TDWI 2014: “Big Data – Little Security”

Das Thema Big Data bietet enorme Chancen, aber, wie Gerald Spiegel von Steria Mummert Consulting, im Interview mit silicon.de erklärt, machen sich viele Unternehmen zu wenig Gedanken über den Schutz dieser wertvollen Informationen.

TDWI_LogoChancen und Risiken von Big Data, Data Warehouse und Business Intelligence: Auf der TDWI-Konferenz 2014 in München hat sich silicon.de mit Gerald Spiegel, Senoir Manager Information Security Solutions bei Steria Mummert Consulting vor der Kamera unterhalten.

silicon.de: Gerade BI-Lösungen stellen wertvolle Daten dar, werden hier nicht besondere Begehrlichkeiten für unautorisierte Zugriffe geweckt.

Spiegel: Natürlich wird ein Datendieb, der die Absicht hat, unautorisiert Informationen zu kopieren und eventuell illegal zu verwenden, diese Aktion möglichst effizient auszuführen versuchen. Das heißt mit möglichst wenig Aufwand und Gefahr möglichst viele interessante Informationen abgreifen. Je nach Art des Zugriffs muss es evtl. schnell gehen, um nicht entdeckt zu werden. Wenn dann zudem der Zugriff auf Datenquellen nicht überwacht wird, ist die Möglichkeit der Entdeckung nach vollzogener Tat quasi gleich Null. Interne Mitarbeiter entwickeln mit der Zeit ein Gefühl dafür, bei welchen Datenquellen Überwachung stattfindet und wo man unbemerkt mal ein paar Gigabyte kopieren kann. Gleichzeitig wächst im Untergrund der Markt für solche Informationen. Geschäfte werden remote und anonym erledigt. Bezahlt wird zum Beispiel mit Bitcoins, im Falle von Steuer-CDs sogar staatlich legitimiert mit echtem Geld. So entwickelt sich bei dem einen oder anderen ein alternatives Geschäftsmodell zum eigentlichen Job.

silicon.de: Wie können BI-Daten in den Händen von unautorisierten Personen Schaden anrichten?

Spiegel: Zunächst einmal können vertrauliche Unternehmensinformationen, wenn diese an die Öffentlichkeit gelangen, einen erheblichen Imageschaden anrichten. Oft ist das Bekanntwerden des Datendiebstahls selbst schon ein Imageverlust. Wenn personenbezogene Daten betroffen sind, besteht sogar eine gesetzliche Veröffentlichungspflicht. Zum Imageschaden drohen dann auch noch Bußgelder. Sehr oft sind in BI-Daten personenbezogene oder personenbeziehbare Daten enthalten. Bei einem Datendiebstahl, bei dem die Daten fremder Unternehmen gestohlen werden, führt dies unter Umständen zu einem Bruch von Vertraulichkeitsvereinbarungen und es drohen Schadensersatzforderungen.

Des Weiteren sind Informationen eine Ware, die auf einem jeweiligen Markt einen monetären Wert hat. Eigentlich möchte der Informationseigentümer einen Gewinn daraus ziehen. Geht dieser Gewinn an den Datendieb, hat das betroffene Unternehmen entweder einen Umsatzausfall oder Opportunitätskosten für entgangenes Geschäft. Dies betrifft zum Beispiel Entwicklungsunterlagen, Bauanleitungen oder Rezepturen. Diese werden möglicherweise nicht unmittelbar in BI-Daten enthalten sein, können aber eventuell aus diesen geschlossen werden.

Grundsätzlich besteht noch die Möglichkeit eines konkreten materiellen Schadens. Dies ist zum Beispiel bei unautorisierter Veränderung von Steuerungsdaten der Fall. Allerdings dürfte dieser Fall im Zusammenhang mit BI-Daten wohl eher selten der Fall sein.

silicon.de: Wo liegen ihrer Meinung nach die Schwachpunkte in der Sicherheit?

Spiegel: Der Kern von BI Lösungen liegt ja gerade darin, eine Vielzahl von Daten für Auswertungen bereitzustellen. Eventuell umfasst dies Auswertungen, die man zum Zeitpunkt der Bereitstellung der Daten noch gar nicht kennt. Beschränkungen des Zugriffs könnten als hinderlich gesehen werden. Gleichzeitig ist aber der kontrollierte Zugriff auf Daten eine der wichtigsten Maßnahmen der IT-Sicherheit. Den richtigen Punkt zwischen Flexibilität und Datensicherheit zu finden, also ein funktionierendes Berechtigungskonzept, ist die Herausforderung für Unternehmen.

Ein weiterer Schwachpunkt ist die Zunahme von Zugriffsmöglichkeiten auf Daten. Gerade der Bedarf nach Mobility arbeitet diesem Schwachpunkt zu. Aber auch immer noch existierende unkontrollierte Zugänge zum Unternehmensnetzwerk, zum Beispiel durch offene WLANs, bilden einen Schwachpunkt.

Last but not least ist ein Schwachpunkt, das leider immer noch mangelnde Bewusstsein bei Entscheidungsträger zu sehen, die IT-Sicherheit als eine Reihe von technischen Maßnahmen der IT-Abteilung sieht anstatt besser von Informationssicherheit zu sprechen und dies als Leitungsaufgabe zu begreifen. Das Thema Security Awareness ist nicht neu, aber immer wieder aktuell, da sich die Bedrohungslage ständig verändert und damit auch Verhaltens- und Handlungsempfehlungen sich ständig verändern.

silicon.de: Immer mehr Personen in einem Unternehmen haben Zugriff auf BI-Informationen, wie kann ich im Unternehmen dennoch die Sicherheit aufrechterhalten?

Spiegel: Entscheidend ist, dass das Management begreift, dass Informationssicherheit in erster Linie eine Frage von Prozessen, Rollen und Verantwortlichkeiten, Richtlinien, Kontrolle und kontinuierlicher Verbesserung ist und keine Frage von Software oder Hardware, die es schon richten werden. Etabliert hat sich der Begriff des Informationssicherheitsmanagementsystems (ISMS). Hilfestellung beim Aufbau einen ISMS liefert der Standard ISO 27001, der branchenunabhängig die Anforderungen an ein vollständiges ISMS beschreibt.

silicon.de: Herr Spiegel, wir danken für das Gespräch.

Das interview Mit Dr. Gerald Spiegel kann auch über de.itweb.tv abgerufen werden.

Wie groß ist Ihr Wissen über Big Data? Machen Sie den Test mit 15 Fragen auf silicon.de.