Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht vom "Assume the Breach-Szenario" und rät Unternehmen zum Einsatz von Verschlüsselung. Allerdings betont das Bundesamt auch, dass die richtige Implementierung eines solchen Ansatzes besonders wichtig sei, da hier viele Fehler gemacht werden können.
Foto: Igor Normann - shutterstock.com
Kryptographie ist für viele IT-Verantwortliche ein Dauerthema und trotzdem gibt es immer wieder Probleme bei der Umsetzung - der Hinweis des BSI kommt nicht von ungefähr. Gerade neue Technologien wie Cloud oder IoT, müssen an Verschlüsselungsmechanismen angepasst werden. Häufig werden grundlegende Schutzmechanismen vernachlässigt. Laut des Data Breaches and Consumer Loyalty Reports setzen zwar viele Unternehmen auf Verschlüsselung, allerdings liegen Verständnislücken vor, wie die Technologie genau funktioniert.
Im Rahmen der internationalen Umfrage kommt es teilweise zu kuriosen Antworten auf Fragen nach grundlegenden Funktionen von Verschlüsselung. Unter anderem gaben Befragte an, dass aus ihrer Sicht Krypto-Mechanismen aus Fingerabdruckscanner oder über das Netzwerk verteilte Zufallsmechanismen bestehen würden.
Dabei geht es grundsätzlich darum, Informationen bis zum berechtigtem Zugriff unlesbar zu machen. Jedes Dokument sollte nach der Verschlüsselung ein wertloser Datenfetzen sein, der ohne den entsprechenden Key nutzlos ist. Natürlich muss nicht jeder Konsumer über alle Details von Kryptographie informiert werden, allerdings ist der Sicherheitsgewinn so groß, dass es sinnvoll ist, den Nutzern den Vorteil der Technologie näher zu bringen. Dies schafft Vertrauen und erhöht die Kundenbindung.
Sicherheitskonzepte richtig umsetzen - Step-by-Step
Firmen spüren die Folgen von Datenverlusten nach Cyberattacken immer stärker. Neben dem finanziellen Schaden leidet die Reputation. Genau deshalb sollten Unternehmen für mehr Transparenz und Aufklärung sorgen. Die richtigen Schutzmechanismen haben eine wichtige Signalwirkung und schaffen eine Grundlage zur dauerhaften Kundenbeziehung. Wegen des Bekanntwerdens von so vielen Sicherheitsvorfällen macht es Sinn, der Öffentlichkeit Schritt für Schritt darzulegen, wie man Angriffe abwehrt und persönliche Daten schützt.
Zudem kommt das Unternehmen so der Meldepflicht aus der Datenschutz-Grundverordnung (DSGVO), die schon bald Anwendung finden wird, entgegen. Alle Organisationen, die Daten von EU-Bürgern nutzen oder im EU-Raum aktiv sind, müssen mögliche Verluste von persönlichen Daten melden.
Allerdings ist richtiger Datenschutz kein Hexenwerk. Folgende fünf Schritte liefern eine wichtige Orientierung:
Verständnis für den Datenfluss
Um Informationen richtig schützen zu können, sollte man ihren Lebenszyklus kennen. Es gilt herauszufinden, wo Daten erstellt und gesammelt werden. Dabei sollten die kritischsten Informationen, die Rückschluss auf Individuen erlauben, herausgefiltert werden. Solche personenbezogenen Details treten im Unternehmensalltag häufig in der Form von E-Mail-Adresse, Kontodaten oder Geburtstagen auf.Anwendung von Zweit-Faktor-Authentifizierung
Das BSI geht ebenfalls auf die Vorteile von Zweit-Faktor-Authentifizierung (2FA) im Lagebericht ein. Dadurch schaffen sich Unternehmen eine zusätzliche Schutzschicht und beugen ID oder Passwortdiebstahl vor. Dafür braucht es neben dem geheimen Kennwort einen Faktor, der sich im Besitz des Users befindet - zum Beispiel eine Textnachricht auf das Smart Phone.Durchgängige Verschlüsselung als Grundprinzip
2FA sichert Informationen bereits vor dem eigentlichen Zugriff. Sollte es trotzdem gelingen, dass Daten ohne Legitimierung abgegriffen werden, sorgt Verschlüsselung dafür, dass die Informationen nicht durch die Angreifer gelesen werden können. Genau deshalb müssen Unternehmen wissen, wo ihre wichtigsten Assets gespeichert werden und diese dann entsprechend priorisieren und verschlüsseln. Egal, ob im eigenen Server, in der Public Cloud oder mit einem Hybridansatz: Daten müssen immer geschützt sein und die Verantwortung liegt in den Händen der Unternehmen.Schlüsselmaterial richtig sichern
Verschlüsselung steht und fällt mit der richtigen Verwaltung der Keys. Sie sind ein elementarer Teil der Kryptografie und erlauben den erneuten Zugriff auf der chiffrierten Information. Unternehmen sollten sie daher an sicheren Orten speichern und sie richtig verwalten. Meistens macht es Sinn, eine dezidierte Hardware zur Sicherung einzuführen. Außerdem sollten die Schlüssel regelmäßig ausgewechselt werden.Kunden und Mitarbeiter schulen
Neben der Anpassung von Technologie darf man die Involvierung der Belegschaft und Kunden nicht vergessen. Unternehmen müssen sich dabei ihrer Verantwortung im Klaren sein und sowohl intern als auch extern dieses Sicherheitsbewusstsein schulen. Es gilt, Policies in alle Facetten von Businessprozessen einzuarbeiten - dabei ist die Faktor Mensch zu bedenken. Unpraktische Mechanismen können zu risikoreichen Workarounds oder Ineffizienz führen.
Fazit
Wenn IT-Verantwortliche diesen Schritten folgen und entsprechende Maßnahmen einleiten, machen sie ihre Unternehmen fit für die aktuelle Bedrohungslage. Man muss sich vor Augen führen, dass sieben von zehn Kunden aufgrund von Cyberattacken einem Unternehmen den Rücken kehren würden. Gleichzeitig gehören Angriffe zum Alltag, daher sollten IT-Entscheider klare Richtlinien definieren, um sensible Daten zu schützen. Besonders im Zuge der DSGVO werden die Vorgaben strenger.