. <\/em>Leider wissen Bedrohungsakteure nur zu gut, wie lukrativ das Gesch\u00e4ft mit sensiblen Daten ist \u2013 und wie gering die Wahrscheinlichkeit, gefasst oder bestraft zu werden.<\/p>\nBedrohungsakteure k\u00f6nnen die im Rahmen zahlreicher Breaches geleakten Daten in einer einzigen gro\u00dfen Datenbank zusammenfassen und mit Querverweisen versehen, um weitere Angriffe zu lancieren. Beim sogenannten \u201eCredential Stuffing\" etwa wird die Kombination aus Benutzername und Passwort eines Services verwendet, um einen anderen zu kompromittieren. Indem sie sensible Daten aus verschiedenen Quellen kombinieren \u2013 zum Beispiel Passw\u00f6rter, PINs, Sozialversicherungsnummer, Geburtsort et cetera \u2013 und ein umfassendes Profil einer Person erstellen, verf\u00fcgen sie mitunter \u00fcber gen\u00fcgend Informationen, um Sicherheitsfragen beantworten und sich Zugang zu Bankkonten verschaffen zu k\u00f6nnen. Je mehr Daten Hackern zur Verf\u00fcgung stehen, desto gr\u00f6\u00dfer ist das Risiko. <\/p>\n
Wir m\u00fcssen damit beginnen, Schutzma\u00dfnahmen noch engmaschiger zu spannen, um Datendiebstahl zu verhindern. Wir wissen, dass die Angriffsmethoden der Bedrohungsakteure weniger innovativ oder gar einzigartig als vielmehr opportunistisch sind. Sie sehen viele Wege in und durch IT-Umgebungen. Die fl\u00e4chendeckende Einf\u00fchrung von Cloud Computing bringt neue Schwachstellen und komplexeres Management mit sich \u2013 beides machen sich b\u00f6swillige Akteure zunutze.<\/em> <\/p>\nIn den meisten F\u00e4llen sind es bekannte Schwachstellen, die Bedrohungsakteuren T\u00fcr und Tor zu Unternehmensinfrastrukturen \u00f6ffnen. Sobald sie sich Zugang verschafft haben, werden sie versuchen, Fehlkonfigurationen in Active Directory auszunutzen, um Rechte auszuweiten, Daten abzugreifen, Systeme zu verschl\u00fcsseln oder das Business anderweitig zu beeintr\u00e4chtigen. Wenn wir nicht sorgf\u00e4ltiger vorgehen und diese Angriffsvektoren identifizieren und blockieren, stehen wir am n\u00e4chsten Datenschutztag wieder vor demselben Dilemma.<\/em> <\/p>\nDatensicherheit und Datenschutz<\/h2>\n<\/p>\n
Marco Eggerling, CISO EMEA bei Check Point Software Technologies, macht sich ebenfalls um das Thema Datenschutz seine Gedanken, meint aber Datenschutz und Datensicherheit seien zwei Seiten der gleichen Medaille. Er verweist auf das Jahr 2018, als der Skandal um Facebook und Cambridge Analytica mit der Enth\u00fcllung jahrelangen Datenmissbrauchs die Welt ver\u00e4nderte. Ich hatte im Blog berichtet (siehe Links am Artikelende). Dieser Vorfall zog den Vorhang weg, der \u00fcber der Wirklichkeit der Informationssicherheit, des Datenschutzes und der Eigentumsverh\u00e4ltnisse in der Big-Tech-Branche hing. <\/p>\n
Bei der beschleunigten und gro\u00dffl\u00e4chigen Einf\u00fchrung des Homeoffice und der Cloud-Technologie im Zuge der Corona-Krise geriet der Datenschutz jedoch wieder in den Hintergrund. Allerdings sind die Narben des Facebook-Cambridge-Analytica-Skandals noch sichtbar und viele Kunden sind beinahe vollst\u00e4ndig intolerant geworden, was lasche Einhaltung von Datenschutzbestimmungen oder sogar den Versto\u00df dagegen betrifft. Gleichzeitig sorgen sich 75 Prozent der IT-Experten um die Einhaltung von dergleichen Standards.<\/p>\n
Daten sichern oder Daten sch\u00fctzen<\/h3>\n
Der erste Schritt zum Verst\u00e4ndnis der beiden Begriffe ist deren Definition. Bei der Datensicherheit geht es in erster Linie um den Schutz der Daten vor unberechtigtem Zugriff, vor Besch\u00e4digung, Diebstahl und IT-Bedrohungen. Sie umfasst Technologien, Praktiken und Protokolle, die sicherstellen, dass Daten vertraulich und intakt bleiben und nur denjenigen zur Verf\u00fcgung stehen, die legitimen Zugriff darauf haben. Hinzu kommt die Verantwortung f\u00fcr die Verschl\u00fcsselung und die Systeme zur Erkennung von Bedrohungen, sowie f\u00fcr die Backup- und Wiederherstellungsprozesse. <\/p>\n
Auf der anderen Seite f\u00e4llt unter den Datenschutz der rechtm\u00e4\u00dfige und moralische Umgang mit personenbezogenen Informationen und stellt sicher, dass die Rechte des Einzelnen auf Datenschutz respektiert werden. Neben technischen Ma\u00dfnahmen und Verwaltungsprotokollen setzt der Datenschutz auch physische Kontrollen ein, wie Schl\u00fcsselkarten, biometrische Faktoren und \u00dcberwachung von deren Benutzung am Arbeitsplatz, um die wertvollen und oft intimen Daten gegen IT-Angriffe und menschliches Versagen zu sch\u00fctzen. <\/p>\n
Datenschutz und Datensicherheit schlie\u00dfen einander nicht aus. Zusammen bilden sie einen umfassenden Ansatz zum Schutz von Daten, der sicherstellt, dass diese sowohl vor unbefugtem Zugriff gesch\u00fctzt sind als auch in einer Weise verwendet werden, welche die Rechte und die Privatsph\u00e4re des Einzelnen respektiert. Werden diese beiden Themen nicht ernst genommen, kann der Ruf des Unternehmens stark gesch\u00e4digt und das Vertrauen der Kunden in die Firma untergraben werden. Denn Kunden sind eher bereit, personenbezogene Informationen, wie Zahlungsdaten, preiszugeben, wenn sie darauf vertrauen, dass die Daten sicher gehandhabt werden. <\/p>\n
Technologie gegen Compliance<\/h3>\n<\/p>\n
Die Datensicherheit setzt stark auf technische Ma\u00dfnahmen zur Sicherung der Daten und verl\u00e4sst sich auf verschiedene Tools und Strategien, wie Verschl\u00fcsselung, Schwachstellen-Scans und Patch-Management, um die digitale Burg zu befestigen. Im Gegensatz dazu legt der Datenschutz gro\u00dfen Wert auf die Einhaltung von Gesetzen und Vorschriften, um einen einwandfreien Umgang mit personenbezogenen Daten zu gew\u00e4hrleisten. Zu diesen Prozessen geh\u00f6ren die Anonymisierung von Informationen, die Dokumentation aller Vorg\u00e4nge f\u00fcr Audits und die Bereitschaft zur Auskunft \u00fcber die Verwendung der Daten wie auch zur L\u00f6schung der Daten gem\u00e4\u00df der EU-DSGVO. Hinzu kommt die Pflicht zur Meldung von Datenschutzverletzungen, um die Einhaltung verschiedener Vorschriften zu gew\u00e4hrleisten, darunter diese: <\/p>\n
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Am 28. Januar ist der europ\u00e4ische Datenschutztag (\"Data Protection Day\"), an dem an das Thema Datensicherheit und Datenschutz erinnert werden soll. Aber noch nie in der Geschichte des Datenschutztags waren die Daten der Nutzer so gef\u00e4hrdet wie heute. Datenschutzvorf\u00e4lle am laufenden Band – und on top noch \u00fcbergriffiges staatliches Verhalten wie Chatkontrolle oder Vorratsdatenspeicherung zeigen, dass Datenschutz kein Selbstl\u00e4ufer ist, sondern aktiv eingefordert werden muss. <\/p>\n