Sicherheitslöcher clever stopfen mit einem 15-Punkte-Plan

bei

 / 31. March. 2021

Die digitale Transformation hat in vielen Unternehmen den etablierten Geschäftsbetrieb auf den Kopf gestellt. Neue Prozesse werden etabliert, zahlreiche Applikationen und Daten wandern in die Cloud. Hinzu kommen mobile Anwendungen und der Trend zum Homeoffice, der bereits vor der Pandemie einsetzte. Dezentrale und mobile Mitarbeiter sind für Unternehmen ein Gewinn, gleichzeitig aber auch eine Gefahrenquelle für kritische Daten. Mit gezielten Maßnahmen lassen sich Bedrohungspotenziale reduzieren und Datenlecks stopfen.

Daten haben sich in der internationalen Geschäftswelt zu einem der wichtigsten Rohstoffe entwickelt. Durch neue Trends wie IoT (Internet of Things), autonomes Fahren, Künstliche Intelligenz oder immer mehr mobile Anwendungen zeigt die Wachstumskurve steil nach oben. Die Marktforscher von IDC rechnen bis 2025 mit einem weltweiten Datenvolumen von 175 Zettabyte (ZB). Die jährliche Wachstumsrate beziffern die Auguren mit 27,2 Prozent weltweit. Je größer die Bedeutung der Daten für die Weltwirtschaft wird, desto größer werden auch die Bedrohungen. Der Handel mit gestohlenen Daten hat sich im Darknet zu einem lukrativen Wirtschaftszweig entwickelt. Deshalb sollten Unternehmen potenzielle Gefahrenquellen frühzeitig erkennen und beheben.

Aktuelle Technologietrends sind für Unternehmen Fluch und Segen zugleich. Einerseits lassen sich viele Prozesse durch neue Anwendungen erheblich optimieren. Andererseits sind Lösungen wie Cloud- oder Edge-Computing sowie mobile Applikationen auch ein Einfalltor zur Firmen-IT. Vertrauliche und sensible Daten befinden sich aufgrund dezentraler Lösungen häufig außerhalb des eigentlichen Sicherheitsbereichs eines Unternehmens. Interne Sicherheitsteams haben deshalb nicht mehr die durchgängige Sichtbarkeit oder Kontrolle über die Datensicherheit. Das Gefahrenpotenzial für kritische Unternehmensdaten steigt exponentiell, je mehr Daten außerhalb der Firmenstrukturen im Umlauf sind. Für Unternehmen rund um den Globus ist es daher unerlässlich, Angriffe auf ihre Unternehmens-IT und damit die Verletzung von Daten zu vermeiden.

Nicht zu unterschätzen ist der Fakt, dass durch neue Technologietrends auch Dritte, wie Geschäftspartner, Auftragnehmer oder externe Mitarbeiter Zugriff und damit stückweise auch Kontrolle über Unternehmensdaten erhalten. Daten, die in der Cloud gehostet werden und Mitarbeiter, die über das Internet auf Unternehmensdaten zugreifen, sind ein permanentes Risiko. Allerdings müssen Unternehmen in der globalisierten Geschäftswelt über das Internet verbunden sein, um im harten Wettbewerb zu bestehen. Das macht sie aber auch zu einem attraktiven Angriffsziel für Cyber-Kriminelle und Ransomware jeder Art.

Dreifache Bedrohung: Cloud, Mitarbeiter und digitale Transformation

Die Kombination aus Cloud, dezentralen Mitarbeitern und digitaler Transformation stellt eine dreifache Bedrohung für die digitale Sicherheit von Unternehmen dar. Früher wurden kritische Daten ausschließlich vor Ort gespeichert, Unternehmen gaben an alle Mitarbeiter nur stationär genutzte Geräte aus. Daten blieben dort, wo sie entstanden: im Bollwerk des Firmennetzwerks. Diese Zeiten sind jedoch längst vorbei.

Heute ist der Zugang zu den Daten so einfach wie nie zuvor. Das Gefahrenpotenzial für unerlaubte Zugriffe ist daher hoch. Viele Unternehmen fehlt es an Ressourcen und Werkzeugen, um sicherzustellen, dass ihre kritischen Daten nicht auf einer fremden Seite durchsickern und missbräuchlich verwendet werden – sei es zum Verkauf im Dark Web oder zur Verwendung in Ransomware-Angriffen.

Der Schaden, der Betrieben durch die Verletzung des Datenschutzes entsteht, wächst mit jedem Tag, an dem nicht gehandelt wird. Je länger es dauert, die Quelle eines Angriffs zu identifizieren und zu beheben, desto höher der finanzielle Schaden. Der IBM 2020 Cost of Data Breach Report liefert genauere Daten. So stiegen in den Vereinigten Staaten die durchschnittlichen Kosten für eine Datenschutzverletzung auf 8,6 Millionen US-Dollar. Zugrunde gelegt wurde ein durchschnittlicher Zeitrahmen von 237 Tagen für die Identifizierung und Eindämmung der Verletzung.

Schritt für Schritt zum besseren Datenschutz

Unternehmen können sich solche Einbußen nicht leisten. Deshalb müssen sie Cyber-Angriffe aktiv abwehren und kostspielige Datenschutzverletzungen präventiv verhindern. In ein Sicherheitskonzept müssen alle Beteiligten einbezogen werden – seien es Mitarbeiter, Geschäftspartner, Lieferanten oder andere Dienstleister. Auch die Abläufe und Routinen im Firmennetz gehören zur Überprüfung und Anpassung auf den Tisch. In die Routinen des Arbeitsalltags schleichen sich schnell viele kleine Verstöße ein, die den Schutz von Firmendaten gefährden. Nur wenige Sekunden, ein paar unbedachte, neugierige oder vielleicht auch leichtgläubige Klicks im Internet – und schon ist dem Datenmissbrauch Tür und Tor geöffnet.

Unternehmen, die sich dagegen schützen wollen, sollten einige Spielregeln beachten sowie Mitarbeiter und Partner zur Einhaltung von Sicherheitsmaßnahmen verpflichten. Die nachstehende Checkliste erleichtert es Firmen, aktiven Datenschutz zu betreiben und verpflichtende Routinen zu etablieren. Wichtig ist es alle Beteiligten auf die Einhaltung der Regeln einzuschwören und regelmäßig daran zu erinnern. Hier die Tipps der Sicherheitsspezialisten:

  1. Führen Sie auf jedem Gerät, das mit dem Netzwerk verbunden ist, regelmäßige Updates für das Betriebssystem und die Anwendungen durch.
  2. Erstellen Sie eindeutige, starke Passwörter mit Zwei-Faktor-Authentifizierung und ändern Sie diese alle 90 Tage.
  3. Verwenden Sie nur Host-Anwendungen, die als sicher eingestuft sind.
  4. Sichern Sie die physische Welt Ihrer gedruckten Dokumente. Schreddern Sie Dokumente mit privaten Informationen, einschließlich Verkaufsberichten, Kontaktinformationen, Geschäfts- und Marketingplänen.
  5. Erstellen Sie einen IT-Ausstiegsplan für Mitarbeiter, die Ihr Unternehmen verlassen. Dazu gehört das Schließen aller personenbezogenen Konten sowie der Zugriff auf das Firmennetzwerk.
  6. Beschränken Sie den Zugriff der Mitarbeiter auf Daten. Zugriffsberechtigungen sollten auf geschäftlichen Erfordernissen basieren.
  7. Schränken Sie den Zugriff auf Webseiten ein, die Mitarbeiter über das Firmensystem besuchen dürfen, sei es von ihren Arbeitsplatzgeräten oder den eigenen.
  8. Begrenzen Sie die Datenexposition: Konsolidieren Sie die Datenspeicherung, verschlüsseln Sie Daten im Ruhezustand und bei der Übertragung, und löschen oder archivieren Sie veraltete Daten.
  9. Minimieren Sie die Art der gespeicherten Daten. Speichern Sie nur wesentliche und regulierte Daten.
  10. Überwachen und bewerten Sie die Sicherheit Ihrer Programme, um die Arbeit von zu Hause aus und „Bring your own device“ (BOYD) zu ermöglichen. Etablieren Sie Pläne für die Passwort- und Geräteverschlüsselung, Update- und Patch-Anforderungen, sichere App-Workflows, Anti-Malware-Software und die Jailbreak-Prävention. Entwickeln Sie auch einen Plan für verlorene Geräte, um deren Daten aus der Ferne zu löschen. Tracking-Software, Sandboxing und Gerätepartitionierung sollten ebenfalls Teil des Plans sein.
  11. Schulen Sie Ihre Mitarbeiter darin, nicht auf Links von unseriösen Quellen zu klicken, die persönliche Informationen abfragen.
  12. Klären Sie Ihre Mitarbeiter darüber auf, wann, wo und wie sie die Unternehmenstechnologie einsetzen dürfen. Schulen Sie sie darin, WIFI auf eine sichere Verbindung prüfen und wann sie Geräte besser nicht nutzen. Verpflichten Sie auch Ihre externen Partner dazu, diese Praktiken anzuwenden.
  13. Erstellen Sie einen Disaster-Recovery-Plan und testen Sie diesen routinemäßig.
  14. Entwickeln Sie einen funktionsübergreifenden Plan, um Datenverletzungen zu beheben, einschließlich eines Kommunikationsplans.
  15. Nutzen Sie eine einheitliche Plattform, um Datenlecks in Ihrem Unternehmen zu erkennen, wo immer sie auftreten. Identifizieren und beheben Sie Datenlecks, bevor sie zu Datenverletzungen werden.

Erfahrungen aus der Praxis zeigen, dass 94 % aller gefundenen Datenlecks auf Dritte zurückgeführt werden können.

Betriebliche Veränderungen können oftmals ebenfalls das Risiko von Datenlecks erhöhen.  Je häufiger Unternehmen in der Cloud und mit Drittanbietern operieren, desto größer wird die Gefahr für kritische Daten.

Trotz aller Spielregeln und technischen Schutzmechanismen bleibt die Sicherheit von Daten ein kritischer Faktor. Cyber-Gangster und deren Angriffsszenarien sind immer auf dem aktuellen Stand der technologischen Entwicklung. Daher lassen sich Datenlecks zwar eindämmen, sind aber nicht völlig unvermeidlich. Der Schaden aber, den Sicherheitslöcher anrichten können, ist mit den richtigen Maßnahmen optional.

 

Über den Autor / die Autorin:


David Sygula ist ein führender Cybersecurity-Analyst bei CybelAngel. Er ist seit über 10 Jahren in der IT-Branche tätig. Das Erkunden des Internets und das Aufdecken sensibler Daten gehören zu seiner täglichen Routine.