Expertenkommentare zum Datenschutztag 2022: Unternehmen vor neuen Herausforderungen

Am 28. Januar 2022 ist wieder der Europäische Datenschutztag, an dem auf den sicheren Umgang mit sensiblen Daten hingewiesen werden soll. Damit Verbraucher zuverlässig über ihre Daten bestimmen können, müssen Unternehmen für deren sichere Verarbeitung und Speicherung sorgen.

Gerade der durch die Coronavirus-Pandemie beförderte Trend zum virtuellen Arbeiten brachte in den vergangenen zwei Jahren jedoch neue Herausforderungen für Unternehmen mit: Das Arbeiten außerhalb des Bürogebäudes (z.B. im HomeOffice) erfordert zusätzliche IT-Sicherheitsvorkehrungen, um sicherzustellen, dass Unbefugte keinen Zugriff auf Unternehmensdaten erlangen. Demgegenüber stehen zahlreiche Malware-Kampagnen, mit denen Cyberkriminelle genau auf die Schwächen der Remote-Arbeit abzielen, um Daten erbeuten zu können.

Backups sicherstellen

Unternehmen müssen also sicherstellen, dass die DSGVO auch im Homeoffice sichergestellt wird und dass die Daten auch vor fremden Zugriffen sicher sind. Im Falle eines Ransomware-Angriffs kommt noch hinzu, dass sich die Daten ggf. wiederherstellen lassen. Barracuda meint dazu, dass Unternehmen ihre eingesetzten Lösungen zur Datensicherung regelmäßig überprüfen müssen. Nur so können sie sicherstellen, dass ihr Data-Recovery-Plan zuverlässig funktioniert.

Eine gute Backup-Lösung sollte in der Lage sein, die wichtigsten Datentypen wiederherzustellen, beispielsweise Office-365-Daten, Datenbanken, E-Mails und komplette Systeme wie virtuelle Server und physische Altsysteme, die noch genutzt werden. Bei Ransomware-Angriffen besteht oft die einzige Möglichkeit, Systeme sauber wiederherzustellen, also den gesamten bösartigen Code aus der Infrastruktur zu bekommen, darin, ein komplettes Recovery des Systems durchzuführen. Außerdem ist es wichtig, Systeme und Cloud-Datenspeicher proaktiv auf Malware und andere bösartige Inhalte zu scannen, um den Cyber-Kriminellen tunlichst einen Schritt voraus zu sein.

Handlungsfähigkeit digitaler Organisationen

Laut Harald Schütz, Corporate Product Manager, Conpal, bestimmt der sichere Umgang mit Daten bestimmt die Handlungsfähigkeit digitaler Organisationen. Der Stellenwert des Datenschutzes tritt mit fortschreitender Digitalisierung Jahr für Jahr deutlicher zu Tage. Die vergangenen zwei Jahre hätten gezeigt, dass digitale Zusammenarbeit unter nahezu allen Bedingungen möglich ist, die Sicherheit der Daten dabei jedoch keine Selbstverständlichkeit ist.

Angesichts flexibler Arbeitsmöglichkeiten kann allein die Absicherung von IT-Umgebungen die Datensicherheit nicht gewährleisten. Gesetzliche Datenschutzstandards wie die DSGVO, ISO27001 oder branchenspezifische Vorgaben wie KHZG und TISAX belegen die vielfältigen Facetten, die in den verschiedenen Ausprägungen automatisierter Datenverarbeitung relevant sind. Für Unternehmen wird damit deutlich, welche Bedeutung ein sicherer Umgang mit Daten für ihre Handlungsfähigkeit als digitale Organisation hat.

Der Verlust oder Diebstahl unternehmenseigener Daten sowie sensibler Kundendaten kann sowohl zu Wettbewerbsnachteilen als auch rechtlichen Konsequenzen führen. Daraus folgt, dass Unternehmen zunehmend den Datenschutz ins Zentrum ihrer Sicherheitsbemühungen stellen müssen. Sie haben erkannt, dass ihre Handlungsfähigkeit von ihrer Kontrolle über die Datenmengen abhängt, die sie verarbeiten.

Dafür setzen immer mehr Organisationen auf IT-Sicherheitskonzepte, die sich entlang von Datenschutzrichtlinien entwickeln lassen und außerdem die Durchsetzung von Sicherheits- und Zugriffsrichtlinien bis hinunter auf Dateiebene erlauben. Datenschutz entwickelt sich damit künftig zu einem Dreh- und Angelpunkt im digitalen Geschäftswesen.

Datenschutz wird für Unternehmen wichtiger

John Smith, EMEA CTO von Veracode meint: "Der Datenschutz wird für Unternehmen in Europa immer wichtiger, denn mit dem Inkrafttreten von Vorschriften und Compliance-Maßnahmen wie der Datenschutz-Grundverordnung (DSGVO) und Schrems II drohen den Unternehmen Kosten in Millionenhöhe, wenn sie diese nicht einhalten. So haben die europäischen Datenaufsichtsbehörden im Jahr 2021 Geldbußen in Höhe von 1,1 Milliarden Euro in Bezug auf die DSGVO verhängt – ein enormer Anstieg von 585 % im Vergleich zu 2020.

Immer mehr Unternehmen verlangen, dass ihre Daten in der EU verbleiben, wenn sie das Anwendungs-Scanning durchlaufen. Unsere europäische Instanz, "European Region", ermöglicht dies, da sie Kunden eine EU-Data Residency bietet. Letztendlich werden alle Anbieter von Cloud-basierten Lösungen Dateninstanzen einrichten müssen, um die Kunden bei der Sicherung ihrer Daten zu unterstützen.

Es ist außerdem wichtig, dass Unternehmen ihre Software-Sicherheit verbessern, um sensible Daten vor Hackern zu schützen. Mit der zunehmenden Verbreitung von Open Source steigt auch das systemische Risiko in der Software-Supply-Chain. Da immer mehr Entwickler auf Open Source zurückgreifen, haben wir einen Punkt erreicht, an dem ein größeres Risiko von Open Source ausgeht als von dem eigens erstellten Code eines Entwicklers. Daher ist es wichtiger denn je, dass Unternehmen die Sicherheit in der Softwareentwicklung nach links verlagern, Entwickler durch Schulungen zu Best Practices in der sicheren Kodierung befähigen und ihnen Werkzeuge zur Verfügung stellen, um Schwachstellen in ihrer Software zu finden und zu beheben."

Ungepatchte Schwachstellen als Einfallstor

Sicherheitsanbieter Tenable erinnert in einem Kommentar dran, dass es sich bei erfolgreichen Angriffenin den allermeisten Fällen nicht um fortgeschrittene Bedrohungen handelt. Vielmehr werden bekannte, aber nicht gepatchte Schwachstellen ausgenutzt. Unternehmen müssen sich daher darauf konzentrieren, diese Angriffswege, die Angreifer ausnutzen wollen, zu identifizieren und zu blockieren. Sie müssen herausfinden, was für das Unternehmen wichtig ist, wie es aufgestellt ist und ob es angreifbar ist. Dann gilt es gezielte Maßnahmen zu ergreifen, um den Schutz zu verbessern.

Die Erkenntnis: Datenschutz und Datensicherheit sind zwar zwei unterschiedliche Disziplinen, aber unwiderruflich miteinander verwoben – man kann keine Privatsphäre haben, ohne sie zu schützen. Dennoch war 2021 laut einer Studie des Security Response Teams von Tenable ein weiteres Rekordjahr für Cybersicherheitsvorfälle und damit auch für Datenschutzverletzungen. Im Jahr 2021 wurden weltweit unglaubliche 40 417 167 937 Datensätze offengelegt. Diese Zahl ist jedoch nur ein winziger Prozentsatz der tatsächlichen Zahl. Laut der Analyse der Sicherheitsforscher enthielten nur 13 Prozent der enthüllten Sicherheitsverletzungen Informationen über die Anzahl der gefährdeten Datensätze.

Das Problem ist, dass Kriminelle wissen, dass sie mit ihren Verbrechen Geld verdienen können, indem sie es auf wertvolle Daten abgesehen haben. Die Daten müssen sie nicht immer tatsächlich „stehlen", da allein die Drohung, sie preiszugeben, viele Unternehmen dazu zwingt, auf Lösegeldforderungen einzugehen.

Fortinet-Studie zu Zero-Trust-Implementierungen

Und eine Fortinet-Studie legt offen, dass mehr als die Hälfte der Unternehmen mit lückenhafter Zero-Trust-Implementierung kämpfen. Eine Analyse von Unternehmen offenbart Schwächen in der konsistenten Authentifizierung von Benutzern und Geräten. Die Studie Global State of Zero Trust Report zeigt, dass die meisten Unternehmen eine Vorstellung von Zero-Trust haben oder dabei sind, Zero-Trust-Initiativen zu implementieren. Mehr als die Hälfte der Unternehmen kann dieses Vorhaben jedoch nicht mit den eingesetzten Lösungen umsetzen, weil ihnen einige grundlegende Zero-Trust-Prinzipien fehlen. Hier die wichtigsten Erkenntnisse der Studie:

Laut des FortiGuard Labs Threat Landscape Report nimmt das Volumen von Angriffen auf Einzelpersonen, Unternehmen und verstärkt auch auf kritische Infrastrukturen zu. Zudem sind diese Angriffe immer ausgefeilter. Unternehmen sind daher auf der Suche nach Lösungen, um sich vor dieser Bedrohungslage zu schützen. Zero-Trust steht dabei ganz oben auf der Liste, jedoch aus mehreren Gründen. Darüber hinaus hat die Verlagerung zum ortsunabhängigen Arbeiten insbesondere Zero Trust Network Access (ZTNA) in den Fokus gerückt. Unternehmen müssen nun wichtige Daten von Mitarbeitern sichern, die sich von unzureichend geschützten Heimnetzwerken aus verbinden.

Unklarheit bei der Definition von Zero-Trust-Strategien

Die Studie zeigt, dass eine gewisse Unklarheit darüber herrscht, was eine vollständige Zero-Trust-Strategie ausmacht. So gaben die Befragten an, die Konzepte Zero-Trust (77 Prozent) und ZTNA (75 Prozent) zu verstehen. Mehr als 80 Prozent der Befragten erklärten, bereits eine Zero-Trust- und/oder ZTNA-Strategie zu verfolgen oder deren Einführung zu planen. Dennoch ist laut eigener Aussage die Hälfte der Befragten nicht in der Lage, zentrale Zero-Trust-Funktionen zu implementieren. Fast 60 Prozent meinten sogar, dass sie nicht über die erforderlichen Möglichkeiten verfügten, die Authentifizierung von Nutzern und Geräten kontinuierlich zu gewährleisten. Mehr als jeder zweite Befragte (54 Prozent) hat zudem Schwierigkeiten, das Monitoring der Nutzer nach der Authentifizierung abzudecken.

Diese Diskrepanz gibt Anlass zur Besorgnis, da es sich bei diesen Funktionen um grundlegende Prinzipien des Zero-Trust-Konzepts handelt. Dies wirft sogar die Frage auf, wie die tatsächliche Implementierung in den verschiedenen Unternehmen aussieht. Zur Verwirrung tragen auch die Begriffe "Zero Trust Access" und "Zero Trust Network Access" bei, die manchmal synonym verwendet werden.

Zero-Trust als oberste Priorität – aus unterschiedlichen Gründen

Wichtigster Grund für einen Einsatz von Zero-Trust ist die „Minimierung der Auswirkungen von Sicherheitsverstößen und Eindringlingen", dicht gefolgt von „Sicherung des Fernzugriffs" sowie der „Gewährleistung der Kontinuität des Geschäftsbetriebs oder der Unternehmensziele". Weitere Angaben umfassen die „Verbesserung des Benutzererlebnisses" und die „Flexibilität, Sicherheit an jedem Ort zu gewährleisten".

Als wichtigsten Vorteil von Zero-Trust wird von Befragten die „Sicherheit über die gesamte digitale Angriffsfläche" gesehen, gefolgt von einer „besseren Benutzererfahrung beim Fernzugriff (VPN)".

Die überwiegende Mehrheit der Befragten ist der Meinung, dass Zero-Trust-Sicherheitslösungen unbedingt in die bestehende Infrastruktur integriert werden sollten. Zudem müssen sie sowohl in der Cloud als auch in On-Premises-Umgebungen funktionieren und auf der Anwendungsebene sicher sein. Allerdings gaben mehr als 80 Prozent der Befragten an, dass die Implementierung einer Zero-Trust-Strategie in einem umfangreichen Netzwerk eine Herausforderung sei. Zu den größten Hindernissen für Unternehmen, die noch keine Strategie haben oder planen, gehört der Mangel an qualifizierten Fachkräften, wobei 35 Prozent der befragten Unternehmen andere IT-Strategien nutzen, um Zero-Trust zu erreichen.

„Angesichts einer sich ständig weiter entwickelnden Bedrohungslandschaft, der Umstellung auf ortsunabhängiges Arbeiten und der Notwendigkeit, Anwendungen in der Cloud sicher zu verwalten, ist der Übergang von implizitem Vertrauen zu Zero-Trust für Unternehmen von größter Bedeutung," erklärt John Maddison, EVP of Products and CMO bei Fortinet. „Unsere Umfrage zeigt, dass die meisten Unternehmen zwar über irgendeine Art von Zero-Trust-Strategie verfügen, jedoch keine ganzheitliche Strategie verfolgen und Schwierigkeiten haben, einige grundlegende Zero-Trust-Sicherheitsmaßnahmen zu implementieren. Eine effektive Lösung erfordert einen Ansatz mit einer Cybersecurity-Mesh-Plattform, um so alle grundlegen Zero-Trust-Prinzipien in der gesamten Infrastruktur zu berücksichtigen, einschließlich Endpunkt, Cloud und On-Premises. Andernfalls ist das Ergebnis nur eine partielle, jedoch nicht integrierte Lösung, der es an umfassender Transparenz mangelt."

Über den Zero-Trust-Report

Die Studie basiert auf einer weltweiten Umfrage unter IT-Entscheidungsträgern, die einen Überblick gibt, wie weit die Unternehmen auf ihrem Weg zu Zero-Trust sind. Die Umfrage soll ein besseres Verständnis der folgenden Punkte geben:

• Wie gut ist das Verständnis von Zero-Trust und ZTNA?
• Was sind die von den Befragten empfundenen Vorteile und Herausforderungen bei der Umsetzung einer Zero-Trust-Strategie?
• Umsetzung und Elemente einer Zero-Trust-Strategie

Die Umfrage wurde im September 2021 unter 472 IT- und Sicherheitsverantwortlichen aus 24 verschiedenen Ländern durchgeführt, die nahezu alle Branchen, einschließlich des öffentlichen Sektors, repräsentieren. Die vollständigen Ergebnisse des Reports finden sich im Blog.