Gespeichertes Gift
Wie aus nützlichen Daten "toxische Daten" werden
Es wirkt so, als würden wir jede Woche von neuen Datenschutzverletzungen hören. Unternehmen sollten dies zum Anlass nehmen, um über ihre eigenen Sicherheitsstrategien nachzudenken. Denn nicht nur die Insiderbedrohungen, sondern immer neue Angriffswege, bedrohen vertrauliche Daten von Unternehmen.
In den beiden genannten Fällen wurden wertvolle Güter – eigene Designs und Cyber-Spionage-Tools – gestohlen, entwertet und schlimmer noch: zu potenziellen Haftungsfällen. Die gleichen Assets, die den Umsatz antreiben und wesentlich zur Erreichung der Unternehmensziele beitragen sollten, wurden „toxisch“.
Die wenigsten Nutzer denken an eine mögliche „Giftigkeit“, wenn sie Daten erzeugen, auf sie zugreifen oder speichern; sie denken eher an Produktivität und Umsatzsteigerungen. Die veröffentlichten Datenschutzverletzungen zeigen aber den Unternehmen die geringe Kontrolle auf, die sie oftmals über ihre wichtigsten Güter, ihre Daten, haben.
Datenwachstum und Datenrisiko
Innerhalb der letzten 25 Jahre haben Unternehmen Milliarden Euros dafür ausgegeben, nahezu jede analoge Information zu digitalisieren. Finanzinformationen, Produktpläne, Unternehmensstrategien, geistiges Eigentum und vertrauliche Mitarbeiter-, Kunden- oder Patientendaten wurden in digitale Dateien überführt und in Dateiensystemen, Cloud-Speicher und E-Mails verteilt. Dabei wurde oftmals das damit verbundene Risiko übersehen (oder schlicht und einfach ignoriert). Die Aussichten auf Produktivitätssteigerungen haben die Gedanken an mögliche Hacker-Angriffe, Insiderbedrohungen und Spionage überlagert.
Das enorme Wachstum an Daten ging nicht mit einer steigenden Sicherheit einher – die Resultate sehen wir regelmäßig in den Nachrichten. Datenschutzverletzungen wie bei Sony, Mossack Fonseca oder der Demokratischen Partei in den USA sind beinahe an der Tagesordnung. Anstatt zum unternehmerischen oder politischen Erfolg beizutragen, schaden nun die gestohlenen Daten und E-Mails diesen Zielen. Es ist fast eine Binsenweisheit: Wenn eine Organisation oder ein Unternehmen wertvolle Daten besitzt (und die meisten haben davon mehr als ihnen bewusst ist), gibt es auch jemanden, der versucht, diese zu stehlen. Und der nächste Angriff kommt womöglich von jemanden, der Ihr Unternehmen nicht einmal kennt: Ransomware ist mittlerweile ein Milliardengeschäft mit 4.000 Infektionen pro Stunde.
Drei große Cyber-Security-Fehler
Die weltweiten Ausgaben für IT-Sicherheit werden in den nächsten fünf Jahren weltweit die 1-Billion-Dollar-Grenze überschreiten. Aber warum gibt es dennoch so viele Datendiebstähle und Leaks? Hierzu tragen die folgenden Fehler bei:
- Unternehmen nutzen mehr Zeit dazu, ihre Netzwerke, Systeme und Infrastrukturen zu schützen als ihre Daten, für die die Infrastruktur letztlich aufgebaut wurde. Dies ist ungefähr so, als würde man die Raffinerie schützen, aber das Öl dabei vergessen.
- Unternehmen fokussieren sich zu stark auf Präventiv-Technologien. Dadurch sind sie angreifbar durch Bedrohungen, an die sie nicht gedacht haben oder vor denen sie die eingesetzten Technologien nicht schützen können, wie die Insiderbedrohungen bei Waymo und der CIA. Sie erkennen einfach nicht, wenn ihre Präventiv-Kontrollen versagen oder wenn ein Insider am Werk ist. Der Verizon Data Breach Report von 2016 enthüllt, dass es in 70 Prozent der Fälle Monate oder gar Jahre dauert, bis eine Datenschutzverletzung bemerkt wird. Daraus ergibt sich die Notwendigkeit eines mehrschichtigen Ansatzes (etwa wenn der Perimeter überwunden wurde) und einer besseren Überwachung. So sind Unternehmen oftmals nicht in der Lage den Schaden, den ein Insider (oder ein Außenseiter, der Zugang erlangt) verursacht, zu erkennen.
- Der Datensicherheits-Ansatz ist meist fragmentiert und reaktiv und nicht strategisch. So wird meist ein neues Tool gegen eine neue Bedrohung bzw. für neue Compliance-Anforderungen eingesetzt. Eine jüngst veröffentlichte Studie von Forrester zeigt, dass 93 Prozent der befragten Datenschutzexperten sich auch weiterhin mit Herausforderungen beim Datenschutz konfrontiert sehen und sich mit einer Vielzahl von verschiedenen Sicherheitslösungen herumschlagen müssen, die nicht miteinander kommunizieren. Auf diese Weise lässt sich das Risiko nicht minimieren, zumal nur 34 Prozent der Unternehmen wissen, wo ihre sensiblen Daten gespeichert sind und lediglich 41 Prozent einen „need-to-know“-Ansatz bei der Zugriffsrechte-Vergabe anwenden.
Es sind diese Fehler, die aus außerordentlich wertvollen Informationen potenziell toxische Daten machen. Dateien, deren Erstellung, Nutzung und Speicherung Zeit und Geld gekostet haben, sind nun eine Bedrohung für die Reputation, den Umsatz oder sogar die nationale Sicherheit.
- Wie aus nützlichen Daten "toxische Daten" werden
- Die Kosten unserer Cyber-Security-Fehler
Lesen Sie mehr zum Thema
