Weltweit steigen die Ausgaben für IT-Sicherheit. Laut den Analysten von Cybersecurity Ventures wird die Investitionssumme in diesem Bereich in den nächsten fünf Jahren die Marke von einer Billion Dollar knacken.
Aber trotzdem gibt es mehr Datenschutzverletzungen, Datendiebstähle, Leaks und Hacks als je zuvor. Wie lässt sich diese Diskrepanz erklären? Ausschlaggebend sind diese drei grundsätzlichen Fehler, die einige IT-Verantwortliche, aber auch Geschäftsführung und Vorstand regelmäßig begehen.
1. Die falsche Sichtweise
Traditionell konzentrieren sich Unternehmen und Anwender beim Thema IT-Sicherheit auf ihre Netzwerke, Systeme und Infrastrukturen und besinnen sich nicht (ausreichend) darauf, was eigentlich schützenswert ist: ihre Daten. Das ist ungefähr so, als würde man Straßen immer sicherer machen, gleichzeitig aber die Sicherheit der Fahrzeuge vernachlässigen. Und niemand würde heute wohl in ein Auto ohne Sicherheitsgurte steigen - auch wenn die Straßen über Leitplanken verfügen.
2. Der falsche Fokus
"Vorsorgen ist besser als heilen" weiß der Volksmund. Entsprechend fokussieren Unternehmen stark auf Präventiv-Technologien. Auf den ersten Blick mag dies vernünftig erscheinen, allerdings werden sie so angreifbar durch Bedrohungen, an die sie nicht gedacht haben oder vor denen sie die eingesetzten Technologien nicht schützen können. Eine zu starke oder gar einseitige Fokussierung auf solche Technologien hat zur Folge, dass Unternehmen nicht in der Lage sind zu erkennen, wann ein Insider am Werk ist oder ihre Präventiv-Kontrollen versagen.
Ein Blick in Verizons Data Breach Investigations Report 2017 bestätigt das: Demnach dauert es in 70 Prozent aller Security-Vorfälle mehrere Monate oder gar Jahre, bis eine Datenschutzverletzung bemerkt wird. So wie eine Grippe-Impfung gut vor Grippe schützt, aber eben nicht vor einem Herzinfarkt, braucht es auch in Sachen IT-Sicherheit einen mehrschichtigen Ansatz (etwa wenn der Perimeter überwunden wurde) und eine bessere Überwachung. Nur so können neue Bedrohungen und Schäden, die ein Angreifer von innen oder außen verursacht, schnell erkannt und zuverlässig bekämpft werden.
3. Der falsche Ansatz
Oft fehlt eine echte Strategie, wenn es darum geht, die sensiblen Unternehmensdaten zu schützen. Für jede neue Bedrohung, jeden neuen Angriffsvektor und jede neue Compliance-Anforderung wird ein neues Tool eingesetzt. Die Folge: Mangelnde Übersicht, fehlende Kommunikation zwischen den Lösungen und hohe Kosten. Bei gleichzeitig geringer Wirkung.
Laut einer aktuellen Studie von Forrester wünschen sich die meisten IT-Verantwortlichen statt dieser fragmentierten und meist nur reaktiven Herangehensweise eine einheitliche Oberfläche, in der ihre Datensicherheit gebündelt wird. Die Absenz einer Strategie macht sich auch dadurch bemerkbar, dass nur 34 Prozent der Unternehmen wissen, wo ihre sensiblen Daten gespeichert sind und lediglich 41 Prozent einen "need-to-know"-Ansatz bei der Zugriffsrechte-Vergabe anwenden. Gerade im Vorfeld der nahenden EU-Datenschutzgrundverordnung (DSGVO) stellt das ein ernsthaftes Problem dar.
Fazit: Datensicherheit first!
Es sind diese Fehler, die uns Woche für Woche über erfolgreiche Hackerangriffe auf Unternehmen lesen lassen. Die Kosten, die den Unternehmen hierdurch entstehen, sind enorm. So büßte etwa das US-Handelsunternehmen Target in Folge eines Datenlecks 46 Prozent des Umsatzes ein.
Wenn Unternehmendaten in falsche Hände oder gar an die Öffentlichkeit geraten, kann daraus nicht nur eine Bedrohung für die Reputation erwachsen, sondern auch für den Umsatz und (je nach Falllage) auch die nationale Sicherheit. Es ist an der Zeit, umzudenken und endlich die Daten ins Zentrum der IT-Security-Strategie zu rücken. (fm)