Mehr Datenschutzverletzungen als je zuvor – investieren Unternehmen an der richtigen Stelle?

Illustration: Absmeier, TheDigitalArtist

Kürzlich hat Thales seinen »Thales Bericht zu Datensicherheitsbedrohungen, Europa-Ausgabe« vorgestellt, entstanden in Zusammenarbeit mit den Analysten von 451 Research. Der Bericht zeigt, dass die Deutschen und die Europäer insgesamt im Bereich IT-Sicherheit aufrüsten, nicht zuletzt befördert durch die am 25. Mai 2018 wirksam gewordenen EU-Datenschutzgrundverordnung.

Trotz wachsender Investitionen sind aber die Datenschutzverletzungen nicht zuletzt in Deutschland sprunghaft auf 33 % gegenüber 22 % im Vorjahr angestiegen.

Das legt die Vermutung nahe, dass die Anstrengungen (und Budgets) nicht ausreichen, um Cyberkriminellen den entscheidenden Schritt voraus zu sein. Oder schlimmer, dass die aufgestockten Mittel nicht effektiv eingesetzt werden.

 

Hier sind die wichtigsten Daten für Deutschland zusammengefasst.

 

  1. Steigende Investitionen in die IT-Sicherheit – an der richtigen Stelle?
  • Ungefähr drei Viertel (74 %) der Befragten in Deutschland gaben an, dass ihr Unternehmen für 2018 höhere Sicherheitsausgaben plant. Das entspricht mehr oder weniger dem europäischen (72 %) und weltweiten Durchschnitt (78 %).
  • Dennoch berichtete ein Drittel aller deutschen Unternehmen (33 %) trotz der hohen Sicherheitsausgaben von Datenschutzverletzungen im letzten Jahr, diese Zahl unterscheidet sich nur geringfügig vom europäischen Durchschnitt (32 %).
  • Darüber hinaus hatte fast die Hälfte (46 %) der Befragten in Deutschland das Gefühl, dass sie »sehr« oder »extrem« angreifbar und sensible Daten so externen Bedrohungen ausgesetzt sind, verglichen mit 41 % in ganz Europa.
  • Die Befragten in Deutschland nannten das Sichern von Data-at-Rest (75 %) und den Netzwerkschutz (75 %) als die effektivsten Maßnahmen, um Datenschutzverletzungen zu vermeiden.
  • Das Sichern von Data-in-Motion (38 %) und von Data-at-Rest (39 %) hatte bei den Ausgaben nur eine niedrige Priorität, obwohl diese zu den effektivsten Maßnahmen gezählt wurden.
  • Umgekehrt wurden Analyse- und Korrelations-Tools (64 %) und Sicherheitsmaßnahmen für Endpunkte und mobile Geräte (63 %) als am wenigsten effektiv, aber von hoher Priorität bei den Ausgaben bewertet (jeweils 50 %).

 

  1. Gefühlte Komplexität behindert Datensicherheit am meisten
  • In Deutschland wie auch in den meisten anderen Regionen ist die gefühlte Komplexität weiterhin eines der größten Hindernisse für die Umsetzung von Datensicherheit (50 %), verglichen mit 45 % in ganz Europa.
  • Hybride, dezentrale Systeme sind beliebt, haben aber auch zu Problemen bei der Bereitstellung umfassender Datensicherheit geführt.
  • Compliance stellt weiterhin einen starken Anreiz für deutsche Unternehmen dar, in IT-Sicherheit zu investieren. 64 % bewerten Compliance entweder als »sehr« oder »extrem« effektiv bei der Vermeidung von Datenschutzverletzungen, das sind mehr als im europäischen Durchschnitt (60 %).
  • Nach der gefühlten Komplexität bereiten die Performance (36 %) und fehlendes Budget (35 %) den deutschen Befragten die meisten Sorgen, wenn auch mit deutlichem Abstand.

 

  1. IoT

In diesem Jahr wurden die Teilnehmer der Umfrage erstmals nach den beliebtesten eingesetzten IoT-Geräten gefragt:

  • In Deutschland, dem wahrscheinlich größten Industrie- und Produktionsland Europas, sind die Geräte zur Überwachung des Strom- beziehungsweise Energieverbrauchs mit 40 % am beliebtesten gefolgt von persönlichen beziehungsweise tragbaren Geräten mit 33 % und Produktionsgeräten an dritter Stelle mit 30 %.
  • Die Hauptsorge bezüglich IoT-Sicherheit waren in Europa Angriffe auf IoT-Geräte mit 26 %, an zweiter Stelle folgen der Verlust oder Diebstahl von IoT-Geräten, das Fehlen qualifizierten Personals, Datenschutzverletzungen und der Schutz der von IoT-Geräten generierten Daten, alle mit 24 %.
  • Verschlüsselung wird in Deutschland (50 %) und im Vereinigten Königreich (48 %) bevorzugt, gefolgt von Malware-Schutzprogrammen (46 %).
  • Verschlüsselung beziehungsweise Tokenisierung ist auch in Europa insgesamt (48 %) die erste Wahl, wenn es um Sicherheitskontrollen für IoT geht.

 

  1. Cloud Computing

Die meisten Unternehmen verfolgen eine Multi-Cloud-Strategie mit mehreren IaaS-Anbietern und sehr hohen SaaS-Nutzungsraten. Da Europäer in großem Maße in die Cloud wechseln und Multi-Cloud-Strategien verfolgen, speichern sie folglich große Mengen sensibler Daten in der Cloud.

  • In Deutschland allerdings mit der geringsten Prozentzahl unter den Befragten, nämlich 68 % (im Vergleich zu 77 % in Europa und 88 % beim Spitzenreiter Schweden).
  • In Deutschland neigen die Befragten allgemein weniger dazu, sensible Daten mittels neuer oder aufkommender Technologien zu speichern als im Rest von Europa. Das gilt für alle Kategorien außer Big Data, da liegen die Deutschen vorne, gemeinsam mit Schweden.
  • Fast ein Drittel (32 %) der Befragten in Deutschland nannte Verschlüsselung als das bevorzugte Mittel zur Einhaltung der lokalen Gesetze zur Datensouveränität, im Vergleich zu 44 % in Europa.
  • Verschlüsselung mit lokaler Schlüsselsteuerung war die erste Wahl zur Sicherung der Public Cloud (43 %), dicht gefolgt von Verschlüsselung mit Steuerung beim Serviceanbieter (42 %).

 

[1] Den kompletten 2018 Thales Data Threat Report Europa-Ausgabe stellen wir Ihnen hier zum Download zur Verfügung. https://de.thalesesecurity.com/2018/euro-data-threat-report

 


 

Die Zeiten ändern sich, die Sicherheitsstrategien nicht

96 % aller Unternehmen nutzen transformative Technologien wie Cloud Computing, IoT und Container, ein Drittel der Befragten auch für sensible Daten Und: mehr Datenschutzverletzungen als je zuvor.

Multi-Cloud-Anwendungen kommen nahezu universell zum Einsatz und sind neben drohenden Strafen und der Angst vor Imageschäden die wesentlichen Treiber für steigende Investitionen in die IT-Sicherheit.

Thales, ein Unternehmen im Bereich kritischer Informationssysteme sowie Cybersicherheit und Datenschutz, stellte seinen 2018 Thales Data Threat Report Europa-Ausgabe vor, der in Zusammenarbeit mit den Analysten von 451 Research entstanden ist [1]. Eine der wesentlichen Erkenntnisse des Berichts: transformative Technologien insbesondere Cloud- omputing und das IoT (Internet of Things) haben die Geschäftsprozesse grundlegend verändert, hin zu einer datengesteuerten Herangehensweise. Dabei nutzen 96 % aller Befragten Technologien wie Multi- Cloud-Anwendungen und das IoT, gut ein Drittel der Befragten auch für sensible Daten. Cloud-Anwendungen, drohende Strafen bei Verstößen beispielsweise gegen die am 25. Mai 2018 wirksam gewordene EU-Datenschutzgrundverordnung (EU-DSGVO / GDPR) und die Angst vor Imageschäden sind die wesentlichen Treiber für die steigenden Investitionen in die IT-Sicherheit.

Die digitale Transformation sorgt für mehr Effizienz und erlaubt neuartige, vielversprechende Geschäftsmodelle. Entsprechend hoch ist daher der Anteil von Unternehmen, die auf den Zug aufspringen:

  • Multi-Cloud-Anwendungen sind nahezu universell im Einsatz
  • Transformative Technologien werden von der überwiegenden Mehrzahl der Befragten genutzt: 94 % haben bereits IoT-Technologien implementiert und 99 % nutzen Big Data
  • 86 % setzen zwei oder mehr PaaS-Anwendungen (Platform-as-a-Service) ein, 78 % unter den deutschen Befragten
  • 87 % der Befragten verwenden zwei oder mehr IaaS-Umgebungen (Infrastructure-as-a-Service), das tun 85 % der Befragten in Deutschland
  • Über ein Drittel der Befragten nutzt in Multi-Cloud-Umgebungen auch sensible Daten

 

Wieder mehr Datenschutzverletzungen

Gerade Multi-Cloud-Umgebungen haben die Angriffsfläche vergrößert. Ausmaß und Wirkung der Bedrohungen spiegeln sich deutlich in der auch 2018 weiter steigenden Anzahl an Datenschutzverletzungen: 32 % der europäischen Unternehmen wurden allein im letzten Jahr Opfer einer Datenschutzverletzung. Auffallend hoch ist die Steigerungsrate dabei in Deutschland und UK. Hier sind es 33 % verglichen mit 22 % im Vorjahr und sogar 37 % in UK verglichen mit lediglich 25 % in 2017. Dabei kämpfen die Befragten in Deutschland stärker als andere mit der Komplexitätshürde in Multi-Cloud-Umgebungen.

Die erfreuliche Nachricht: 72 % der in Europa Befragten wollen zukünftig »mehr« für den Datenschutz ausgeben, 27 % der Befragten sogar »deutlich mehr«. Unter den sicherheitssensiblen deutschen Befragten sind es sogar 76 %, die »mehr« beziehungsweise 24 %, die »deutlich mehr« in IT-Sicherheit investieren wollen.

 

Während einerseits fortschrittliche Technologien in den Unternehmen Einzug halten, gibt es was die gewählten Sicherheitsstrategien anbelangt überraschende Ergebnisse:

  • So setzten 73 % der Befragten in Europa das größte Vertrauen in Lösungen zum Schutz von Data-at-Rest, während demgegenüber Endpunkt-Schutz und der Schutz mobiler Endgeräte als weit weniger effektiv angesehen werden (60 % der Befragten stimmten hier zu).
  • Trotz der ihnen von der Mehrzahl der Befragten attestierten mangelnden Effektivität, stehen Endpunkt-Schutz und der Schutz mobiler Endgeräte mit 51 % der Investitionen aber ganz oben auf der Prioritätenliste.
  • Auf Data-at-Rest-Sicherheitslösungen, einhellig als deutlich effektiver bewertet, entfallen demgegenüber nur niedrige 36 %.

Das wiederum lässt sich nur schwer mit der Haltung von Unternehmen gegenüber Verschlüsselung, eine der nachweislich wirksamsten Technologien zum Schutz von Daten, in Einklang bringen:

  • Für die Europäer steht die Cloud-Verschlüsselung mit BYOK (Bring-you-own-Key) an Nummer 1 (44 %), dicht gefolgt von Tokenisierung mit 43 % und der Überwachung von Zugriffen.
  • Annähernd die Hälfte der Befragten (48 %) halten Verschlüsselung für die beste Methode um IoT-Bereitstellungen zu schützen, 41 % für die Sicherheit bei Container-Anwendungen.
  • Die als besonders sicherheits- und datenschutzaffin geltenden Deutschen haben eine große Vorliebe für HSM (Hardware Security Modules) – über die Hälfte der Befragten (51 %) würde hier investieren – und das Identity und Access-Management (49 %).
  • Verschlüsselung mit 44 % (38 % in Deutschland) und Tokenisierung mit 21 % (25 % in Deutschland) werden als die wichtigsten Instrumente genannt, wenn es gilt die Anforderungen der DSGVO/GDPR und anderer Privacy-Richtlinien zu erfüllen.

 

Garrett Bekker, Principal Security Analyst, Information Security bei 451 Research und Autor des Berichts: »Die Ergebnisse des diesjährigen Reports zeigen, dass Unternehmen einen massiven Veränderungsprozess als Folge der digitalen Transformation durchlaufen. Diese Veränderungen vergrößern aber auch die Angriffsfläche. Ein überraschender Befund: Die Zeiten ändern sich, die Sicherheitsstrategien nicht. So steigen zwar die Investitionen in IT-Sicherheit, allerdings nicht in Maßnahmen, die sich auf den Schutz der Daten selbst beziehen. Wenn Sicherheitsstrategien sich nicht genauso dynamisch entwickeln wie das die Bedrohungslandschaft ganz offensichtlich tut, wird die Zahl der Datenschutzverletzungen weiter steigen. Das setzt Kundendaten, finanzwirtschaftliche Daten und geistiges Eigentum einem ernst zu nehmenden Risiko aus.«

 

Kai Zobel, Regional Director bei Thales eSecurity: »Die im Rahmen der Europa-Ausgabe des 2018 Thales Data Threat Report veröffentlichten Ergebnisse lassen keinen Zweifel: Von Cloud Computing über mobile Endgeräte, digitalen Zahlungsverkehr und die wachsende Zahl von IoT-Anwendungen sind Unternehmen dabei, ihre Geschäftsprozesse grundlegend zu verändern. Und die digitale Transformation verlässt sich auf Daten. Nicht zuletzt in Deutschland ist aber parallel die Zahl der Datenschutzverletzungen im Vergleich zum Vorjahr sprunghaft angestiegen. In einer zunehmend datenzentrierten Welt ist es von enormer Wichtigkeit diese Daten zu schützen, wo immer sie erzeugt, geteilt oder gespeichert werden.«

 

[1] Den kompletten 2018 Thales Data Threat Report Europa-Ausgabe stellen wir Ihnen hier zum Download zur Verfügung. https://de.thalesesecurity.com/2018/euro-data-threat-report