17.10.2019
DSGVO bringt Licht und Schatten
1. Teil: „Auch KMUs kommen an IT-Sicherheit nicht vorbei“
Auch KMUs kommen an IT-Sicherheit nicht vorbei
Autor: Stefan Bordel
Rawpixel.com / Shutterstock.com
Spätestens seit Inkrafttreten der DSGVO sind IT-Sicherheit und Datenschutz auch bei kleinen und mittleren Unternehmen ein Thema. Passend zugeschnittene Lösungen und automatisierte Tools helfen KMUs bei der Umsetzung.
Die europäische Datenschutz-Grundverordnung ist nun seit über einem Jahr in Kraft und zeigt schon jetzt ihre Zähne. Es vergeht kaum eine Woche in der nicht kleinere und größere Datenschutz-Vorfälle gemeldet werden, die im Zweifelsfall hohe Bußgelder nach sich ziehen. So soll etwa die Fluggesellschaft British Airways (BA) für ein Datenleck knapp 205 Millionen Euro Strafe zahlen. Bei dem Vorfall waren rund 500.000 Kundendaten betroffen. Die schwachen Sicherheitsvorkehrungen des Unternehmens konnten von Cyberkriminellen umgangen werden, um persönliche Daten und Kreditkarteninfos samt Sicherheitscodes abzufangen.
Die DSGVO zielt aber nicht nur auf große Konzerne ab, auch kleine und mittlere Unternehmen sind dazu verpflichtet, die im Betrieb anfallenden Kundendaten zuverlässig zu schützen. Dabei gilt, je größer das Risiko für die Betroffenen, desto umfangreicher muss das Schutzniveau ausfallen.
Deshalb sind KMUs lukrative Ziele
Diese Risiko-basierte Grundkonzeption machen sich aber auch Cyberkriminelle zu Nutzen, weiß Michael Veit, Technology Evangelist beim Security-Spezialisten Sophos. „Der Ansatz 'bei uns gibt’s ja nichts zu holen' ist spätestens seit der DSGVO passé. Dank der Verordnung und der Meldepflicht haben sich neue Erspressungsmethoden etabliert, die den einzelnen Sicherheits-Verantwortlichen und Unternehmensleiter ins Visier nehmen. Datenschutzverstöße können damit als Druckmittel genutzt werden.“
Wie der aktuelle Data Breach Investigations Report 2019 von Verizon belegt, treffen 43 Prozent aller Angriffe gezielt kleine Unternehmen. Für Cyberkriminelle sind KMUs ein lukratives Ziel, sagt Barry McMahon, Senior International Marketing Manager von LogMeIn. Ein Grund dafür ist etwa die Lieferkette, mit der auch kleinere Unternehmen mit großen Konzernen verknüpft sind. "Und wenn es den Angreifern gelingt, kleine Zulieferer zu infiltrieren, eröffnet dies auch den Zugriff auf die Netzwerke größerer Partnern.“
Nichtsdesotrotz hat die DSGVO sehr wohl einen positiven Einfluss auf die Sicherheitslandschaft. McMahon ist sich sicher, dass die Verordnung den Firmen vor Augen führt, dass IT-Sicherheit jedes Unternehmen betrifft und auch in Zukunft betreffen wird. "Darüber hinaus machen die Strafen nun IT-Sicherheit bedeutsamer für Firmen."
2. Teil: „Mit diesen Security-Lösungen schützen sich KMUs“
Mit diesen Security-Lösungen schützen sich KMUs
Das Thema Sicherheit betrifft heutzutage die gesamte Firma, von der Unternehmensführung bis hinunter zu jedem einzelnen Mitarbeiter. "IT-Entscheider müssen etwa dafür Sorge tragen, dass die Mitarbeiter ordentlich geschult wurden, und jeder einzelne muss Awareness für die lauernden Gefahren aufbauen", erklärt McMahon.
Oft fehlt es bei kleineren Betrieben aber nicht einmal an dem Bewusstsein für die potenzielle Bedrohung. Viel mehr fehlen hier die Ressourcen, um sämtliche Angriffsvektoren effektiv abzusichern. Zumal der anhaltende Fachkräftemangel im Bereich IT-Sicherheit die Situation der KMUs weiter zuspitzt. Dennoch dürfen knappe Ressourcen natürlich kein Grund für mangelnde Cybersicherheit sein.
KI überbrückt Sicherheits-Engpässe
Einen Ausweg aus dieser Misere bieten beispielsweise automatisierte Sicherheitslösungen, die mittels Machine Learning viele Prozesse in der Cybersicherheit vereinfachen. Daneben punkten KI-gestützte Systeme zudem mit weiteren Vorteilen bei der Abwehr neuartiger Angriffsarten, die ebenfalls ausgefeilte Algorithmen nutzen, um unbemerkt ins Firmennetz einzudringen. „Ein Angreifer ist im Schnitt sieben Monate im Unternehmen, bis er entdeckt wird. Diese Hacker gilt es mit der automatisierten Erkennung von Anomalien aufzuspüren", erklärt Sicherheitsexperte Veit. Herkömmliche Firewalls und Virenscanner sind bei solchen Angriffen kein probates Mittel, hier sind Next-Gen-Lösungen erforderlich.
Auch die Symantec-Spezialisten Andre Engel, Sr. Consultant Cyber Security, und Candid Wüest, Senior Principal Threat Researcher, sprechen sich für den Einsatz von Machine Learning für die IT-Sicherheit in KMUs aus. Dank der anfallenden Telemetriedaten lassen sich mit modernen Lösungen mögliche Sicherheitsvorfälle automatisiert analysieren und kategorisieren. Durch diesen Vorgang werden im Vorfeld drei Viertel an False Positives herausgefiltert, was Sicherheitsverantwortlichen mehr Freiraum für die Bearbeitung wirklich relevanter Ereignisse schafft.
3. Teil: „IT-Sicherheit als Service“
IT-Sicherheit als Service
Daneben können Firmen die IT-Sicherheit heutzutage auch auslagern und als Service-Leistung von Security-Spezialisten beziehen. Letztere kümmern sich dann um das Monitoring und schlagen Alarm, sobald Auffälligkeiten im Netzwerk zu verzeichnen sind. Auch für die Abwehr von Angriffen und der anschließenden Analyse stehen Managed Security Services bereit.
Neue Angriffsarten erfordern zudem ein hohes Maß an Sicherheitsexpertise. Sophos verzeichnet mitunter vermehrt Attacken über Blendet Threads, erläutert Veit weiter. "Dabei werden automatisiert Ziele infiziert und Basiskomponenten installiert. Dann erst greift ein menschlicher Hacker ein, um sich gezielt im Unternehmensnetz auszubreiten und die wertvollsten Daten als Geisel zu nehmen.“ Dahingegen werden breite Angriffe nach dem Gießkannenprinzip wie WannaCry immer seltener, weil sie weniger attraktiv für die Angreifer sind.
Usability nicht vernachlässigen
Die Nutzererfahrung im Tagesgeschäft darf allerdings durch den Einsatz ausgeklügelter Schutztechniken nicht in Mitleidenschaft gezogen werden. "Ansonsten werden Mitarbeiter einen Weg finden, um umständliche Prozesse zu umgehen - über Schatten-IT oder die Nutzung von eigenen Geräten zur Verarbeitung von Unternehmensdaten“, ist sich McMahon sicher.
IT-Sicherheit bedeutet für KMUs folglich, den Balanceakt zwischen Usability, Security und Wirtschaftlichkeit zu meistern.
3 Modelle
Business GPT - Telekom bringt KI-Angebot für Unternehmen
Mit ihren Business GPT-Angeboten will die Telekom eine sichere KI-Lösung für Geschäftskunden anbieten. Drei Modelle haben die Bonner dafür entwickelt – und die haben ihren Preis.
>>
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
Nach der Unify-Übernahme
Mitels kombinierte Portfoliostrategie
Der UCC-Spezialist Mitel bereinigt nach der Unify-Übernahme sein Portfolio – und möchte sich auf die Bereiche Hybrid Cloud-Anwendungen, Integrationsmöglichkeiten in vertikalen Branchen sowie auf den DECT-Bereich konzentrieren.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>