IT-Sicherheit

Einige meiner Kollegen sprechen immer wieder darüber, dass die E-Mail das Kommunikationstool Nr. 1 ist (wie beispielsweise Franzi). Immer mehr Unternehmen nutzen allerdings Chat- oder Messenger-Dienste wie Slack oder auch WhatsApp für ihre Kommunikation. Die Vorteile liegen auf der Hand: Die Messaging-Apps ermöglichen es, jederzeit und an jedem Ort zu kommunizieren – in Zeiten der ständigen Erreichbarkeit und der oft gewünschten Rund-um-Verfügbarkeit also ein absoluter Pluspunkt. Fragen können damit unkompliziert auf direktem Weg geklärt werden und da auf Höflichkeitsfloskeln wie Begrüßung oder Verabschiedung verzichtet werden kann, spart man sich auch noch Zeit.

Klingt also eigentlich alles ganz gut. Wäre da nicht die Sache mit dem Datenschutz. Denn was man bei all den Vorteilen nicht vergessen darf: Viele dieser Anbieter sind amerikanische Konzerne mit – und an dieser Stelle muss ich jetzt einfach mal so ehrlich sein – haarsträubenden Nutzungsbedingungen. Nicht zuletzt durch die DSGVO, die ab 25. Mai 2018 gilt, kann der Einsatz von Messengern damit zu einem hohen Risiko für Unternehmen werden.

Denn auch wenn Sie nicht zu den Kandidaten gehören, die „mal eben die aktuellen Geschäftszahlen über WhatsApp rüberschicken“, die wenigsten Nutzer sind sich tatsächlich bewusst, welche Rechte sie den Anbietern einräumen, wie beispielsweise den Zugriff auf gespeicherte Kontakte oder auf personenbezogene Daten, die es den Diensten ermöglichen, persönliche Benutzerprofile zu erstellen.

Aber – und ich denke, hier sind wir uns alle einig – Messenger sind einfach viel zu bequem, um sie den Mitarbeitern grundsätzlich zu verbieten. Zumal sie, bei richtigem Einsatz, sogar eine sichere Alternative zur E-Mail, dem amtierenden Platzhirsch unter den Kommunikationsmethoden, darstellt. Unternehmen sollten deshalb nach europäischen Diensten Ausschau halten, die komplett verschlüsselt werden, also nicht nur während der Datenübertragung, sondern auch bei der Datenlagerung auf den Endgeräten und Servern.

Eine weitere Möglichkeit ist der Einsatz von sogenannten Container-Lösungen, die sicherstellen, dass bestimmte Anwendungen und Daten in einem abgeschotteten Umfeld, dem Container, laufen. Die Daten sind dann vom Rest des Geräts isoliert und ein unerlaubter Datenabgleich damit nicht mehr möglich.

Und so können dann endlich auch die weniger seriösen Fotos der letzten Weihnachtsfeier mit allen Kollegen geteilt werden.

menuseperator

Egal, ob es um den Schutz unserer persönlichen Daten geht, um Staatsgeheimnisse oder um die Kontrolle über das interne IT-System: Die IT-Sicherheit gewinnt immer mehr an Bedeutung, denn Gefahren lauern aus allen Richtungen. In den letzten Jahren haben sich sowohl der Schweregrad als auch die Häufigkeit von Datenmissbrauchs-Fällen vervielfacht. Schlupfloch für die Angriffe sind dabei meist fehlende Sicherheitsmaßnahmen: mangelhaft konfigurierte Einstellungen oder Rechte, unzureichendes Zugriffsmanagement oder lückenhafte Nutzungsrichtlinien. Trojaner, Hash-Attacks, Phishing-Mails, all dies sind keine Fremdwörter mehr und Cyberattacken jeglicher Couleur wurden in den vergangenen Jahren publik. Längst geht es nicht mehr nur um unsere Daten, die massenweise gespeichert und ausgespäht werden – gläsern ist der Mensch inzwischen sowieso – mittlerweile zielen diese Angriffe auf konkreter fassbare Bereiche unseres Lebens ab: unser Hab und Gut wie auch unser Leben geraten ins Visier. Heute benötigen Terroristen und Kriminelle keine Waffen mehr, um Unternehmen oder gar ganze Staaten zu bedrohen.

Das zeigen Coups in den vergangenen Monaten ganz deutlich: Da wären beispielweise die „Guardians of Peace“, die 2014 wegen unzureichender Sicherheitsvorkehrungen ganz einfach in das Firmennetz von Sony Pictures Entertainment eindringen konnten, massenweise Daten der Filmstars abgriffen und den Konzern tatsächlich zwangen, einen Nordkorea-kritischen Film nicht auszustrahlen. Eine Blamage sondergleichen für Sony. Ein weiteres Beispiel dafür, wie lax die Industrie mit Sicherheitsmaßnahmen umgeht, ist der BMW-Connected-Drive-Hack, wo Hacker ganz einfach via einer Sicherheitslücke 2,2 Millionen Fahrzeuge entsperren konnten – das Angebot DriveNow von BMW sollte wohl nicht nur dem Besitzer freistehen, sondern auch jeglichem Passanten das Vergnügen einer kleinen Spritztour bereiten.

Fortgesetzt wird die Reihe durch einen aktuellen Hackangriff, welcher aber die Öffentlichkeit nicht nur in Sprachlosigkeit, sondern regelrecht in Angst versetzt: Der Passagier, der sein Flugzeug hackte – einem Sicherheitsexperten war es möglich, das Steuerungssystem eines Flugzeugs ganz simpel aus der Passagierkabine heraus zu hacken und somit die Kontrolle über das Leben vieler Menschen zu übernehmen. Wenn es nicht gelingt neue, nicht hackbare Sicherheitsvorkehrungen einzurichten, müssen wir in Zukunft vielleicht gar mit erweiterten Handgepäckregeln rechnen: das Verbot gilt nicht mehr nur für Flüssigkeiten und Waffen, sondern betrifft in Zukunft auch BYOD.

Da sich hier einmal mehr zeigt, dass für die Industrie das Kriterium Sicherheit immer noch nicht oberste Priorität hat, wird der Ruf nach einem Gesetz immer dringlicher, das zu einer Erhöhung der IT-Sicherheit in Deutschland beitragen soll. Dazu diskutiert der Bundestag momentan eine Gesetzesvorlage, die aber von Experten scharf kritisiert wird: unter anderem sieht das Gesetz keine proaktiven Sicherheitsmaßnahmen als Pflicht vor, sondern im Falle schon eingetretener Sicherheitsvorfälle eine Meldepflicht. "Eine weitere Bürokratisierung der IT-Sicherheit geht zulasten dringend notwendiger proaktiver Maßnahmen zur effektiven Erhöhung der IT-Sicherheit", so der Experte Linus Neumann vom Chaos Computer Club. Da in vielen Fällen Daten-Ausspähungen nicht einmal von den vorhandenen Security-Systemen entdeckt werden, wirklich eine fragwürdige Besserung! Das Übel der Angriffe wird nicht bei der Wurzel gepackt und im Keim erstickt, sondern nur mit zahlreichen anderen Vorfällen dokumentiert und ad acta gelegt.

Im Zeitalter des Internet of Things sollte endlich ein Umdenken stattfinden und in der Euphorie eines technischen Fortschritts um jeden Preis nicht jede Innovation ohne ausreichende Sicherheitsprüfung eingeführt werden. Und dazu ist ein entsprechendes Gesetz schlichtweg notwendig.

Quelle: pixabay / Lizenz: CC0 Public Domain

menuseperator

Ich sitze staunend vor meinem Rechner und schaue mir die Unmengen an bunten „Kometstreifen“ an, die quer über die Weltkarte rasen. Habe ich mich in der Webseite geirrt? Sehe ich gerade den für die nächsten Tage zu erwartenden Meteroitenschwarm der Perseiden oder doch die Darstellung der gerade stattfindenden Cyberattacken? Unter http://map.ipviking.com dokumentiert Norse das Ausmaß der Angriffe auf Kommunikationsnetze in Echtzeit. Mit Abstand die meisten Attacken kommen gerade aus China und treffen die USA. Und interessant: Die Niederländer sind heute bei den Ländern, aus denen die Angriffe gestartet werden, auf Platz drei. Vielleicht wollen sie mit allen Mitteln in Erfahrung bringen, wie man endlich im Fußball Erfolg hat bzw. Weltmeister wird...

menuseperator

Cyber-Kriminelle entwickeln immer raffiniertere Angriffsmethoden, um die Sicherheitssysteme von Unternehmen auszutricksen: Nicht zuletzt durch Trends wie BYOD, Mobility und Cloud Computing sind IT-Infrastrukturen in Unternehmen heute verschiedensten Bedrohungen ausgesetzt und effiziente, umfassende Sicherheitskonzepte unabdingbar.

Aber sind sich Unternehmen dessen wirklich bewusst und handeln sie entsprechend? Unser Kunde Dell Software hat in einer weltweiten Umfrage 1.440 IT-Entscheidungsträger in Unternehmen mit mehr als 500 Mitarbeitern, darunter 200 Unternehmen aus Deutschland, nach ihrer Einschätzung der IT-Sicherheit und künftiger Bedrohungen befragt.

Demnach verleihen lediglich 17 Prozent der befragten deutschen Unternehmen dem Thema IT-Sicherheit 2014 die höchste Priorität auf ihrer Agenda, doch Achtung: Zugleich betonen ganze 69 Prozent, IT-Sicherheit sei für sie Dauerbrenner und in jedem Jahr wichtig. Dies beschert deutschen Unternehmen die Pole-Position im internationalen Vergleich: Denn nur rund jedes zweite Unternehmen weltweit (48 Prozent) sieht die IT-Sicherheit als permanentes Top-Thema. In den USA wiederum zeichnet sich ein ganz anderes Bild – hier scheinen die Snowden-Affäre und ihre Folgen einen wahren Bewusstseinskick ausgelöst zu haben: Schreiben nur 22 Prozent der Unternehmen der IT-Sicherheit eine ständige Priorität zu, so sehen sie stolze 72 Prozent in diesem Jahr thematisch ganz vorne.

So weit, so gut. Aber bedeutet dies nun, dass deutsche Unternehmen in der Mehrheit bereits bestens gewappnet sind und sich entspannt zurücklehnen können?

Besser nicht! Sich hier auf sicherem Posten zu wähnen, könnte sich als trügerisch erweisen: Denn mit neuen Technologien und Nutzungsweisen gehen auch immer wieder neue Bedrohungen einher. Und neben verschiedenen Motiven wie Datenklau oder direkter Schädigung der IT-Systeme gibt es auch vielfältige andere Gefahrenquellen - Angriffe von außen, aber auch von innen, zum Beispiel durch unwissende oder schlampig handelnde Mitarbeiter.

So erlitten rund 66 Prozent der deutschen Unternehmen in den letzten zwölf Monaten Sicherheitsverletzungen - weltweit lag die Quote bei 74 Prozent, in den USA sogar bei 87 Prozent. Laut der Studie schlugen diese Sicherheitsvorfälle in den befragten Unternehmen durchschnittlich jeweils mit rund einer Million Dollar zu Buche. Proaktive Maßnahmen, bevor das Kind im Brunnen liegt bzw. der Hacker oder Schadcode in der Leitung sitzt, können hier einiges abwehren. Und: Nur 55 Prozent der befragten deutschen IT-Entscheidungsträger sehen sich gegen jegliche Art künftiger Bedrohungen gewappnet, weltweit sind es 60 Prozent.

Übrigens, ganze 64 Prozent der weltweit befragten Unternehmen meinen, die Frage laute nicht, ob sie Sicherheitsverletzungen zum Opfer fallen, sondern vielmehr wann

Unser „Projekt Datenschutz“ zeigt die letzten Fälle von Datenpannen, -skandalen und
-missbrauch auf sowie alle Ereignisse rund um die Affäre Snowden: www.projekt-datenschutz.de

menuseperator
IT-Sicherheit abonnieren