von Andy Green
In der letzten Woche veröffentlichte PricewaterhouseCoopers seine Studie zum Stand der Cyberkriminalität in den USA (2013). Diese PwC-Studie folgt dem Datensicherheitsbericht für 2013 von Verizon, den jüngsten Daten über Identitätsdiebstahl der FTC sowie unserer eigenen Studie über Datenschutz und Nutzervertrauen und enthält zusätzliche Details über ein uns nur allzu vertrautes Problem: Die mangelnde Vorbereitung von Unternehmen auf Datenschutzverletzungen. Laut dieser Studie über Cyberkriminalität, die auf einer Befragung von 500 Angestellten der obersten Führungsebene basiert, haben fast 30 % der Unternehmen keinen Umsetzungsplan, um auf Vorfälle bei der Netzsicherheit reagieren zu können.
Noch besorgniserregender ist jedoch, dass rund 20 % der Befragten mit „Weiß ich nicht“ auf Fragen zu Sicherheitspraktiken und -verstößen innerhalb der Unternehmen geantwortet haben. Dabei handelt es sich nicht einmal um oberste Führungskräfte aus allen Abteilungen, sondern überwiegend um CIOs, CTOs und CSOs, die einfachste Fragen über die Arten an Bedrohungen, Schadensminderungsverfahren sowie finanzielle Auswirkungen der Verstöße nicht beantworten können. PwC vergleicht diese Situation mit der Parabel vom Frosch im kochenden Wasser. Mit anderen Worten empfinden technologieorientierte Entscheidungsträger die aktuelle Situation zwar als unangenehm aber noch nicht als unerträglich. Zudem glauben sie anscheinend auch nicht daran, dass sich die Lage in Zukunft noch verschlechtern könnte.
Es gibt aber auch gute Neuigkeiten in dieser Studie: Führungskräfte scheinen endlich verstanden zu haben, dass eine Mehrfaktoren-Authentifizierung, Einmalpasswörter, Verschlüsselungen, Zugriffskontrollen und rollenabhängige Berechtigungen Teil eines Präventions- und Schadensminderungsprogramms sein sollten. Und das ist doch schon einmal ein guter Anfang.
Die PwC-Studie macht allerdings auch unmissverständlich klar, dass Führungskräfte darin versagen, Sicherheitstechnologien erfolgreich zu implementieren und wahllos alle Lösungen auf das Problem anwenden, ohne das Problem gezielt anzugehen. Als den Befragten eine lange Liste an Möglichkeiten vorgelegt wurde, wiesen die meisten Befragten den bereits oben genannten Schutzfunktionen die gleiche Bedeutung zu, wie auch Biometrie, Spam-Filter, Rechteverwaltung und dem Konfigurationsmanagement von Anwendungen.
Zweifellos haben all diese Lösungen ihren speziellen Einsatzbereich. Sicherheitsexperten betonen jedoch schon seit Jahren, dass starke Passwörter und Berechtigungen viele Hacking-Angriffe bereits im Ansatz stoppen würden. Wenn Hacker, Malware oder besonders fortgeschrittene, andauernde Bedrohungen (APTs) die erste Verteidigungslinie der IT durchdringen, sind gut gepflegte Zugriffskontrollen extrem effektiv darin, den Diebstahl von personenbezogenen Informationen (PII) oder anderen vertraulichen Daten von den Dateiservern zu verhindern.
Ich würde der Liste der PwC-Studie auch „File-Level-Auditing“ als effektive Plan-B-Strategie hinzufügen. Dabei handelt es sich um eine detektivische Kontrolle, die Verstöße auf frischer Tat erkennt und somit die erfolgten Verstöße deutlich einfach beurteilen und beheben lässt. Sicherheitsexperten wissen nur zu gut (siehe Verizon DBIR), dass Cyberkriminelle oftmals mehrere Monate Zeit haben, um die Dateisysteme zu durchstöbern. Umso schneller wir also den ungewöhnlichen Zugriffsmethoden dieser Personen auf die Schliche kommen, umso geringer wird die Wahrscheinlichkeit, dass wichtige Informationen gefunden werden.
Eine der Schlussfolgerungen der PwC-Studie ist, dass oberste Führungskräfte in Unternehmen mehr Aufklärung und Training im Bereich Datensicherheit benötigen. Es reicht einfach nicht aus, immer die gleichen Technologien und Verfahren als Schutz einzusetzen, da Hacker ihre Angriffstechniken weiter entwickeln – besonders im Bereich der sozialen Netzwerke.
Denkzettel für oberste Führungskräfte: die Wassertemperatur wird steigen!
Wir werden übrigens einige zusätzliche Datenpunkte in die Sicherheitsgespräche der nächsten Studie integrieren, die wir gerade abschließen. Mehr dazu nächste Woche.
Bildquelle: flickr
The post Ein weiteres Indiz dafür, dass Cyberkriminalität noch lange nicht am Ende ist appeared first on Varonis Deutsch.