Cloud
Sicherheitsmythen: Meine unwichtigen Daten schützen?
Häufig kann man sich gar nicht vorstellen, was Diebe mit gestohlenen „unwichtigen“ Daten alles anfangen können. Außerdem gibt es ja noch den gesetzlichen Datenschutz, der für Sicherheit sorgt, also … alles gut? Hier gibt es einiges richtigzustellen!
Save to Folio
Eigentlich weiß man doch mittlerweile, dass jedermanns Daten heutzutage von Interesse sind, oder? Dennoch, die Aussage „Mit unseren Daten kann doch niemand etwas anfangen!“ gibt es wortwörtlich von Unternehmen. Und es sind gar nicht mal wenige. Kleinere Unternehmen halten sich für zu unbedeutend, um im Fokus von Datendieben zu stehen, aber auch größere sind der Meinung, keine relevanten Daten zu besitzen, die Verbrecher in irgendeiner Weise nutzen können.
Auf die Frage, warum dieselben Unternehmen ihre „unwichtigen“ Daten dann nicht einfach öffentlich auf ihrer Webseite präsentieren, erntet man Spott. Natürlich ist das dank DSGVO nicht erlaubt. Aber auch sonst geht es ja niemand etwas an, wie man mit seinen Kunden und Lieferanten spricht. Und überhaupt soll die Konkurrenz nicht wissen, wie man arbeitet – na, das sind doch immerhin schon drei gute Gründe für den Schutz der Daten.
Cyberkriminelle stehlen Daten, um die Opfer damit zu erpressen oder diese weiter zu verwerten. Personenbezogene Daten bieten sich da an, Phishing per Mail, falsche Meldungen zu Paketlieferungen an Handynummern, etc. Mit solchen Daten lässt sich viel Unfug anstellen. Aber auch Geschäftskontakte sind interessant, etwa um herauszufinden, wer mit wem über welche Projekte spricht. In einigen Fällen konnten Organisationen auch mit der Behauptung erpresst werden, man habe in den gestohlenen Daten Hinweise auf Verbrechen gefunden und werde die nun Strafverfolgungsbehörden oder der Presse mitteilen. Auch wenn daran möglicherweise nichts Wahres ist… können Sie für jeden einzelnen Mitarbeiter die Hand ins Feuer legen, oder überprüfen Sie erst den Wahrheitsgehalt dieser Aussagen?
Ich denke, ein paar dieser Argumente können jeden überzeugen, dass seine Daten für Kriminelle interessant sind und folglich gut geschützt sein müssen.
Der Schutz der Daten führt auch gleich zum nächsten Missverständnis oder Mythos: „Datenschutz ist gleichbedeutend mit Datensicherheit“.
Schutz der Daten ist auch Datenschutz – aber nicht unbedingt umgekehrt -- also gleich und doch ungleich, manchmal sogar gegensätzlich. Der Mythos hat seinen Ursprung in der Datenschutzgrundverordnung (DSGVO). Die Vorschrift erklärt personenbezogene Daten zum unwiderruflichen Eigentum der jeweiligen Person. Unternehmen können zeitweise in den Besitz dieser Daten gelangen, dürfen diese aber ohne Einverständnis des Eigentümers nicht verwenden. Gleichzeitig muss ein Besitzer der Daten diese natürlich auch gegen den Zugriff Unberechtigter (aka „Datendiebstahl“) schützen.
Aufgrund der Androhung hoher Strafen wurden entsprechende Maßnahmen zur Erfüllung des Datenschutzes in Unternehmen eingerichtet. Übersehen wird dabei, dass auch der Schutz der Daten also die Datensicherheit Teil dieser Maßnahmen sein muss, und oft wird das eine durch das andere sogar behindert. Denn technische Sicherheitslösungen benötigen unter Umständen personenbezogene Daten, um Angriffe nachvollziehbar und qualifizierbar zu machen. So werden von Kriminellen beispielsweise Zugangsdaten gestohlen, die dann wiederum als Eintrittspunkt in Unternehmen verwendet werden. Kommt der Angriff von einer zufällig generierten E-Mailadresse, von einem Partnerunternehmen oder gar einem bereits kompromittiertem internen Konto?
Um ein Unternehmen wirksam gegen diese Angriffe verteidigen zu können, muss ein Mittelweg gefunden werden, bei dem solche personenbezogenen Daten geteilt werden können mit der IT-Sicherheit und den dafür Sorge tragenden Partnern. Unternehmen müssen hierzu eine Interessensabwägung vornehmen. Trend Micro hat, um dies seinen Kunden zu erleichtern, einen Rechtsanwalt gebeten, diesen Schritt für unsere Kunden vorzubereiten. Sie können dies hier nachlesen.
Datenschutz geht alle an und ist wichtig. Mit der Herausforderung darf nicht sorglos umgegangen werden. Der Gesetzgeber stuft deshalb die IT-Sicherheit als ein „berechtigtes Interesse“ des Unternehmens ein, für welches Ausnahmen gelten können. Diese müssen im Rahmen der Erwägungen zum Datenschutz dokumentiert werden. Aber gerade weil dies vielen Unternehmen als sehr kompliziert erscheint, verzichtet man lieber auf fortschrittliche Technologien, oder Serviceleistungen wie beispielsweise einem 24*7 „Follow-the-Sun“-Konzept, bei dem Sicherheitsexperten rund um den Globus Alarm schlagen, wenn ein Vorfall außerhalb normaler Bürozeiten erkannt wird. Kommt es dadurch zum Sicherheitsvorfall, bei dem personenbezogene Daten kompromittiert werden, gilt der Grundsatz, nach „Stand der Technik“ geschützt zu haben. Ohne moderne Mittel der Angriffserkennung (Detection & Response) ein relativ schwieriges Unterfangen!
Um die Entzauberung der Legenden „Red Teaming, und wir sind sicher“ sowie „Wenn etwas passiert, zahlt doch sowieso die Cyberversicherung“ kümmern wir uns im nächsten Beitrag.