Wir befinden uns unwiederbringlich in der DSGVO-Ära: Die europäische Datenschutzgrundverordnung ist seit 25. Mai in Kraft. Seit diesem Zeitpunkt müssen Unternehmen, die personenbezogene Daten verarbeiten, die DSGVO-Richtlinien umsetzen und zum Beispiel kundenbezogene Daten bei Aufforderung schnell löschen oder Datenschutzverletzungen bekannt geben. Die Schwierigkeiten bei der Umsetzung sind aber mit dem Termin des Inkrafttretens nicht über Nacht verschwunden. Überraschenderweise waren laut einer Umfrage von Tanium einige Unternehmen kurz vor Inkrafttreten der DSGVO immer noch schlecht aufgestellt.
In dieser Umfrage unter 750 IT-Mitarbeitern in Deutschland und Großbritannien gaben 37 Prozent der deutschen Befragten an, dass ihr Unternehmen entweder keine Tools anwendet, um die Auswirkungen eines Cyber-Angriffs innerhalb von 72 Stunden nach einem Angriff offenzulegen, oder dass sie darüber nicht Bescheid wissen. In Großbritannien antworteten 36 Prozent entsprechend.
Ausgerechnet Branchen, die besonders viele und teilweise hochsensible Daten verarbeiten, waren im Monat vor der DSGVO-Implementierung besonders schlecht aufgestellt: Von den Befragten, die in der Retail-Branche arbeiten, gaben 20 Prozent an, dass keine entsprechenden Tools verwendet werden, unsicher waren sich 40 Prozent. Im Gesundheitsbereich, wo es um besonders sensible Patientendaten geht, gaben 40 Prozent insgesamt "nein" oder "unsicher" an. Selbst in der IT-Branche, die doch eigentlich ein Vorreiter beim Einsatz entsprechender Tools sein sollte, sieht es mit 39 Prozent ähnlich aus.
Was sind die Gründe dafür, dass Cyber-Attacken und deren Auswirkungen auf sensible Daten immer noch unterschätzt werden? Hier sind vor allem drei Bereiche zu nennen:
Die Angst - oder fast schon Panik - direkt nach einem Sicherheitsvorfall setzt sich nicht in langfristige Maßnahmen um
Cybersecurity genießt keine Top-Priorität in vielen Unternehmen
Gerade die Führungsebene unterschätzt potenzielle Gefahren.
Es gäbe viele Anlässe, die IT-Sicherheit zu überdenken
DSGVO ist ein dringender Anlass, die IT-Sicherheit zu überdenken. Großangelegte Cyber-Attacken sind ein weiterer. Vor einem Jahr hatte die Ramsomware WannaCry weltweit zugeschlagen und in vielen Unternehmen die Computer lahmgelegt. In Deutschland kann sich mancher Fahrgast noch an die Displays der deutschen Bahn erinnern, die statt des Fahrplans "Oops, your files have been encrypted" anzeigten. Laut der Umfrage war in Deutschland knapp ein Drittel der Unternehmen (31 Prozent), in denen die Befragten arbeiten, von WannaCry betroffen. Weltweit waren es laut Berichten mehr als 200.000 Computer in 150 Ländern. Wenn morgen eine ähnliche Attacke ein Unternehmen treffen würde, dann hätte dieses genau 72 Stunden Zeit, um Behörden und Betroffene des Cyber-Angriffs zu informieren.
Die Uhr tickt also, sobald ein Hacker zuschlägt oder ein Trojaner Daten ausspioniert. Man kann jedoch nur schnell reagieren, wenn man überhaupt etwas von der aktuellen Bedrohung weiß. Deshalb ist es das A und O jeder erfolgreichen Sicherheitsstrategie, dass IT-Verantwortliche einen umfassenden Überblick über den aktuellen Status der Endpoints in ihrem Unternehmen - also Desktop-Computer, Laptops und Server - haben. Auch die Wichtigkeit weiterer sicherheitsrelevanter Maßnahmen wie zum Beispiel Patch-Management wird oft unterschätzt. Damit wären wir bei der ersten Herausforderung: den langfristigen Maßnahmen.
Lesetipp: Die dümmsten Hacker der IT-Geschichte
Langfristige Maßnahmen für mehr Cyber-Sicherheit
Die Umfrage zeigt, dass beim Thema Cyber-Sicherheit noch großer Verbesserungsbedarf in Unternehmen herrscht: 46 Prozent aller Befragten in Deutschland halten ihr Unternehmen aktuell für stärker durch Cyber-Bedrohungen gefährdet als vor einem Jahr. Auch wenn es nach WannaCy durchaus Ad-Hoc-Maßnahmen gab, führten diese zu selten zu langfristigen Veränderungen:
In 63 Prozent der Unternehmen wurden laut der Befragten zwar die bestehenden Sicherheits-Systeme überprüft und bei 44 Prozent wurde der Prozess für Sicherheitsvorfälle im Unternehmen neu definiert. Den nächsten Schritt, hin zu einer langfristigen Verbesserung der Sicherheit, machten jedoch schon wesentlich weniger Unternehmen: Nur 35 Prozent der befragten IT-Experten geben an, dass in ihrem Unternehmen in neue Sicherheitslösungen investiert wurde. In 77 Prozent der Unternehmen, in denen die Befragten arbeiten, wurde der Prozess für Patch-Management nicht verbessert. Dabei sind regelmäßige Updates und Patches unerlässlich, um ein Unternehmen widerstandsfähig gegen Angriffe zu machen. WannaCry hatte vor einem Jahr solche Auswirkungen, weil viele Computer nicht auf dem aktuellen Stand waren und so eine bekannte Schwachstelle in Microsoft Windows ein Einfallstor bot.
Cybersecurity hat keine Top-Priorität in Unternehmen
Ein weiteres Problem ist, dass Cybersecurity in Unternehmen nicht die Priorität hat, die sie haben müsste. Welche Gründe stecken hinter dieser Priorisierung - oder eher Nicht-Priorisierung?
Laut der Umfrage sehen 26 Prozent den Mangel an Zeit für neue IT-Initiativen als Hauptgrund dafür, dass Cybersecurity-Tools und -Prozesse nicht angewendet werden. 20 Prozent wiederum sehen sich zu Kompromissen in der IT-Sicherheit gezwungen, weil ständige Innovationen eine hohe Geschwindigkeit erfordern. Bei 19 Prozent ist das zu geringe Budget der Grund, dass der Schutz vor Ransomware-Attacken nicht verbessert wird.
Lesetipp: Die 5 größten Ransomware-Attacken
Dementsprechend sehen auch nur 33 Prozent der Befragten, dass ihr Unternehmen der Modernisierung von Sicherheits-Technologie oberste Priorität einräumt. Den Punkt Widerstandsfähigkeit gegen Angriffe beziehungsweise Business Resilience nennen hier 38 Prozent. 37 Prozent geben an, dass in ihrem Unternehmen die Implementierung von aktueller Software und Tools in die bestehende Infrastruktur als besonders wichtig gilt. Diese Aussagen bedeuten im Umkehrschluss, dass für fast zwei Drittel der Befragten solche Cybersecurity-Aspekte eben nicht höchste Priorität genießen.
Gleichzeitig sind jedoch 69 Prozent der Befragten zuversichtlich, dass ihr Unternehmen die richtigen Lehren aus WannaCry gezogen hat. Die vorhergehenden Antworten zur Sicherheits-Priorisierung könnten einen daran stark zweifeln lassen. Eher liegt der Schluss nahe, dass sich Unternehmen ein Jahr nach WannaCry wieder in falscher Sicherheit wiegen.
Sind sich Führungskräfte der Gefahr bewusst?
Umso überraschender ist es, dass das Bewusstsein für IT-Sicherheit gerade auf der Führungs-Ebene noch zu wünschen übriglässt: 37 Prozent aller befragten IT-Experten sind der Meinung, dass die Führungskräfte in ihrem Unternehmen keine Vorstellung davon haben, wie sehr das Unternehmen Gefahren ausgesetzt ist. Gerade in mittelständischen Unternehmen mit 2.500 bis 5.000 Angestellten ist dieses Misstrauen noch stärker ausgeprägt. Hier denken 42 Prozent der Befragten, dass das Bewusstsein für die Gefahren fehlt. 33 Prozent aller Befragten geben außerdem an, dass ihr IT-Team Schwierigkeiten hat, die notwendige Finanzierung für dringende Cybersecurity-Investitionen zu erhalten.
Und was ist die Lösung für mehr Cyber-Sicherheit?
IT-Experten sollten sich nicht darauf zurückziehen, dass ihr CEO die Wichtigkeit von Sicherheitsthemen sowieso nicht versteht. Stattdessen sollte der CIO in Vorstandsmeetings aktiv werden und vor allem auch konkrete Kennzahlen anbieten, die den Wert funktionierender Sicherheitslösungen konkret gegen Kosten für Sicherheitsvorfälle gegenrechnen.
Des Weiteren sollten die Silos zwischen den Operations- und Sicherheits-Teams aufgebrochen werden. Beide Teams sollten sich außerdem zuständig fühlen für die Optimierung der Sicherheitsprozesse. Dazu gehört ein regelmäßiges, umfassendes und schnelles Patch-Management. Wenn die Endpoints im Unternehmen up-to-date sind und somit bekannt gewordene Sicherheitslücken durch aktuelle Updates geschlossen werden, hat es Ransomware schon wesentlich schwerer, sich im System festzusetzen. Um wirklich alle Endpoints in das Patching mit einzuschließen und um Bedrohungen rechtzeitig zu erkennen, ist außerdem eine Übersicht über alle Endpoints im Unternehmen notwendig.
Schließlich gilt jetzt, im Rahmen von DSGVO mehr denn je: Sind die Computer und Server geschützt, auf denen sensible Daten liegen, dann sind auch die Daten selbst besser geschützt. Und Unternehmen müssen nicht den Wettlauf gegen die Zeit antreten, um Angriffe auf ihr System innerhalb von 72 Stunden zu melden - und damit auch öffentlich zu machen. Wer möchte schon das erste Unternehmen sein, an dem das DSGVO- Exempel in aller Öffentlichkeit durchexerziert wird?