The same procedure as last year? The same procedure as every year! Auch im ersten Jahr nach Inkrafttreten der DS-GVO ist der Schutz persönlicher Daten eine grosse Herausforderung. Der Mensch bleibt das schwächste Glied in der IT-Sicherheitskette, das Cyberkriminelle mit immer ausgefeilteren Methoden angreifen. Ihnen bieten sich durch Digitalisierung, 5G-Netzausbau und den wachsenden (Stellen-) Wert von Daten weitere Ansatzpunkte.
Ein Kommentar von Matthias Kess, CTO der Cryptshare AG
Die Frage ist längst nicht mehr, ob digitalisiert wird, sondern wie. Unternehmen aus sämtlichen Wirtschaftsbranchen befinden sich seit geraumer Zeit bereits „mittendrin“ in der Digitalisierung. Sie bietet viele Chancen und bleibt die treibende Kraft hinter zahlreichen Entwicklungen – aber nur ein umsichtiger Umgang damit macht aus einer vernetzten auch eine bessere Welt.
Digitalisierung: Geänderte Bedrohungslandschaft
Durch eine erfolgreiche Digitalisierung winken Unternehmen Effizienzsteigerungen und Kostenersparnisse, wichtige Faktoren im täglichen Wettbewerb. Begleitet wird der Wandel durch eine sich kontinuierlich verändernde Bedrohungslandschaft, durch sich weiterentwickelnde Cyberkriminelle, Hacker und Wirtschaftsspione: Auch die Angreifer haben zwischenzeitlich komplexe digitale Wertschöpfungsketten aufgebaut, um Daten erfolgreich infiltrierter Unternehmen im grossen Stil zu verwerten. Dabei werden erbeutete personenbezogene Daten von Kunden und Mitarbeitern – oder entwendetes geistiges Eigentum – ebenso als Ressourcen genutzt wie die Lösegelder, die durch Krypto-Trojaner erpresst werden. Ein Teil dieser Gelder, ebenso wie die erbeuteten Informationen, fliesst in die kontinuierliche Verbesserung der Angriffstechniken.
IT-Sicherheit kann hier eine aktive Rolle einnehmen und als „Enabler“ dienen, als Treiber und Möglichmacher für die Digitalisierung. Hierfür ist es jedoch elementar wichtig, dass Unternehmen in ihren Digitalisierungsprozessen nicht nur das Verhalten ihrer Mitarbeiter entsprechend ins Auge fassen, sondern auch die eigenen Strukturen hinterfragen und auf der Systemebene angehen, um Fortschritte machen zu können.
Dieser Aspekt wird zukünftig noch entscheidender dafür werden, ob Unternehmen in der Lage sind, von der Digitalisierung vollumfänglich zu profitieren.
Ausbau des 5G-Netzes: Auswirkungen auf Transfer-Sicherheit
5G wird für die Datenübertragung der Zukunft neue Massstäbe setzen: Höhere Übertragungsgeschwindigkeiten für Daten, die das Internet in Echtzeit reagieren lassen, eröffnen zahlreiche weitere Anwendungsfelder – und werden letztlich zu einer Explosion des Datenwachstums führen. Womit wiederum die Speicherkapazität für Daten schliesslich an physische Grenzen stossen wird – zumindest, wenn sie mit der Datenübertragung Schritt halten will.
Die Veränderungen, wie sie der neue Übertragungsstandard mit sich bringen wird, stellen auch grosse Herausforderungen für die IT-Sicherheit dar. All die Daten, die übertragen und gespeichert werden, erfordern schliesslich auch einen wirksamen Schutz.
Die Datenübertragung mit 5G wird Auswirkungen auf die Sicherheit von Transfers mit sich bringen. Zum einen wird die höhere Übertragungsgeschwindigkeit – und der damit einhergehende Anstieg der Datentransfers – mehr Angriffsziele bieten. Wenn zum anderen die Datenübertragung in Echtzeit abläuft, ist dies zusätzlich problematisch: Andere Angriffsarten sind möglich, und bei erfolgreichen Attacken können Cyberkriminelle grosse Datenmengen extrem schnell von ihren Opfern abziehen.
Daten: Das „Gold“ des digitalen Zeitalters
Wie wertvoll Daten heutzutage sind, lässt sich daran ablesen, dass sie auch als das „Gold“ des digitalen Zeitalters bezeichnet werden. Besonders wertvoll sind sie nicht nur für ihre Besitzer – sondern vor allem auch für jene, die diese Daten gerne hätten und hierfür auf illegale Mittel zurückgreifen.
Nahezu alle Daten, die geschaffen werden, sind für den Gebrauch durch andere bestimmt und müssen folglich auch an die entsprechenden Empfänger übertragen werden. Nur dann können diese Empfänger mit den Daten arbeiten, kann ihr wahrer Wert auch zur Geltung kommen und ist eine Wertschöpfung im Internet möglich. Zumal die Welt durch die „Datafizierung“ zunehmend maschinenlesbar wird.
Hierfür müssen diese Daten auf ihrem Transportweg jedoch wirksam geschützt werden. Das Kommunikationsmedium E-Mail bietet beispielsweise eine sehr grosse Angriffsfläche, da die Nachrichten von A nach B einen Weg gehen können, den weder Absender noch Empfänger unter Kontrolle haben. Es empfiehlt sich daher, für schutzbedürftige Daten einen direkteren Kommunikationsweg zu wählen, der die Angriffsfläche so weit wie möglich verringert und dadurch die Arbeit der Cyberkriminellen erheblich erschwert.
Faktor Mensch: The same procedure as every year!
The same procedure as last year? The same procedure as every year! Es ist und bleibt das Dauerbrenner-Thema: Der Mensch wird auch in absehbarer Zukunft das schwächste Glied in der IT-Sicherheitskette bleiben. An über 95 Prozent der Datenschutzverstösse sind Mitarbeitende beteiligt.
Oft reichen einfache Trojaner, um die firmeneigene IT-Sicherheit zu durchbrechen. Wie sich auch an dieser Stelle zeigen lässt, nutzen Cyberkriminelle mittlerweile auch immer ausgefeiltere Methoden, um ihre Opfer auszumachen: So starten sie beispielsweise eine erste Angriffswelle breit gefächert an alle Mitarbeitenden eines Unternehmens, nur um abzuklopfen, wer falsch reagiert – und schon haben sie „erfolgsversprechende Ziele“ für den eigentlichen Angriff ausgemacht.
Oder sie schlüpfen in die Rolle eines Vorgesetzten oder wichtigen Kollegen und senden Social-Engineering-Mails direkt an ihr vorher identifiziertes Opfer, um es zu einer Überweisung zu veranlassen. Ziel der „Business E-Mail Compromise“ (auch „Chefmasche“, „Chefbetrug“ oder „CEO Fraud“) genannten Methode ist es, ein Unternehmen – genauer gesagt: einen Mitarbeiter – so hereinzulegen, dass Geld auf das Konto der Angreifer fliesst.
Genau an diesem Punkt stehen auch Anbieter von Kommunikationslösungen in der Pflicht: Sie müssen einerseits den Sicherheitsaspekten Rechnung tragen und andererseits dafür sorgen, dass Sicherheit benutzerfreundlich ist und nicht an zu komplexer oder komplizierter Anwendung scheitert. Dafür, dass gerade bei diesem Aspekt an vielen Stellen noch dringendes Verbesserungspotenzial besteht, ist die E-Mail-Verschlüsselung das beste Beispiel: Nur vier bis fünf Prozent des E-Mail-Verkehrs sind derzeit verschlüsselt – was nicht zuletzt daran liegt, dass Lösungen wie S/MIME und PGP zu schwierig in der Handhabung sind.
