Aufrüstung gegen Cyber-Angriffe: So sehen Abwehrmanöver der Zukunft aus
Ein schlechter Tag für Peter Schmidt: Soeben hatte der Datenschutzbeauftragte eines großen Unternehmens ein unangenehmes Telefonat mit dem Bereichsleiter IT geführt. In der Organisation war es zu einer Datenschutzverletzung beträchtlichen Ausmaßes gekommen. Die Einzelheiten liegen noch im Verborgenen, doch tausende von Kundendatensätzen sind betroffen, Personendaten und Kartenzahlungsdaten kompromittiert.
In dem Moment, in dem Schmidt den Hörer auflegt, beginnt die Uhr zu ticken. Unter Maßgabe der neuen EU-Datenschutz-Grundverordnung (DSGVO) bleiben jetzt gerade einmal 72 Stunden Zeit, um die Behörden über den Vorfall in Kenntnis zu setzen. Schlimmer noch: Eine Meldung, dass das Unternehmen Opfer eines Hacker-Angriffes geworden ist, reicht nicht.
Die DSGVO verlangt vielmehr einen detaillierten Bericht, der darlegt, welche Nutzer und Daten genau betroffen und wie viele Datensätze befallen sind, welche Auswirkungen erwartet werden und welche Maßnahmen zur Eindämmung des Vorfalles unternommen wurden. Außerdem muss Schmidt alle betroffenen Nutzer laut DSGVO „ohne ungebührliche Verzögerung“ über die Gefährdungslage informieren, falls ein hohes Risiko besteht, dass diese zu Schaden kommen. Sobald die Betroffenen informiert wurden, tut er gut daran, die Öffentlichkeit und Presse zeitnah über den Angriff zu unterrichten, um Spekulationen von vornherein zu vermeiden.
Es ist ein Rennen gegen die Zeit. Selbst wenn Schmidt die nächsten drei Tage auf Schlaf verzichtet, er wird es verlieren. Denn für so einen Vorfall hat sein Unternehmen keine Pläne entwickelt und keine Prozesse definiert. Das Personal und die Technologien fehlen, um sich durch die unzähligen Systeme und Terabytes an Daten zu wühlen, um die Ursache sowie das Ausmaß des Datenlecks zu bestimmen.
Kommt der Datenschutzbeauftragte der Informationspflicht aber nicht ausreichend nach, fallen die Strafen empfindlich aus: Sie betragen laut DSGVO bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes des Unternehmens. Ausschlaggebend für die Erhebung der Strafe ist, ob ein Unternehmen angemessene Schutzmaßnahmen für den Fall eines Hacker-Angriffes vorweisen kann oder nicht.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Was Schmidt nur ahnen kann: Die finanzielle Belastung für das Unternehmen reicht weit über die Geldbuße hinaus. Durchschnittlich liegen die Kosten für die Entdeckung, Eindämmung, Meldung und Nachbearbeitung eines Datenschutzvorfalls bei 3,62 Millionen Euro – ganz abgesehen vom Reputationsverlust. Ein weiteres schwer vorhersehbares Risiko: Betroffene EU-Bürger können Schadensersatzklagen erheben. Diese abzuwehren gelingt nur, wenn das Unternehmen nachweist, dass es in keiner Weise für den Schaden verantwortlich ist.
Ohne die richtigen Tools ist Schmidts Unternehmen nicht in der Lage, die benötigten Informationen an die Behörden zu liefern, den Vorfall gründlich zu untersuchen oder seine Auswirkungen zu mildern. Die Kosten für diesen Vorfall werden wohl in die Millionen gehen. Der Datenschutzbeauftragte Schmidt hat harte Tage vor sich.
In der Zwischenzeit…
In der Zwischenzeit wurde ein Wettbewerber am anderen Ende der Stadt von derselben Hacker-Attacke getroffen. Der Unterschied: Die verantwortliche Datenschutzbeauftragte, Barbara Vogt, ist auf den Angriff vorbereitet. Ihr stehen die richtigen Systeme zur Verfügung, um sofort Gegenmaßnahmen zu ergreifen. Die entscheidenden ersten 72 Stunden nach dem Vorfall kann Vogt also nutzen, um den Vorfall einzudämmen.
Unter ihrer Federführung hatte ihr Unternehmen investiert, um Sicherheitsvorfälle schnell zu erkennen und deren Auswirkungen zu analysieren. Zusätzlich wurde ein internes Meldeverfahren etabliert. Kern dieser Infrastruktur ist ein modernes Reporting-Tool, das die Aufzeichnung und Auswertung von Protokollierungsdaten erlaubt. So kann Vogt jederzeit feststellen, ob Informationen von unberechtigten Personen abgerufen wurden und wie weitreichend der Vorfall ist. Außerdem erkennt sie, welche sensiblen Informationen über welche Dauer der Gefahr ausgesetzt waren und wie viele Personen davon betroffen sind.
Solche Tools greifen auf Maschinendaten zurück und stellen diese zentral zur Verfügung. So hat das Unternehmen alle wichtigen Informationen an einem Ort versammelt. Vogt fällt es leicht, nachzuweisen, dass ihr Unternehmen geeignete Sicherheitsinstrumente eingerichtet und aktiv an der Einschränkung von Risiken gearbeitet hat. In kurzer Zeit kann sie nachvollziehen, ob technische Konfigurationen verändert, Passwörter zurückgesetzt oder Updates aufgespielt wurden. Vor allem erfährt sie mit Hilfe der Maschinendaten auch, wer die Änderungen vorgenommen hat.
Ein Sonar für Maschinendaten
Was beide Unternehmen voneinander unterscheidet: Eines verfügt über Tools, um tiefe Einblicke in seine digitale Infrastruktur zu erlangen. Durch die Analyse von Maschinendaten erkennen Sicherheitsexperten beispielsweise schnell, ob eine Anmeldung einem Mitarbeiter zugeordnet wird, der gar nicht im Büro ist. So registrieren und melden sie verdächtige Aktivitäten sehr zeitnah. Ebenfalls bemerken sie, wenn ein neues mobiles Gerät sich in ein System oder VPN-Netzwerk einloggt. So erkennen sie potentiell kompromittierte Benutzerkonten Datenlecks können frühzeitigt gestoppt werden. Die Integration dieser Tools in das Security Information and Event Management (SIEM) des Unternehmens erlaubt es Vogt, jede Anwendung und jedes System, das in die Übertragung von persönlichen Daten involviert ist, zu untersuchen.
Vogts Unternehmen hat jedoch nicht nur ausschließlich in Technologie investiert. Trainings und die Definition von Prozessen bereiteten es auf den richtigen Umgang mit einer Datensicherheitsverletzung vor. So wurde unter anderem ein Leitfaden für sicherheitskritische Vorfälle erstellt. Er umfasst Vorgaben zur Zusammenarbeit von Datenschutzbeauftragtem, IT-Teams, Kommunikations- und Rechtsabteilung sowie der Geschäftsführung. Vogt ist so in der Lage, einen geeigneten Einsatzleiter für den Vorfall zu bestimmen. Auch kann sie fundiert entscheiden, welche Maßnahmen zur Behebung des Datenlecks ergriffen werden müssen: Ob nun Systeme abgeschaltet oder Benutzerberechtigungen zu bestimmten Anwendungen entfernt werden müssen oder der Netzwerkverkehr zu Sinkholes umgeleitet werden muss.
Bei Bedarf hat das Unternehmen im Notfall dank solcher Vorbereitungen die Möglichkeit, kurzfristig einen umfassenden Bericht an die Behörden zu liefern. So kann es nachweisen, dass seine IT-Struktur ordnungsgemäß abgesichert ist und es geeignete Maßnahmen gegen den Vorfall ergriffen hat.
Vogt ist also gut vorbereitet, aber sie hat das alles nicht alleine geschafft. Da sie mit der umfangreichen DSGVO und den aktuellen Risiken bei der digitalen Verarbeitung von personenbezogenen Daten vertraut ist, entschied sie sich für die Zusammenarbeit mit Technologiepartnern. Diese halfen ihr, ein System zu entwickeln, das Maschinendaten zur Erkennung, Vorbeugung und Untersuchung von Verstößen einsetzt und sicherstellt, dass die DSGVO-Richtlinien eingehalten werden.
Vogt hatte wohl auch keinen entspannten Tag. Aber sie weiß: Dank passender Technologien, den richtigen Unternehmensprozessen und regelmäßiger Trainings kann sie jederzeit nachweisen, dass die Sicherheitsvorkehrungen ihres Unternehmens höchsten Maßstäben genügen. So vermeidet ihre Firma nicht nur horrende Geldbußen, sondern ist auch in der Lage, das Datenleck schnell und effizient zu schließen – mit geringsten Auswirkungen für seine Kunden und auf seine Reputation.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Wenn ich diese fiktive Räuberpistole so lese, kommt mir unweigerlich die Frage in den Sinn, was die Welt, in die wir uns jetzt zügigen Schrittes hinein bewegen, eigentlich von jener unterscheidet, in der wir noch mit Keulen bewaffnet in unserer Höhlen hockten und Tag und nacht drauf achten mussten, nicht von einem hungrigen Raubtier oder von dem an unserem Hab und Gut interessierten Clan aus dem Nachbarwald überfallen, beraubt oder gleich gefressen zu werden. Der Autor skizziert hier eine Welt, in der jeder potenziell auf der Strecke bleiben wird, der das eigen virtuelle Dasein nicht nach allen regeln der Cyber-Kriegskunst aufrüstet, um sich wieder vor wirlgewordenen Raubtieren und/oder futterneidischen "Nachbar-Clans" zu beschützen. Hmm ... bis auf die schicke Kleidung, die coole Einrichtung und das vermutlich ungesündere Essen sehe ich im Kern nicht wirklich bedeutende Unterschiede. Bis auf einen vielleicht ... Zu jener Zeit, als wir noch mit Stecken und Keulen bewaffnet unsere Höhlen vor potenziellen Eindringlingen bewachten, gab es keine "Behörde", die uns zu allem eh schon erlittenen Ungemach im Falle einer misslungen Überfall-Abwehr auch noch obendrein mit einer fetten Strafe ohrfeigt. Und was genau ist jetzt besser als damals?
View Comments
Wenn ich diese fiktive Räuberpistole so lese, kommt mir unweigerlich die Frage in den Sinn, was die Welt, in die wir uns jetzt zügigen Schrittes hinein bewegen, eigentlich von jener unterscheidet, in der wir noch mit Keulen bewaffnet in unserer Höhlen hockten und Tag und nacht drauf achten mussten, nicht von einem hungrigen Raubtier oder von dem an unserem Hab und Gut interessierten Clan aus dem Nachbarwald überfallen, beraubt oder gleich gefressen zu werden.
Der Autor skizziert hier eine Welt, in der jeder potenziell auf der Strecke bleiben wird, der das eigen virtuelle Dasein nicht nach allen regeln der Cyber-Kriegskunst aufrüstet, um sich wieder vor wirlgewordenen Raubtieren und/oder futterneidischen "Nachbar-Clans" zu beschützen.
Hmm ... bis auf die schicke Kleidung, die coole Einrichtung und das vermutlich ungesündere Essen sehe ich im Kern nicht wirklich bedeutende Unterschiede.
Bis auf einen vielleicht ...
Zu jener Zeit, als wir noch mit Stecken und Keulen bewaffnet unsere Höhlen vor potenziellen Eindringlingen bewachten, gab es keine "Behörde", die uns zu allem eh schon erlittenen Ungemach im Falle einer misslungen Überfall-Abwehr auch noch obendrein mit einer fetten Strafe ohrfeigt.
Und was genau ist jetzt besser als damals?