GDPR: Unternehmen erkennen Datenlecks viel zu spät

grafik-balabit-csi-report-201610

44 Prozent der Unternehmen sind nicht in der Lage, Datenschutzverletzungen innerhalb von 72 Stunden zu erkennen und zu melden. Das ergab der aktuelle CSI-Report [1]. Diese Meldefrist tritt jedoch mit der neuen Datenschutz-Grundverordnung (General Data Protection Regulation) in Kraft und gilt für Mitgliedsstaaten der EU. Bei Verstoß riskieren sie Strafen in Höhe von bis zu vier Prozent ihres Jahresumsatzes.

Zwar haben derzeit 75 Prozent der Unternehmen einen Zeitrahmen fixiert, in dem IT-Sicherheitsvorfälle untersucht werden müssen. Doch fast die Hälfte der befragten IT- und Sicherheitsfachleute mussten einräumen, dass sie diese Fristen nicht einhalten können – trotz der strikten Vorgaben der General Data Protection Regulation (GDPR) und weiterer Compliance-Regelungen. Rund 7 Prozent der Unternehmen wurden aus diesem Grund bereits bestraft oder mussten wegen Verstößen gegen Compliance-Vorgaben Sanktionen hinnehmen.

»Der Hauptgrund für diese Versäumnisse liegt darin, dass Unternehmen vorliegende Daten nur in unzureichendem Maße auswerten und interpretieren können«, erklärt Péter Gyöngyösi, Product Manager von Blindspotter bei Balabit. »Mit den eingesetzten Tools ist es schlichtweg nicht möglich, die relevanten Informationen in unstrukturierten oder umfangreichen Datenbeständen aufzuspüren. IT- und Sicherheitsfachleuten fehlen demnach kontextbezogene Daten, die aber notwendig sind, um tiefer reichende Analysen durchzuführen und aus Datenbergen verwertbare Informationen zu machen.«

Zu viele Grauzonen vorhanden

Besonders drastische Datenlecks, etwa bei Yahoo oder dem Seitensprung-Portal Ashley-Madison, stoßen auf eine breite Resonanz in der Öffentlichkeit. Allerdings, wie die Ergebnisse der Balabit-Studie zeigen, gibt es noch zu viele Grauzonen bei der Meldung von Datenschutzverletzungen. Zum Beispiel Ransomware-Attacken werden meist nicht gemeldet, wenn Lösegeld gezahlt und keine Daten gestohlen wurden. Oder es geschieht teils mit Absicht, um den guten Ruf zu wahren und wirtschaftlichen Schaden abzuwenden, teils unwissentlich, teils aus purer Hilflosigkeit heraus.

Daran ändern auch klassische IT-Sicherheits-Tools nichts. Diese sind notwendig und tun das, wofür sie konzipiert wurden. Doch häufig sind solche Lösungen weder miteinander verknüpft, noch werden die gesammelten Informationen schnell genug, das heißt in Echtzeit analysiert. Dann taugen sie dafür, die formale Einhaltung von Compliance-Regeln zu überprüfen. Datenverluste durch Angriffe bleiben jedoch unbemerkt oder werden nicht gemeldet.

Schärfere Vorgaben durch die GDPR

Balabit zufolge waren bislang rund 30 Prozent der Organisationen nicht dazu verpflichtet, Vorfälle im Bereich IT-Sicherheit den zuständigen Behörden zu melden. Von den 70 Prozent meldepflichtigen Firmen existieren bei 25 Prozent keinerlei Vorgaben, bis wann sie solche Vorkommnisse zur Kenntnis bringen müssen. Doch das ändert sich mit der Datenschutz-Grundverordnung. Sie wird nach einer Übergangsfrist von zwei Jahren am 25. Mai 2018 für Unternehmen und Behörden anwendbar und betrifft alle Unternehmen, die in der EU personenbezogene Daten verarbeiten oder mit Firmen aus der EU Geschäfte machen. Die neuen Regelungen sehen vor, dass Unternehmen Datenpannen, bei denen personenbezogene Informationen involviert sind, innerhalb von 72 Stunden melden müssen. Sonst laufen sie Gefahr, eine Strafe in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes bezahlen zu müssen.

Wichtigste Aspekte von Untersuchungsverfahren

Balabit befragte im Rahmen der Studie IT-Experten, welche Faktoren bei der Analyse von sicherheitsrelevanten Vorfällen für sie am wichtigsten sind und wie zufrieden sie mit dem aktuellen Zustand sind. Der Wert 1 steht dabei für »Schwerwiegende Probleme«, der höchste Wert 5 für »Alles funktioniert bestens«.

  1. Daten in aussagekräftige Informationen umsetzen: Hier zeigte sich eine massive Diskrepanz. Mit einem Wert von 3,48 belegte dieser Punkt den letzten Platz auf der Zufriedenheitsskala. Dagegen erzielte diese Funktion mit 4,08 Punkten den höchsten Wert, was ihre Bedeutung betrifft. Das heißt, der Mangel an Tools, die aus Datenbeständen verwertbare Informationen extrahieren können, ist für IT-Fachleute das größte Problem im Rahmen von Untersuchungen.
  2. Verhalten von gleich gelagerten Nutzern vergleichen: Mit 3,39 Punkten erreichte diese Eigenschaft die zweitbeste Bewertung in puncto Zufriedenheit, wurde jedoch mit 3,8 als weniger relevant eingeordnet. Dieser Faktor ist das Bindeglied zu den fehlenden kontextbezogenen Daten, also das, was IT-Experten bei der Analyse von Vorfällen vermissen: Metadaten über das Verhalten von IT-Usern. Eine einzelne Datenquelle kann solche Informationen nicht bereitstellen, eine kombinierte Analyse von Daten aus mehreren Quellen dagegen schon. Sie liefert Antworten auf die Frage, welche Unterschiede das aktuelle Verhalten eines IT-Nutzers im Vergleich zu seinen sonstigen Aktivitäten aufweist. Dadurch sind IT-Abteilungen in der Lage, verdächtige Aktionen zu erkennen und Risiken frühzeitig zu eliminieren.
  3. Einen zentralen Startpunkt haben, inklusive aller relevanten Detailinformationen: Dieser Faktor erreichte in Bezug auf seine Bedeutung einen Wert von 3,94. Die Experten vergaben hinsichtlich der Zufriedenheit mit dem aktuellen Status 3,51 Punkte. Dies weist darauf hin, dass die befragten Unternehmen entweder nicht über effiziente Security Operation Center (SOC) verfügen. Oder sie haben es nicht geschafft, alle Datenquellen zu integrieren und für Analysen zu nutzen. Das ist problematisch, denn die Qualität von Untersuchungsergebnissen hängt von den Datenquellen ab. Das Fehlen kontextbezogener Informationen erweist sich im Rahmen von solchen Analysen oft als hoch problematisch.
  4. Die Fähigkeit, ad hoc weitere Detailinformationen zu ermitteln (»Drill-down«): Auch dieser Faktor wird mit 3,94 Punkten als wichtig eingestuft. Die Zufriedenheit mit dem Ist-Zustand, also den vorhandenen Tools, gaben die Experten mit 3,64 an. Allerdings ist dabei zu berücksichtigen, dass manuelle »Drill-down«-Analysen zeitaufwändig sind. Das verschafft Angreifern einen Vorsprung, den sie beispielsweise dafür nutzen können, um Unternehmensdaten zu entwenden.
  5. Einfacher Zugang zu allen relevanten Daten: Mit einem Wert von 4,07 ist dies der zweitwichtigste Faktor. Mit 3,64 Punkten ist die Zufriedenheit der IT-Experten mit dem Status quo relativ hoch. Allerdings ist dabei zu berücksichtigen, dass der Höchstwert bei 5,0 liegt. Die erzielte Punktzahl ist somit ein Beleg dafür, dass sich IT-Sicherheitsexperten bei der Untersuchung von IT-Sicherheitsvorfällen mit erheblichen Herausforderungen konfrontiert sehen.

[1] Balabit befragte im Rahmen der Untersuchung während der RSA Conference 2016 USA in San Francisco 108 IT- und Sicherheitsexperten. Es handelte sich um CIOs, Chief Information Security Officer (CISO) und Auditoren von Unternehmen und Einrichtungen aus unterschiedlichen Branchen. Dazu zählen der IT- und IT-Sicherheitsbereich, der Finanzsektor, das Gesundheitswesen und staatliche Einrichtungen. Die Studie beleuchtet den aktuellen Status von IT-Security-Untersuchungsverfahren. Ermittelt wurde, welche Aspekte IT-Fachleute bei solchen Analysen als wichtig einstufen und wie zufrieden sie mit der Umsetzung in der Praxis sind. Außerdem gibt die Studie Aufschluss über die Effektivität von Sicherheits-Tools bei forensischen Untersuchungen sowie die Fähigkeit von Organisationen, Datenlecks rechtzeitig zu erkennen, darauf zu reagieren, solche Vorfälle zu untersuchen und entsprechende Berichte zu erstellen.

infografik-balabit-csi-report-201610


Unternehmen sind nicht auf GDPR vorbereitet

Best Practices, die helfen, die Anforderungen der GDPR zu erfüllen

Europäische Datenschutzrichtlinie GDPR: Compliance-Countdown

Die komplexe Europäische Datenschutzrichtlinie GDPR umzusetzen

Cybersicherheit: Interne Kommunikation erweist sich oft als große Hürde

Unternehmen sind schlecht auf die neue EU-Datenschutz-Grundverordnung vorbereitet

Daten und Anwendungen direkt schützen – Datensicherheit rückt in den Mittelpunkt

Neue EU-Richtlinien: CEOs und CISOs müssen sich ernste Fragen stellen

»EU-Recht auf Vergessen«: Jedes zweite deutsche Unternehmen ist schlecht vorbereitet

Governance: Den heutigen regulatorischen Anforderungen gerecht werden

Neue Gesetzgebung der EU zur Cybersicherheit – warum Unternehmen sich damit befassen sollten

Schreiben Sie einen Kommentar