Die Datenschutz-Grundverordnung (DSGVO) der EU fordert einen Schutz personenbezogener Daten nach dem Stand der Technik und damit eine strategische Neuorientierung im Bereich IT-Sicherheit. Aus dieser Verpflichtung ergibt sich auch eine Chance – nämlich, die eigene Sicherheitsstrategie zu überprüfen und zu modernisieren.

In der IT-Sicherheit galt lange die Devise, die eigene IT-Umgebung als Ziel möglichst unattraktiv zu machen. Dementsprechend hat man „nach außen hin“ zum Internet viele Hürden errichtet, die Angreifer überwinden mussten, bevor sie sich im Netzwerk ausbreiten konnten. Die Verteidigung ähnelte einer Burg, deren Mauer Angreifer von außen abhalten sollte. Dieses Modell gehört jedoch der Vergangenheit an, hat man doch mit der Einführung von Cloud-Lösungen zahlreiche Geschäftsprozesse ausgelagert.

Auch neue Angriffsarten erforderten ein Umdenken: Bis 2016 waren Malware-Angriffe von einigen Ausnahmen abgesehen meist noch verhältnismäßig harmlos. Im Regelfall zielten sie darauf ab, Daten zu stehlen oder Rechenleistung zu missbrauchen. Den Betrieb einer Umgebung störte das normalerweise kaum. Deshalb waren viele Business-Entscheider bereit, die IT-Sicherheit im „normalen“ Netz auf ein Minimum zu reduzieren und demgegenüber nur besondere Bereiche zu schützen. Der Begriff „False Positive“, also die Einstufung eigentlich gutartiger Applikation oder Datenbewegungen als bösartig, wurde zum Prüfstein für die Brauchbarkeit von IT-Security-Lösungen. Schließlich behinderten False Positives scheinbar grundlos die Arbeit der Angestellten und erzeugten Betriebsausfälle.

Die DSGVO und der Stand der Technik: Sicherheit muss administrierbar sein. Bild: Trend Micro

Diese Annahme erwies sich schon bald als überholt: Ab 2016 entdeckten Angreifer neue Geschäftsmodelle wie Krypto-Ransomware für sich, die althergebrachte Sicherheitskonzepte in Frage stellten. Schließlich läuft Ransomware nicht mehr im Hintergrund, sondern verursacht gezielte Störungen im Betriebsablauf und lässt sich dadurch nicht mehr ignorieren.

Das Auftauchen von Krypto-Ransomware verdeutlichte, dass ein False Negative, also eine fälschlicherweise als harmlos eingestufte bösartige Datei, die Mitarbeiter wesentlich länger von der Arbeit abhalten kann als ein False Positive. Infolgedessen musste die IT-Sicherheitsabteilung ihre Tools schlagartig verbessern – der Begriff „Advanced Endpoint Protection“ (fortschrittlicher Schutz von Endpunkten) erschien wie aus dem Nichts. Die bisherigen Sicherheitsmaßnahmen erwiesen sich gegen solche Angriffe als unwirksam, denn um diese zu erkennen, war eine Bewertung der betroffenen Dateien nötig. Eine solche Bewertung führte jedoch schnell zu False Positives. Deshalb waren viele Unternehmen vor diesem Ansatz lange zurückgeschreckt, obwohl er teilweise schon in „klassische“ Sicherheitswerkzeuge integriert war. Eine Neuausrichtung hin zu einer intelligenten Verteidigung wurde spätestens jetzt unausweichlich.

Dieser Schritt war auch aus einem weiteren Grund längst überfällig: Viele Unternehmen lagerten Teile ihrer Rechenleistung in die Cloud aus. Clients agieren dadurch weitaus flexibler und halten sich nicht mehr ausschließlich hinter den Mauern des Unternehmensnetzes auf. Ein zeitgemäßes Sicherheitskonzept muss dieser erhöhten Flexibilität Rechnung tragen und Clients vor Gefahren von innen wie von außen beschützen.

Neue Datenschutz-Anforderungen

Eine weitere einschneidende Veränderung für die Sicherheitskalkulation von Unternehmen tritt am 25. Mai mit der Einführung der DSGVO ein. Denn die neue Verordnung, angestoßen im Mai 2016, wird nach Ablauf der Karenzfrist Ende Mai ihre volle Wirkung entfalten. Mit der DSGVO werden personenbezogene Daten zu sensiblen Datensätzen erklärt, die nach dem Stand der Technik zu schützen sind. Diese Datensätze liegen bei vielen Unternehmen jedoch größtenteils nicht in den Hochsicherheitsbereichen ihrer „Burg“, sondern verstreut über verschiedene Server und Clients. Die meisten Unternehmen können derzeit nicht alle personenbezogenen Daten ihrer Kunden lokalisieren, geschweige denn schützen. Dass diese Daten angreifbar sind, machen folgenschwere Ransomware-Angriffe immer wieder deutlich.

Man kann darüber diskutieren, ob die DSGVO sinnvoll ist. Tatsache ist, dass bei einem Verlust personenbezogener Daten bisher nicht das jeweilige Unternehmen den Schaden hatte, sondern die betroffenen Personen, deren Daten erbeutet wurden. Diese hatte aber oftmals keine Möglichkeit, einen Datenverlust zu erkennen oder gar zu verhindern. Hier war der Gesetzgeber gefordert, zum Schutz der Bürger einzugreifen – und genau das hat die EU mit der DSGVO getan: Sie hat den mangelhaften Umgang mit personenbezogenen Daten mit signifikanten Kosten versehen, die ein Unternehmen nicht ignorieren kann. Die DSGVO zwingt Unternehmen dadurch, den Verlust personenbezogener Daten durch Cyberangriffe in ihre Risikobewertung mit aufzunehmen.

Miteinander kommunizierende Sicherheitslösungen verbessern den Schutz. Bild: Trend Micro

Deshalb macht die DSGVO eine Neubewertung bisheriger IT-Sicherheitskonzepte erforderlich. Das beinhaltet zunächst die Bestandsaufnahme aller vorhandenen Sicherheitsmaßnahmen und deren Abgleich mit dem Stand der Technik. Diese scheinbar einfache Forderung stellt oft ein großes Problem dar. Denn sehr häufig gibt es zentrale IT-Sicherheit nur auf dem Papier. In der Praxis haben meist einzelne Abteilungen die Vorgabe zu erfüllen, ihren jeweiligen Bereich bestmöglich abzusichern. Bestenfalls lieferen deren Systeme entsprechende Logdateien an die Zentrale. Dadurch müssen sich die IT-Sicherheitsverantwortlichen darauf verlassen, dass ein erfolgter Angriff auf einem der Sicherheitsmodule einen nennenswerten Zwischenfall produziert und andere Abteilungen darüber informiert werden können. Sonst ist der Angreifer erfolgreich.

Diese Silo-Denkweise ist noch weit verbreitet, entspricht aber nicht mehr dem Stand der Technik. Dieser setzt voraus, dass Sicherheit verwaltbar seien muss. Es gibt mehrere Lösungen für dieses Problem, darunter ein SIEM-System (Security-Information- und Event-Management) oder eine integrierte Sicherheitsstrategie, bei der die Teillösungen miteinander kommunizieren und Bedrohungsinformationen untereinander austauschen können. Um Schwachstellen zu minimieren und den eigenen Schutz auf den Stand der Technik zu bringen, sind also zeitgemäße Sicherheitslösungen oder zumindest entsprechende organisatorische Maßnahmen erforderlich. Gegenüber der klassischen „Burgmauer“ gewinnt der Bereich „Breach Detection“ an Bedeutung, also die rasche Erkennung erfolgreicher Angriffe.

Erkennung allein reicht jedoch nicht aus, um Datenverluste zu verhindern. Vielmehr muss diese in der Generierung und Durchführung wirksamer Gegenmaßnahmen resultieren. Deshalb besteht der Dreiklang der IT-Security nach dem derzeitigen Stand der Technik aus Schutz, Erkennung und Reaktion. Idealerweise interagieren diese drei Bereiche miteinander, damit man so viele Prozesse wie möglich automatisieren kann. Ein weiterer Vorteil automatischer Interaktion ist, dass sich Erkenntnisse aus dem Bereich Reaktion wiederum in die Schutzfunktionen einbauen lassen, um ähnliche Angriffe künftig zu verhindern.

In ihren Werken zur Compliance weisen Analysten wie Gartner (etwa im „Gartner Market Guide for Cloud Workload Protection Platforms“) und Behörden wie das BSI (mit dem IT-Grundschutz) darauf hin, dass die Wirkungskraft einer Lösung nicht primär von der Investition abhängt, sondern von der Fähigkeit, sie zu verwalten und nach Bedarf einzusetzen. Sicherheit nach Quantität zu bauen, also beispielsweise eine weitere Mauer zu errichten, ist für Unternehmen wirtschaftlich herausfordernd und technisch oft nicht sinnvoll. Weitaus empfehlenswerter ist die Zusammenführung der benötigten Lösungen, damit diese sich ergänzen und Sicherheitsmaßnahmen weitestgehend automatisch ausführen können.

 

Richard Werner ist Business Consultant bei Trend Micro, www.trendmicro.de.