: die aktuelle Lage wird noch nicht unbedingt als bedrohlich eingestuft, allerdings wächst die Sorge vor einem deutlich steigenden Risiko. Dies gepaart mit der Befürchtung, die immense Datenmenge, verteilt über sämtliche Systeme, nicht ausreichend absichern zu können.

Neue Einfallstore für Datenklau?

Auch wenn die meisten Unternehmen im Moment noch gelassen reagieren, gerade im Bereich der Wirtschaftsspionage sehen sie eine wachsende Bedrohung.

Das sind laut der eingangs zitierten Studie von Ernst & Young dann doch 76 Prozent der Befragten und damit gut 10 Prozent mehr als noch vor zwei Jahren.

In diesem Bereich nähern sich die beiden Umfrageergebnisse eindrucksvoll an: 82 Prozent der von EiQ Networks befragten IT-Entscheider sind „beunruhigt“ oder sogar „sehr beunruhigt“ was einen möglichen Datenklau im kommenden Jahr betrifft. Und zwar in ihrem eigenen Unternehmen.

Um die IT-Sicherheit kümmert sich in deutschen Unternehmen primär die IT-Abteilung, eigene IT-Sicherheitsabteilungen unterhalten laut der Ernst-&-Young-Erhebung nur etwa 14 Prozent der befragten Unternehmen. Um sich vor Informationsabfluss zu schützen setzen Unternehmen weitgehend auf die Standardmaßnahmen und –methoden, die auch miteinander kombiniert werden, wie Firewalls, Passwörter, hohe Standards, Verbot von Brennern und USB-Ports, Monitoring, Intrusion Detection und Intrusion Prevention.

Das gelegentlich wie eine Geheimwaffe gehandelte SIEM (Security Information und Event Management) setzen lediglich zwei Prozent der Befragten ein. Das sieht also in der Bilanz eher traditionell aus. Dazu korrespondiert, dass Firmen in den beiden zurückliegenden Jahren nicht wesentlich mehr in die IT-Sicherheit investiert haben als zuvor. Zudem gehen deutsche Unternehmen davon aus, dass das Phänomen des Whistleblowing eher selten anzutreffen seie. Geheimhaltungsvereinbarungen schützten weitgehend davor.

Es gibt also in den weitaus meisten Unternehmen durchaus klare Regeln, wie Mitarbeiter und Unternehmensführung mit sensiblen Daten umgehen (sollten).

Wenn es also nicht die interne Bedrohung ist, kommt sie doch überwiegend aus dem Ausland? Hier sehen deutsche Unternehmen in der Tat eine reale und vor allem wachsende Gefahr, sowohl was den Datenklau durch konkurrierende Unternehmen anbelangt (aus dem In- und Ausland), aber auch im Hinblick auf staatliche oder geheimdienstliche Überwachung.

Wissen ist Macht?

Ein weiteres erschreckendes Phänomen: nur die wenigsten Attacken werden überhaupt bemerkt, und wenn ja, dann viel zu spät und gerne von externen Stellen wie Kunden, Partnern oder gleich durch Veröffentlichungen in den Medien. Und auch der Zufall spielt eine nicht geringe Rolle, ob ein Datenleck gefunden wird oder nicht und wann.

Auch wenn in der Studie von EiQ Networks die Grundgesamtheit der Unternehmen, die SIEM einsetzen, höher ist, etwa ein Drittel der Befragten haben das bejaht, sieht sich eine hohe Zahl von Unternehmen außerstande professionell geführten Attacken auf ihre Daten wirksam zu begegnen.

Nicht selten liegt das daran, dass nur ein Teil des Gesamtzyklus betrachtet wird wie das reine Abwehren von Attacken oder wie im Falle eines gerade aufgedeckten aktiven Angriffs zu reagieren ist. Firmen kämpfen mit verschiedenen Herausforderungen gleichzeitig: die enormen Mengen an nutzergenerierten Daten zu überwachen und zu verwalten, das ist die eine Seite. Die andere, für diese Daten ein Sicherheitskonzept zu entwickeln und umzusetzen, und dabei den Wust an geltenden Richtlinien, Verordnungen und Compliance-Regularien zu berücksichtigen. Und das nicht nur für die Geräte innerhalb des Unternehmens, sondern umso mehr für die Unzahl an mobilen Endgeräten, die nicht zuletzt im Rahmen von BYOD ihren Weg ins Unternehmensnetzwerk gefunden haben. Hier sieht eine übereinstimmend hohe Zahl der befragten Unternehmensvertreter einer der größten „Baustellen“ in punkto Risiko-Management.

Reine SIEM-Lösungen greifen denn auch aus Unternehmenssicht zu kurz. Laut EiQ Networks suchen bereits 40 Prozent der Befragten aktiv nach einer Lösung, die SIEM technologisch überlegen und zugleich kostengünstiger ist.

Finden und Verstehen

Eine der zentralen Fragen die Unternehmen für sich beantworten müssen, ist, welche Systeme und Daten sind ausreichend geschützt und welche nicht, beziehungsweise welche sind überhaupt und in welchem Maße besonders schützenswert oder müssen gemäß geltendem EU-Recht und branchenspezifischen Compliance-Regelungen besonders geschützt werden.

Wir haben uns in unserem Blog unter anderem hier und hier mit Aspekten der aktuellen EU-Datenschutzreform und der umstrittenen „Meldepflicht“ bei Datenschutzverstößen beschäftigt. Sie betrifft schon jetzt beim Schutz von personenbezogenen Daten die komplette Infrastruktur. Geräte, Software und Server. Es ist also sozusagen überlebenswichtig zu wissen, auf welchen Systemen welche nutzergenerierten Daten, wo das intellektuelle Kapital und Wissen eines Unternehmens sitzt oder/und besonders kritische, personenbezogene Daten.

Wer kann auf diese Daten zugreifen, und wer tut es tatsächlich und in welchem Ausmaß?

Zudem ist es wichtig zu verstehen, wie sich Daten im Dateisystem verbreiten und wo mögliche Schwachstellen liegen, wenn Mitarbeiter mit Daten arbeiten und vor allen zusammenarbeiten. Das gilt gerade in den Forschungs- und Entwicklungsabteilungen vieler Unternehmen, wenn vielleicht nur Bestandteile von Dateien, Teile von Präsentationen und Dokumenten sozusagen durch die Ordnerhierarchie wandern bis sie – im schlimmsten Falle – in einem Ordner landen, auf den jeder zugreifen kann und wo sie gegebenenfalls mit minimalem Aufwand angezapft werden können. Um wirksame Sicherheitskonzepte ein- und umzusetzen, werden Unternehmen nicht umhin kommen, über ihre Daten grundlegend Bescheid zu wissen.

Quellen:

EiQ-Networks Befragung: http://www.esecurityplanet.com/network-security/survey-finds-most-companies-arent-ready-for-a-data-breach.html?utm_content=buffer60333&utm_medium=social&utm_source=linkedin.com&utm_campaign=buffer

Ergebnisse der Befragung auf einen Blick/Infografik: http://www.eiqnetworks.com/resources/navigating-it-risk

EY: Datenklau: Neue Herausforderungen für deutsche Unternehmen, Juli 2013, http://www.ey.com/Publication/vwLUAssets/Praesentation_-_Datenklau_2013/$FILE/EY-Datenklau-2013.pdf

The post Perspektive wechseln: Daten, Daten, Daten. Vom Nebenprodukt in den Fokus. appeared first on Varonis Deutsch.