Illustration: Absmeier, TheDigitalArtist
Der großangelegte Doxing-Angriff auf hunderte deutsche Politiker und die Veröffentlichung sensibler personenbezogener Daten hat uns gleich zu Beginn des Jahres gezeigt, welche Macht Hacker und Cyberkriminelle heutzutage haben und wie nachlässig auch heute noch mit dem Thema Datenschutz umgegangen wird. Der Europäische Datenschutztag, der traditionell am 28. Januar, dem Jahrestag der Unterzeichnung der Europäischen Datenschutzkonvention (Konvention Nr. 108) im Jahr 1981, begangen wird, rückt diese Problematik einmal mehr in den Mittelpunkt und bietet Raum, für den Wert unserer Daten und die Bedeutung von Datenschutzverletzungen zu sensibilisieren.
Interview mit Joseph Carson, Chief Security Scientist bei Thycotic:
Im vergangenen Jahr stand das Thema Datenschutz bei fast allen Unternehmen ganz weit oben auf der Agenda – der EU-Datenschutzgrundverordnung sei Dank. Hat das Inkrafttreten der DSGVO wirklich etwas verändert, oder waren die meisten Unternehmen nur damit beschäftigt, die Vorgaben die EU so gut es geht zu erfüllen?
Die DSGVO hat das Bewusstsein für die Bedeutung von und den Umgang mit personenbezogenen Daten in Unternehmen deutlich geschärft und unterstützt die EU-Bürger nachhaltig bei der Wiedererlangung der Kontrolle über ihre Daten. Viele Jahre lang konnten personenbezogene Daten ohne große Einschränkungen gesammelt, herangezogen und letztlich missbraucht werden. Damit ist jetzt Schluss.
Das Inkrafttreten der DSGVO hat Unternehmen dazu gezwungen, endlich genauer hinzuschauen, welche Daten sie überhaupt erheben, wie diese verwendet und ob beziehungsweise mit welchen Sicherheitsmaßnahmen sie geschützt werden. Und obwohl viele Unternehmen tatsächlich nur das Allernötigste getan haben, um die grundlegenden Anforderungen der DSGVO zu erfüllen, ist das besser als nichts, es ist ein großer Fortschritt. Ganz egal, wo auf der Welt unsere personenbezogenen Daten heute verarbeitet oder gespeichert werden, sie stehen unter dem Schutz der DSGVO. Vieles hat sich also zum Besseren gewendet.
Was sind die größten Fehler, die Unternehmen nach wie vor beim Datenschutz begehen? Mangelndes Passwortmanagement, unstrukturierte Daten, zu weit gefasste Rechte etc.?
Der wohl größte Fehler in Sachen Datensicherheit ist, dass Unternehmen unkontrolliert zu viele personenbezogene Daten sammeln und gleichzeitig die Zugriffe auf privilegierte Accounts nicht weit genug einschränken. Unternehmen verfügen heute über riesige Datenmengen, auf die meist viel mehr Mitarbeiter zugreifen können, als überhaupt nötig sind, weil die Verantwortlichen es versäumt haben, eine wirksame Least-Privilege-Strategie umzusetzen. Immer wieder trifft man auf Unternehmen, wo der Zugriff auf große Mengen sensibler Daten nur durch ein einfaches Passwort kontrolliert wird. Benutzer mit zu weitgefassten Rechten sind heutzutage das größte Sicherheitsrisiko, denn wenn es einem Cyberangreifer gelingt, auch nur ein einziges Nutzerkonto zu kompromittieren, bedeutet dies, dass er sich ungehindert nach Lust und Laune durch das Netzwerk bewegen und nach sensiblen Daten Ausschau halten kann.
Auch auf Seiten der Nutzer sind Nachlässigkeiten im Umgang mit digitalen Daten an der Tagesordnung. Wenn es nicht gerade um Kreditkarten- oder Zahlungsinformationen geht, denken viele, sie hätten nichts Brisantes zu verbergen oder wären für Hacker uninteressant. Inwiefern kann diese Einstellung gefährlich werden?
In der Tat ist den meisten privaten Internetnutzern der Wert ihrer Daten gar nicht bewusst. Wenn es sich nicht direkt auf ihren Kontoauszug auswirken könnte, legen die meisten ein recht sorgloses Verhalten an den Tag. Hier brauchen wir dringend bessere Aufklärung. Tatsache ist, dass Bürger in den Augen der Unternehmen längst nicht mehr nur Konsumenten sind, sondern in zunehmendem Maße das Produkt selbst – vor allem dank dem Internet. Wir müssen uns bewusst machen, dass mit unseren personenbezogenen Daten lukrative Geschäfte gemacht werden, und uns fragen, inwieweit wir das weiterhin akzeptieren wollen.
Welche Sicherheitsstrategien und Technologien sollten Unternehmen in diesem Jahr verstärkt priorisieren, wenn sie die Sicherheit ihrer Daten effektiv und nachhaltig verbessern wollen?
Für Angreifer werden bösartige E-Mails sowie kompromittierte privilegierte Accounts auch weiterhin die beliebtesten Angriffsvektoren sein, um Sicherheitskontrollen zu umgehen und in einem weiteren Schritt sensible Daten zu stehlen, für Ausfälle zu sorgen oder andere Straftaten zu begehen. Umso wichtiger ist es, dass Unternehmen nun verstärkt in E-Mail-Schutz investieren und ihre privilegierten Konten noch besser gegen Missbrauch absichern. Wenn Unternehmen E-Mail-Hyperlinks und -Anhänge konsequent kontrollieren und gleichzeitig eine Strategie der minimalen Rechtevergabe implementieren, um Privilegien sinnvoll einzuschränken, dann sind sie in der Lage, ihr Cyberrisiko im Jahr 2019 deutlich zu reduzieren.
Was muss sich in der der Politik ändern? Brauchen wir eine Verschärfung der DSGVO?
Absolut. Die DSGVO war nur der erste Schritt hin zur Wiedererlangung der Kontrolle über unsere Daten. Nun liegt es an den Regierungen, die Gesetzte zu optimieren und durchzusetzen. Dabei sollten sie insbesondere die Einführung von Datenvermittlern und Datenbotschaftern in Betracht ziehen, um zukünftig einen noch besseren Schutz unserer personenbezogenen Daten gewährleisten zu können.
Wie sieht die Zukunft von Datenschutz und Privatsphäre aus?
Das Ende der Privatsphäre, wie wir sie kennen, ist vielleicht näher, als wir denken. Datenschutz wird bereits heute je nach Land und Kultur sehr unterschiedlich definiert, und schwindet doch so gut wie überall. Schon heute werden wir in der Öffentlichkeit fast überall und rund um die Uhr von vielen Kameras beobachtet und überwacht. Informationen wie unser Erscheinungsbild, unser Aufenthaltsort, was wir essen oder wen wir treffen, können letztlich dazu verwendet werden, uns zu analysieren, unsere nächsten Aktionen vorauszusagen und uns das anzubieten, was wir gemäß den Algorithmen wollen. Dies hat Vorteile – etwa was die Vorhersage und Prävention von Sicherheitsbedrohungen angeht – wird aber dafür sorgen, dass unsere Privatsphäre immer weiter schwindet. Der Satz Wer nichts zu verbergen hat, muss nichts fürchten wird dann wahr. Ich frage mich: Wird der Datenschutztag irgendwann zum Datenschutz-Gedenktag.