Europäischer Datenschutztag 2023

Sicherheit (Pexels, allgemeine Nutzung)[English]Am heutigen 28. Januar 2023 ist Europäischer Datenschutztag. Der Tag wurde auf Initiative des Europarats ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich um den 28. Januar begangen. Dieses Datum wurde gewählt, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet worden war. Um die Sicherheit von Daten zu gewährleisten, sollte das Risikoverhalten im Alltag angepasst werden.


Anzeige

Einerseits haben wir seit Mai 2019 die europäische Datenschutzgrundverordnung (DSGVO, GDPR), die persönliche Daten vor einer Weitergabe schützen soll. Andererseits vergeht doch kein Tag, an dem nicht von Datenschutzvorfällen oder Hacks, bei denen Daten erbeutet wurden, berichtet wird.

Datenschutz ist wichtig

Datenschutz ist ein hohes Gut, doch diesen zu gewährleisten, fällt den Menschen immer schwerer. Das liegt vor allem daran, dass die Digitalisierung von Arbeitswelt und Privatleben kaum Grenzen kennt. Tatsache ist, dass viele unserer digitalen Daten heutzutage verkauft oder gestohlen werden.  Der Absicherung der eigenen Daten kommt daher ein besonderer Stellenwert zu. Joseph Carso n, CISO bei Delinea (Anbieter von Privileged Access Management (PAM)-Lösungen) meint daszu:

Der Schutz unserer sensiblen persönlichen Daten ist heute eine fast unüberwindbare Herausforderung und das Ende der Privatsphäre, so wie wir sie kennen, ist vielleicht näher, als wir denken. Auch wenn Privatsphäre je nach Land, Kultur und Person unterschiedlich definiert und bewertet wird, so gibt es doch eine übergreifende Gemeinsamkeit: Für viele Bürger ist Privatsphäre einfach keine Option mehr.

So werden Deepfakes im Jahr 2023 bereits so authentisch sein, dass es für Cyberkriminelle ein Leichtes ist, unsere digitalen Identitäten zu stehlen und zu missbrauchen. Dabei tragen auch wir unseren Teil dazu bei und helfen den Bedrohungsakteuren unbewusst bei ihrer Mission, indem wir unsere „digitale DNA", einschließlich Fotos, Videos und Audiodateien, die teils höchst sensible Informationen über uns preisgeben, im Internet offenlegen.

Diese gedankenlose Preisgabe unserer digitalen DNA begünstigt dabei nicht nur Datendiebstahl, sondern ermöglicht es Cyberkriminellen, eine digitale Version von uns zu werden, quasi ein Online-Klon. Tatsache ist, dass es für Kriminelle längst keine Herausforderung mehr ist, digitale DNA zu replizieren und sie zusammen mit den im Internet gesammelten Informationen dazu zu verwenden, um höchst authentisch anmutende Fakes zu erstellen. Diese von den Originalen zu unterscheiden und so zu entlarven, ist ohne ausgefeilte Technologie, die für die Allgemeinheit normalerweise nicht verfügbar ist, dann nicht mehr möglich.

Will man dies verhindern und seine Privatsphäre schützen, gilt es, grundsätzlich jede Anwendung daraufhin zu überprüfen, welche Daten gesammelt und verarbeitet werden und wie sie gesichert werden. Ist die einzige Absicherung ein einfaches Passwort, sollte dieses eine starke Passphrase sein, generell empfiehlt es sich aber, die Hilfe eines Passwortmanagers in Anspruch zu nehmen und, wenn möglich, eine Multifaktor-Authentifizierung zu aktivieren.

In der Geschäftswelt liegt ein Hauptproblem dabei auch in der falschen Priorisierung der Unternehmenssicherheit. Viel zu selten wird Datensicherheit in dessen Zentrum gestellt. Zwar wurden die Stellschrauben mit Datenschutzgesetzen wie der EU-DSGVO schon deutlich enger gezogen, doch viele Unternehmen haben es vorgezogen, nur das Nötigste zu tun. Ihnen ist es nach wie vor nicht gelungen, eine konsequente, auf dem Zero-Trust-Modell basierende Cybersicherheit umzusetzen und die sensiblen Daten von Kunden, Partnern oder auch geistiges Eigentum angemessen abzusichern.

Und Bernard Montel, EMEA Technical Director and Security Strategist, Tenable meint zum Thema: "Wenn wir über Datenschutz sprechen, müssen wir auch die Datensicherheit berücksichtigen – Sie können keine Privatsphäre haben, ohne sie zu schützen. Leider zeigen die täglichen Schlagzeilen über zahlreiche Organisationen, die Opfer von Cyberkriminalität geworden sind und dabei riesige Datenmengen kompromittiert haben, dass viele dies immer noch als unmögliche Aufgabe empfinden. Das Problem ist, dass Kriminellen wissen, dass sie ihre Verbrechen monetarisieren können, indem sie auf wertvolle Daten abzielen, ohne Angst vor Ergreifung oder Bestrafung zu haben.


Anzeige

Bei Cyberangriffen wissen wir, dass die Angriffsmethoden von Cyberkriminellen nicht fortschrittlich oder gar einzigartig, sondern opportunistisch sind. Sie suchen nach einem offenen Fenster, durch das sie kriechen können. Bei der Bewertung der Angriffsfläche eines Unternehmens suchen sie nach der richtigen Kombination aus Schwachstellen, Fehlkonfigurationen und Identitätsprivilegien, die ihnen den größtmöglichen und schnellsten Zugriff ermöglichen.

Wenn Unternehmen der Kurve voraus bleiben und vermeiden wollen, zur Zielscheibe zu werden, müssen sie für schlechte Akteure unerreichbar erscheinen, und das bedeutet, die niedrig hängenden Früchte zu beseitigen – die bekannten, aber ungepatchten Schwachstellen in Systemen und Software. Dieser Datenschutztag konzentriert sich nicht auf die Taktiken der Bedrohungsakteure, sondern darauf, die Angriffspfade zu identifizieren und zu blockieren, die sie auszunutzen suchen."

Ransomware ist die größte Bedrohung

Michael Scheffler von Varonis sieht im Datendiebstahl durch Ransomware die größte Bedrohung der Privatsphäre. Kein vernünftiger Mensch wird die Bedeutung des Datenschutzes anzweifeln. Entsprechend hoch ist er bei uns auch als wichtiges ideelles Gut angesiedelt. In der praktischen Umsetzung begreifen die meisten Unternehmen ihn allerdings eher als eine Art Checkbox, die es abzuhaken gilt – trotz oder gerade aufgrund der DSGVO. Vor allem aber wird leider häufig der immanente Zusammenhang zwischen Datenschutz und Datensicherheit nicht erkannt.

Ransomware ist hierfür ein gutes Beispiel. Betrachtet man sie aus einer anderen Perspektive, nämlich aus der des Datenschutzes, wird schnell die wirkliche Tragweite deutlich. Es geht in erster Linie eben nicht um gestörte Produktionsabläufe, so ärgerlich und kostspielig diese auch sein mögen. Es geht bei modernen Ransomware-Attacken vor allem um Datendiebstahl. Unternehmen haben, bevor der Angriff entdeckt wird bzw. sich die Cyberkriminellen zu erkennen geben, oft monatelang Angreifer in ihren Systemen, die sich recht ungestört darin bewegen und natürlich auch Daten entwenden können. Während man kompromittierte Systeme recht schnell wiederaufbauen kann, lassen sich Daten eben leider nicht „unkompromittieren" – und landen häufig im Dark Web und in den Händen von Verbrechern.

Entsprechend stellt der Datendiebstahl auch die größte Herausforderung für Unternehmen und die größte Bedrohung des Datenschutzes und der Privatsphäre dar. Dabei spielt es keine große Rolle, ob Daten im Rahmen einer Double Extortion Ransomware-Attacke entwendet werden, durch Cyberspionage gezielt abfließen oder von Mitarbeitenden exfiltriert werden. Es versteht sich von selbst, dass Daten überall dort geschützt werden müssen, wo sie gespeichert werden, ganz gleich ob lokal oder in der Cloud. Aus diesem Grund müssen die Daten und nicht der Perimeter, die Infrastruktur oder die Nutzer ins Zentrum der Verteidigungsstrategie. Nur mit einer datenzentrierten Cybersicherheit können Daten effektiv geschützt und damit der Datenschutz gewährleistet werden.

Faktor Mensch und die Risiken

Eine große Bedrohung für den Datenschutz liegt dabei immer noch beim Faktor Mensch. Tatsächlich trägt jeder einzelne Mitarbeiter, Berater und Partner Verantwortung für die Datenintegrität. So sind vor allem das Hereinfallen auf Phishing und eine schlechte Passworthygiene ein beliebter Startpunkt für Cyberattacken mit Ransomware oder Datenexfiltrationen. Doch auch folgende fünf Verhaltensweisen bedeuten große Risiken und bedrohen die Integrität sensibler Daten:

Risiko 1. Das Umgehen von Sicherheitsmaßnahmen

Security-Tools sind nicht selten ein zweischneidiges Schwert: So sind sie einerseits essentiell für die Absicherung von Unternehmen vor Cybervorfällen, können andererseits aber auch ein Zeitfresser und Produktivitätshindernis sein. Einer Studie von Cisco zufolge, umgeht jeder zweite Mitarbeitende in Deutschland mindestens einmal pro Woche Sicherheitslösungen des eigenen Unternehmens, weil diese zu komplex und zeitraubend sind. Doch werden Sicherheitsprodukte deaktiviert oder anderweitig umgangen, bedeutet dies für die Unternehmen nicht nur verschwendete Investitionen, sondern eine unkontrollierte Vergrößerung der Angriffsfläche.

Tipp: Setzen Sie verstärkt auf Aufklärung und machen Sie die Bedeutung von einzelnen Security-Tools für die Unternehmenssicherheit gegenüber der Belegschaft deutlich. Darüber hinaus empfiehlt es sich, routinemäßige Audits durchzuführen, um sicherzustellen, dass kritische Sicherheitstools auch tatsächlich angenommen werden. Zudem sollte schon bei der Auswahl der Produkte die Benutzerfreundlichkeit ein (mit-) entscheidender Faktor sein.

Risiko 2: Das Herunterladen schädlicher Anwendungen

Die Zahl der in Unternehmen genutzten Applikationen ist in den letzten Jahren stark gestiegen. Dahinter steckt meist die Absicht, manuelle Arbeitsabläufe zu reduzieren und die Produktivität zu steigern. Nicht selten werden Anwendungen und Services jedoch ohne die entsprechende Genehmigung heruntergeladen, was eine Reihe von Risiken birgt. So könnten Mitarbeitende beispielsweise Apps downloaden, die Ransomware enthalten, oder sensible Daten auf Diensten von Drittanbietern speichern, was Datenschutzverletzungen nach sich ziehen könnte.

Tipp: Definieren Sie Richtlinien zur Anwendungskontrolle mit entsprechenden Allow- und Deny-Listen, damit Mitarbeitende genehmigte Dienste und Apps kontrolliert anfordern und herunterladen können. Dies sorgt für mehr Transparenz und trägt nachhaltig dazu bei, die Schatten-IT zu reduzieren. Zudem empfiehlt es sich, mit Hilfe einer PAM-Lösung rollenbasierte Zugriffskontrollen (RBAC) durchzusetzen, die steuern, was ein Benutzer innerhalb einer Webanwendung anklicken, lesen oder abändern kann. So kann einem Nutzer beispielsweise Zugriff auf Salesforce gewährt, der Export von Dateien in der App aber gesperrt werden.

Risiko 3. Der Zugriff auf Systeme nach Verlassen des Unternehmens

Verlässt ein Mitarbeitender das Unternehmen oder wird die Zusammenarbeit mit einem Partner beendet, erfordert dies einen sorgfältigen Offboarding-Prozess. Sämtliche Konten und Accounts der Person müssen unmittelbar gelöscht oder deaktiviert werden. Passiert dies nicht, werden die Accounts zu riskanten Geisterkonten, die Cyberkriminellen und Insider-Angreifern die Möglichkeit geben, sich in aller Ruhe und ohne Lärm zu erzeugen in einem Unternehmen umzuschauen und Daten unauffällig zu exfiltrieren. Und diese Gefahren sind real, denn wie der SaaS-Datenrisiko-Report von Varonis zeigt, verfügen Unternehmen durchschnittlich über 1.197 inaktive Konten und von 1.322 Gast-Zugängen sind auch nach 90 Tagen Inaktivität noch 56 Prozent nutzbar.

Tipp: Setzen Sie eine Least-Privilege-Strategie durch, die sicherstellt, dass privilegierte Zugriffe und Cloud-Access grundsätzlich nur nach Bedarf und zeitlich beschränkt gewährt werden. Nutzen Sie zudem eine PAM-Lösung, die privilegierte Konten automatisiert identifiziert und Account-Wildwuchs so eindämmt. Führen Sie vor allem effektive Offboarding-Prozesse ein, die dafür sorgen, dass sensible Berechtigungen zeitnah entzogen werden, wenn Mitarbeitende oder Auftragnehmer das Unternehmen verlassen.

Risiko 4. Die Nutzung von Firmengeräten durch Dritte

Für viele Mitarbeitende mag es keine große Sache sein, wenn sie Familienmitgliedern oder Freunden Zugriff auf ihre geschäftlichen Telefone oder Laptops gewähren, etwa um kurz im Internet zu surfen oder ein Spiel herunterzuladen. Für die Unternehmenssicherheit kann dies aber fatale Folgen haben. Schnell ist es passiert, dass unbedarfte Personen und insbesondere Kinder auf Links klicken oder Inhalte herunterladen, die Malware oder Ransomware enthalten, oder unbeabsichtigt sensible Informationen preisgeben.

Tipp: Ziehen Sie eine scharfe Grenze zwischen Arbeits- und Familienleben und machen sie der Belegschaft klar, dass eine Null-Toleranz-Richtlinie für die fremde Nutzung unternehmenseigener Hardware gilt.

Risiko 5. Versäumte Software-Aktualisierungen

 

Software-Updates stehen auf unserer Prioritäten-Liste in der Regel nicht sehr weit oben, denn sie kosten Zeit und Nerven und ihr Einspielen wird oft im falschen Moment verlangt. Oft gehen Mitarbeitende auch davon aus, dass Software automatisch aktualisiert wird oder dass die IT-Abteilung diesen Prozess überwacht. Hin und wieder müssen Programme jedoch manuell aktualisiert werden, was von den Mitarbeitern dann gerne übersehen oder auch ignoriert wird. Dies ist umso gefährlicher, als laut dem Verizon Data Breach Investigations Report 2022 vernachlässigte Software-Updates einer der wichtigsten Angriffsvektoren für Cyberkriminelle sind, um sich Zugang zu Computern oder Netzwerken zu verschaffen.

Tipp: Machen Sie Software-Aktualisierungen obligatorisch und legen Sie die Verantwortung für Softwareaktualisierungen in die Hände der Administratoren. Diese müssen sicherstellen, dass die gesamte Belegschaft stets die neuesten und sichersten Versionen verwenden, und wochen- oder sogar monatelange Verzögerungen nicht mehr an der Tagesordnung sind.

Eine effektive Unternehmenssicherheit und damit ein gelungener Datenschutz liegt im Einklang von Cybersicherheit und Produktivität. Die Kunst, die CISOs und IT-Teams heute vollbringen müssen, besteht also darin, Bedrohungen von außen und gängiges Fehlverhalten im Innern zu minimieren und gleichzeitig den Mitarbeitenden nahtlos Zugang zu den Systemen und Tools zu ermöglichen, die sie benötigen, wenn sie sie benötigen. Dazu sind moderne Sicherheitslösungen vonnöten, die Security soweit es geht automatisieren und vor allem unsichtbar, d.h. hinter den Kulissen, umsetzen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Europäischer Datenschutztag 2023

  1. Norddeutsch sagt:

    "…Datenschutz … zu gewährleisten fällt den Menschen immer schwerer"

    Vielleicht auch nur den Zauberlehrlingen…
    Ach, da kommt der Meister! – Herr, die Not ist groß!
    Die ich rief, die Geister – werd ich nun nicht los.

    Die Vorschläge sind durchaus praxisnah – es gibt vieel schlimmere "Maßnahmen":

    Insider zwischterten kürzlich an mein Bett, daß ein Deutsches sehr großes Unternehmen seine Daten-Sicherheit und -Schutz mit Microsoft bezüglich Datenausleitung oder Telemetrie gelöst hat:
    1. Man ändert gar nichts an operativen Maßnahmen, genutzten Programmen o. Einstellungen
    2. Man trifft eine zusätzliche Vereinbarung mit MS
    3. In dieser verpflichtet sich vereinfacht gesagt MS dazu, die Daten oder Telemetrie die sie bekommen ganz sicher nicht und nie nie nie zu verarbeiten

    Wenn ich hier mal etwas schriftlich habe leg ichs aufs Fax zu Ihnen… Mail geht grad nicht.
    Die Frage, ob solche Ansätze oder Filter im Backend bei MS und verteilten zig hundert Servern überhaupt umsetzbar wären… die find ich technisch dennoch interessant. Auditierbar, nachvollziehbar oder wirklich so gemacht wärs wohl eher nicht (Erinnert mich ein wenig an die "Weltraumtheorie" der NSA bei Datenausleitung über Satelliten).

    Lauter Zauberlehrlinge …

  2. Bernd sagt:

    Guter Artikel der endlich den Datenschutz aus der richtigen Perspektive betrachtet. Hier geht es nicht um „Mimi Maus" sondern um den Unternehmensschutz gegenüber Cyberangriffen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.