Nicht wegen ihrer schauspielerischen Leistungen kamen Jennifer Lawrence, Kirsten Dunst, Kate Upton und andere Hollywood-Größen in den letzten Wochen in die Schlagzeilen, sondern weil ihre privaten Fotos aus der Apple-Cloud gestohlen wurden. Ein weiterer Anlass, um sich über den strategischen Umgang mit Daten Gedanken zu machen. [...]
Nicht ganz klar ist, ob die Angreifer die Apple-Cloud per Brute-Force-Attacke geknackt oder einfach die Passwörter der Stars entwendet haben, um an die Bilder zu gelangen. Das spielt aber auch keine Rolle: Schließlich ist schon länger klar, dass Daten in öffentlichen Cloudspeichern bei Cyber-Kriminellen eher Begehrlichkeiten wecken als in abgeschlossenen Netzwerken. Auch die Websense Security Labs hatten in ihrem Report „2014 Security Predictions“ prognostiziert , dass Angreifer „das schwächste Glied in der Daten-Austausch-Kette“ anpeilen würden – und das sind eben meist schwache Passwörter in Verbindung mit einer Cloud.
Trotzdem werden sowohl private als auch Business-User die Cloud immer mehr nutzen, nicht zuletzt wegen des wachsenden Einsatzes von mobilen Geräten und des hohen Bequemlichkeitsfaktors, zu jeder Zeit und an jedem Standort völlig transparent auf beliebige Daten zugreifen zu können – frei nach der Formel „mobil + Cloud = bequem“. Die wachsende Bequemlichkeit verlangt aber auch nach einer größeren Verantwortung, die bei Unternehmen in die Erkenntnis münden sollte, dass eine Cloud nicht die allein selig machende Alternative zu professionellem Datenmanagement sein kann. Vielmehr gilt es, eine differenzierte Strategie für die Nutzung, Erzeugung und Speicherung von Daten zu entwerfen, und sie natürlich wirkungsvoll umzusetzen; das heißt übrigens auch, sie Mitarbeitern einzuschärfen, ein Schritt, der aus unerfindlichen Gründen immer wieder gern ignoriert wird. Nur mit einem solchem Maßnahmenpaket können die Gefahren von Datenklau oder -sabotage minimiert werden. Die Cloud kann dabei durchaus eine zentrale Rolle spielen, wohl wissend, dass wirklich unternehmenskritische Daten dort nichts zu suchen haben.
Daraus lassen sich ein paar einfache Regeln ableiten:
1. Definieren, welche Daten in die Cloud dürfen. Als allerersten Schritt auf dem Weg zu mehr Datensicherheit müssen Unternehmen sich eingestehen, dass mobile und Cloud-basierte Applikationen ein immanentes Sicherheitsrisiko darstellen. Manche Daten dürfen niemals in die Cloud, andere nur unter strengsten Sicherheitsmaßnahmen. Es gilt, diese Arten von Daten zu definieren, diese Definition Mitarbeitern mitzuteilen und ihnen deren Wichtigkeit immer wieder einzuschärfen.
2. Das schwächste Glied in der Daten-Austausch-Kette stärken. Schwache Passwörter sind und bleiben ein ständiges Risiko, nicht nur im privaten Umfeld. Wenn auch immer möglich, sollte auf eine starke Zwei-Faktor-Authentifizierung zurückgegriffen werden, vor allem bei kritischen Daten. Token, Rückrufe auf einer zweiten Telefonnummer, biometrische Verfahren oder Einmalpasswörter gehören zu den sicheren Verfahren. Weitere Schwachstellen sind Apps auf mobilen Geräten, die auf eine Cloud zugreifen, zumal dann, wenn es kein vernünftiges Monitoring gibt oder die PINs für die Devices schlicht zu kurz sind – wie es meistens leider der Fall ist.
3. Sich auf einen Datenverlust vorbereiten. Jedes Unternehmen muss sich mit einem guten Reporting-Prozess auf einen etwaigen Datenverlust vorbereiten. Es ist wichtig, den Umfang und die Art der gestohlenen oder verschwundenen Daten möglichst schnell zu identifizieren und die Tragweite des Verlusts zu erkennen. Dann sollte eine Checkliste parat liegen, wer in welcher Reihenfolge zu informieren ist. Zu den ersten, die zu benachrichtigen sind, wird in der Regel auch die Polizei oder der Verfassungsschutz gehören.
*Uwe Hartmann ist Channel Manager Central Europe bei Websense in München
Be the first to comment