Galerie: Auch in schweren Zeiten Datensicherheit nicht vernachlässigen
Galerie: Am 28. Januar wird bereits zum 15. Mal der Europäische Datenschutztag begangen. Zu Beginn des Jahres 2021 stehen die Vorzeichen ganz anders als sonst. Dabei hat die Pandemie auch erhebliche Auswirkungen auf IT-Sicherheit und Datenschutz. Micro Focus nimmt sie genauer unter die Lupe.
Charles Smith, Consulting Solution Engineer, Data Protection, Barracuda, EMEA: „Die Hauptursache für Datenverluste ist das versehentliche oder böswillige Löschen von Daten durch Endbenutzer. Weitere Gründe dafür, dass Daten verloren gehen oder unbrauchbar werden, sind Fehlkonfigurationen, Probleme mit der Client-Synchronisierung und natürlich Angriffe jeglicher Art von Cyberkriminellen. Dazu kommt, dass Mitarbeiter zunehmend ortsunabhängig arbeiten und cloudbasierte Anwendungen beispielsweise in einer SaaS-Bereitstellung wie Microsoft 365 nutzen. Und allzu oft verlassen sich Unternehmen zu sehr auf die Sicherheit ihrer Daten in diesen Services. Unternehmen und Organisation müssen den Schutz Ihrer Daten entsprechend anpassen. Fehler werden immer passieren, und auch die Hacker werden ihre Dienste nicht einstellen. Daher braucht es unbedingt eine schnelle, skalierbare Back-up- und Wiederherstellungslösung, die einen umfassenden Schutz – insbesondere auch für Daten aus cloudbasierten Anwendungen – bietet.“
(Bildquelle: jeweiliger Anbieter)
Liviu Arsene, Global Cybersecurity Researcher bei Bitdefender: „Die erpresserischen Angriffe entwickeln sich weiter – angetrieben von milliardenschweren Profiten und einer deshalb hervorgerufenen Konkurrenz auf dem Ransomware-as-a-Service-Markt. Ständig neue Funktionalitäten und Varianten machen die Abwehr zu einer immer komplexeren Aufgabe. Darüber hinaus sind die Gefahren für Daten und intellektuelles Eigentum gewachsen. Sie bedrohen alle Branchen über Angriffe auf die Lieferketten. Zudem zielen sie auf Fehlkonfigurationen oder Lücken in Infrastrukturen, die durch den schnellen Übergang zur Heimarbeit 2020 entstanden sind. Werkzeuge für Advance Persistent Threats (APTs) sind mittlerweile einfach handzuhaben und lassen sich einfach anmieten. Moderne Abwehrmaßnahmen auf der Basis von Machine Learning, eine konsequente Cyberhygiene und vor allem ein Gefühl für den Wert des Datenschutzes helfen Unternehmen und Privatpersonen, das Internet und die IT sicherer zu machen.“
Anurag Kahol, CTO, Bitglass: „Um sicherzustellen, dass sensible Daten von jedem Zugriffsort aus sicher sind, sorgen Unternehmen auf mehreren Ebenen für Datensicherheit. Ausgangspunkt ist ihr klassifizierter Datenbestand und die verschiedenen Verarbeitungswege im täglichen Geschäftsablauf. Gesetzliche Vorgaben, wie beispielsweise die DSGVO oder der mitunter auch für deutsche Unternehmen gültige California Consumer Privacy Act (CCPA) schaffen für Unternehmen die Rahmenbedingungen für die Erhebung, Verarbeitung und Speicherung von Daten. Diese bestimmen, welche Sicherheitsmaßnahmen in der IT-Architektur ergriffen werden und wo diese besonders verstärkt werden müssen. Mit umfassenden Aktivitätsprotokollen, die sämtliche Datei-, Benutzer-, App- und Web-Aktivitäten mitverfolgen, behalten Unternehmen in Echtzeit Überblick über alle von ihnen verarbeiteten Daten. Für sensible Datenkategorien, wie beispielsweise personenbezogene Daten, werden Verschlüsselungswerkzeuge eingesetzt. Auffallend ist, dass Unternehmen mehr und mehr nach Lösungen suchen, die ihnen konsistenten Schutz von Daten in überaus heterogenen IT-Umgebungen ermöglichen. Es lässt sich die Tendenz erkennen, dass Unternehmen Datenschutz zunehmend professioneller gestalten und Daten ins Zentrum ihrer IT-Security-Strategie stellen. Angesichts der fortschreitenden Digitalisierung der Wirtschaft, in der Kundenvertrauen weiterhin eine große Rolle spielt, ein überaus positives Zeichen und vor allem ein großer Erfolg für die Gesetzgebung im Bereich Datenschutz“
Tim Bandos, CISO und VP Managed Security Services bei Digital Guardian: „Daten sind das Lebenselixier der meisten modernen Unternehmen, und die langfristigen negativen Auswirkungen auf diejenigen, die von Sicherheitsverletzungen betroffen sind, zeigen, wie ernst das Thema Datenverlust heute geworden ist. Zudem hat sich für diejenigen, die aktuell von zu Hause aus arbeiten, das Bedrohungsniveau durch die verschwimmenden Grenzen bei der Nutzung privater Geräte zur Beantwortung von Arbeits-E-Mails exponentiell erhöht. Bei einer so großen Menge an Daten, die täglich in und aus Unternehmen fließen, müssen effektive Datensicherheitsstrategien Folgendes umfassen: 1. Sichtbarkeit aller Daten zu jeder Zeit 2. Analysen, um Risiken zu verstehen und zu managen 3. Kontrollen, um Datensicherheitsrichtlinien durchzusetzen sowie 4. eine konsolidierte Sicht auf alle Bedrohungen, die auf sensible Daten abzielen. Ein umfassender Ansatz bei der Implementierung von Cyber-Security-Kontrollen ist für den Schutz von Unternehmensdaten unabdingbar, insbesondere wenn es um sensible und wertvolle Kunden- oder Finanzinformationen geht. Hier sollte eine kompromisslose Datensicherheit im Vordergrund stehen.“
Rishi Lodhia, Managing Director EMEA, Eagle Eye Networks: „Datenschutz ist auch für Videoaufzeichnungen von Überwachungskameras von zentraler Bedeutung – nicht nur um Strafen oder Imageschäden zu vermeiden. Vertraulichkeit und Integrität bei gleichzeitiger Verfügbarkeit der Videos im Netz verlangen komplexe Einstellungen oder Technologien. Anbieter von Cloud-Lösungen stellen dafür vorkonfigurierte Lösungen bereit, die auf Sicherheit und Datenschutz ausgerichtet sind. Bei einem as-a-Service-Angebot können die Anwender sicher sein, dass die Plattform von Experten immer aktualisiert ist. Das minimiert das Risiko, dass Angreifer auf Daten unberechtigt zugreifen oder sie gar stehlen. Auch deswegen nutzen mehr als 90 Prozent der Unternehmen Cloud-Technologien – mit steigender Tendenz auch in der Videoüberwachung. Die Kosten sinken zudem und der Datenschutz wird unterstützt, wenn Videomanagementlösungen Inhalte nach einer gewissen Vorhaltefrist automatisch löschen, während Daten, die einen Alarm auslösten und bei denen ein berechtigtes Interesse besteht, indiziert und gezielt länger gespeichert werden.“
Ed Hunter, CISO von Infoblox: „Der diesjährige Europäische Datenschutztag steht ganz im Zeichen des 40. Jahrestages der Datenschutzkonvention 108 des Europarats. Wer hätte sich vor 40 Jahren auch nur annähernd vorstellen können, in welch digitalen Welt wir heute leben. Unternehmensnetzwerke finden mittlerweile größten Teils in der Cloud statt. COVID-19 hat den Weg in die Wolke noch zusätzlich beschleunigt. Wegweisende Datenschutzgesetze, wie die DSGVO und der California Consumer Privacy Act (CCPA), haben den Unternehmen in einer vernetzten Welt ihre Verantwortung aufgezeigt, einen angemessenen Schutz zu bieten. Doch die Ausdehnung des Netzwerks in hybride Multi-Cloud-Umgebungen erfordert einen Wandel in Sachen Sicherheit: weg von physischen Grenzen durch On-Premises-Lösungen hin zu einem Daten-zentrierten Modell. So kann Security dezentral eingesetzt werden und geografisch verteilte Mitarbeiter schützen. Im Englischen sagen wir aktuell oft: ‚The Human is the new perimeter‘. Damit rücken wir den Faktor Mensch noch stärker in den Fokus der Sicherheitsbemühungen. Unternehmen erreichen durch die Absicherung des erweiterten Netzwerks auch den Schutz der Privatsphäre, was wiederum Vertrauen bei Mitarbeitern und Kunden schafft.“
Sven Bornemann, CEO der European netID Foundation: „Das Thema Datenschutz ist präsenter denn je – in der Gesellschaft genauso wie in der Digitalbranche. Nutzer fordern Transparenz und Datenhoheit. Zu Recht. Unternehmen müssen umdenken und ihre Geschäftsmodelle anpassen, um erfolgreich zu sein. Ein guter Trend, der zum New Normal werden sollte. Transparent, datenschutzkonform und nutzerorientiert – so muss das Onlinemarketing der Zukunft aussehen.”
Simon Marchand, Chief Fraud Prevention Officer bei Nuance: „Nie war es wichtiger für Unternehmen auf Cybersicherheitslösungen und Betrugspräventionstools zu setzen als in aktuellen Krisenzeiten und in Zeiten von Remote Working. Cyber-Kriminelle nutzen die immensen Veränderungen in der Pandemie aus, um ihre kriminellen Aktivitäten zu verstärken. Dabei zielen sie auf Einzelpersonen und Unternehmen ab, die am verwundbarsten und am wenigsten geschützt sind, um ihre Daten zu manipulieren und persönliche Informationen zu entwenden. Biometrie ist ein bewährter, effektiver Authentifizierungsfaktor und ein wirksames Mittel gegen Betrug. Stimmbiometrie ist in der Lage, anhand von mehr als tausend einzigartigen Sprachmerkmalen – von der Aussprache bis hin zur Größe und Form des Nasengangs – einzelne Personen anhand ihrer Stimme zu erkennen. Die Verhaltensbiometrie misst winzige Details, wie die Art und Weise, wie eine Person ein Telefon hält oder Pausen macht. Die Einbindung von Biometrie in eine bestehende Datenschutzstrategie verhilft Unternehmen zu erkennen, ob eine Person wirklich die ist, die sie vorgibt zu sein und schützt damit Unternehmen vor Betrug.“
Adam Mayer, Senior Technical Product Marketing Manager, Qlik: „Echtzeitdaten bilden eine der wertvollsten Ressourcen für moderne Unternehmen, um richtige Entscheidungen zu treffen. Dafür braucht es eine klare Strategie, wer Zugang zu welchen Daten benötigt und welche Daten zur jeweiligen Rolle des Mitarbeiters passen. Für Datenerkenntnisse in Echtzeit ohne Datenschutzprobleme ist ein ganzheitlicher Data-Governance-Ansatz erforderlich. Das Verständnis der Datenherkunft, die Verwaltung des Benutzerzugriffs über einen Datenkatalog und die Vermittlung von Datenkompetenz an die Mitarbeiter für einen verantwortungsvollen Umgang mit verschiedenen Datenquellen sind der Schlüssel, um hier neue Compliance-Probleme zu vermeiden. Der Europäische Datenschutztag ist ein guter Anlass, um über die üblichen Zugriffskontrollen hinaus zu denken. Data Analytics kann die Einhaltung der Compliance-Anforderungen gut unterstützen. Analytics-Programme helfen Führungs- und IT-Teams dabei, Daten zu visualisieren und zu verwalten und wer Zugriffsrechte auf welche Informationen hat und benötigt. Dabei können verteilte Datensätze über Benutzerzugriffskontrollen oder HR-Listen, die Austritte, Neueintritte und Positionswechsel der Mitarbeiter dokumentieren, zusammengeführt werden. So haben Mitarbeiter Zugriff auf die Daten, die sie wirklich benötigen. Das Risiko menschlicher Fehler wird reduziert und der Datenschutz im Unternehmen wird intelligenter.“
Volker Sommer, Area VP DACH bei SailPoint: „Wir haben im letzten Jahr gesehen, dass Identitäten und wie sie zu managen sind, bei vielen Organisationen Thema Nummer eins ist. Auch 2021 werden sich Unternehmen – vom Mittelstand bis hin zum Global Player – die Frage stellen müssen: Habe ich den Überblick über alle Zugriffsrechte? Tun sie dies nicht, laufen sie Gefahr, im Falle einer erfolgreichen Cyber-Attacke mehr zu verlieren als nötig.“
Michael Hambsch, Director Solution Consulting Continental Europe bei Snow Software: „Ich bin der festen Überzeugung, dass wir weltweit eine Art ‚Dominoeffekt‘ bei der Einführung von Datenschutzvorschriften sehen werden, die sich alle am ‚Goldstandard‘ DSGVO orientieren. Aber dies ist weniger auf die Corona-Pandemie zurückzuführen, sondern hat eher mit dem Druck der Bevölkerung zu tun, die nicht mehr bereit ist, rücksichtsloses Verhalten zu akzeptieren. Die Zeit ist reif, Datenschutzbestimmungen auch gegen solche Großunternehmen durchzusetzen, die Datenschutzverstöße zu ihrem Geschäftsmodell erhoben haben.“
Oliver Cronk, Chief IT Architect EMEA bei Tanium: „Obwohl Technologie allein ein gewisses Maß an Sicherheit bieten kann, zeigen Untersuchungen, dass 90 Prozent der Verstöße gegen die Cybersicherheit immer noch durch menschliches Versagen verursacht werden, was in der Regel das Klicken auf einen bösartigen Link in einer E-Mail beinhaltet. Daher müssen Unternehmen sicherstellen, dass ihre Mitarbeiter über ein angemessenes Wissen über gängige Bedrohungen verfügen.“
Stefan Schweizer, Vice President Sales DACH, Thycotic: „Während viele Konzerne und Großunternehmen schon vor Covid-19 verstärkt auf Remotearbeitskonzepte gesetzt haben und dementsprechend besser vorbereitet waren, hatten viele KMUs und auch Behörden, die in Sachen digitale Transformation immer noch hinterherhängen, sehr zu kämpfen. Ihnen hat die Corona-Pandemie auf einen Schlag klar gemacht, welch zentraler Baustein die Cloud auf dem Weg zur erfolgreichen Digitalisierung ist. So war ein positiver Effekt des plötzlichen Homeoffice-Booms tatsächlich ein deutlicher Anstieg bei der Nutzung von Cloud-Lösungen und der Migration von Services in die Cloud. Und dieser wird in den kommenden Monaten sicherlich noch anhalten. Doch egal ob Private oder Public Cloud, IaaS-Plattformen wie Amazon Web Services (AWS) und SaaS-Anwendungen wie Salesforce oder Cloud-Datenbanken von AWS, Google, Azure oder Oracle – um nachhaltig Cybersecurity und Datensicherheit gewährleisten zu können, müssen die Zugriffe auf die Cloud gut überwacht, verwaltet und vor Missbrauch abgesichert werden. Hierzu braucht es automatisierte Privileged Access Management-Tools, die ein sicheres Passwortmanagement, Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrollen (RBAC) sowie eine Sitzungsaufzeichnung ermöglichen. So können IT-Security-Verantwortliche sicherstellen, dass sensible Daten ihren geschützten Bestimmungsort nicht verlassen oder von nicht unautorisierten Nutzern missbraucht werden.“
Mareike Vogt, Fachexpertin für Datenschutz bei TÜV SÜD: „Die EU-DSGVO gibt vor, dass der Transfer personenbezogener Daten an einen Staat außerhalb der EU/EWR unter anderem nur erlaubt ist, wenn die Zielländer oder -organisationen einen gleichwertigen Datenschutz zur Europäischen Datenschutzgrundverordnung (EU DSGVO) garantieren. Diese Anforderung erfüllen beispielsweise die Vereinigten Staaten von Amerika nicht, weswegen der EU Privacy Shield vom Europäischen Gerichtshof (EuGH) in der Klage Schrems II gekippt wurde. Laut vieler Experten war dies bereits abzusehen, seit das Abkommen eingeführt wurde. Die Nachlässigkeit der Politik stellt jetzt besonders kleine und mittlere Unternehmen (KMU) vor große Schwierigkeiten: Es gilt, die eigenen Prozesse und die dabei genutzte Soft- und Hardware (beispielsweise Rechenzentren) schleunigst anzupassen. KMU greifen in ihrer täglichen Arbeit meist auf Software-Lösungen und as-a-Service-Dienste von größeren, etablierten Anbietern zurück oder sie richten sich nach den Prozessen und Anforderungen ihrer Kunden. Um sicher zu gehen, dass die verarbeiteten personenbezogenen Daten dem Urteil entsprechend geschützt werden, muss dies nun alles überprüft werden. Sollten KMU nämlich Standardvertragsklauseln als Garantiemit den Anbietern der Dienste abgeschlossen haben, so kann es sein, dass diese ebenfalls durch Schrems II beeinflusst werden. Oftmals genügen diese Klauseln nicht zum Schutz der personenbezogenen Daten innerhalb der USA und weitere technische Maßnahmen müssen ergriffen werden. Hinzu kommt, dass enorm viele Daten, auf den ersten Blick hinter Subdienstleistern versteckt, in die USA fließen oder dort auf Servern lagern, obwohl die Anbieter eigentlich ein europäisches Unternehmen sind oder hier Niederlassungen haben. Sind die Anbieter nicht in der Lage, sich dem Urteil anzupassen, so sind auch die KMU in der Pflicht, sich sofort nach neuen Lösungen umzusehen oder sogar die Dienste selbst zu stellen, beispielsweise ‚on premise‘, also über eigene Server.“
Malte Pollmann, Chief Strategy Officer bei Utimaco: „Zu einem umfassenden Sicherheitskonzept gehört heute auch der Einsatz von hochsicheren Verschlüsselungstechnologien. Diese bieten für Daten, Identitäten und Transaktionen aktiven Schutz vor der allgegenwärtigen Gefahr von Cyberangriffen. Um Sicherheit und Compliance jederzeit zu gewährleisten, ist nicht zwingend eine umfassende In-House-Expertise notwendig, denn es gibt bereits Krypto-Plattformen, die es beispielsweise Cloud Service Providern erlauben, für ihre Kunden auf Hardware-Sicherheitsmodulen (HSM) basierende hochsichere Verschlüsselung bereitzustellen. Unternehmen, die Kryptografie als Service von spezialisierten Experten beziehen, erhalten damit eine stets aktuelle Lösung, die sie flexibel an die aktuellen Bedürfnisse anpassen und skalieren können.“
Edwin Weijdema, Global Technologist, Product Strategy bei Veeam: „Aufgrund der Menge sensibler Daten tragen Unternehmen mehr denn je die Verantwortung, die gespeicherten Daten ethisch korrekt, gesetzeskonform und sicher zu nutzen. Es handelt sich nicht um eine nette Dreingabe. Es ist ein Menschenrecht, das gewahrt werden muss. Dennoch unterstützen zu viele Unternehmen mit einer nachlässigen Herangehensweise an die Datensicherheit ungewollt die Bemühungen von kriminellen Machenschaften. Um dem entgegenzuwirken ist Technologie ein wichtiger Vorreiter. Es ist daher wichtig, eine Sicherheitslösung für das Daten-Management zu finden, die mit allen IT-Umgebungen zurechtkommt – ob Cloud, Multi-Cloud, Hybrid oder Rechenzentrum – und jede Unternehmensgröße verwalten kann. Nur so kann sie die Anforderungen der Datensicherheit, Compliance, des Auditing und letzten Endes Kundeschutzes erfüllen. Im Jahr 2021 sollte die Bewahrung des Kundenvertrauens eine der Hauptprioritäten aller Firmen sein, eines der wichtigsten Güter überhaupt.”
Mike Warmeling, Speaker, Erfolgstrainer und Gründer von Warmeling Consulting: „Digitale Systeme und Anwendungen sind aus dem Alltag nicht mehr wegzudenken. Künstliche Intelligenz, Homeoffice und -schooling, Cloud- und Smart-Home-Lösungen, Videocalls oder Apps wie Clubhouse, TikTok, WhatsApp und Co. stellen nur einige Beispiele des Digitalisierungsprozesses dar. Sie nehmen sowohl für Unternehmen als auch für Privatpersonen einen immer größeren Stellenwert ein. Mit dieser Entwicklung eng verwoben ist das Thema Datenschutz. Digital ablaufende Prozesse produzieren eine große Menge an Daten – häufig auch die besonders schützenswerten personenbezogenen Informationen. Damit bleibt der Datenschutz in unserer digitalisierten Welt weiter im Fokus. Dies lässt sich auch daran erkennen, dass dieses Thema häufig zur Debatte steht, beispielsweise im Rahmen der Corona-Warn-App oder der Einführung von Homeoffice. Aktuell führen in Deutschland ebenfalls die neuen Nutzungsbedingungen von WhatsApp zu vielen Diskussionen und einige User fragen sich, ob sie auf eine andere Chat-App ausweichen sollen. Für europäische Nutzer des Messengerdienstes bleibt zwar im Kern alles beim Alten, doch die Debatte zeigt, dass in den letzten Jahren offenbar bei vielen Menschen ein stärkeres Bewusstsein für Datenschutz geschaffen wurde. Auch in der aktuellen Berichterstattung über die App ‚Clubhouse‘ steht dieses Thema im Fokus. Nach dem Installieren und Aktivieren der Einladung fordert die App nämlich Zugriff auf sämtliche Einträge im Adressbuch und schneidet Gespräche mit. Aus den Regeln der App geht jedoch nicht hervor, wofür die Daten verwendet werden. Laut eigener Datenschutzerklärung darf der Anbieter die Informationen aber sogar weitergeben. Für Unternehmen spielt der Datenschutz spätestens seit dem Inkrafttreten der DSGVO am 25. Mai 2018 eine bedeutende Rolle.“
Thomas Heuer, Senior Account Director WhereScape: „Im Jahr 2020 gab es aus Sicht des Datenschutzes noch nie dagewesene Herausforderungen und die verhängten Strafen aufgrund von Verstößen gegen die DSGVO in der EU betrugen insgesamt 158,5 Millionen Euro. Wenn es um die Datensicherheit und Einhaltung von Vorschriften wie der DSGVO geht, ist die einzig wirklich sichere Methode zum Schutz der Integrität von Datenbeständen und Kundeninformationen die Transparenz dieser Daten. Zu wissen, wo sich sensible Daten befinden, wie sie verwendet werden und wer Zugriff darauf hat, ist grundlegend, um echte Datentransparenz zu erlangen und deren Verteidigung zu stärken. Für viele Sicherheitsteams stellt dies eine Herausforderung dar, insbesondere in Unternehmen, in denen die manuelle Verarbeitung großer Datenmengen zeitaufwändig und fehleranfällig sein kann. Hier kann die Automatisierung bei der Einhaltung gesetzlicher Vorschriften einen erheblichen Mehrwert bieten, indem sie die Projektzeit um Monate oder sogar Jahre verkürzt und das Risiko von Verstößen reduziert. Automatisierungssoftware kann einer Organisation dabei helfen, die wichtigsten Anforderungen der DSGVO zu erfüllen und gleichzeitig die Mitarbeiter zu entlasten, damit diese ihre Arbeit besser erledigen und sich auf wertschöpfende Aufgaben konzentrieren können.“