IT-Sicherheitsbedrohungen sind spätestens mit Online-Banking und -Shopping zu einem Problem geworden. Firewalls und Perimeterschutz reichen nicht aus, um sensible Daten oder Finanztransaktionen zu schützen. Allein im ersten Quartal des Jahres 2014 wurden knapp 200 Millionen Datensätze gestohlen. Der Schutz sensibler Daten ist wichtiger denn je. Verschlüsselung sollte den Kern jeder IT-Sicherheitsstrategie bilden. [...]
Jede Transaktion basiert auf einem komplizierten System mit vielen potenziellen Schwachstellen – der Schutz von Finanzdaten erweist sich folglich alles andere als einfach. Hinzu kommt: IT-Sicherheitsteams sehen sich konfrontiert mit immer raffinierteren Angriffen und einem sich verändernden Umfeld, in dem sie Regulierungen und Gesetze einhalten müssen. Welche Maßnahmen sollten Unternehmen ergreifen, um ihre Daten zu schützen?
SCHWACHSTELLEN IDENTIFIZIEREN
Zunächst müssen diese Schwachstellen identifiziert werden – eine davon ist das Zahlungssystem. Denn jede noch so kleine Transaktion ist riskant, da sie von unterschiedlichen Parteien abhängig ist. Hierzu gehören der Sender, der Empfänger, die transferierende Bank und der Hersteller von Chipkarten. Jedes System ist nur so sicher, wie sein schwächstes Glied. Auch E-Commerce-Seiten, die Kundendaten sicher aufnehmen und verarbeiten sollen, gehören zu diesen Schwachstellen: Unternehmen verlieren die Kontrolle über einen Großteil der Transaktionen, sobald der Kunde die Zahlung tätigt. Kundendaten so früh wie möglich zu schützen, ist entscheidend für den Erfolg von Unternehmen im E-Commerce.
Darüber hinaus unterliegen Händler unzähligen Vorschriften zur Datenhandhabung und Durchführung von Transaktionen. Eine solche Richtlinie stellt der Payment Card Industry Data Security Standard (PCI DSS) dar. Eine Studie von Gemalto ergab, dass sich ein Drittel der IT-Strategen sechs Wochen im Jahr mit Chipkarten-Regulierungen auseinandersetzen müssen. Sie befassen sich jedoch nur unzureichend mit den Sicherheitslücken verschiedener Bezahlsysteme. Das kann desaströse Folgen haben: Im Jahr 2013 wurden zum Beispiel bei dem amerikanischen Einzelhandelsunternehmen Target die Kreditkartendaten von mehr als 70 Millionen Kunden gestohlen.
NEUE DENKWEISE NÖTIG
Bei so vielen Schwachstellen in der Infrastruktur eines Systems ist klar: Die Daten selbst müssen in den Fokus der Sicherheitsstrategie. Dies bedeutet, sensible Daten müssen geschützt werden, unabhängig von der Sicherheit der jeweiligen IT-Umgebung.
So etwa bei Point-to-Point-Encryption (P2PE), der sichersten Methode der Datenverschlüsselung. Anstatt sich auf einzelne Schwachstellen zu konzentrieren, verwendet P2PE spezifisch entwickelte Zahlungsterminals, um Kartendaten vom ersten Kontakt an abzusichern. Diese Methode garantiert eine dauerhafte Verschlüsselung der Daten, bis diese an ihrem Ziel angekommen sind und die Transaktion abgeschlossen ist – auch wenn sich ein Angreifer Zugriff zum System verschafft hat.
P2PE erleichtert Händlern die Einhaltung des PCI DSS und schützt Datensätze während der gesamten Transaktion. Dennoch verwenden nur 24 Prozent aller Befragten P2PE für ihre Transaktionen, so das Ergebnis einer Studie von Gemalto.
MIT EINEM AUGE FÜR DETAILS
Sicherheitsvorkehrungen müssen sowohl Daten vor Angriffen schützen als auch mit Datenschutz- und Sicherheitsvorgaben konform sein. Besonders die sichere Verwahrung von Verschlüsselungscodes ist essenziell. Überraschenderweise unterläuft vielen Unternehmen genau hier ein großer Fehler: Sie speichern Verschlüsselungs-Keys und sensible Daten am gleichen Ort.
Eine Ursache für diese Nachlässigkeit ist, dass die für das Key-Management verantwortlichen Teams nur spärlich besetzt sind und räumlich weit entfernt voneinander arbeiten. Weitere Gründe sind aufwendige Regulierungen und Vorgaben zum Datenschutz – es fehlt schlichtweg an Zeit. Eine Studie hat ergeben, dass zwei Drittel der befragten Unternehmen vier oder weniger Arbeitskräfte für den Bereich Key-Management einsetzen. Es bedarf einer zentralisierten und effizienteren Plattform für das Schlüsselmanagement, um Verwaltungsanforderungen und Sicherheitsziele zu erreichen.
Priorität Nummer eins aller Unternehmen sollte eine Plattform oder Strategie sein, mit der Sicherheitsschlüssel über ihren gesamten Lebenszyklus hinweg gemanagt werden können. Diese Strategie muss klar festlegen, wie die verantwortlichen Mitarbeiter Schlüssel erstellen und verteilen, den Zugang zu den Keys absichern und den Schutz für ihre Speicherung gewährleisten. Ohne diese Maßnahmen können Hacker die Keys problemlos kopieren, modifizieren und missbrauchen.
DATEN IN DEN MITTELPUNKT
Datenschutzverletzungen sind also nicht mehr eine Frage des „ob“, sondern des „wann“. Um sich vorzubereiten ist es entscheidend, Best-Practices zu formulieren. Sensible Daten müssen über ihren gesamten Lebenszyklus geschützt werden. Dies lässt Themen wie zentralisiertes Key-Management und P2PE noch wichtiger werden.
* Paul Hampton ist Experte für Payments & Crypto Management bei Gemalto.
Be the first to comment