Cloud
Sicherheitsmythen: Meine unwichtigen Daten schützen?
H?ufig kann man sich gar nicht vorstellen, was Diebe mit gestohlenen ?unwichtigen“ Daten alles anfangen k?nnen. Au?erdem gibt es ja noch den gesetzlichen Datenschutz, der für Sicherheit sorgt, also … alles gut? Hier gibt es einiges richtigzustellen!
Save to Folio
Eigentlich wei? man doch mittlerweile, dass jedermanns Daten heutzutage von Interesse sind, oder? Dennoch, die Aussage ?Mit unseren Daten kann doch niemand etwas anfangen!“ gibt es wortw?rtlich von Unternehmen. Und es sind gar nicht mal wenige. Kleinere Unternehmen halten sich für zu unbedeutend, um im Fokus von Datendieben zu stehen, aber auch gr??ere sind der Meinung, keine relevanten Daten zu besitzen, die Verbrecher in irgendeiner Weise nutzen k?nnen.
Auf die Frage, warum dieselben Unternehmen ihre ?unwichtigen“ Daten dann nicht einfach ?ffentlich auf ihrer Webseite pr?sentieren, erntet man Spott. Natürlich ist das dank DSGVO nicht erlaubt. Aber auch sonst geht es ja niemand etwas an, wie man mit seinen Kunden und Lieferanten spricht. Und überhaupt soll die Konkurrenz nicht wissen, wie man arbeitet – na, das sind doch immerhin schon drei gute Gründe für den Schutz der Daten.
Cyberkriminelle stehlen Daten, um die Opfer damit zu erpressen oder diese weiter zu verwerten. Personenbezogene Daten bieten sich da an, Phishing per Mail, falsche Meldungen zu Paketlieferungen an Handynummern, etc. Mit solchen Daten l?sst sich viel Unfug anstellen. Aber auch Gesch?ftskontakte sind interessant, etwa um herauszufinden, wer mit wem über welche Projekte spricht. In einigen F?llen konnten Organisationen auch mit der Behauptung erpresst werden, man habe in den gestohlenen Daten Hinweise auf Verbrechen gefunden und werde die nun Strafverfolgungsbeh?rden oder der Presse mitteilen. Auch wenn daran m?glicherweise nichts Wahres ist… k?nnen Sie für jeden einzelnen Mitarbeiter die Hand ins Feuer legen, oder überprüfen Sie erst den Wahrheitsgehalt dieser Aussagen??
Ich denke, ein paar dieser Argumente k?nnen jeden überzeugen, dass seine Daten für Kriminelle interessant sind und folglich gut geschützt sein müssen.
Der Schutz der Daten führt auch gleich zum n?chsten Missverst?ndnis oder Mythos: ?Datenschutz ist gleichbedeutend mit Datensicherheit“.
Schutz der Daten ist auch Datenschutz – aber nicht unbedingt umgekehrt -- also gleich und doch ungleich, manchmal sogar gegens?tzlich. Der Mythos hat seinen Ursprung in der Datenschutzgrundverordnung (DSGVO). Die Vorschrift erkl?rt personenbezogene Daten zum unwiderruflichen Eigentum der jeweiligen Person. Unternehmen k?nnen zeitweise in den Besitz dieser Daten gelangen, dürfen diese aber ohne Einverst?ndnis des Eigentümers nicht verwenden. Gleichzeitig muss ein Besitzer der Daten diese natürlich auch gegen den Zugriff Unberechtigter (aka ?Datendiebstahl“) schützen.
Aufgrund der Androhung hoher Strafen wurden entsprechende Ma?nahmen zur Erfüllung des Datenschutzes in Unternehmen eingerichtet. ?bersehen wird dabei, dass auch der Schutz der Daten also die Datensicherheit Teil dieser Ma?nahmen sein muss, und oft wird das eine durch das andere sogar behindert. Denn technische Sicherheitsl?sungen ben?tigen unter Umst?nden personenbezogene Daten, um Angriffe nachvollziehbar und qualifizierbar zu machen. So werden von Kriminellen beispielsweise Zugangsdaten gestohlen, die dann wiederum als Eintrittspunkt in Unternehmen verwendet werden. Kommt der Angriff von einer zuf?llig generierten E-Mailadresse, von einem Partnerunternehmen oder gar einem bereits kompromittiertem internen Konto?
Um ein Unternehmen wirksam gegen diese Angriffe verteidigen zu k?nnen, muss ein Mittelweg gefunden werden, bei dem solche personenbezogenen Daten geteilt werden k?nnen mit der IT-Sicherheit und den dafür Sorge tragenden Partnern. Unternehmen müssen hierzu eine Interessensabw?gung vornehmen. live casino online hat, um dies seinen Kunden zu erleichtern, einen Rechtsanwalt gebeten, diesen Schritt für unsere Kunden vorzubereiten. Sie k?nnen dies .
Datenschutz geht alle an und ist wichtig. Mit der Herausforderung darf nicht sorglos umgegangen werden. Der Gesetzgeber stuft deshalb die IT-Sicherheit als ein ?berechtigtes Interesse“ des Unternehmens ein, für welches Ausnahmen gelten k?nnen. Diese müssen im Rahmen der Erw?gungen zum Datenschutz dokumentiert werden. Aber gerade weil dies vielen Unternehmen als sehr kompliziert erscheint, verzichtet man lieber auf fortschrittliche Technologien, oder Serviceleistungen wie beispielsweise einem 24*7 ?Follow-the-Sun“-Konzept, bei dem Sicherheitsexperten rund um den Globus Alarm schlagen, wenn ein Vorfall au?erhalb normaler Bürozeiten erkannt wird. Kommt es dadurch zum Sicherheitsvorfall, bei dem personenbezogene Daten kompromittiert werden, gilt der Grundsatz, nach ?Stand der Technik“ geschützt zu haben. Ohne moderne Mittel der Angriffserkennung (Detection & Response) ein relativ schwieriges Unterfangen!
Um die Entzauberung der Legenden ?Red Teaming, und wir sind sicher“ sowie ?Wenn etwas passiert, zahlt doch sowieso die Cyberversicherung“ kümmern wir uns im n?chsten Beitrag.