Für Unternehmen sind Daten so wertvoll wie Bargeld

Herausforderung Nummer 1 ist der Datenschutz

07.03.2018 von Thorsten Krüger
Unternehmen haben heutzutage mit Datentsunamis zu kämpfen. Hinzu kommen noch die massiven Auswirkungen, die die Einführung von IoT-Geräten auf die Anzahl der produzierten Daten hat.
Daten sind mehr als nur Informationen. Daten sind so wertvoll wie Zahlungsmittel - und somit auch bei Hackern und Kriminellen begehrt.
Foto: whiteMocca - shutterstock.com

Anzeichen für ein Nachlassen des Datenwachstums gibt es nicht. Der richtige Umgang mit digitaler Information ist heute ein wesentlicher Faktor für das Verständnis der Markttrends und der Kundenanforderungen - und ihr Wert für ein Unternehmen sowie die Auswirkung auf die Unternehmensgewinne sind gestiegen.

Der Wert von Daten ist in den letzten Jahren derart gewachsen, dass die meisten Unternehmen (85 Prozent) der Meinung sind, sie seien zur Bewältigung der geschäftlichen Herausforderungen so wertvoll wie Zahlungsmittel. Diese Werte ergeben sich im Rahmen einer internationalen Untersuchung zum Thema Datenschutz, bei der über 1000 IT-Entscheider befragt wurden. 70 Prozent der Studienteilnehmer setzen sie zur Verbesserung der Nutzererfahrung ein. Außerdem geben 56 Prozent an, die analsierten Informationen zur Bestimmung der Nachfrage zu nutzen.

Der Besitz von Information und die Fähigkeit, diese in Business Intelliegence umzusetzen, sind speziell auf einem wettbewerbsintensiven Markt wichtig. Wertvoll sind diese Daten jedoch nur, wenn ihre Integrität gewahrt bleibt. Wird diese von Cyberkriminellen unterwandert, könnte das dazu führen, dass Unternehmen Entscheidungen auf Basis ungenauer Daten treffen. IT-Verantwortliche müssen also auch dafür sorgen, dass beispielsweise bei Audits die Daten verifizierbar sind.

Folglich suchen Hacker ständig nach Wegen, diese Tatsache zu ihrem eigenen Vorteil zu nutzen, indem sie erbeutete Daten an Wettbewerber verkaufen oder so manipulieren, dass sie im Unternehmen zu Unterbrechungen führen.

Das erreichen sie durch die Transformation der Verkaufszahlen, um beispielsweise den Aktienwert zu verändern. Angesichts des enormen Wertes von solchen digitalen Assets und der kommenden DSGVO müssen Unternehmen unbedingt verstehen, dass Daten nicht nur verwaltet, sondern auch geschützt werden müssen.

Laut des neuen EU-Gesetzes zufolge hat jede Firma, die personenbezogene Daten von Bürgern verarbeitet, im Fall einer Dateschutzverletzung empfindliche Strafen zu zahlen und erleidet möglicherweise Umsatzeinbußen aufgrund des beschädigten Kundenvertrauens.

Cyberkriminelle überwachen Organisationen aktiv, um genau zu erkennen, welche Daten sie sammeln und speichern. Dies läuft wie eine Art Profitanalyse ab, um voraussagen zu können, womit die Cyberkriminellen das meiste Geld machen könnten, falls sie in Besitz der Daten kämen.

Normalerweise handelt es sich bei den wertvollsten Daten um Kundeninformationen oder personenbezogene Daten (Personally Identifiably Information, PII). PII hilft Unternehmen bei der Personalisierung ihrer Angebote und der Vorhersage von Markttrends.

Durch Informationen wie Geburts- und Zahlungsdaten, können Kunden und andere nahestehende Personen identifiziert und ihre finanziellen und anderen persönlichen Daten kompromittiert werden.

Daten sind wertvoll für Unternehmen wie auch für Hacker

Alternativ könnten Kriminelle Daten wie kürzlich getätigte Einkäufe nutzen, um Kunden mithilfe von Social Engineering anzusprechen. Mit diesen Informationen könnte sich ein Hacker als vertrauenswürdige Organisation darstellen, wie zum Beispiel als Bank, um ihre Zielperson zu überzeugen, weitere persönliche Details preiszugeben.

Unternehmen, die die in ihrem Besitz befindlichen PPI nicht verschlüsseln, laufen Gefahr, dass sie ihnen gestohlen, an Wettbewerber verkauft oder veröffentlicht werden. Davon abgesehen stellten wir in unserer Studie fest, dass über ein Drittel der Unternehmen wertvolle Informationen wie Kundendaten (35 Prozent) oder Zahlungsdaten (32 Prozent) noch immer nicht verschlüsseln.

IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Um sich selbst zu schützen, haben Unternehmen in der Vergangenheit auf Cybersicherheitskonzepte zurückgegriffen, die ihre Netzwerke und Perimeter sichern. Dass PII nicht verschlüsselt wurden, könnte darauf zurückzuführen sein, dass die Mehrheit der Unternehmen (86 Prozent) in die erfolgreiche Abwehr von Cyberattacken vertraut. Dabei rät das BSI und andere Sicherheitsexperten schon lange vom "Assume the Breach"-Paradigma. Trotzdem zeigen die Ergbenisse den Mangel an Verständnis in Unternehmen, wenn es um die Sicherung von Netzwerken und Daten geht.

Der Glaube, dass Netzwerksicherheit auch Datenschutz bedeutet, hat zu Vertrauen in die falschen Maßnahmen geführt. Zwar nutzen über zwei Drittel (69 Prozent) der Unternehmen statische Passwörter, um Daten zu schützen. Allerdings schützen selbst die kompliziertesten Passwörter Daten nicht zu hundert Prozent. Kurz gesagt: Ein vollkommen sicheres Passwort gibt es nicht.

Eine weitere Folge ist, dass viele Firmen der Sicherung ihrer Perimeter Priorität einräumen. Diese umfasst Maßnahmen wie:

Ähnlich wie Passwörter ist auch die Perimetersicherung gegenüber raffinierten Cyberangriffen größtenteils wirkunslos. Trotzdem haben drei Viertel (76 Prozent) der Unternehmen ihre Investitionen in Perimetersicherheitssysteme erhöht, um sich vor externen Angreifern zu schützen.

Fazit

Angesichts der bald in Kraft tretenden Datenschutzbestimmungen werden sich die gesetzlichen Cybersicherheitsanforderungen ändern. Unternehmen, die ihre Investitionen in Perimetersicherheit getätigt haben, werden bald merken, dass die eigentliche Quelle aller Informationen damit nicht geschützt ist.

Dabei lauern genau dort die größten Gefahren für Unternehmen, und dort müssen sie den Fokus ihrer Anstrengungen auf die Sicherheit richten. Führen Unternehmen keine grundlegenden Sicherheitsmaßnahmen wie Verschlüsselung und Zwei-Faktor-Autentifizierung ein, bleiben ihre Daten ungeschützt, was Datendiebstahl oder -Manipulation leicht macht.

Investitionen in Cybersicherheit sind deutlicher in den Fokus gerückt, da sich die Inhaber des Wertes der Daten, die dadurch geschützt werden, bewusst geworden sind. Wenn Daten so wertvoll wie Zahlungsmittel sein sollen, müssen sie genauso scharf bewacht werden wie das Gold in Fort Knox.

Das fehlende Verständnis für korrekte Cybersicherheitslösungen steht der Einhaltung der Datenschutzgesetze jetzt im Weg. Bald werden Unternehmen, die ihre Cybersicherheit nicht verbessern, strenge rechtliche, finanzielle und rufschädigende Folgen tragen müssen. Perimetersicherheit bietet keinen ausreichenden Schutz, deshalb müssen Firmen die richtigen Sicherheitsprotokolle einführen, um Daten über den kompletten Life Cycle sichern.