7 Fragen für einen effizienten CISO: Die Datenschutzresolution 2019

Illustration: Absmeier, TheDigitalArtist

Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen. Die Möglichkeiten sind schier unendlich sowohl für den privaten als auch für den geschäftlichen Bereich. Und jede Minute kommen neue Optionen dazu. Unglücklicherweise hat jede neue Möglichkeit auch neue Sicherheitsrisiken im Gepäck. Risiken, denen sich Sicherheitsverantwortliche wie CISOs nur allzu bewusst sind.

Welche Verhaltensweisen, Methoden und Haltungen sind also besser als andere geeignet das bestmögliche aus unseren Daten herauszuholen und gleichzeitig deren Sicherheit zu gewährleisten?

 

  1. Wer muss Ihre Sicherheitsstrategie mittragen?
    Erfolgreiche IT-Sicherheitsabteilungen berücksichtigen von Anfang an die Geschäftsziele innerhalb ihrer geplanten Sicherheitsstrategie. Nur das gewährleistet den Erfolg des Projekts. Wo sollte man anfangen? Um Unterstützung von der gesamten Firma zu bekommen, sollte man die Vorteile einer starken Sicherheitsstrategie den Entscheidungsträgern nahebringen. Letzen Endes will jeder Teil einer erfolgreichen Strategie sein.
  2. Wo bewahren Sie die Schlüssel auf?
    Für Firmen mit unterschiedlich gearteten Bedürfnissen macht eine Multi-Cloud-Strategie viel Sinn. Tatsächlich ist es inzwischen üblich, dass innerhalb eines Unternehmens verschiedene Provider die SaaS-, IaaS- und PaaS-Lösungen betreiben. Das alles parallel zu bestehenden On-premises-Systemen. Für komplexe Multi-Cloud-Umgebungen braucht man allerdings einen gründlichen Sicherheitsansatz. Dazu gehören zwingend Verschlüsselung und ein ausgereiftes Schlüssel-Management.
  3. Wie findet man den »Anbieter seines geringsten Misstrauens«?
    Hat man sich für eine Multi-Cloud-Umgebung entschieden, die vielerorts schon Realität ist, gilt es für den Sicherheitsverantwortlichen den Anbieter ausfindig zu machen, dem das Unternehmen vertrauen kann (um es an dieser Stelle positiv zu formulieren). Man muss also einen Anbieter finden, der nicht nur die gewünschten Technologien bereitstellt, sondern der auch die nötigen Datenschutz- und IT-Sicherheitsvorkehrungen getroffen hat. Man sollte sich nicht scheuen gründlich zu überprüfen, ob der Drittanbieter in Sachen Sicherheit wirklich die erste Wahl ist. Das gilt vom HVAC-Anbieter bis hin zum Netzwerk-Provider. Nur so lassen sich die nicht unerheblichen Risiken durch Drittanbieter minimieren.
  4. Was schwimmt eigentlich alles im großen Big-Data-Ozean?
    Teil der digitalen Transformation sind die riesigen Datenmengen mit denen wir es zu tun bekommen haben. Big Data, die nicht zuletzt eine Reihe von schwerwiegenden Sicherheitsbedenken mit sich bringen. Anders als bei der Datenhaltung in traditionellen Datenbanken handelt es sich bei diesen Big Data um unstrukturierte Daten. Und so ziemlich jede Art von sensiblen Daten kann als Rohdaten in diesen Datenpool Eingang finden und sich später in einem Report wiederfinden. Wer ein weltweit tätiges Unternehmen leitet und Daten aus Ländern verarbeitet, die unter spezielle Datenschutzregelungen und Gesetze fallen (wie etwa die EU-Datenschutzgrundverordnung), gerät leicht in Gefahr den Compliance-Anforderungen nicht zu entsprechen. Ein großes und potenziell kostspieliges Risiko. Nutzen Sie beispielsweise Tokenisierung oder Anwendungsverschlüsselung um vertrauliche Daten besonders zu schützen, bevor Sie im großen Datenozean oder auf einer Big-Data-Plattform landen.
  5. Sind Container ein sicherer Aufbewahrungsort?
    In diesem Jahr werden deutlich mehr DevOps-Teams die Container-Technologie nutzen, weil sie viel Flexibilität erlaubt und die Kosten senkt. Allerdings handelt es sich nicht um eine Technologie, die aus sich selbst heraus schon sicher ist. Wenn Sie planen in Zukunft Container zu nutzen, stellen Sie sicher, dass der Schutz sensibler Daten höchste Priorität hat. Der beste Weg ist es, sensible Daten, die in Containern gespeichert werden, zu verschlüsseln. Das gilt auch für die Daten auf die über Container zugegriffen wird.
  6. Vielleicht ist es an der Zeit über mehr Sicherheit für den Application Stack nachzudenken?
    Wenn man von der Laufwerksebene langsam auf die Anwendungsebene ganz nach oben wandert, stellt man fest, dass jede einzelne Ebene unterschiedliche Sicherheitsanforderungen mit sich bringt. Grundsätzlich kann man sagen, je grundlegender die Ebene ist auf der man Verschlüsselung integriert, desto einfacher ist die Implementierung und desto weniger beeinträchtigt sie die Anwendungen. So vorzugehen ist ohne Frage sinnvoll. Allerdings kann man auf der höheren Anwendungsebene einen größeren Sicherheitslevel einziehen und unterschiedliche Bedrohungsrisiken in den Griff bekommen. Tokenisierung auf Anwendungsebene ist eine solche Methode.
  7. DSGVO/GDPR, der Gold-Standard für Compliance?
    Und schlussendlich sollte man die DSGVO/GDPR nicht aus den Augen verlieren. Dazu kommen inzwischen weitere Regularien wie der California Consumer Privacy Act, die für deutliche Verbesserungen beim Datenschutz schon jetzt sorgen. Diese Entwicklung trägt dazu beide, dass das Thema Compliance auf der Agenda der Sicherheitsverantwortlichen ganz nach oben rückt.

 

2018 war ein Jahr in dem die digitale Transformation ein großes Stück vorangekommen ist und sich etliche neue Technologien etabliert haben. Beide Entwicklungen haben im Gegenzug dafür gesorgt, dass wir es inzwischen mit mehr potenziellen Sicherheitsrisiken zu tun haben als jemals zuvor.

Tina Stewart, VP, Global Corporate and Field Marketing bei Thales eSecurity

 

Mehr Informationen dazu, wie sich die Bedrohungslandschaft weiterentwickeln wird und wie Unternehmen ihre Situation bewerten, bekommen Sie im am Ende dieses Monats erscheinenden 2019 Thales Data Threat Report – Global Edition.

 

Blick in die Sicherheits-Kristallkugel für 2019

Illustration: Absmeier, Alexa_Fotos, Lumapoche

 

  • Der Schutz von Kundendaten sollte an oberster Stelle stehen. Händler müssen grundlegende Sicherheitsmaßnahmen, wie Verschlüsselung an jedem Kontaktpunkt einsetzen, innerhalb der gesamten Lieferkette, am Einkaufsort und am Bestimmungsort.
  • Für Unternehmen ist es unerlässlich, sich auf Kryptographie-Ansätze für das Zeitalter der Quantenrechner und die Post-Quantum-Welt zu vorzubereiten.
  • 2019 könnte der Höhepunkt im Hype-Zyklus um Blockchain werden.
  • Unternehmen benötigen solide Prognosefähigkeiten, und KI wird wesentlich dazu beitragen, Kunden zu binden.
  • Das Qualifikationsdefizit in der Cybersicherheit bleibt ein Problem.
  • Das Zurückschrecken vor der Diversitätsdebatte ist vorbei.
  • Sicherheitsexperten werden auf der Führungsebene eines Unternehmens gehört und um Rat gebeten werden.

 

Sicherheit im Handel 2019: Bequemlichkeit = Risiko

Kunden werden was ihr ganz persönliches Einkaufserlebnis anbelangt immer anspruchsvoller. Händler tun folglich alles, um für die bevorstehende Feiertagssaison sämtliche Möglichkeiten auszureizen. Ladenlokale werden digitaler und vernetzter sein als je zuvor und Online-Shoppern wird ein Einkaufserlebnis geboten, das dem des stationären Handels vergleichbar ist. Das ist auf den ersten Blick erfreulich. Allerdings hat diese Entwicklung einige unerwünschte Nebenwirkungen in puncto Sicherheit.

Händler setzen sich neuen Sicherheitsrisiken aus, zumal wenn wir über die Weihnachtszeit hinaus bis ins folgende Jahr 2019 weiterdenken. Technologien, die Komfort versprechen und bequem sind, setzen Verbraucher und Händler gleichermaßen erhöhten Risiken aus. Dessen sollte sich die Branche bewusst sein.

Die Hälfte der im Rahmen einer Retail-Studie befragten Unternehmen meldete im vergangenen Jahr eine Datenschutzverletzung [1]. Es liegt auf der Hand, dass das Weihnachtsgeschäft für Cyberkriminelle die ideale Zeit ist, sowohl Händler als auch Verbraucher ins Visier zu nehmen. Händler sollten also sehr wachsam sein und nachverfolgen, wer sich warum mit ihrem Netzwerk verbindet – und aus welchen Motiven. Der Schutz von Kundendaten, wie beispielsweise Kreditkarten- und Zahlungsdaten, steht an oberster Stelle.

Informieren Sie sich 2019 so umfassend wie möglich über Händler, die zusätzliche Sicherheitsmaßnahmen einführen. Insbesondere was den Schutz von wichtigen Informationen von IoT-Geräten anbelangt. Händler müssen grundlegende Sicherheitsmaßnahmen, wie Verschlüsselung an jedem Kontaktpunkt einsetzen, innerhalb der gesamten Lieferkette, am Einkaufsort und am Bestimmungsort. Nur das gewährleistet einen wirklichen Schutz von Verbraucher- und Unternehmensdaten.

Dazu kommt, dass die nächste Händlergeneration langsam auch in bargeldlosen Umgebungen Fuß fasst. Schlange stehen entfällt und Zahlungen werden automatisch abgewickelt. Ein bargeldloser Marktplatz scheint die ideale Option für Kunden zu sein, die möglichst komfortabel einkaufen wollen. Allerdings gibt es eine Reihe von berechtigten Sicherheitsbedenken. Mehr Bequemlichkeit an der einen Stelle bringt fast immer ein höheres Sicherheitsrisiko an anderer Stelle mit sich.

Kunden, die sich beispielsweise mit einem zum Ladengeschäft komplementären WLAN verbinden, erhöhen die Wahrscheinlichkeit, dass Hacker im Netzwerk des Händlers Schaden anrichten.

Zu den Daten, die Händler üblicherweise speichern, zählen Trackingdaten zum Einkaufsverhalten ihrer Kunden. Damit sind unendlich viele personenbezogene Daten einem Risiko ausgesetzt. Händler müssen sich fragen, ob ein außergewöhnliches Shopping-Erlebnis wirklich eine Datenschutzverletzung wert ist. Oder, was noch wichtiger ist, ob zu diesem Shopping-Erlebnis nicht automatisch ein Höchstmaß an Datenschutz und Datensicherheit gehören sollte.

Vikram Ramesh, Head of Solutions, Thales eSecurity

[1] https://www.thalesesecurity.com/2018/data-threat-report-retail

 

Blockchain: Eine Lösung, die immer noch nach einem Problem sucht?

Zwar sollen die Ausgaben für Blockchain bis 2022 weltweit fast 12 Milliarden US-Dollar betragen [3], aber es ist fraglich, ob die Technologie tatsächlich schon so weit ist.

2019 könnte der Höhepunkt im Hype-Zyklus um Blockchain werden. Das ist sicherlich noch nicht der Gipfel was die Zahl der Implementierungen anbelangt. Von diesem Zeitpunkt sind wir nach wie vor Jahre entfernt. Der Technologie fehlen ausgereifte Funktionen, wie Benutzer- und Schlüsselverwaltung, die nötig sind, um den Trend der Enterprise-Blockchain in Schwung zu bringen.

Wenn es um Blockchain-Budgets geht, haben Führungskräfte entweder ein Problem, für dessen Lösung Blockchain notwendig ist, oder es gibt ein Blockchain-Budget, das quasi nach einem Problem sucht. Und genau das ist meistens der Fall.

  • Kaufen Sie nicht den Hype – Blockchains sind eine brillante Anwendung der Kryptografie für das Konzept eines verteilten, unveränderlichen Protokolls. Trotzdem sind Blockchains für die weitaus meisten Probleme über deren Lösung Unternehmen nachdenken völlig ungeeignet. Gerade was die Nachteile der Technologie anbelangt.
  • Blockchain ist kein riesiger, verteilter Computer – Es gibt keine Parallelschaltung, keine Synergien und keine gegenseitige Unterstützung. Es gibt nur eine sofortige millionenfache Vervielfältigung. Das ist das Gegenteil von effizient – und das ist entscheidend.
  • 2019 wird der Hype sich zerstreuen – Unternehmen werden Komplexität sowie die Art und Weise der Zusammenarbeit besser einschätzen können, die für die Integration von Enterprise-Blockchain-Anwendungen in den Geschäftsalltag nötig sind.
[3] https://www.coindesk.com/report-blockchain-spending-to-hit-nearly-12-billion-by-2022/

Wenn wir die Algorithmen verstehen wollen, die über unser Leben entscheiden, müssen wir mehr Forschungsarbeit leisten

Jeden Tag lesen wir etwas zum Potenzial von intelligenter werdenden Algorithmen. Wir trainieren sie, alle Arten von Entscheidungen zu treffen – von der Frage, was ein Auto an einer Kreuzung tun soll, bis zu der Frage, ob ein inhaftierter Krimineller eine Anhörung für seine vorzeitige Entlassung verdient.

Künstliche Intelligenz (KI) und maschinelles Lernen haben in letzter Zeit große technische Fortschritte gemacht. Laut einer Salesforce-Studie [4] werden bis 2020 rund 57 % der Geschäftskunden davon abhängig sein, dass Unternehmen wissen, was Kunden brauchen, bevor sie danach fragen. Unternehmen benötigen solide Prognosefähigkeiten, und KI wird wesentlich dazu beitragen, Kunden zu binden. Allerdings sollte man nicht vergessen, dass jeder technologische Fortschritt auch eine Kehrseite hat. Und, dass es ganz sicher jemanden gibt, der diesen Fortschritt zu unlauteren Zwecken missbrauchen will und wird.

Auf der Jagd nach Autonomie und fortschrittlicheren Entscheidungen durch Maschinen ist Due Diligence von entscheidender Bedeutung. Sie erst gewährleistet, dass wir ausreichend in die Forschung investieren um Algorithmen und ihre Entscheidungsfindung besser zu verstehen.

Ohne dieses grundlegende Verständnis können weder die Industrie noch die Gesellschaft selbst absehen, wie ein Algorithmus auch untergraben werden kann. Soviel ist jedenfalls sicher: Wir werden den Tag erleben, an dem ein Algorithmus kompromittiert wird.

  • Wie man Algorithmen anwenden kann – Techniken und Methoden maschinellen Lernens sollen den Sicherheitsanalytiker nicht ersetzen, sie sollen mit ihm zusammenarbeiten und ihn entlasten.
  • Algorithmen auf beiden Seiten – Wir haben es bereits erlebt: Algorithmen sind in der Lage manuelle Vorgehensweisen zu ersetzen, wenn es gilt Systeme zu kompromittieren. Das werden wir 2019 noch häufiger sehen. Algorithmen lassen sich schließlich von beiden Seiten nutzen. Und maschinelles Lernen wird zweifelsohne dazu verwendet werden, Angriffe zu lancieren sowie dazu sie vorauszusehen und abzuwehren.
  • Der Faktor Mensch – Obwohl künstliche Intelligenz Vorteile für viele Aspekte des privaten und beruflichen Lebens bietet, gab und gibt es Bedenken hinsichtlich ihres zukünftigen Einsatzes in der Gesellschaft. Viele traditionelle berufliche Positionen wie Bankangestellte und Supermarktmitarbeiter sind bereits vielfach durch Maschinen ersetzt worden. Was die Arbeitslosenquoten anbelangt löst das begründete Besorgnis aus.

Duncan Jones, Head of Research bei Thales eSecurity

[4] https://www.salesforce.com/form/pdf/state-of-the-connected-customer.jsp

Das Qualifikationsdefizit in der Cybersicherheit bleibt ein Problem

Im Jahr 2019 werden die Themen »mangelnde Qualifikation« und »Fachkräftemangel« in der Cybersicherheit noch mehr als bereits jetzt ins Bewusstsein rücken. Verbunden allerdings mit dem ernsthaften Willen Abhilfe zu schaffen.

Schon seit einigen Jahren herrscht ein Mangel an kompetenten Experten für Informationssicherheit. Aber nur wenige haben darin ein ernstes Problem gesehen. Jetzt erkennen Unternehmen, nicht zuletzt dank der sich ändernden Bedrohungs- und Compliance-Landschaft, dass es nicht die Aufgabe der Technologie allein ist, alle ihre Probleme zu lösen.

Immer wenn eine Firma in technische Tools investiert, um mehr Informationen über Bedrohungen zu erhalten oder den Sicherheitslevel zu erhöhen, funktioniert das nicht ohne zusätzlichen personellen Aufwand. Aufwand um die neue Lösung zu konfigurieren, zu verwalten, die Ergebnisse zu analysieren und darauf zu reagieren. Ein Teil der Aufgaben lässt sich an spezialisierte Dritte auslagern. Wenn man allerdings in Betracht zieht, dass die Lieferkette eine der Hauptquellen für Datenschutzverletzungen ist, ist das nicht unbedingt die attraktivste Option.

2019 werden Unternehmen sehr viel mehr in die Rekrutierung und Bindung von strategischen und technischen Talenten investieren. Und wir werden erleben, dass mehr Sicherheitsexperten gezielt abgeworben werden. CISOs und gleichwertige Positionen und Qualifikationen werden weiterhin äußerst gefragt sein. Schon allein deshalb, weil Unternehmen Informationsrisiken besser nachverfolgen und analysieren wollen.

Um die Lücke zu schließen, werden Firmen nicht nur auf die Bewerber und Bewerberinnen zurückgreifen, die eine offensichtliche Begabung und ein ausgesprochenes Interesse an Cyber-sicherheit haben. Sie werden sich zusätzlich Bewerber ansehen, die aus Bereichen kommen, die nicht direkt relevant zu sein scheinen wie Auditing, Marketing und Linguistik.

Wir werden eine Tendenz beobachten, mehr Lehrstellen zu schaffen und Versetzungen innerhalb von Firmen zu fördern. Ziel ist es, die Unternehmenskultur erfolgreich zu verändern und innovative Ansätze zu unterstützen. Wenn Organisationen allerdings davon ausgehen, dass Technologien und nicht Menschen die Triebfeder für Veränderungen sind, wird das nicht zu den gewünschten Ergebnissen führen. Technologie ist dazu da, die Geschäftstätigkeit zu unterstützen, nicht sie zu führen.

 

Das Zurückschrecken vor der Diversitätsdebatte ist vorbei

Ethnische Herkunft, Geschlechtsidentität oder Hintergrund einer Person sollten niemals wichtiger sein als Fähigkeiten oder Erfahrungen. Jeder Einzelne ist einzigartig und verfügt über Kompetenzen, die geschätzt und geführt werden sollten. Da Organisationen inzwischen gezwungen sind, die ungleiche Bezahlung von Frauen und Männern offenzulegen (und das auch hinsichtlich der ethnischen Herkunft) werden 2019 zugrunde liegende Diversitätstrends offensichtlicher. Es wird immer noch die Frage gestellt werden müssen, ob Personen nach Geschlecht, ethnischer Herkunft oder unterschiedlichem Hintergrund gleich behandelt werden, das wird auch nächstes Jahr so sein. Frauen zum Beispiel sind sowohl in der Informationstechnologie als auch in der Informationssicherheit noch immer stark unterrepräsentiert. Daher ist es dringend notwendig, einen inklusiveren Ansatz bei der Einstellung zu fördern. Unbewusste Voreingenommenheit bei der Rekrutierung und Beförderung wird aber zunehmend erkannt und infrage gestellt.

 

Sicherheit auf die Agenda

Vor vielen Jahren sagte ein Vorstandsmitglied sinngemäß zu mir: »Wir haben Sie eingestellt, damit Sie sich um Informationssicherheit kümmern. Warum sollten wir das dann noch tun?« Diese Haltung wird sich 2019 endgültig überlebt haben.

In der Vergangenheit hat man vielfach darauf verzichtet, den Rat von Sicherheitsexperten einzuholen was die Bedrohungslandschaft und die damit verbundenen Risiken angeht. Im Umkehrschluss haben sich die Fachverantwortlichen bei der Vorstandsebene vergeblich für mehr Transparenz und mehr Ressourcen eingesetzt. Das wird sich spätestens 2019 ändern. Firmen werden stattdessen proaktiv auf CISOs und andere Führungskräfte im Bereich Informationssicherheit zugehen. Sicherheitsexperten werden also fraglos auf der Führungsebene eines Unternehmens gehört und um Rat gebeten werden. Fast schon ein bisschen beängstigend diese Umkehrung.

Ein wesentlicher Treiber dieser Veränderung sind nicht zuletzt die potenziell hohen Geldstrafen, die Unternehmen bei einem Verstoß gegen die DSGVO zu erwarten haben. Allgemein rechnet man Mitte des Jahres 2019 mit den ersten solcherart verhängten Strafen. Und die werden sich auf Strategien und Prioritäten innerhalb der IT-Sicherheit auswirken.

Ich lehne mich weit aus dem Fenster und prognostiziere, dass einige wirklich hohe Geldbußen verhängt werden, die den Ton für die Zukunft anschlagen. Sie werden vielleicht 1 bis 2 % des weltweiten Umsatzes eines bekannten Markenunternehmens ausmachen (noch nicht das Maximum von 4 % – die Regulierungsbehörden werden sich definitiv noch Spielraum lassen). Man kann davon ausgehen, dass die betroffenen Firmen die Entscheidung anfechten werden. Die Bußgelder werden dann wohl erst Ende 2019 oder sogar erst 2020 bestätigt werden.

Menschen sind entweder ein wesentlicher Bestandteil von Schutz und Sicherheit oder sie sind ein wesentlicher Bestandteil des Risikos. Vor diesem Hintergrund werden mehr Firmen gemeinsame Sicherheitsanstrengungen unternehmen. Die sollen gewährleisten, dass Mitarbeitende auf allen Ebenen aktiv eingebunden sind, und dass sie fundierte Entscheidungen treffen können. Wenn Mitarbeiter stärker in den Prozess des Informationsrisikomanagements eingebunden sind, beginnen sie diese Denkweise in ihre alltägliche Arbeit zu integrieren. Und dann wird auch der letzte verstehen, dass es sich bei Sicherheit um eine gemeinsame Verantwortung handelt.

Bridget Kenyon, Global CISO, Thales eSecurity