IT-Sicherheit: Wider besseres Wissen an der falschen Stelle investiert?

Dieses Jahr ist die EU-Datenschutzgrundverordnung (EU-DSGVO / GDPR) wirksam geworden. Die bis dato weitreichendste und umfassendste Verordnung zum Datenschutz beziehungsweise zur Informationssicherheit gilt für alle Unternehmen, die mit einem der über 500 Millionen Einwohner der Europäischen Union (EU) Geschäfte machen. Nach einer Mischung aus Übersättigung auf der einen Seite und Aktionismus auf der anderen Seite, werden nun die Auswirkungen konkret diskutiert und die Anforderungen umgesetzt.

 

Tatsächlich rüsten europäische Unternehmen im Bereich IT-Sicherheit seit einigen Jahren ihre IT-Organisationen auf, um mit den wachsenden Compliance-Anforderungen Schritt zu halten. Unterdessen dauern in Europa und dem Rest der Welt die Berichte über größere Sicherheitsverletzungen unvermindert an. Und zwar trotz der weltweit steigenden Investitionen in IT-Sicherheit. Das legt zwei Vermutungen nahe. Entweder sind die Angreifer inklusive der organisierten Cyberkriminalität nach wie vor den entscheidenden Schritt voraus − oder schlimmer, die aufgestockten Mittel werden nicht effektiv genug eingesetzt.

Egal, was von beidem zutrifft, Firmen können nicht weitermachen wie in den letzten Jahrzehnten.

 

Mehr Geld für Datensicherheit

Beobachtungen in nationalen und vertikalen Märkten lassen darauf schließen, dass europäische Staaten planen, ihre diesjährigen Ausgaben für Datensicherheit im Vergleich zum Vorjahr zu erhöhen. Damit liegt Europa in Bezug auf geplante Erhöhungen der Sicherheitsausgaben jedoch insgesamt (72 %) sowohl unter dem weltweiten (78 %) als auch unter dem US-amerikanischen Durchschnitt (86 %). Und das obwohl die Zahl der schweren Datenschutzverletzungen weiter gestiegen ist.

Deutschland ist da keine Ausnahme, im Gegenteil. Im Vergleich zu Vorjahreszeitraum ist die Zahl der Datensicherheitsvorfälle von 22 % auf 33 % geklettert. Es überrascht dann nicht besonders, dass viele Unternehmen befürchten aufgrund von Schwachstellen sensible Daten zu verlieren. Wir drehen uns also ganz offensichtlich im Kreis. Das sind höhere Ausgaben und Investitionen in den Bereich IT-Sicherheit auf der einen Seite, und dennoch mehr Datenschutzvorfälle auf der anderen. Die eingesetzten Mittel zeitigen nicht die erhoffte Wirkung.

Die scheinbar endlose Flut an erfolgreichen Datenschutzverletzungen entfaltet noch eine zusätzliche psychologische Wirkung. Bei den von Thales im jüngsten Data Threat Report Befragten führt das zu einem Gefühl größerer Angreifbarkeit [1]. Im Durchschnitt haben 41 % der Befragten in Europa den Eindruck »sehr« oder »extrem« angreifbar zu sein und fürchten entsprechende Datensicherheitsbedrohungen. Bei den europäischen Nachbarn ist dieses Gefühl erstaunlicherweise deutlich ausgeprägter als bei den Deutschen selbst. Zwar sind immer noch 36 % stark verunsichert, verglichen allerdings mit beispielsweise 50 % der Schweden. Das mutet für die als sicherheitsaffin geltenden Deutschen schon fast entspannt an.

Die Grundaussage aber bleibt: die Anstrengungen, die Firmen in Sachen Datenschutz und Datensicherheit unternehmen erreichen offensichtlich nicht das gewünschte Ziel. Daran wird auch die DSGVO als solche nichts ändern. Fehlt es uns also an den geeigneten Instrumenten um effizienter vorzugehen und Schäden zu minimieren?

 

Falsch investiert?

Ganz offensichtlich sind die Europäer im Allgemeinen und die Deutschen im Besonderen durchaus gewillt, mehr Budget und Ressourcen in Richtung IT-Sicherheit zu verschieben. Firmen schaffen, wenn auch unter »sanftem« Druck der DSGVO, inzwischen die notwendigen Stellen und versuchen die Positionen zügig zu besetzen. Aber auf welche Technologien sollten CISOs, Datenschutzbeauftragte und IT-Administratoren setzen?

Was die Befragten im Thales-Bericht anbelangt sind die sich in ihrer Einschätzung relativ einig. Die in Europa Befragten haben ebenso wie die weltweit Befragten durchschnittlich am wenigsten Vertrauen in Sicherheitsmaßnahmen, die Endpunkte und mobile Geräte vor Datenschutzverletzungen schützen sollen. Im Gegensatz dazu wurden Sicherheitsmaßnahmen für Data-at-Rest von den Befragten in Europa als besonders effektiv bewertet (73 %). In Deutschland liegt der Prozentsatz sogar noch leicht darüber (75 %).

Allerdings zieht sich der Widerspruch zwischen dem, wie diese Lösungen eingeschätzt werden, und den tatsächlichen Ausgaben durch, sowohl in Europa, aber auch weltweit. Obwohl Sicherheitsmaßnahmen für Data-at-Rest als sehr effektiv bewertet wurden, stehen sie in den Ausgabenplänen in Europa hinten an (36 %). Anders gesagt, es werden insbesondere Ausgaben für genau die Sicherheitstools geplant, die als am wenigsten effektiv bewertet wurden und umgekehrt. Über die Gründe lässt sich trefflich spekulieren, und sicherlich spielt die unterstellte Komplexität von Sicherheitslösungen wie Verschlüsselung eine Rolle. Immerhin, der starke Regulierungsdruck und die umfänglichen Compliance-Anforderungen, sind weiterhin ein starker Anreiz in IT-Sicherheit zu investieren.

Gerade in Sachen Compliance werden Verschlüsselung und Tokenisierung als besonders wirksam hervorgehoben. Fast ein Drittel (32 %) der Befragten in Deutschland nannte Verschlüsselung als das bevorzugte Mittel zur Einhaltung der lokalen Gesetze zur Datensouveränität, im Vergleich zu 44 % in Europa. Verschlüsselung mit lokaler Schlüsselsteuerung ist dann auch die erste Wahl zur Sicherung der Public Cloud (43 %), dicht gefolgt von Verschlüsselung mit Steuerung beim Serviceanbieter (42 %).

Auch für mehr Sicherheit im Internet der Dinge (IoT) setzen gerade die Deutschen in erster Linie auf Verschlüsselung und Tokenisierung (50 %), erst danach folgen Maßnahmen zum Schutz vor Malware.

 

Restrisiko senken

Ein Grundproblem der IT-Sicherheit besteht allerdings weiterhin. Wir schützen immer noch vorwiegend Infrastrukturen statt Daten. Und das wiederum hat mehr mit gefühlten Wahrheiten zu tun als man gemeinhin annehmen möchte. Vor allem hat es offensichtlich Folgen für die Investitionsentscheidungen innerhalb der IT-Sicherheit. Gerade in den Bereichen Informatik, künstliche Intelligenz und maschinelles Lernen, operieren wir gerne mit Wahrscheinlichkeiten, Annahmen und prognostizierten Ergebnissen. Ingenieurswissen und nachvollziehbare Operationen wären manchmal hilfreicher. Denn allein mit Software lässt sich Software schwerlich kontrollieren. Das gilt auch für Anwendungen, die auf maschinellem Lernen basieren und die sich Modelle der künstlichen Intelligenz zunutze machen.

 

Firmen kommen an fortschrittlichen Technologien wie Cloud, IoT und Big Data nicht vorbei.

Sie werden schon jetzt so gut wie universell eingesetzt. Das hat den Druck auf IT-Verantwortliche nochmals erhöht. Erst recht, weil Technologieumgebung wie Cloud, IoT & Co. auch für sensible Daten genutzt werden. Bisher fließt ein Großteil dessen, was Unternehmen in IT-Sicherheit investieren primär in Lösungen zur Netzwerksicherheit beziehungsweise in Endpoint- und Mobile-Security. Der zitierte Thales-Bericht bestätigt, dass dies weiterhin der Fall ist. Und das, obwohl Unternehmen zunehmend Technologien einsetzen, die sich außerhalb des traditionellen Netzwerks befinden.

Eine Antwort auf drängende Sicherheitsfragen sind Lösungen wie Verschlüsselung und Zugriffskontrollen. Nur, bei den IT-Sicherheitsinvestitionen belegen sie eher die hinteren Plätze. Ungeachtet dessen, dass sie sehr viel effizienter wären als viele andere. Verschlüsselung hat aber leider den Ruf nicht gerade einfach und problemlos zu sein. Das trifft heute aber nur noch bedingt zu. Und ein datenzentrierter Sicherheitsansatz (gegenüber einem, der sich auf die Infrastruktur- und Endpunksicherheit fokussiert) gilt neben den Daten selbst natürlich den Metadaten. Die tragen, gerade wenn man die darin enthaltenen Informationen kombiniert, unter Umständen noch sehr viel mehr sensible Informationen in sich. Übrigens hilft es durchaus den von der DSGVO vorgeschriebenen Grundsatz der Datensparsamkeit zu praktizieren und sich von IT-Lösungen zu verabschieden, die man nicht braucht. Verschlüsselung sorgt dann ihrerseits dafür, diese Daten effizienter zu schützen und zu verwalten. Das gilt für Server, Applikationen, Daten und Dateien.

 

Was tun?

In der Praxis heißt das, sich die Anzahl der Beteiligten sowie die der betreffenden Systeme und Personen genau anzusehen und Verschlüsselung dann auf diese überschaubare Größenordnung anzuwenden. Dass dies tatsächlich passiert, dafür sorgt eine andere Entwicklung. War es traditionell nur die IT-Abteilung, die sich darum gekümmert hat, ob und wie Verschlüsselung eingeführt und umgesetzt wird, sind jetzt zunehmend die Fachverantwortlichen der betreffenden Abteilung und die Geschäftsführung für die Entscheidungsfindung zuständig. Die wachsende Zahl der bekannt gewordenen Datenschutzverletzungen, aber vor allen die regulatorischen Anforderungen haben diese Entwicklung begünstigt. Neben der EU-DSGVO auch eIDAS. Damit wird Verschlüsselung für weitaus mehr Unternehmen zu einem entscheidenden Element in ihren Datenschutzüberlegungen.

Kai Zobel, Regional Director Thales eSecurity

 

[1] Quellen und Methode: Den kompletten 2018 Thales Data Threat Report Europa-Ausgabe stellen wir Ihnen hier zum Download zur Verfügung. https://de.thalesesecurity.com/2018/euro-data-threat-report
Für die in der Studie erhobenen Daten wurden Interviews via Web oder per Telefon mit 1.200 Führungskräften in Deutschland, Japan, Indien, den Niederlanden, Schweden. Südkorea, UK und den USA geführt. Die meisten der Befragten haben in ihrem Unternehmen großen Einfluss auf IT-Entscheidungen oder treffen sie sogar alleinig. Die Befragten repräsentieren unterschiedliche Branchen wie die Automobilindustrie, den Energiesektor, Behörden und Regierungsinstitutionen, Finanzdienstleister, das Gesundheitswesen, IT, Produktion, Einzelhandel und Telekommunikationsanbieter.

 

 


 

Mehr Datenschutzverletzungen als je zuvor – investieren Unternehmen an der richtigen Stelle?

Die Zeiten ändern sich, die Sicherheitsstrategien nicht

Verschlüsselung ja! Aber was und wo?

Geschlossene Gesellschaft: Sicherheit für permissioned Blockchains

Warum Datenschutz und Verschlüsselung ein Thema für die Vorstandsetage ist