Security nach “Schema F” ist eine Gefahr

Unternehmen dürfen bei ihrer Sicherheitsstrategie nicht einseitig sein oder gar nach “Schema F” vorgehen. Es gibt zu viele verschiedene Anforderungen von Branche zu Branche. Und die müssen beachtet werden, sonst wird aus Security schnell organisierte Unsicherheit. Das sind die zentralen Erkenntnisse einer Untersuchung von Kommunikationsanbieter Verizon.

Insgesamt sind die Angriffe gegen diese Branche weitgehend opportunistisch – sie zielen auf den schnellen Raub von Daten, die leicht für betrügerische Zwecke genutzt werden können. Das Offenlegen von Datensicherheitsverletzungen erfolgt meist durch Dritte. Der Einzelhandel kommt solchen Verletzungen zwar schneller als die Lebensmittel- und Getränkeindustrie auf die Schliche, jedoch später als bei Finanzdienstleistern und High-Tech-Unternehmen.

Die Lebensmittel- und Getränkeindustrie schließlich hat es vor allem mit Angriffen von außen zu tun. Dabei wird aber meist eine zuverlässige Remote-Access-Verbindung als Einstiegspunkt in Online-Repositories von Kreditkarten-Daten genutzt. Für diese Angriffe sind eher geringe Sicherheitskonfigurationen verantwortlich als Schwachstellen bei Anwendungen oder Software; die Angriffe werden schnell ausgeführt und oft wiederholt. Viele Angriffe zielten auf Point-of-Sale-Systeme, über die Straftäter in Lebensmittel- und Getränkeketten zusätzliche Angriffe lancieren und Malware (korrupte Software) verbreiten. Bei Lebensmittel- und Getränkekonzernen dauert es geraume Zeit, bis sie von einer Datensicherheitsverletzung erfahren. In den meisten Fällen erfolgt die Offenlegung durch Dritte.

“Dieser zusätzliche Bericht liefert weitere Einblicke in das Wesen von Datensicherheitsverletzungen und hebt hervor, dass ein gutes Sicherheitskonzept nichts mit einer 08/15-Lösung zu tun hat”, so Dr. Peter Tippett, Vice President of Research and Intelligence, Verizon Business Security Solutions. “Um proaktiv vorbeugen zu können, muss man wissen, was im Fall einer Datensicherheitsverletzung geschieht. Dieser Bericht zeigt deutlich, dass nicht findige und komplizierte Sicherheitsmaßnahmen wichtig sind. Vielmehr geht es tatsächlich um Basics und zwar von der Planung über die Implementierung bis hin zur Datenüberwachung.”