Lesedauer: 7 Minuten
Was ist Datensicherheit?
Seitdem in Europa besonders strenge Datenschutzrichtlinien gelten, ist Datensicherheit zur Chefsache geworden – umso mehr, als Angriffe auf IT-Systeme in Anzahl und Schädlichkeit stark zugenommen haben. Jan-Oliver Wagner, CEO von Greenbone, über die Herausforderungen für IT-Verantwortliche und die effizientesten Strategien zur Datensicherheit.
Inhaltsverzeichnis
- Welche Rolle spielt Datensicherheit heute, nach der Einführung der DSGVO?
- Was sind die häufigsten Bedrohungen, denen Unternehmen und Institutionen heute in Sachen Datensicherheit gegenüberstehen?
- Wie unterscheidet sich die Gefährdungslage in Sachen Datensicherheit in Unternehmen und in staatlichen Institutionen?
- Die Anforderungen an die Datensicherheit sind in den Unternehmen deutlich gestiegen. Welche Aspekte der Datensicherheit sollten Unternehmen zuerst in Angriff nehmen?
- Welche Maßnahmen haben sich in Unternehmen erfolgreich erwiesen, um die Datensicherheit zu verbessern? Gibt es hier Unterschiede zwischen großen und mittelständischen Unternehmen?
- Was sind die häufigsten Fehler, die Sie bei Unternehmen in Bezug auf Datensicherheit sehen, und wie können diese vermieden werden?
- Wie ordnen Sie den Stellenwert von Schwachstellenmanagement-Tools in der Datensicherheits-Strategie von Unternehmen ein?
- Warum sollten Unternehmen Open Source-basierten Tools den Vorzug bei der Sicherung ihrer Daten geben?
- Welche neuen Trends oder Technologien sehen Sie als zukunftsweisend im Bereich der Datensicherheit an?
- Wie können sich Unternehmen auf zukünftige Herausforderungen in der Datensicherheit vorbereiten?
Dr. Jan-Oliver Wagner
CEO und Mitbegründer
von Greenbone
Welche Rolle spielt Datensicherheit heute, nach der Einführung der DSGVO?
In Deutschland hatten wir schon vorher einen hohen gesetzlichen Standard, aber die Harmonisierung auf europäischer Ebene hat dem Thema neuen Schwung verliehen. Seitdem die DSGVO in Kraft getreten ist, spielt die Abgrenzung der EU zum Rest der Welt eine größere Rolle. Allerdings geht es bei der DSGVO um Datenschutz, nicht um Datensicherheit. Datenschutz regelt, wer was mit welchen Daten machen darf. Bei Datensicherheit geht es darum, wie die Daten geschützt werden. Das hängt natürlich eng zusammen.
In Europa ist Datenschutz ein Menschenrecht, in den USA ist er ein Bürgerrecht. Hieraus entsteht ein bisher unaufgelöster Konflikt, wenn es um die Datensicherheit europäischer Bürger geht. Aus praktischen Gründen wird das Problem oft ignoriert, auch auf höchsten Ebenen.
Je mehr über Datenschutz gesprochen wird, desto mehr wird auch über Datensicherheit gesprochen. Daten sind sicherer, wenn gute Datenschutzkonzepte verwendet werden, vor allem aber, wenn die datenverarbeitende IT sicher ist. Gerade Letzteres ist das zentrale Thema bei Greenbone, und entsprechend erhalten wir – verursacht durch die DSGVO – mehr Anfragen, zumal wir selbst als deutsches Unternehmen alle Daten strikt DSGVO-konform behandeln. In der Praxis wird Datensicherheit oft mit Compliance verknüpft.
Was sind die häufigsten Bedrohungen, denen Unternehmen und Institutionen heute in Sachen Datensicherheit gegenüberstehen?
Rein von der Menge her sind es solche Angriffe, die sich automatisieren lassen. Also Angriffe auf Schwachstellen, um anschließend Ransomware oder andere Schadsoftware zu aktivieren. Dazu kommen DDOS-Angriffe (Distributed Denial of Service), Phishing und andere Formen von Social Engineering. Angriffe auf Schwachstellen und Social Engineering werden auch oft kombiniert. Weil die Kosten für solche Angriffe extrem gering sind, wird heute praktisch jedes Unternehmen und jede Behörde mehrfach täglich angegriffen.
Wie unterscheidet sich die Gefährdungslage in Sachen Datensicherheit in Unternehmen und in staatlichen Institutionen?
Im Grunde unterscheidet sie sich nicht. Beide Gruppen verarbeiten sensitive persönliche Information von Bürgern, seien es Daten im Umgang mit hoheitlichen Aufgaben, wie bei der Erstellung von Personalausweisen, oder seien es Gesundheitsdaten in privaten Kliniken. Eine Gefährdung ist dann höher, wenn entweder besonders viele Daten an einer Stelle vorliegen oder die Schutzmaßnahmen zu schwach ausgelegt sind. Die größte Gefährdung liegt vor, wenn beides zusammenkommt.
Visualisierung eines Computernetzwerks – @ your123 – #270047769 – stock.adobe.com
Die Anforderungen an die Datensicherheit sind in den Unternehmen deutlich gestiegen. Welche Aspekte der Datensicherheit sollten Unternehmen zuerst in Angriff nehmen?
Es gibt zwei Handlungsstränge, die verfolgt werden müssen: organisatorische und technische Maßnahmen. Zu ersteren zähle ich neben den Anforderungen aus der DSGVO auch Risikobewertungen, Security Awareness und Compliance.
Die technischen Sicherungsmaßnahmen lassen sich in der Regel schneller etablieren. Aus unserer Praxis wissen wir, dass Organisationen oft ein unvollständiges Bild ihrer IT-Infrastruktur haben, und was man nicht kennt, wird bei Sicherheitsmaßnahmen auch nicht berücksichtigt. Deswegen ist die dringlichste, erste Maßnahme, durch automatisierte Prüfungen die IT-Infrastruktur und ihren Sicherheitsstatus möglichst komplett zu erfassen. Daraus leiten sich mit den richtigen Tools sehr schnell Priorisierungen ab. Gibt es bereits organisatorische Risikowertungen, hilft dies zusätzlich.
Welche Maßnahmen haben sich in Unternehmen erfolgreich erwiesen, um die Datensicherheit zu verbessern? Gibt es hier Unterschiede zwischen großen und mittelständischen Unternehmen?
Ich habe keinen Einblick in die Maßnahmen einer ausreichend großen Anzahl von Unternehmen, um hier eine solide Aussage machen zu können. Bei der Festlegung von Compliance-Regeln empfehle ich auf jeden Fall, darauf zu achten, dass solche, die automatisch überprüft werden können, wesentlich besser geeignet sind für einen dauerhaften Sicherheitsprozess als solche, die manuell geprüft werden müssen. Dies gilt ganz besonders für technische Vorgaben für IT-Systeme.
Schaut man auf die drei Szenarien, die mit Daten passieren können, also Löschung, Manipulation und Kopie, so ist natürlich für zwei davon eine gute Backup-Strategie von großer Bedeutung, sollten alle anderen Sicherheitsmaßnahmen nicht gegriffen haben. Besonders wichtig hierbei ist es, den Zeitpunkt des Angriffs zu ermitteln. Das bedeutet zum Beispiel für Schwachstellen-Scans, dass man sie regelmäßig durchführt, um zu erkennen, ab wann und für wie lange ein Angriff möglich war. Kennt man seine Schwachstellen, wird man handlungsfähig, selbst wenn man nicht alle Schwachstellen zeitnah oder überhaupt beseitigen kann. Große Unternehmen sind eher Ziel von APTs (Advanced Persistent Threats) als kleinere Unternehmen. Mehrschichtige Sicherheitskonzepte sind hier wichtig.
Was sind die häufigsten Fehler, die Sie bei Unternehmen in Bezug auf Datensicherheit sehen, und wie können diese vermieden werden?
Der mit Abstand häufigste Fehler ist, dass Systeme mit Schwachstellen nicht rechtzeitig abgesichert werden, obwohl die Schwachstelle bekannt und Abhilfe verfügbar ist, zum Beispiel in Form eines Updates.
Wie ordnen Sie den Stellenwert von Schwachstellenmanagement-Tools in der Datensicherheits-Strategie von Unternehmen ein?
Es gibt in einer Unternehmens-IT so viele täglich neu hinzukommende Schwachstellen, dass man nicht alle diese Angriffspunkte beseitigen kann. Man ist gezwungen, ein gewisses Risiko einzugehen, weil man nur einen Teil der Probleme lösen kann. Schwachstellen-Management löst zwei essenzielle Herausforderungen: IT-Verantwortliche können damit priorisieren, welche Schwachstellen mit den begrenzten Mitteln adressiert werden sollten, und sie erhalten genaue Kenntnis über das verbleibende Risiko. Nur so bleibt ein Unternehmen jederzeit handlungsfähig – im Tagesgeschäft oder im Krisenfall.
Warum sollten Unternehmen Open Source-basierten Tools den Vorzug bei der Sicherung ihrer Daten geben?
Datensicherheit ist vor allem eine Frage des Vertrauens. Man muss seinen Lieferanten und den Tools vertrauen können, wenn es um den Schutz der Daten geht. Bekannterweise ist Transparenz hilfreich, um Vertrauen aufzubauen. Das gilt in der Gesellschaft und eben auch in der Technologie. Gleichwohl ist das Merkmal Open Source allein noch nicht ausreichend. Der Hersteller muss natürlich umfangreiche Qualitätssicherungsmaßnahmen etablieren.
Welche neuen Trends oder Technologien sehen Sie als zukunftsweisend im Bereich der Datensicherheit an?
Natürlich ist KI ein zukunftsweisender Trend, denn das ist auch für Angreifer eine attraktive Technologie. Beispielsweise können Large Language Models (LLM) die Erfolgsquote von Phishing deutlich steigern. Auf der Verteidiger-Seite werden LLMs wohl vermehrt für die Vorhersage von Angriffen eingesetzt. Machine Learning hingegen wird in Zukunft vor allem den Verteidigern helfen, schneller zu werden im Kampf gegen automatisierte Angriffe.
Für mich ist vor allem der Trend relevant, die Schwachstellen-Informationen besser und stärker automatisiert zu verarbeiten. Die neuen Technologien entwickeln sich umso besser, je je mehr Informationen über Schwachstellen, Produkte und Bedrohungen geteilt und standardisiert werden. Das vom BSI (Bundesamt für Sicherheit in der Informationstechnik) unterstütze Common Security Advisory Framework (CSAF) zählt hier dazu.
Wie können sich Unternehmen auf zukünftige Herausforderungen in der Datensicherheit vorbereiten?
Die Angreifer diversifizieren und automatisieren sich. Das müssen auch die Unternehmen tun. Die Unternehmen müssen angesichts vieler Probleme immer die wichtigsten Dinge zuerst tun. Hier hilft nur strikt evidenz-basiertes Handeln.
Über den Experten
Dr. Jan-Oliver Wagner, CEO und Mitbegründer von Greenbone
- Studium der Angewandten Systemwissenschaften, Universität Osnabrück
- Promotion: Mathematische Simulationsmodelle
- Gründer der Intevation GmbH
- Gefragter Keynote-Speaker und Panel-Discussion-Teilnahme, z.B. an:
Potsdamer Konferenz für Nationale CyberSicherheit, Public-IT-Security (PITS), Bechtle-Forum „Security Edition“
