Es ist eher die neue Realität, in der wir leben. Datenlecks werden nicht verschwinden, ebenso wenig wie Softwareprobleme und die ständig steigende Anzahl von Cyberangriffen.
Lecks sind nicht wirklich neu, aber heutzutage wird der Wert von Daten besser begriffen, zudem wurden Methoden zum Erkennen von Lecks entwickelt und sie werden häufiger auch öffentlich gemacht. Es gibt nichts Schlechtes ohne auch Gutes – durch die aufgedeckten Lecks steigt das Bewusstsein bei Verbrauchern und Organisationen, was letztendlich die Sicherheit einer E-Umgebung erhöht.
Wenn wir über die letzten Lecks in Estland sprechen, dann haben die schon ein gemeinsames Muster. Sprechen wir jedoch allgemeiner und über Lecks auf internationaler Ebene, dann ist dort kein ganz einheitliches Muster zu erkennen.
Die drei häufigsten Ursachen sind unbeabsichtigtes menschliches Versagen, unzureichende Datenverarbeitung und Fehler beim Infrastrukturmanagement. Dies hat zumeist zwei Gründe: Kosteneinsparungen oder Unwissenheit.
Sieht man sich jedoch an, wie viel sich das Datenvolumen und dessen Wert geändert haben, dann sollte der altbekannte Spruch „Ich bin nicht reich genug, um billige Sachen zu kaufen“ allen deutlich geworden sein. Denn vielleicht ist es nicht unbedingt billiger, bei Systemen zu sparen, die wichtige Daten verarbeiten. Betrachtet man beispielsweise die wirtschaftlichen Folgen der neuen Gesetzgebung, dann ist es zweifellos billiger, umgehend in die Schaffung eines anständigen Systems und dessen Verwaltung zu investieren.
Genaugenommen tut sie es. Und dies heute schon in vielen verschiedenen Bereichen und Systemen. Doch ebenso wie künstliche Intelligenz kein Wundermittel für alles, sind Informationslecks und Fragen der Cybersicherheit nicht so einheitlich wie der Name, der sie verbindet.
Die künstliche Intelligenz befasst sich heute mit bestimmten Problemen der Cybersicherheit und des Datenmanagements. Es ist jedoch noch nicht möglich, eine KI zu erstellen, die alle Probleme der Cybersicherheit löst. Aber da die Zukunft der Science-Fiction gehört, lässt sich nichts darüber sagen, ob KI dies in Zukunft nicht tun kann.
Da KI zunehmend zum Aufbau von Systemen verwendet wird, bedeutet dies, dass es für KI theoretisch möglich ist, die notwendigen Mechanismen zu implementieren, die lernen „sich selbst zu schützen“.
Neben einigen anderen verfügt beispielsweise Google bereits seit einiger Zeit über eine künstliche Intelligenz, die selbst neue künstliche Intelligenz erzeugt. Im Moment befindet diese sich noch auf dem Niveau von Labortests, wird aber wohl bald weiter eingesetzt werden.
Das heißt also, dass an vielen Orten die KI bereits daran arbeitet, unsere Daten zu schützen, doch vorerst ist der Fokus noch relativ eng und die Bedeutung des menschlichen Faktors bei weitem noch nicht verschwunden.
Dies ist sicher wieder eine Stelle, an der man sich an die Erziehung und Bildung des Durchschnittsnutzers machen sollte, da es nun wirklich ziemlich schwierig ist, jemanden zu schützen, der dem Bösewicht den Schlüssel selbst in die Hand drückt. Und was an dieser Situation traurig macht, ist die beim Durchschnittsbürger verbreitete Ansicht, man hätte ja eh nichts zu verbergen.
Es geht schon lange nicht mehr darum, ob es etwas zu verbergen gibt, sondern welcher Schaden allein durch einen gezielten Angriff auf ein E-Mail-Postfach angerichtet werden kann. Ganz zu schweigen davon, dass die betroffene Person als „Sprungbrett“ für Systeme und Personen verwendet werden kann, über die es dann möglich ist, noch weitaus größeres Unheil anzurichten.
Auf der anderen Seite werden auch die Phishing-Angriffe immer intelligenter – manchmal brauchen selbst erfahrene Profis einen Augenblick Zeit, um zu erkennen, dass es sich wirklich um Phishing handelt. Vor allem, wenn es um einen gezielten Angriff geht.
Bei großen Informationssystemen ist die Situation etwas komplizierter, da dort Daten auf vielen verschiedenen Ebenen von verschiedenen Partnern abgerufen und verwaltet werden.
Neuere Cloud-native und Security-first-Architekturmodelle versuchen, dieses Risiko für verschiedene Parteien zu verringern, indem der Datenzugriff auf der Ebene der Datenobjekts verwaltet wird, die bereits tief in die Architektur eingebettet ist.
Einfacher gesagt sieht der aktuelle Prozess folgendermaßen aus: Eine Person ist für die physische Sicherheit der Server verantwortlich. Eine andere ist verantwortlich für die Sicherheit der Server auf der Ebene des Betriebssystems, der Software und des Netzwerkverkehrs. Ein Dritter ist für die Anwendung verantwortlich, die Zugriff auf die Benutzerdatenbank hat. Darüber hinaus gibt es dann noch eine separate Schicht für die Rechtekontrolle und die Zugriffssteuerung für Datenobjekte.
In neueren Architekturmodellen erfolgt die Verwaltung der Datenobjektrechte jedoch bereits auf der Infrastrukturebene, unabhängig davon, wie viele Partner an den verschiedenen Schichten des Systems beteiligt sind.
Die physische Sicherheit der Server bleibt selbstverständlich erhalten. Mit richtig konfigurierten Cloud-Diensten wird dieses Sicherheitsrisiko weitgehend abgemindert, da die Daten vor dem Speichern verschlüsselt und in kleinen Fragmenten auf verschiedene Server und Festplatten verteilt werden. Auf der Software-Ebene gibt es auch keine Schicht zur Kontrolle und Verwaltung für Zugriffsrechte oder Datenobjekte, sodass selbst bei einem Softwarefehler niemand auf die gesamte Datenbank zugreifen kann – Zugriff gibt es nur auf die Datenobjekte für eine bestimmte autorisierte Sitzung.
Juristisch gesehen bleibt die Verantwortung zumindest vorerst geteilt. Sehr, sehr vereinfacht ausgedrückt: Jeder, der Zugriff auf Daten hat, ist für die Daten verantwortlich, die sich durch diese Zugriffe bewegen. Dies gilt vom Administrator des physischen Servers bis hin zum Endnutzer.
Wenn die Organisation nicht über eine starke Wissensbasis verfügt, lohnt es sich auf jeden Fall, den Service auszulagern oder zumindest einen externen Fachmann hinzuzuziehen, der dabei hilft, über Lösungen zum effektiveren Schutz der Daten nachzudenken und diese zu implementieren. Dies gilt sowohl für die Erstellung, als auch für Änderung und Darstellung vorhandener Systeme und Prozesse.
Ein ausgelagerter Service entbindet das Unternehmen, das über die Daten verfügt, jedoch nicht von der Haftung. Es gibt einfach einen weiteren Mitverantwortlichen, der ebenso seinen Beitrag zur Risikominderung leisten sollte.
Bei diesen Beispielen kann der Verbraucher tatsächlich nicht viel machen, um seine Daten zu schützen. Hat jemand Bedenken hinsichtlich der Verwendung seiner Daten, dann hat er vom Gesetz her das Recht von dem die Daten verarbeitenden Unternehmen eine Kopie aller Daten anzufordern, die ihn konkret betreffen. Er hat ebenso das Recht, zu verlangen, dass alle personalisierten Daten aus den Systemen gelöscht werden.
Ich glaube, dass diese Informationen für die meisten Menschen nicht sehr wichtig sind, denn wer von uns würde nicht Benzin und manchmal dazu noch einen Kaffee und einem Hot Dog kaufen. Haben sich diese Daten jedoch über einen gewissen Zeitraum angesammelt, dann kann daraus schon überraschend viel über eine einzelne Person herausgelesen werden. Wie eben bei allen Daten, die Nutzungsmuster widerspiegeln.
Da Daten durch Hinzufügen eines Kontextes einen ganz neuen Wert erhalten können, ist jedes Datenleck problematisch. Natürlich gibt es auch spezielle Fälle, in denen selbst eine einzige durchgesickerte Datenzeile in einer bestimmten Situation zu großen Unannehmlichkeiten führen kann.
Das allererste, was zu tun ist, ist zu verstehen, welche Daten und welche Volumen sich in der Unternehmensverwaltung befinden. Dies umfasst alles von großen Data Warehouses bis hin zu früheren Marketingkampagnen, deren Datenbanken auf alten Servern noch überall abgerufen werden können. Diese müssen dann kategorisiert werden, nicht mehr benötigte und rechtswidrige Daten müssen gelöscht werden und die noch benötigten entsprechend ihrer Sensibilität in verschiedene Gruppen eingeteilt werden.
Danach müssen Sie individueller vorgehen und die besten Möglichkeiten zum Schutz Ihrer Daten finden. Dies bedeutet oftmals, dass Daten und deren personalisierten Beziehungen entkoppelt werden müssen und man muss dazu keine neue Hardware oder Software kaufen. Wenn dann beispielsweise bei einer Transaktion ein Datenbankleck auftritt, dann finden sich dort zumindest keine personalisierte Beziehungen mehr.
Datenmanagement ist eine strategische Entscheidung und sollte daher auf Managementebene erfolgen. Aber weder der CIO noch der IT-Manager kommen daran vorbei. Idealerweise sollten sowohl das Management als auch CIO und IT-Manager einbezogen werden.
Dies hängt zum einen von der konkreten Situation ab, zum anderen aber auch von den gesetzlichen Bestimmungen, die wiederum ihre eigenen Beschränkungen auferlegen können. Wenn Sie beispielsweise ein durchschnittliches Unternehmen sind, können Sie normalerweise nicht in gleichem Maße in die Datensicherheit investieren wie die großen Cloud-Anbieter.
Es ist jedoch auch hier sehr wichtig zu berücksichtigen, dass selbst das sicherste und beste System immer noch genau so sicher ist, wie es konfiguriert wurde und wie es verwendet wird. Insofern ist es auf lange Sicht sicher günstiger, gleich zu Anfang einen Fachmann hinzuzuziehen, der potenzielle Gefahren frühzeitig erkennt, die beste Lösung dafür festlegt und die richtigen Einstellungen vornimmt.
Ein oder zwei spezifische Aspekte, die unmittelbar das tatsächliche Sicherheitsniveau eines Systems bestimmen, sind schwer herauszuheben. Wir haben beispielsweise bei einigen SaaS-Anbietern festgestellt, dass verschlüsselte Netzwerkverbindungen (HTTPS) und die Verwaltung der Server durch den Amazon Web Service bzw. AWS schon als angeblich sicherer Service verkauft werden.
Auch wenn beides gute Indikatoren sind, sagen sie nichts über die tatsächliche Sicherheit aus – HTTPS sollte die Mindestbasisstufe für jeden Webdienst sein, und die Existenz von AWS bedeutet nicht automatisch auch eine sichere Nutzung.
Andererseits sind die Sicherheitsrichtlinien einiger SaaS-Dienste so detailliert, dass sie ein ziemlich klares Bild der technischen Sicherheitslösungen, -prozesse usw. vermitteln. Es lohnt sich auf jeden Fall, das Unternehmen zu prüfen, welches die Dienstleistung erbringt: Dessen Geschichte, Herkunft (meiden Sie Unternehmen aus Ländern, die Menschenrechte nicht achten), welche Sicherheits- und Datenschutzrichtlinien dort gelten, ob, von wem und wie diese geprüft werden.
Wenn bekannt ist, dass sich die Daten in der Europäischen Union mit ihren strengen Datenschutzgesetzen befinden, dann ist der konkrete Standort für ein mittleres Unternehmen von geringer Bedeutung. Dank der DSGVO müssen auch Nicht-EU-Unternehmen die daraus resultierenden Anforderungen bei der Verwaltung von EU-Bürgerdaten einhalten.
Dessen ungeachtet ist es wahrscheinlicher, dass ein Rechenzentrum mit Sitz in der EU diese Vorschriften strenger einhält als beispielsweise ein US-amerikanischer Dienstleister, der im schlimmsten Fall nicht einmal von der Existenz der DSGVO Ahnung hat.
Darüber hinaus gibt es Situationen, in denen unsere Gesetzgebung vorschreibt, dass Daten nur auf dem Hoheitsgebiet Estlands gespeichert oder hier repliziert sein müssen. Infolgedessen können einige estnische Unternehmen beispielsweise keine Amazon- oder Google-Cloud-Dienste nutzen. Glücklicherweise wird sich dies bald ändern, wenn die Kapazität zur Bereitstellung wichtigerer AWS-Dienste aus Rechenzentren in Estland verfügbar wird.
Natürlich ist die Sicherheit der Verbindung sowohl innerhalb als auch außerhalb des Netzwerks von größter Bedeutung, da alle Daten unabhängig von ihrer Empfindlichkeit übertragen werden. Das Hauptaugenmerk liegt jedoch häufig auf dem externen Netzwerk, und dabei wird vergessen, dass selbst im internen Netzwerk die Verbindung verschlüsselt sein muss und hohe Sicherheitsmaßnahmen zu befolgen sind.
Geben Sie uns doch einige Empfehlungen, die Unternehmen dabei helfen, die größten Fallstricke zu vermeiden!
Zunächst muss ein Überblick darüber vorhanden sein, welche Daten das Unternehmen wo verwaltet. Ohne diesen können keine ordnungsgemäßen Prozesse erstellt und keine Maßnahmen ergriffen werden, um den Verlust vertraulicher Daten zu verhindern.
Dann müssen die Datenspeicherungs- und Zugriffsprozesse durchdacht werden. Und dann müssen Sie, wenn Sie über Webdienste nachdenken, einen sicheren Prozess zwischen der Entwicklungs- und der Produktumgebung erstellen, damit das Veröffentlichen einer Anwendung oder ihrer Aktualisierungen keinen großen Schaden anrichten kann.
Was sind sensible Daten und was nicht?
Die Allgemeine Verordnung zum Schutz personenbezogener Daten beschreibt die nachstehend aufgeführten besonderen Kategorien personenbezogener Daten (die zuvor als sensibel definiert wurden).
Fünf Schwachstellen im Kundendatenmanagement
Im Januar dieses Jahres trat ein neues Datenschutzgesetz in Kraft.
Artikel bei Ituudised.ee: https://www.ituudised.ee/uudised/2019/08/23/kas-andmelekked-on-uus-reaalsus-intervjuu-klemens-arroga
E-mail: info@adm.ee
Registernummer: 10474271
Steuernummer: EE100046715
Kultuurikatel, Põhja pst 27a, Tallinn, 10415
Phone: +372 617 7600
20 Birchin Lane, London EC3V 9DU
Phone +44 7451 213604