Datenlecks verschwinden nirgendwohin, aber die Entwicklung und Nutzung künstlicher Intelligenz wird dazu beitragen, sie zu reduzieren, erklärt Klemens Arro, Geschäftsführer von ADM Cloudtech, einem in Estland ansässigen Cloud-Technologie-Unternehmen (Ituudised.ee).

In diesem Jahr gab es viele Lecks, darunter viele Vorfälle bei estnischen Unternehmen. Ist dies eine neue Realität, die wir akzeptieren müssen, oder eher ein vorübergehendes Problem, dessen Ende wir einfach nur geduldig abwarten müssen?

Es ist eher die neue Realität, in der wir leben. Datenlecks werden nicht verschwinden, ebenso wenig wie Softwareprobleme und die ständig steigende Anzahl von Cyberangriffen.

Lecks sind nicht wirklich neu, aber heutzutage wird der Wert von Daten besser begriffen, zudem wurden Methoden zum Erkennen von Lecks entwickelt und sie werden häufiger auch öffentlich gemacht. Es gibt nichts Schlechtes ohne auch Gutes – durch die aufgedeckten Lecks steigt das Bewusstsein bei Verbrauchern und Organisationen, was letztendlich die Sicherheit einer E-Umgebung erhöht.

Wenn man an die Lecks der letzten Monaten denkt, gibt es bei diesen ein gemeinsames Merkmal, das sie alle verbindet?

Wenn wir über die letzten Lecks in Estland sprechen, dann haben die schon ein gemeinsames Muster. Sprechen wir jedoch allgemeiner und über Lecks auf internationaler Ebene, dann ist dort kein ganz einheitliches Muster zu erkennen.

Die drei häufigsten Ursachen sind unbeabsichtigtes menschliches Versagen, unzureichende Datenverarbeitung und Fehler beim Infrastrukturmanagement. Dies hat zumeist zwei Gründe: Kosteneinsparungen oder Unwissenheit.

Sieht man sich jedoch an, wie viel sich das Datenvolumen und dessen Wert geändert haben, dann sollte der altbekannte Spruch „Ich bin nicht reich genug, um billige Sachen zu kaufen“ allen deutlich geworden sein. Denn vielleicht ist es nicht unbedingt billiger, bei Systemen zu sparen, die wichtige Daten verarbeiten. Betrachtet man beispielsweise die wirtschaftlichen Folgen der neuen Gesetzgebung, dann ist es zweifellos billiger, umgehend in die Schaffung eines anständigen Systems und dessen Verwaltung zu investieren.

Künstliche Intelligenz findet sich an immer mehr Orten und in immer mehr Bereichen, immer mehr Dinge werden automatisiert und der menschliche Faktor wird immer kleiner. Warum macht die künstliche Intelligenz Informationssysteme nicht sicherer?

Genaugenommen tut sie es. Und dies heute schon in vielen verschiedenen Bereichen und Systemen. Doch ebenso wie künstliche Intelligenz kein Wundermittel für alles, sind Informationslecks und Fragen der Cybersicherheit nicht so einheitlich wie der Name, der sie verbindet.

Die künstliche Intelligenz befasst sich heute mit bestimmten Problemen der Cybersicherheit und des Datenmanagements. Es ist jedoch noch nicht möglich, eine KI zu erstellen, die alle Probleme der Cybersicherheit löst. Aber da die Zukunft der Science-Fiction gehört, lässt sich nichts darüber sagen, ob KI dies in Zukunft nicht tun kann.

Da KI zunehmend zum Aufbau von Systemen verwendet wird, bedeutet dies, dass es für KI theoretisch möglich ist, die notwendigen Mechanismen zu implementieren, die lernen „sich selbst zu schützen“.

Neben einigen anderen verfügt beispielsweise Google bereits seit einiger Zeit über eine künstliche Intelligenz, die selbst neue künstliche Intelligenz erzeugt. Im Moment befindet diese sich noch auf dem Niveau von Labortests, wird aber wohl bald weiter eingesetzt werden.

Das heißt also, dass an vielen Orten die KI bereits daran arbeitet, unsere Daten zu schützen, doch vorerst ist der Fokus noch relativ eng und die Bedeutung des menschlichen Faktors bei weitem noch nicht verschwunden.

Wenn wir zum Beispiel die Phishing-Angriffe auf Banken und mobiil-ID in diesem Frühjahr nehmen, dann liegt die Verantwortung eindeutig beim Endnutzer. Wenn der Benutzer weiterhin eine Taste drückt und PINs eingibt, die er nicht eingeben sollte, hat der Serviceanbieter nur geringe Chancen um ihn vor sich selbst zu schützen. Ist die Situation bei großen Informationssystemen ähnlich oder hat hier die Organisation, die die Daten und Informationen verwaltet, die größte Verantwortung?

Dies ist sicher wieder eine Stelle, an der man sich an die Erziehung und Bildung des Durchschnittsnutzers machen sollte, da es nun wirklich ziemlich schwierig ist, jemanden zu schützen, der dem Bösewicht den Schlüssel selbst in die Hand drückt. Und was an dieser Situation traurig macht, ist die beim Durchschnittsbürger verbreitete Ansicht, man hätte ja eh nichts zu verbergen.

Es geht schon lange nicht mehr darum, ob es etwas zu verbergen gibt, sondern welcher Schaden allein durch einen gezielten Angriff auf ein E-Mail-Postfach angerichtet werden kann. Ganz zu schweigen davon, dass die betroffene Person als „Sprungbrett“ für Systeme und Personen verwendet werden kann, über die es dann möglich ist, noch weitaus größeres Unheil anzurichten.

Auf der anderen Seite werden auch die Phishing-Angriffe immer intelligenter – manchmal brauchen selbst erfahrene Profis einen Augenblick Zeit, um zu erkennen, dass es sich wirklich um Phishing handelt. Vor allem, wenn es um einen gezielten Angriff geht.

Bei großen Informationssystemen ist die Situation etwas komplizierter, da dort Daten auf vielen verschiedenen Ebenen von verschiedenen Partnern abgerufen und verwaltet werden.

Neuere Cloud-native und Security-first-Architekturmodelle versuchen, dieses Risiko für verschiedene Parteien zu verringern, indem der Datenzugriff auf der Ebene der Datenobjekts verwaltet wird, die bereits tief in die Architektur eingebettet ist.

Einfacher gesagt sieht der aktuelle Prozess folgendermaßen aus: Eine Person ist für die physische Sicherheit der Server verantwortlich. Eine andere ist verantwortlich für die Sicherheit der Server auf der Ebene des Betriebssystems, der Software und des Netzwerkverkehrs. Ein Dritter ist für die Anwendung verantwortlich, die Zugriff auf die Benutzerdatenbank hat. Darüber hinaus gibt es dann noch eine separate Schicht für die Rechtekontrolle und die Zugriffssteuerung für Datenobjekte.

In neueren Architekturmodellen erfolgt die Verwaltung der Datenobjektrechte jedoch bereits auf der Infrastrukturebene, unabhängig davon, wie viele Partner an den verschiedenen Schichten des Systems beteiligt sind.

Die physische Sicherheit der Server bleibt selbstverständlich erhalten. Mit richtig konfigurierten Cloud-Diensten wird dieses Sicherheitsrisiko weitgehend abgemindert, da die Daten vor dem Speichern verschlüsselt und in kleinen Fragmenten auf verschiedene Server und Festplatten verteilt werden. Auf der Software-Ebene gibt es auch keine Schicht zur Kontrolle und Verwaltung für Zugriffsrechte oder Datenobjekte, sodass selbst bei einem Softwarefehler niemand auf die gesamte Datenbank zugreifen kann – Zugriff gibt es nur auf die Datenobjekte für eine bestimmte autorisierte Sitzung.

Wie sollten die Verantwortlichkeiten juristisch geregelt sein?

Juristisch gesehen bleibt die Verantwortung zumindest vorerst geteilt. Sehr, sehr vereinfacht ausgedrückt: Jeder, der Zugriff auf Daten hat, ist für die Daten verantwortlich, die sich durch diese Zugriffe bewegen. Dies gilt vom Administrator des physischen Servers bis hin zum Endnutzer.

Wäre es dann am besten, das gesamte Datenmanagement auszulagern?

Wenn die Organisation nicht über eine starke Wissensbasis verfügt, lohnt es sich auf jeden Fall, den Service auszulagern oder zumindest einen externen Fachmann hinzuzuziehen, der dabei hilft, über Lösungen zum effektiveren Schutz der Daten nachzudenken und diese zu implementieren. Dies gilt sowohl für die Erstellung, als auch für Änderung und Darstellung vorhandener Systeme und Prozesse.

Ein ausgelagerter Service entbindet das Unternehmen, das über die Daten verfügt, jedoch nicht von der Haftung. Es gibt einfach einen weiteren Mitverantwortlichen, der ebenso seinen Beitrag zur Risikominderung leisten sollte.

Welche Möglichkeiten hat der Durchschnittsbürger, um seine persönlichen Daten zu schützen, beispielsweise wenn er Kunde einer großen Tankstelle ist, deren Dienste in Anspruch nimmt und eine Kundenkarte verwendet? Seine Aktivitäten hinterlassen ja in jedem Fall Spuren und er hat keine Möglichkeit das Schicksal seiner Daten zu beeinflussen.

Bei diesen Beispielen kann der Verbraucher tatsächlich nicht viel machen, um seine Daten zu schützen. Hat jemand Bedenken hinsichtlich der Verwendung seiner Daten, dann hat er vom Gesetz her das Recht von dem die Daten verarbeitenden Unternehmen eine Kopie aller Daten anzufordern, die ihn konkret betreffen. Er hat ebenso das Recht, zu verlangen, dass alle personalisierten Daten aus den Systemen gelöscht werden.

Hat diese Art von Daten (z. B. Kundenhistorie) überhaupt einen Wert? Macht es einen Unterschied, ob sie lecken oder nicht?

Ich glaube, dass diese Informationen für die meisten Menschen nicht sehr wichtig sind, denn wer von uns würde nicht Benzin und manchmal dazu noch einen Kaffee und einem Hot Dog kaufen. Haben sich diese Daten jedoch über einen gewissen Zeitraum angesammelt, dann kann daraus schon überraschend viel über eine einzelne Person herausgelesen werden. Wie eben bei allen Daten, die Nutzungsmuster widerspiegeln.

Da Daten durch Hinzufügen eines Kontextes einen ganz neuen Wert erhalten können, ist jedes Datenleck problematisch. Natürlich gibt es auch spezielle Fälle, in denen selbst eine einzige durchgesickerte Datenzeile in einer bestimmten Situation zu großen Unannehmlichkeiten führen kann.

Falls ein Unternehmen erst heute anfängt, darüber nachzudenken, wie es seine Kundendaten schützen kann, worauf sollte es sich als allererstes konzentrieren?

Das allererste, was zu tun ist, ist zu verstehen, welche Daten und welche Volumen sich in der Unternehmensverwaltung befinden. Dies umfasst alles von großen Data Warehouses bis hin zu früheren Marketingkampagnen, deren Datenbanken auf alten Servern noch überall abgerufen werden können. Diese müssen dann kategorisiert werden, nicht mehr benötigte und rechtswidrige Daten müssen gelöscht werden und die noch benötigten entsprechend ihrer Sensibilität in verschiedene Gruppen eingeteilt werden.

Danach müssen Sie individueller vorgehen und die besten Möglichkeiten zum Schutz Ihrer Daten finden. Dies bedeutet oftmals, dass Daten und deren personalisierten Beziehungen entkoppelt werden müssen und man muss dazu keine neue Hardware oder Software kaufen. Wenn dann beispielsweise bei einer Transaktion ein Datenbankleck auftritt, dann finden sich dort zumindest keine personalisierte Beziehungen mehr.

Wessen Aufgabe sollte das sein?

Datenmanagement ist eine strategische Entscheidung und sollte daher auf Managementebene erfolgen. Aber weder der CIO noch der IT-Manager kommen daran vorbei. Idealerweise sollten sowohl das Management als auch CIO und IT-Manager einbezogen werden.

Was sind die sichersten Datenspeicher? Die Cloud oder der eigene Server oder ein Hybrid oder noch etwas anderes?

Dies hängt zum einen von der konkreten Situation ab, zum anderen aber auch von den gesetzlichen Bestimmungen, die wiederum ihre eigenen Beschränkungen auferlegen können. Wenn Sie beispielsweise ein durchschnittliches Unternehmen sind, können Sie normalerweise nicht in gleichem Maße in die Datensicherheit investieren wie die großen Cloud-Anbieter.

Es ist jedoch auch hier sehr wichtig zu berücksichtigen, dass selbst das sicherste und beste System immer noch genau so sicher ist, wie es konfiguriert wurde und wie es verwendet wird. Insofern ist es auf lange Sicht sicher günstiger, gleich zu Anfang einen Fachmann hinzuzuziehen, der potenzielle Gefahren frühzeitig erkennt, die beste Lösung dafür festlegt und die richtigen Einstellungen vornimmt.

Woran erkennt man eine sichere Speicheroption, also wonach sollte man sie auswählen?

Ein oder zwei spezifische Aspekte, die unmittelbar das tatsächliche Sicherheitsniveau eines Systems bestimmen, sind schwer herauszuheben. Wir haben beispielsweise bei einigen SaaS-Anbietern festgestellt, dass verschlüsselte Netzwerkverbindungen (HTTPS) und die Verwaltung der Server durch den Amazon Web Service bzw. AWS schon als angeblich sicherer Service verkauft werden.

Auch wenn beides gute Indikatoren sind, sagen sie nichts über die tatsächliche Sicherheit aus – HTTPS sollte die Mindestbasisstufe für jeden Webdienst sein, und die Existenz von AWS bedeutet nicht automatisch auch eine sichere Nutzung.

Andererseits sind die Sicherheitsrichtlinien einiger SaaS-Dienste so detailliert, dass sie ein ziemlich klares Bild der technischen Sicherheitslösungen, -prozesse usw. vermitteln. Es lohnt sich auf jeden Fall, das Unternehmen zu prüfen, welches die Dienstleistung erbringt: Dessen Geschichte, Herkunft (meiden Sie Unternehmen aus Ländern, die Menschenrechte nicht achten), welche Sicherheits- und Datenschutzrichtlinien dort gelten, ob, von wem und wie diese geprüft werden.

Die Standorte der wichtigsten globalen Cloud-Computing-Repositorys sind geheim bzw. es ist bekannt, wo sie sich befinden, ebenso ist aber auch bekannt, dass sie sich nicht in Estland befinden. Wie wichtig ist der Standort?

Wenn bekannt ist, dass sich die Daten in der Europäischen Union mit ihren strengen Datenschutzgesetzen befinden, dann ist der konkrete Standort für ein mittleres Unternehmen von geringer Bedeutung. Dank der DSGVO müssen auch Nicht-EU-Unternehmen die daraus resultierenden Anforderungen bei der Verwaltung von EU-Bürgerdaten einhalten.

Dessen ungeachtet ist es wahrscheinlicher, dass ein Rechenzentrum mit Sitz in der EU diese Vorschriften strenger einhält als beispielsweise ein US-amerikanischer Dienstleister, der im schlimmsten Fall nicht einmal von der Existenz der DSGVO Ahnung hat.

Darüber hinaus gibt es Situationen, in denen unsere Gesetzgebung vorschreibt, dass Daten nur auf dem Hoheitsgebiet Estlands gespeichert oder hier repliziert sein müssen. Infolgedessen können einige estnische Unternehmen beispielsweise keine Amazon- oder Google-Cloud-Dienste nutzen. Glücklicherweise wird sich dies bald ändern, wenn die Kapazität zur Bereitstellung wichtigerer AWS-Dienste aus Rechenzentren in Estland verfügbar wird.

Inwieweit wirkt sich eine Netzwerkverbindung auf die Sicherheit aus?

Natürlich ist die Sicherheit der Verbindung sowohl innerhalb als auch außerhalb des Netzwerks von größter Bedeutung, da alle Daten unabhängig von ihrer Empfindlichkeit übertragen werden. Das Hauptaugenmerk liegt jedoch häufig auf dem externen Netzwerk, und dabei wird vergessen, dass selbst im internen Netzwerk die Verbindung verschlüsselt sein muss und hohe Sicherheitsmaßnahmen zu befolgen sind.

Geben Sie uns doch einige Empfehlungen, die Unternehmen dabei helfen, die größten Fallstricke zu vermeiden!

Zunächst muss ein Überblick darüber vorhanden sein, welche Daten das Unternehmen wo verwaltet. Ohne diesen können keine ordnungsgemäßen Prozesse erstellt und keine Maßnahmen ergriffen werden, um den Verlust vertraulicher Daten zu verhindern.

Dann müssen die Datenspeicherungs- und Zugriffsprozesse durchdacht werden. Und dann müssen Sie, wenn Sie über Webdienste nachdenken, einen sicheren Prozess zwischen der Entwicklungs- und der Produktumgebung erstellen, damit das Veröffentlichen einer Anwendung oder ihrer Aktualisierungen keinen großen Schaden anrichten kann.

GUT ZU WISSEN

Was sind sensible Daten und was nicht?

Die Allgemeine Verordnung zum Schutz personenbezogener Daten beschreibt die nachstehend aufgeführten besonderen Kategorien personenbezogener Daten (die zuvor als sensibel definiert wurden).

  1. Daten, die politische Ansichten, religiöse Überzeugungen und andere Überzeugungen als die Zugehörigkeit zu juristischen Personen beschreiben, die nach dem Gesetz eingetragen sind;
  2. Daten zur Beschreibung der ethnischen Zugehörigkeit und der rassischen Herkunft;
  3. Daten zu Gesundheitszustand oder Behinderungen;
  4. Daten zu Erbinformationen;
  5. biometrische Daten (insbesondere Fingerabdruck-, Handflächen- und Augeniris-Abbildungen sowie genetische Daten);
  6. Daten zum Sexualleben;
  7. Daten zur Mitgliedschaft in einer Gewerkschaft;
  8. Daten über das Begehen einer Straftat oder darüber, Opfer einer solchen zu sein, vor einer öffentlichen Anhörung oder Entscheidung über eine Straftat oder nach Beendigung des Verfahrens.

Fünf Schwachstellen im Kundendatenmanagement

  1. Geringes Bewusstsein für Cyber-Hygiene im Kollektiv
  2. Unvollständige Datenübersicht
  3. Unvollständige Einrichtung der Dienste
  4. Unzureichende Sicherheit von Infrastruktur, Server oder Software
  5. Schwache oder unvollständige Zugriffsrichtlinien

Im Januar dieses Jahres trat ein neues Datenschutzgesetz in Kraft.

Artikel bei Ituudised.ee: https://www.ituudised.ee/uudised/2019/08/23/kas-andmelekked-on-uus-reaalsus-intervjuu-klemens-arroga

 

 

ADM Interactive

E-mail: info@adm.ee
Registernummer: 10474271
Steuernummer: EE100046715

Tallinn

Kultuurikatel, Põhja pst 27a, Tallinn, 10415
Phone: +372 617 7600

London

20 Birchin Lane, London EC3V 9DU
Phone +44 7451 213604