„Man braucht einen Plan B“

Im Zuge der Veröffentlichung des "Breach Level Index 2018" sprach die COMPUTERWELT mit Christian Linhart, Country Manager Austria bei Gemalto, über Sicherheitslösungen und die Notwendigkeit, das Bewusstsein in Sachen Sicherheit zu heben. [...]

Christian Linhart ist Country Manager Austria bei Gemalto. (c) Gemalto
Christian Linhart ist Country Manager Austria bei Gemalto. (c) Gemalto

Was sind für Sie die wichtigsten Erkenntnisse des neuen „Breach Level Index“ und welchen Handlungsbedarf leiten Sie davon ab?
Wir veröffentlichen seit 2013 den Breach Level Index. Dabei sammeln wir – so weit möglich – von allen Ländern der Welt ausschließlich dokumentierte Fälle, wo bedeutende Data Breaches aufgetreten sind. Die Grauzone ist dementsprechend höher. Interessant ist: Im Jahr 2016 gingen knapp 1,4 Milliarden Datensätze verloren. Ein Jahr davor waren es noch um die 800 Millionen. Das ist eine beachtliche Steigerung – und jetzt sind wir bei 2,6 Milliarden Datensätzen, die 2017 verloren gingen – hauptsächlich durch Angreifer von außen. Diese „Malicious Outsider“ stellten die häufigste Bedrohung bzw. Ursache für Data Breaches dar. Ein großes Thema ist auch die Fahrlässigkeit im eigenen Unternehmen: An die 80 Prozent der Daten Breaches wurden durch fahrlässige Wartung der Systeme oder Daten verursacht.

Sind hier Mitarbeiter nach wie vor das größte Sicherheitsrisiko oder sind hier wirklich Konfigurationsfehler gemacht worden?
Konfigurationsfehler. Wobei in vielen Fällen die Basics nicht erledigt worden sind. So wurden von diesen 2,6 Milliarden Datensätzen nur weniger als fünf Prozent verschlüsselt. Wenn ich Daten im Klartext vorliegen habe, dann kann natürlich wer auch immer Zugriff auf diese Server oder Datenbanken hat, die Daten im Klartext sehen. Zudem war der Zugriff von privilegierten Mitarbeitern, also jenen mit Zugriffsberechtigung, immer noch unzureichend nur mit Username und Passwort geschützt. Und eine Username- und Passwortkombination ist relativ leicht herauszufinden. Als Benutzer bekomme ich das ja gar nicht mit, ob jemand mein Passwort hat.

Zum einen brauchen wir hier Zweifaktorautorisierung für eine sichere Anmeldung an die Systeme, und zum anderen sollte ich die Daten natürlich ordentlich schützen. Leider wiegen sich in vielen Fällen Unternehmen immer noch in falscher Sicherheit, wenn sie darauf verweisen, dass sie die neueste Firewall und teilweise sogar mehrstufige Intrusion-Detection-Systeme sowie den neuesten Antivirenschutz im Einsatz hätten. Das ist alles gut und schön und war die letzten 15 Jahre auch State-of-the-Art. Aber jetzt ist die Perimeter-Security nicht mehr genug. Ich kann einen zweiten, dritten, vierten Zaun um meine Daten aufbauen, doch es wird mir nicht viel helfen. Denn zum einen sind die Daten in vielen Fällen nicht im Unternehmen, sondern vielleicht auch in Private- oder Public-Cloud-Konstrukten vorhanden. Und zum anderen kann ich nie wissen, ob nicht doch irgendwer den Zaun überwindet. Und wenn er dann die Daten im Klartext vorfindet, ist das natürlich eine schöne Sache für den Angreifer. Hätte ich sie jetzt verschlüsselt gehabt, mit dem Schlüssel getrennt und sicher aufbewahrt, wären die Daten wertlos für den Angreifer.

Glauben Sie, dass die Datenschutzgrundverordnung hier etwas bewirkt? Denn eine der ersten Maßnahmen, um einen Datenschutz zu gewährleisten, ist ja die Verschlüsselung.
Ja, ich merke schon, dass sich jetzt Unternehmen mehr damit beschäftigen. Wobei: der Großteil der österreichischen Unternehmen erstellt Verfahrensverzeichnisse und hat die Prozesse schon weit unter Kontrolle. Viel Geld ist auch ins Consulting gewandert, um herauszufinden: Wo sind eigentlich meine Daten? Welche Applikationen werden verwendet, die mit personenbezogenen Daten hantieren? Das herauszufinden ist für manche Unternehmen ein sehr schwieriger Prozess. Erst in einem zweiten Schritt, und der ist meines Erachtens noch nicht sehr oft durchgeführt worden, kommen auch die technischen Maßnahmen dazu, wie eben Verschlüsselung oder Zweifaktorauthentifizierung.

Was sind weitere Erkenntnisse aus dem Breach Level Index?
Weitere Erkenntnisse sind, dass Identitätsdiebstahl, also das Entwenden von Username und Passwort die häufigste Art des Data Breach war. Vor zwei, drei Jahren, haben sich Hacker noch in den meisten Fällen Kreditkarteninformationen beschafft. Diese Daten scheinen mittlerweile besser geschützt zu werden. Jetzt konzentrieren sich die Hacker auf das Aufgreifen von Username und Passwortkombinationen, da sie dafür Geld pro gültigen Username und Passwortkombination bekommen. Wenn sie eine Datenbank mit ein paar 100.000 Usern abgreifen, ist das ganz schön lukrativ. Dabei es ist doch so: Die meisten Mitarbeiter eines Unternehmens wählen – egal, ob zuhause beim privaten E-Mail-Account oder in der Firma – immer dieselben Passwörter. Das wissen auch die Angreifer und probieren diese aus. Sie können sich dann per E-Mail die Zugangsdaten zurücksetzen lassen, weil Sie die E-Mail-Adresse haben. Auf diese Art kann man Identität bzw. Kontenzugängen von den Benutzern übernehmen. Das ist relativ einfach.

Wie können Sie das verhindern?
Es gibt drei Schritte, die zu beachten sind: Daten verschlüsseln, auf die Schlüssel aufpassen und die Zugriffe regeln. Warum ist Verschlüsselung so wichtig? Sind die Daten verschlüsselt, dann habe ich sie isoliert. Der Schlüssel muss unbedingt getrennt von den Daten aufbewahrt werden. Ansonsten wäre das so, als ob Sie Ihr Auto zusperren und den Schlüssel aufs Dach legen. Wer Daten stehlen kann, kann auch Schlüssel stehlen. Ist der Schlüssel richtig aufbewahrt, kann ich auch kontrollieren, wer wann mit welchem Schlüssel auf welche Daten zugreifen darf. Verschlüsselung hilft mir eben nicht nur die Daten so zu schützen, dass niemand etwas damit anfangen kann, wenn sie abhanden kommen, sondern bietet, was oft vergessen wird, einen Manipulationsschutz. Dass Daten gestohlen werden, die nicht verschlüsselt waren, ist schlimm. Aber schlimmer ist, wenn ich in fünf Jahren herausfinde, dass irgendwer Zugang zu meinen Daten hatte, diese seit langem absaugt und ich es nie mitbekommen habe.

Da sind wir schon beim nächsten Punkt: Aufpassen auf die Schlüssel, deswegen ist ein zentrales Schlüsselmanagement wichtig, damit der Überblick nicht verloren geht. Die zentrale Verschlüsselung betrifft Daten im Unternehmen genauso wie Daten, die sich möglicherweise in einer Cloud-Infrastruktur befinden. Verschlüsselung ist auch eine Chance, ein Business-Enabler, da ich plötzlich neue Technologien nutzen kann, wie Azure oder Amazon. Mit der Gewissheit, dass diese Daten von den Administratoren dort nicht benutzbar sind, weil ich sie eben verschlüsselt habe. Auch hilft es mir, wenn ich beispielsweise mit meinem Outsourcing nicht mehr zufrieden bin und woanders hin wechseln möchte. Dann nehme ich meine Daten, wechsle den Dienst, zerstöre den Schlüssel und fertig: die Daten sind tot, unbrauchbar. Am besten sollte man das Schlüsselmanagement in Hardware machen, mit sogenannten Hardware-Security-Modulen. Diese Geräte haben mehrere Vorteile: Zum einen können dort mittels Hardware-basiertem Zufallsgenerator zentral die Schlüssel für das Unternehmen erzeugt werden, das ist die sicherste Art und Weise einen Schlüssel zu erzeugen. Zum anderen sind sie in einem sogenannten tamper-proof-environment, also einer manipulationsgeschützten Umgebung gespeichert, d.h. das System kann sich selbst gegen Attacken verteidigen.

Ein zentrales Schlüsselmanagement ist das A und O. Aber die ganze Verschlüsselung ist nicht viel wert, wenn ich mich immer noch mit Username und Passwort autorisiere. Wer Zugriff auf die Daten hat, kann auch auf die verschlüsselten Daten zugreifen, wenn er eben dazu privilegiert ist. Deshalb sollte man unbedingt eine Mehr-Faktor-Autorisierung verwenden, beispielsweise in Form von One-Time-Passwörtern, wo ich den einmal gültigen Code am Handy erzeuge oder mittels eines Hardwaretoken, wo ich den kurzzeitgültigen Code bekomme und diesen dann eingebe oder mittels Zertifikaten. Das funktioniert mit Smartcards und einem Smartcard-Lesegerät, das an einen PC angeschlossen ist. Die Smartcard bekommt so mehrere Rollen. Zum einen habe ich im Chip meine Zertifikate, mit denen ich mich dann mit Zweifaktor-Autorisierung an meinem Arbeitsplatz anmelde. Zum anderen gibt es RFID-Funktionalität, mit der ich z.B. die Arbeitszeit der Mitarbeiter erfassen kann. Auch die physische Zutrittskontrolle ins Unternehmen ist damit möglich.

Werden Sie künstliche Intelligenz nützen, um die Sicherheit zu erhöhen? Hacker setzen ja teilweise bei ihren Angriffen auch schon auf künstliche Intelligenz …
Ja, das wird sicher ein Thema werden, aber man muss eigentlich den anderen Weg gehen. Ich muss akzeptieren, dass ich Opfer werden kann. Unternehmen investieren immer noch viel ins Abwehrthema, aber was passiert, wenn etwas passiert ist? Ich muss auch Vorkehrungen treffen, ich brauche einen Plan B. Plan A ist Abwehr – ob mit künstlicher Intelligenz oder ohne. Aber was passiert, wenn die Bedrohung von jemandem aus dem Unternehmen kommt? Es wird immer Sicherheitslücken geben. Deshalb ist es immer ganz wichtig, einen Plan B zu haben um die Kronjuwelen des Unternehmens zu schützen – da führt kein Weg vorbei. Und was zeigt der Breach Level Index? Weniger als 5 Prozent der Unternehmen haben die Daten verschlüsselt. Das ist ein Wahnsinn! Wenn ich mit Kunden spreche, betonen diese, dass sie ja Firewalls hätten. Aber schauen Sie sich nur die Data Breaches bei Sony oder Equifax an, die haben mehrstufige Firewall-Systeme gehabt, die haben State-Of-The-Art-Systeme gehabt – die Daten im Kern waren jedoch bei allen gleich: sie waren ungeschützt.

Das heißt neben der Security-Technik, die Sie anbieten, muss auch das Security-Bewusstsein der Unternehmen erhöht werden.
Wir hatten letztes Jahr eine Studie mit weltweit 1.050 IT-Security-Entscheidern durchgeführt. Das Interessante war, dass 94 Prozent der Befragten gesagt haben,sie fühlen sich mit der Perimeter-Security ausreichend geschützt. Gleichzeitig haben dieselben Personen (68 Prozent) gesagt, dass wenn diese Abwehr überwunden werden würde, es nicht gut aussehe. Sehen Sie das Paradoxon? Die Unternehmen verlassen sich auf Technologie, die die letzten Jahre gute Dienste leistete und die ich auch immer noch brauchen werde, eben Firewalls, Antivirenschutz – das braucht man unbedingt. Aber jetzt sind die Daten überall.


Mehr Artikel

News

Lauf-Apps als Sicherheitsrisiko

Lauf-Apps sammeln Informationen über das eigene Training und tracken somit alle Fortschritte, die man beim Laufen gemacht hat. Allerdings benötigen sie um richtig zu funktionieren präzise Daten, darunter auch den Standort von Nutzern.
Diese Daten stehen oft öffentlich zur Verfügung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*