{"id":277313,"date":"2023-01-28T00:02:00","date_gmt":"2023-01-27T23:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277313"},"modified":"2023-01-28T00:04:02","modified_gmt":"2023-01-27T23:04:02","slug":"europischer-datenschutztag-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/28\/europischer-datenschutztag-2023\/","title":{"rendered":"Europäischer Datenschutztag 2023"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Am heutigen 28. Januar 2023 ist Europ\u00e4ischer Datenschutztag<\/a>. Der Tag wurde auf Initiative des Europarats ins Leben gerufener Aktionstag f\u00fcr den Datenschutz. Er wird seit 2007 j\u00e4hrlich um den 28. Januar begangen. Dieses Datum wurde gew\u00e4hlt, weil am 28. Januar 1981 die Europ\u00e4ische Datenschutzkonvention unterzeichnet worden war. Um die Sicherheit von Daten zu gew\u00e4hrleisten, sollte das Risikoverhalten im Alltag angepasst werden.<\/p>\n

<\/p>\n

\"\"Einerseits haben wir seit Mai 2019 die europ\u00e4ische Datenschutzgrundverordnung (DSGVO, GDPR), die pers\u00f6nliche Daten vor einer Weitergabe sch\u00fctzen soll. Andererseits vergeht doch kein Tag, an dem nicht von Datenschutzvorf\u00e4llen oder Hacks, bei denen Daten erbeutet wurden, berichtet wird.<\/p>\n

Datenschutz ist wichtig<\/h2>\n

Datenschutz ist ein hohes Gut, doch diesen zu gew\u00e4hrleisten, f\u00e4llt den Menschen immer schwerer. Das liegt vor allem daran, dass die Digitalisierung von Arbeitswelt und Privatleben kaum Grenzen kennt. Tatsache ist, dass viele unserer digitalen Daten heutzutage verkauft oder gestohlen werden.\u00a0 Der Absicherung der eigenen Daten kommt daher ein besonderer Stellenwert zu. Joseph Carso n, CISO bei Delinea (Anbieter von Privileged Access Management (PAM)-L\u00f6sungen) meint daszu:<\/p>\n

Der Schutz unserer sensiblen pers\u00f6nlichen Daten ist heute eine fast un\u00fcberwindbare Herausforderung und das Ende der Privatsph\u00e4re, so wie wir sie kennen, ist vielleicht n\u00e4her, als wir denken. Auch wenn Privatsph\u00e4re je nach Land, Kultur und Person unterschiedlich definiert und bewertet wird, so gibt es doch eine \u00fcbergreifende Gemeinsamkeit: F\u00fcr viele B\u00fcrger ist Privatsph\u00e4re einfach keine Option mehr.<\/p>\n

So werden Deepfakes im Jahr 2023 bereits so authentisch sein, dass es f\u00fcr Cyberkriminelle ein Leichtes ist, unsere digitalen Identit\u00e4ten zu stehlen und zu missbrauchen. Dabei tragen auch wir unseren Teil dazu bei und helfen den Bedrohungsakteuren unbewusst bei ihrer Mission, indem wir unsere \u201edigitale DNA\", einschlie\u00dflich Fotos, Videos und Audiodateien, die teils h\u00f6chst sensible Informationen \u00fcber uns preisgeben, im Internet offenlegen.<\/p>\n

Diese gedankenlose Preisgabe unserer digitalen DNA beg\u00fcnstigt dabei nicht nur Datendiebstahl, sondern erm\u00f6glicht es Cyberkriminellen, eine digitale Version von uns zu werden, quasi ein Online-Klon. Tatsache ist, dass es f\u00fcr Kriminelle l\u00e4ngst keine Herausforderung mehr ist, digitale DNA zu replizieren und sie zusammen mit den im Internet gesammelten Informationen dazu zu verwenden, um h\u00f6chst authentisch anmutende Fakes zu erstellen. Diese von den Originalen zu unterscheiden und so zu entlarven, ist ohne ausgefeilte Technologie, die f\u00fcr die Allgemeinheit normalerweise nicht verf\u00fcgbar ist, dann nicht mehr m\u00f6glich.<\/p>\n

Will man dies verhindern und seine Privatsph\u00e4re sch\u00fctzen, gilt es, grunds\u00e4tzlich jede Anwendung daraufhin zu \u00fcberpr\u00fcfen, welche Daten gesammelt und verarbeitet werden und wie sie gesichert werden. Ist die einzige Absicherung ein einfaches Passwort, sollte dieses eine starke Passphrase sein, generell empfiehlt es sich aber, die Hilfe eines Passwortmanagers in Anspruch zu nehmen und, wenn m\u00f6glich, eine Multifaktor-Authentifizierung zu aktivieren.<\/p><\/blockquote>\n

In der Gesch\u00e4ftswelt liegt ein Hauptproblem dabei auch in der falschen Priorisierung der Unternehmenssicherheit. Viel zu selten wird Datensicherheit in dessen Zentrum gestellt. Zwar wurden die Stellschrauben mit Datenschutzgesetzen wie der EU-DSGVO schon deutlich enger gezogen, doch viele Unternehmen haben es vorgezogen, nur das N\u00f6tigste zu tun. Ihnen ist es nach wie vor nicht gelungen, eine konsequente, auf dem Zero-Trust-Modell basierende Cybersicherheit umzusetzen und die sensiblen Daten von Kunden, Partnern oder auch geistiges Eigentum angemessen abzusichern.<\/p>\n

Und Bernard Montel, EMEA Technical Director and Security Strategist, Tenable meint zum Thema: \"Wenn wir \u00fcber Datenschutz sprechen, m\u00fcssen wir auch die Datensicherheit ber\u00fccksichtigen \u2013 Sie k\u00f6nnen keine Privatsph\u00e4re haben, ohne sie zu sch\u00fctzen. Leider zeigen die t\u00e4glichen Schlagzeilen \u00fcber zahlreiche Organisationen, die Opfer von Cyberkriminalit\u00e4t geworden sind und dabei riesige Datenmengen kompromittiert haben, dass viele dies immer noch als unm\u00f6gliche Aufgabe empfinden. Das Problem ist, dass Kriminellen wissen, dass sie ihre Verbrechen monetarisieren k\u00f6nnen, indem sie auf wertvolle Daten abzielen, ohne Angst vor Ergreifung oder Bestrafung zu haben. <\/em><\/p>\n

Bei Cyberangriffen wissen wir, dass die Angriffsmethoden von Cyberkriminellen nicht fortschrittlich oder gar einzigartig, sondern opportunistisch sind. Sie suchen nach einem offenen Fenster, durch das sie kriechen k\u00f6nnen. Bei der Bewertung der Angriffsfl\u00e4che eines Unternehmens suchen sie nach der richtigen Kombination aus Schwachstellen, Fehlkonfigurationen und Identit\u00e4tsprivilegien, die ihnen den gr\u00f6\u00dftm\u00f6glichen und schnellsten Zugriff erm\u00f6glichen. <\/em><\/p>\n

Wenn Unternehmen der Kurve voraus bleiben und vermeiden wollen, zur Zielscheibe zu werden, m\u00fcssen sie f\u00fcr schlechte Akteure unerreichbar erscheinen, und das bedeutet, die niedrig h\u00e4ngenden Fr\u00fcchte zu beseitigen \u2013 die bekannten, aber ungepatchten Schwachstellen in Systemen und Software. Dieser Datenschutztag konzentriert sich nicht auf die Taktiken der Bedrohungsakteure, sondern darauf, die Angriffspfade zu identifizieren und zu blockieren, die sie auszunutzen suchen.<\/em>\"<\/p>\n

Ransomware ist die gr\u00f6\u00dfte Bedrohung<\/h2>\n

Michael Scheffler von Varonis sieht im Datendiebstahl durch Ransomware die gr\u00f6\u00dfte Bedrohung der Privatsph\u00e4re. Kein vern\u00fcnftiger Mensch wird die Bedeutung des Datenschutzes anzweifeln. Entsprechend hoch ist er bei uns auch als wichtiges ideelles Gut angesiedelt. In der praktischen Umsetzung begreifen die meisten Unternehmen ihn allerdings eher als eine Art Checkbox, die es abzuhaken gilt \u2013 trotz oder gerade aufgrund der DSGVO. Vor allem aber wird leider h\u00e4ufig der immanente Zusammenhang zwischen Datenschutz und Datensicherheit nicht erkannt.<\/p>\n

Ransomware ist hierf\u00fcr ein gutes Beispiel. Betrachtet man sie aus einer anderen Perspektive, n\u00e4mlich aus der des Datenschutzes, wird schnell die wirkliche Tragweite deutlich. Es geht in erster Linie eben nicht um gest\u00f6rte Produktionsabl\u00e4ufe, so \u00e4rgerlich und kostspielig diese auch sein m\u00f6gen. Es geht bei modernen Ransomware-Attacken vor allem um Datendiebstahl. Unternehmen haben, bevor der Angriff entdeckt wird bzw. sich die Cyberkriminellen zu erkennen geben, oft monatelang Angreifer in ihren Systemen, die sich recht ungest\u00f6rt darin bewegen und nat\u00fcrlich auch Daten entwenden k\u00f6nnen. W\u00e4hrend man kompromittierte Systeme recht schnell wiederaufbauen kann, lassen sich Daten eben leider nicht \u201eunkompromittieren\" \u2013 und landen h\u00e4ufig im Dark Web und in den H\u00e4nden von Verbrechern.<\/p>\n

Entsprechend stellt der Datendiebstahl auch die gr\u00f6\u00dfte Herausforderung f\u00fcr Unternehmen und die gr\u00f6\u00dfte Bedrohung des Datenschutzes und der Privatsph\u00e4re dar. Dabei spielt es keine gro\u00dfe Rolle, ob Daten im Rahmen einer Double Extortion Ransomware-Attacke entwendet werden, durch Cyberspionage gezielt abflie\u00dfen oder von Mitarbeitenden exfiltriert werden. Es versteht sich von selbst, dass Daten \u00fcberall dort gesch\u00fctzt werden m\u00fcssen, wo sie gespeichert werden, ganz gleich ob lokal oder in der Cloud. Aus diesem Grund m\u00fcssen die Daten und nicht der Perimeter, die Infrastruktur oder die Nutzer ins Zentrum der Verteidigungsstrategie. Nur mit einer datenzentrierten Cybersicherheit k\u00f6nnen Daten effektiv gesch\u00fctzt und damit der Datenschutz gew\u00e4hrleistet werden.<\/p>\n

Faktor Mensch und die Risiken<\/h2>\n

Eine gro\u00dfe Bedrohung f\u00fcr den Datenschutz liegt dabei immer noch beim Faktor Mensch. Tats\u00e4chlich tr\u00e4gt jeder einzelne Mitarbeiter, Berater und Partner Verantwortung f\u00fcr die Datenintegrit\u00e4t. So sind vor allem das Hereinfallen auf Phishing und eine schlechte Passworthygiene ein beliebter Startpunkt f\u00fcr Cyberattacken mit Ransomware oder Datenexfiltrationen. Doch auch folgende f\u00fcnf Verhaltensweisen bedeuten gro\u00dfe Risiken und bedrohen die Integrit\u00e4t sensibler Daten:<\/p>\n

Risiko 1. Das Umgehen von Sicherheitsma\u00dfnahmen<\/h3>\n

Security-Tools sind nicht selten ein zweischneidiges Schwert: So sind sie einerseits essentiell f\u00fcr die Absicherung von Unternehmen vor Cybervorf\u00e4llen, k\u00f6nnen andererseits aber auch ein Zeitfresser und Produktivit\u00e4tshindernis sein. Einer Studie<\/a> von Cisco zufolge, umgeht jeder zweite Mitarbeitende in Deutschland mindestens einmal pro Woche Sicherheitsl\u00f6sungen des eigenen Unternehmens, weil diese zu komplex und zeitraubend sind. Doch werden Sicherheitsprodukte deaktiviert oder anderweitig umgangen, bedeutet dies f\u00fcr die Unternehmen nicht nur verschwendete Investitionen, sondern eine unkontrollierte Vergr\u00f6\u00dferung der Angriffsfl\u00e4che.<\/p>\n

Tipp: <\/b>Setzen Sie verst\u00e4rkt auf Aufkl\u00e4rung und machen Sie die Bedeutung von einzelnen Security-Tools f\u00fcr die Unternehmenssicherheit gegen\u00fcber der Belegschaft deutlich. Dar\u00fcber hinaus empfiehlt es sich, routinem\u00e4\u00dfige Audits durchzuf\u00fchren, um sicherzustellen, dass kritische Sicherheitstools auch tats\u00e4chlich angenommen werden. Zudem sollte schon bei der Auswahl der Produkte die Benutzerfreundlichkeit ein (mit-) entscheidender Faktor sein.<\/p><\/blockquote>\n

Risiko 2: Das Herunterladen sch\u00e4dlicher Anwendungen<\/h3>\n

Die Zahl der in Unternehmen genutzten Applikationen ist in den letzten Jahren stark gestiegen. Dahinter steckt meist die Absicht, manuelle Arbeitsabl\u00e4ufe zu reduzieren und die Produktivit\u00e4t zu steigern. Nicht selten werden Anwendungen und Services jedoch ohne die entsprechende Genehmigung heruntergeladen, was eine Reihe von Risiken birgt. So k\u00f6nnten Mitarbeitende beispielsweise Apps downloaden, die Ransomware enthalten, oder sensible Daten auf Diensten von Drittanbietern speichern, was Datenschutzverletzungen nach sich ziehen k\u00f6nnte.<\/p>\n

Tipp: <\/b>Definieren Sie Richtlinien zur Anwendungskontrolle mit entsprechenden Allow- und Deny-Listen, damit Mitarbeitende genehmigte Dienste und Apps kontrolliert anfordern und herunterladen k\u00f6nnen. Dies sorgt f\u00fcr mehr Transparenz und tr\u00e4gt nachhaltig dazu bei, die Schatten-IT zu reduzieren. Zudem empfiehlt es sich, mit Hilfe einer PAM-L\u00f6sung rollenbasierte Zugriffskontrollen (RBAC) durchzusetzen, die steuern, was ein Benutzer innerhalb einer Webanwendung anklicken, lesen oder ab\u00e4ndern kann. So kann einem Nutzer beispielsweise Zugriff auf Salesforce gew\u00e4hrt, der Export von Dateien in der App aber gesperrt werden.<\/b><\/p><\/blockquote>\n

Risiko 3. Der Zugriff auf Systeme nach Verlassen des Unternehmens<\/h3>\n

Verl\u00e4sst ein Mitarbeitender das Unternehmen oder wird die Zusammenarbeit mit einem Partner beendet, erfordert dies einen sorgf\u00e4ltigen Offboarding-Prozess. S\u00e4mtliche Konten und Accounts der Person m\u00fcssen unmittelbar gel\u00f6scht oder deaktiviert werden. Passiert dies nicht, werden die Accounts zu riskanten Geisterkonten, die Cyberkriminellen und Insider-Angreifern die M\u00f6glichkeit geben, sich in aller Ruhe und ohne L\u00e4rm zu erzeugen in einem Unternehmen umzuschauen und Daten unauff\u00e4llig zu exfiltrieren. Und diese Gefahren sind real, denn wie der SaaS-Datenrisiko-Report von Varonis<\/a> zeigt, verf\u00fcgen Unternehmen durchschnittlich \u00fcber 1.197 inaktive Konten und von 1.322 Gast-Zug\u00e4ngen sind auch nach 90 Tagen Inaktivit\u00e4t noch 56 Prozent nutzbar.<\/p>\n

Tipp:<\/b> Setzen Sie eine Least-Privilege-Strategie durch, die sicherstellt, dass privilegierte Zugriffe und Cloud-Access grunds\u00e4tzlich nur nach Bedarf und zeitlich beschr\u00e4nkt gew\u00e4hrt werden. Nutzen Sie zudem eine PAM-L\u00f6sung, die privilegierte Konten automatisiert identifiziert und Account-Wildwuchs so eind\u00e4mmt. F\u00fchren Sie vor allem effektive Offboarding-Prozesse ein, die daf\u00fcr sorgen, dass sensible Berechtigungen zeitnah entzogen werden, wenn Mitarbeitende oder Auftragnehmer das Unternehmen verlassen.<\/p><\/blockquote>\n

Risiko 4. Die Nutzung von Firmenger\u00e4ten durch Dritte<\/h3>\n

F\u00fcr viele Mitarbeitende mag es keine gro\u00dfe Sache sein, wenn sie Familienmitgliedern oder Freunden Zugriff auf ihre gesch\u00e4ftlichen Telefone oder Laptops gew\u00e4hren, etwa um kurz im Internet zu surfen oder ein Spiel herunterzuladen. F\u00fcr die Unternehmenssicherheit kann dies aber fatale Folgen haben. Schnell ist es passiert, dass unbedarfte Personen und insbesondere Kinder auf Links klicken oder Inhalte herunterladen, die Malware oder Ransomware enthalten, oder unbeabsichtigt sensible Informationen preisgeben.<\/p>\n

Tipp<\/b>: Ziehen Sie eine scharfe Grenze zwischen Arbeits- und Familienleben und machen sie der Belegschaft klar, dass eine Null-Toleranz-Richtlinie f\u00fcr die fremde Nutzung unternehmenseigener Hardware gilt.<\/p><\/blockquote>\n

Risiko 5. Vers\u00e4umte Software-Aktualisierungen<\/h3>\n

 <\/p>\n

Software-Updates stehen auf unserer Priorit\u00e4ten-Liste in der Regel nicht sehr weit oben, denn sie kosten Zeit und Nerven und ihr Einspielen wird oft im falschen Moment verlangt. Oft gehen Mitarbeitende auch davon aus, dass Software automatisch aktualisiert wird oder dass die IT-Abteilung diesen Prozess \u00fcberwacht. Hin und wieder m\u00fcssen Programme jedoch manuell aktualisiert werden, was von den Mitarbeitern dann gerne \u00fcbersehen oder auch ignoriert wird. Dies ist umso gef\u00e4hrlicher, als laut dem Verizon Data Breach Investigations Report 2022<\/a> vernachl\u00e4ssigte Software-Updates einer der wichtigsten Angriffsvektoren f\u00fcr Cyberkriminelle sind, um sich Zugang zu Computern oder Netzwerken zu verschaffen.<\/p>\n

Tipp:<\/b> Machen Sie Software-Aktualisierungen obligatorisch und legen Sie die Verantwortung f\u00fcr Softwareaktualisierungen in die H\u00e4nde der Administratoren. Diese m\u00fcssen sicherstellen, dass die gesamte Belegschaft stets die neuesten und sichersten Versionen verwenden, und wochen- oder sogar monatelange Verz\u00f6gerungen nicht mehr an der Tagesordnung sind.<\/p><\/blockquote>\n

Eine effektive Unternehmenssicherheit und damit ein gelungener Datenschutz liegt im Einklang von Cybersicherheit und Produktivit\u00e4t. Die Kunst, die CISOs und IT-Teams heute vollbringen m\u00fcssen, besteht also darin, Bedrohungen von au\u00dfen und g\u00e4ngiges Fehlverhalten im Innern zu minimieren und gleichzeitig den Mitarbeitenden nahtlos Zugang zu den Systemen und Tools zu erm\u00f6glichen, die sie ben\u00f6tigen, wenn sie sie ben\u00f6tigen. Dazu sind moderne Sicherheitsl\u00f6sungen vonn\u00f6ten, die Security soweit es geht automatisieren und vor allem unsichtbar, d.h. hinter den Kulissen, umsetzen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Am heutigen 28. Januar 2023 ist Europ\u00e4ischer Datenschutztag. Der Tag wurde auf Initiative des Europarats ins Leben gerufener Aktionstag f\u00fcr den Datenschutz. Er wird seit 2007 j\u00e4hrlich um den 28. Januar begangen. Dieses Datum wurde gew\u00e4hlt, weil am 28. Januar … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-277313","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277313","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277313"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277313\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277313"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277313"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277313"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}