Der nächste Verstoß gegen unsere Datensicherheit kommt bestimmt – oder auch nicht

Autor/Redakteur: Daniel Raskin, Vice President of Marketing bei ForgeRock/gg

Es vergeht kaum ein Tag, an dem die Presse nicht über einen eklatanten Angriff auf die Datensicherheit oder Cyber-Attacken berichten kann. Ein Ereignis jagt das nächste: Treffen kann es jeden. Fälle wie der Hack von Lufthansa Meilen-Konten von Vielfliegern oder Bonuskarten-Benutzern haben das einmal mehr deutlich ins Bewusstsein gebracht.

Deutsche Unternehmen unterschätzen häufig die steigende Bedrohung durch organisierte Cyberverbrechen und durch Wirtschaftsspionage. Selbst die Risiken, die durch die eigenen Mitarbeiter entstehen können, sind zu wenig präsent. Datenverluste, der Wiederherstellungsaufwand, zusätzliche Arbeitszeit sowie Verdienst- und Umsatzausfälle ziehen Kosten in Milliardenhöhe nach sich. Allein den Schaden durch Wirtschaftsspionage in Deutschland beziffert der VDI auf zirka 100 Milliarden Euro jährlich. Wen wundert’s, dass die Datensicherheit generell angezweifelt wird, und der Verbraucher sich besorgt an seine letzten Kreditkartenkäufe erinnert.

Jeder Verstoß gegen die Datenidentität zieht stets einen Vertrauensverlust gegenüber der betroffenen Marke nach sich, ganz zu schweigen vom beschädigten Vertrauen des Kunden in das Unternehmen und in das System ganz allgemein. Beides ist extrem schwer kalkulierbar und kann schlimmstenfalls das wirtschaftliche Fortbestehen des Unternehmens gefährden, oder doch mindestens schwerwiegend beeinträchtigen. Unternehmen, die nach einem Vorfall zu spät reagieren, müssen unter Umständen mit empfindlichen Geldstrafen rechnen. Europäische Unternehmen stehen unter Zeitdruck, wenn es um eine von der EU für Ende 2015 geplante Einführung einer Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) geht, wonach einheitliche Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen EU-weit gelten sollen.

Derartige Sicherheitsprobleme sind die logische Folge der allgegenwärtigen Vernetzung: Wenn alles verbunden ist, dann ist auch alles angreifbar. Trotzdem trifft es viele Unternehmen unerwartet. Plötzlich stellen sie fest, dass sie verwundbar sind, was ein Bewusstsein dafür schafft, wie wichtig Sicherheitsverfahren und -technologien für die Kunden, den Umsatz und den Markenwert sind.

Alle Unternehmen, gemeinnützigen oder anderen Organisationen, die personenbezogene Daten speichern, müssen die Sicherheit ihrer IT-Infrastruktur prüfen und folgende Fragen beantworten: Wie können wir Risiken vermeiden? Wie können wir sicherstellen, dass die richtigen Benutzer ausschließlich auf die von ihnen benötigten Daten zugreifen? Und was am wichtigsten ist: Wie können technische Weiterentwicklungen das Identitätsmanagement unterstützen, so dass wir weiterhin von der zunehmenden Vernetzung und dem Austausch von Personendaten profitieren können, ohne dem Risiko von Verstößen ausgesetzt zu sein?

Firewalls und Perimeterschutz sind im Prinzip irrelevant, veraltet, wenn so viele Systeme für eine große Anzahl von Benutzern von außerhalb des Unternehmens zugänglich sein müssen. Stattdessen liebäugeln viele Unternehmen mit einem Ansatz, den der vor kurzem als Chief Information Security Officer von Target eingestellte Brad Maiorino als “Reduzierung der Angriffsfläche” bezeichnet.

Neben der Reduzierung der Anzahl von Verbindungspunkten machen Unternehmen die Anmeldung komplizierter. Von Benutzern festgelegte schwache Kennwörter sind die Achillesferse zahlreicher Systeme. Daher implementieren immer mehr Unternehmen Multifaktor-Authentifizierung, um nicht autorisierten Personen das Erraten von Kennwörtern oder die Anmeldung mit gestohlenen Zugangsdaten zu erschweren.

Dies ist bis zu einem gewissen Punkt sinnvoll – ist das Einloggen für Kunden und Geschäftspartner jedoch zu schwierig, besteht die Gefahr, diese an Mitbewerber zu verlieren. Statt restriktiver zu werden, ist es erforderlich, dass Unternehmen ihre Zugriffsverfahren verstärkt mit kontextueller Intelligenz ausstatten. Moderne Einmalanmeldung (Single Sign-On, SSO) muss über eine einfache Ja-/Nein-Entscheidung hinausgehen. Zugriffssysteme sollten bei jeder Transaktion den Kontext erfassen und sich entsprechend verhalten.

Der Kontext enthält verschiedene Faktoren, wie zum Beispiel: Auf welche Systeme muss ein bestimmter Benutzer zugreifen, um seine legitimen Aufgaben zu erfüllen? Wann benötigt dieser Benutzer Zugriff? Wo befindet sich dieser Benutzer? Mittels genau definiertem Kontext für jeden Benutzer können Sicherheitssysteme Abweichungen von der Norm zuverlässig erkennen und auf diese reagieren. Bei Anmeldungen von einem neuen Gerät oder aus einem anderen Land sollte beispielsweise eine zusätzliche Authentifizierung erforderlich sein.