Im Rahmen des unlängst von Gemalto veröffentlichten „Breach Level Index 2018“ sprach die COMPUTERWELT mit Christian Linhart, Country Manager Austria bei Gemalto, über Sicherheitslösungen und die Notwendigkeit das Bewusstsein in Sachen Sicherheit zu heben. [...]
Was sind für Sie die wichtigsten Erkenntnisse des neuen „Breach Level Index“ und welchen Handlungsbedarf leiten Sie davon ab?
Christian Linhart: Wir veröffentlichen seit 2013 den Breach Level Index (Anm. die COMPUTERWELT berichtete). Dabei sammeln wir – so weit möglich – von allen Ländern der Welt ausschließlich dokumentierte Fälle, wo bedeutende Data Breaches aufgetreten sind. Die Grauzone ist dementsprechend höher. Interessant ist: Im Jahr 2016 gingen knapp 1,4 Milliarden Datensätze verloren. Ein Jahr davor waren es noch um die 800 Millionen. Das ist eine beachtliche Steigerung – und jetzt sind wir bei 2,6 Milliarden Datensätzen, die 2017 verloren gingen – hauptsächlich durch Angreifer von außen, diese „Malicious Outsider“ stellten die häufigste Bedrohung bzw. Ursache für Data Breaches dar. Ein großes Thema ist auch die Fahrlässigkeit im eigenen Unternehmen: An die 80 Prozent der Daten Beaches wurden durch fahrlässige Wartung der Systeme oder Daten verursacht.
Sind hier Mitarbeiter nach wie vor das größte Sicherheitsrisiko oder sind hier wirklich Konfigurationsfehler gemacht worden sind?
Linhart: Konfigurationsfehler. Wobei in vielen Fällen die Basics nicht erledigt worden sind. So wurden von diesen 2,6 Milliarden Datensätzen nur weniger als fünf Prozent verschlüsselt. Wenn ich Daten im Klartext vorliegen habe, dann kann natürlich wer auch immer Zugriff auf diese Server oder Datenbanken hat, die Daten im Klartext sehen. Zudem war der Zugriff von privilegierten Mitarbeitern, also jenen mit Zugriffsberechtigung immer noch unzureichend nur mit Username und Passwort geschützt. Und eine Username- und Passwortkombination ist relativ leicht herauszufinden. Als Benutzer bekomme ich das ja gar nicht mit, ob jemand mein Passwort hat.
Zum einen brauchen wir hier Zweifaktorautorisierung für eine sichere Anmeldung an die Systeme, und zum anderen sollte ich die Daten natürlich ordentlich schützen. Leider wiegen sich in vielen Fällen Unternehmen immer noch in falscher Sicherheit, wenn sie darauf verweisen, dass sie die neueste Firewall und teilweise sogar mehrstufige Intrusion-Detectionsysteme sowie den neuesten Antivirenschutz im Einsatz hätten. Das ist alles gut und schön und war die letzten 15 Jahre auch State-of-the-Art. Aber jetzt ist die Perimeter-Security nicht mehr genug. Ich kann einen zweiten, dritten, vierten Zaun um meine Daten aufbauen, doch es wird mir nicht viel helfen. Denn zum einen sind die Daten in vielen Fällen nicht im Unternehmen, sondern vielleicht auch in Private- oder Public-Cloud-Konstrukten vorhanden. Und zum anderen kann ich nie wissen, ob nicht doch irgendwer den Zaun überwindet. Und wenn er dann die Daten im Klartext vorfindet, ist das natürlich eine schöne Sache für den Angreifer. Hätte ich sie jetzt verschlüsselt gehabt, mit dem Schlüssel getrennt und sicher aufbewahrt, wären die Daten wertlos für den Angreifer – für verschlüsselte Daten würde er nicht viel Geld bekommen.
Glauben Sie, dass die Datenschutzgrundverordnung hier etwas bewirkt? Denn eine der ersten Maßnahmen, um einen Datenschutz zu gewährleisten, ist ja die Verschlüsselung.
Linhart: Ja, ich merke schon, dass sich jetzt Unternehmen mehr damit beschäftigen. Wobei: der Großteil der österreichischen Unternehmen erstellt Verfahrensverzeichnisse und hat die Prozesse schon weit unter Kontrolle. Viel Geld ist auch ins Consulting gewandert, um herauszufinden: Wo sind eigentlich meine Daten? Welche Applikationen werden verwendet, die mit personenbezogenen Daten hantieren? Das herauszufinden ist für manche Unternehmen ein sehr schwieriger Prozess. Erst in einem zweiten Schritt, und der ist meines Erachtens noch nicht sehr oft durchgeführt worden, kommen auch die technischen Maßnahmen dazu, wie Verschlüsselung oder Zweifaktorauthentifizierung.
Was sind weitere Erkenntnisse aus dem Breach Level Index?
Linhart: Weitere Erkenntnisse sind, dass Identitätsdiebstahl, also das Entwenden von Username und Passwort die häufigste Art des Data Breach war. Vor zwei, drei Jahren, haben sich Hacker noch in den meisten Fällen Kreditkarteninformationen beschafft. Diese Daten scheinen mittlerweile besser geschützt zu werden. Jetzt konzentrieren sich die Hacker auf das Aufgreifen von Username und Passwortkombinationen, da sie dafür Geld pro gültigen Username und Passwortkombination bekommen. Wenn sie eine Datenbank mit ein paar 100.000 Usern abgreifen, ist das ganz schön lukrativ. Dabei es ist doch so: Die meisten Mitarbeiter eines Unternehmens wählen – egal, ob zuhause beim privaten E-Mail-Account oder in der Firma – immer dieselben Passwörter. Das wissen auch die Angreifer und probieren diese aus. Sie können sich dann per E-Mail die Zugangsdaten zurücksetzen lassen, weil Sie die E-Mail-Adresse haben. Auf diese Art kann man Identität bzw. Kontenzugängen von den Benützern übernehmen. Das ist relativ einfach.
Wie können Sie das verhindern?
Linhart: Es gibt drei Schritte, die zu beachten sind: Erstens, Daten verschlüsseln; zweitens auf die Schlüssel aufpassen und drittens, die Zugriffe regeln.
Warum ist Verschlüsselung so wichtig? Sind die Daten verschlüsselt, dann habe ich sie isoliert. Der Schlüssel muss unbedingt getrennt von den Daten aufbewahrt werden. Ansonsten wäre das so, als ob Sie Ihr Auto zusperren und den Schlüssel aufs Dach legen… Wer Daten stehlen kann, kann auch Schlüssel stehlen. Ist der Schlüssel richtig aufbewahrt, kann ich auch kontrollieren, wer wann mit welchem Schlüssel auf welche Daten zugreifen darf. Verschlüsselung hilft mir eben nicht nur die Daten so zu schützen, dass niemand etwas damit anfangen kann, wenn sie abhanden kommen. Sondern bietet, was oft vergessen wird, einen Manipulationsschutz. Dass Daten gestohlen werden, die nicht verschlüsselt waren, ist schlimm. Aber schlimmer ist, wenn ich in fünf Jahren herausfinde, dass irgendwer Zugang zu meinen Daten hatte, diese seit langem abgesaugte und ich es nie mitbekommen habe. Und dann verändert der Hacker zu guter Letzt die Pararameter in meinen Daten. Das ist eine Katastrophe.
Da sind wir schon beim nächsten Punkt: Aufpassen auf die Schlüssel, deswegen ist ein zentrales Schlüsselmanagement wichtig, damit der Überblick nicht verloren geht. Die zentrale Verschlüsselung betrifft Daten im Unternehmen genauso wie Daten, die sich möglicherweise in einer Cloud-Infrastruktur befinden. Verschlüsselung ist auch eine Chance, ein Business-Enabler, da ich plötzlich neue Technologien nutzen kann, wie Azure oder Amazon. Mit der Gewissheit, dass diese Daten von den Administratoren dort nicht benutzbar sind, weil ich sie eben verschlüsselt habe. Auch hilft es mir, wenn ich beispielsweise mit meinem Outsourcing nicht mehr zufrieden bin und woanders hin wechseln möchte. Dann nehme ich meine Daten, wechsle den Dienst, zerstöre den Schlüssel und fertig: die Daten sind tot, unbrauchbar.
Am besten sollte man das Schlüsselmanagement in Hardware machen, mit sogenannten Hardware–Security-Modulen. Diese Geräte haben mehrere Vorteile: Zum einen können dort mittels hardware-basiertem Zufallsgenerator zentral die Schlüssel für das Unternehmen erzeugt werden, das ist die sicherste Art und Weise einen Schlüssel zu erzeugen. Zum anderen sind sie in einem sogenannten tamper-proof-environment, also einer manipulationsgeschützten Umgebung gespeichert, d.h. das System kann sich selber gegen Attacken verteidigen.
Ein zentrales Schlüsselmanagement ist das A und O. Aber die ganze Verschlüsselung ist nicht viel wert, wenn ich mich immer noch mit Username und Passwort autorisiere. Wer Zugriff auf die Daten hat, kann auch auf die verschlüsselten Daten zugreifen, wenn er eben dazu privilegiert ist. Deshalb sollte man unbedingt eine Mehr-Faktor-Autorisierung verwenden, beispielsweise in Form von One-Time-Passwörtern, wo ich den einmal gültigen Code am Handy erzeuge oder mittels eines Hardwaretoken, wo ich den kurzzeitgültigen Code bekomme und diesen dann eingebe oder mittels Zertifikaten. Das funktioniert mit Smartcards und ein Smartcard-Lesegerät, das an einen PC angeschlossen ist. Wir sehen sehr viele Unternehmen, die den Mitarbeiterausweis neu beleben, wodurch eine Smartcard mehrere Rollen bekommt. Zum einen habe ich im Chip meine Zertifikate, mit ich mich dann mit Zweifaktor-Autorisierung an meinem Arbeitsplatz anmelde. Zum anderen gibt es RFID-Funktionlität, mit der ich z.B. die Arbeitszeit der Mitarbeiter erfassen kann. Letztlich ist auch die physische Zutrittskontrolle ins Unternehmen damit möglich.
Welche neuen Sicherheitsprodukte wird Gemalto bringen?
Linharte: Ein neues Produkt ist der SafeNet Trusted Access. Zusätzlich zur Zweifaktor-Autorisierung kann man damit auch ein Access-Management vor allem zu Cloud-Applikationen verwirklichen. Man hat beispielsweise Office365, Salesforce.com und eine Reihe andere Applikationen, die sich in einer Cloud befinden, im Einsatz und kann damit zentral neben dem zweiten Faktor auch kontrollieren, wer von seinem Unternehmen überhaupt Access auf diese und jene Applikation hat.
Welche Unternehmensgrößen peilen Sie damit an?
Linhart: Der SafeNet Authentication Service, das ist jetzt die Zwei-Faktor-Autorisierungslösung mit der Kombination auf SafeNet Trusted Access, ist ab zehn Benutzer möglich. Aber das System skaliert natürlich bis mehrere 100.000 Benutzer. Diese Lösung gibt es als Cloud-Service, Sie brauchen sich um nichts zu kümmern. Es ist mit 99,999 Prozent SLA (Service Level Agreement) abgedeckt. Das ist vor allem für den Mittelstand interessant, weil wir wissen, dass diese Unternehmen dafür niemanden anstellen würden.
Also eine unkomplizierte Lösung für Unternehmen, die keine IT-Abteilung haben?
Linhart: Genau und zudem sehr flexibel. Man kann sich aussuchen, welche Art von Token man haben möchte. Wir haben hier auch sehr große Unternehmen aus dem Banken- und Versicherungsbereich als Kunden. Industrieunternehmen sehe ich momentan sehr stark kommen, im Zusammenhang mit den Mitarbeiterausweisthemen und dem Schutz der Forschungsergebnisse oder Patente.
Glauben Sie, dass bereits ein Sicherheitsbewusstsein bei neuen Technologien wie Internet of Things entwickelt ist?
Linhart: Ich glaube, dass Sicherheit hier kaum beachtet wird, was auch von vielen Studien untermauert wird.
Werden und können Sie künstliche Intelligenz nützen, um die Sicherheit zu erhöhen? Die Hacker setzen ja teilweise bei ihren Angriffen auch schon auf künstliche Intelligenz…
Linharter: Ja, das wird sicher ein Thema werden, aber man muss eigentlich den anderen Weg gehen. Ich muss akzeptieren, dass ich Opfer werden kann. Unternehmen investieren immer noch viel ins Abwehrthema, aber was passiert, wenn etwas passiert ist? Ich muss auch Vorkehrungen treffen, ich brauche einen Plan B. Plan A ist Abwehr – ob mit künstlicher Intelligenz oder ohne. Aber was passiert, wenn die Bedrohung von jemandem aus dem Unternehmen kommt? Es wird immer Sicherheitslücken geben. Deshalb ist es immer ganz wichtig, einen Plan B zu haben um die Kronjuwelen des Unternehmens zu schützen – da führt kein Weg vorbei.
Und was zeigt der Breach Level Index? Weniger als 5 Prozent der Unternehmen haben die Daten verschlüsselt. Das ist ein Wahnsinn! Wenn ich mit Kunden spreche, betonen diese, dass sie ja Firewalls hätten. Aber schauen Sie sich nur die Data Breaches bei Sony oder Equifax an, die haben mehrstufige Firewall-Systeme gehabt, die haben State-Of-The-Art-Systeme gehabt – die Daten im Kern waren jedoch bei allen gleich: sie waren ungeschützt.
Das heißt neben der Security-Technik, die Sie anbieten, muss auch das Bewusstsein der Unternehmen in Sachen Sicherheit erhöht werden….
Linhart: Wir hatten letztes Jahr eine Studie mit weltweit 1.050 IT-Security-Entscheidern durchgeführt. Das Interessante war, dass 94 Prozent der Befragten gesagt haben, Sie fühlen sich mit der Perimeter-Security ausreichend geschützt. Gleichzeitig haben dieselben Personen (68 Prozent von Ihnen) gesagt, dass wenn diese Abwehr überwunden werden würde, es nicht gut aussehe. Sehen Sie das Paradoxon? Die Unternehmen verlassen sich auf Technologie, die die letzten Jahre gute Dienste leistete und die ich auch immer noch brauchen werde, eben Firewalls, Antivirenschutz – das braucht man unbedingt. Aber jetzt sind die Daten überall. Viele Unternehmen wissen gar nicht mehr, wo ihre Daten gespeichert sind – ob im Unternehmen oder außerhalb.
Bisher ging es stets um die Datensicherheit und Datenintegrität. Mittlerweilespielt der Datenschutz eine immer größere Rolle und dieser verlangt, dass Daten gelöscht werden. Bieten Sie hier auch Lösungen an?
Linhart: Mit Lösungen von Gemalto ist man natürlich nicht automatisch DSGVO-konform. Wir bieten aber ein Security-Framework, das sich sehr gut mit verschiedensten Herstellern integrieren lässt. Das ist ein lebendes System und sehr flexibel. Wir haben jetzt beispielsweise einen Kunden, der eine neue Applikation für seine Endkunden baut. Da besteht von unserer Seite die Möglichkeit, sich direkt in die Applikation zu integrieren und aus der Applikation heraus sensible Felder zu verschlüsseln und jedem Benutzer einen eigenen Schlüssel zuzuweisen – und solcherart etwas für den Datenschutz zu tun.
Be the first to comment