Anfang Februar kamen in London Daten-, IT-Sicherheits- und Risikoexperten zusammen, um über die Herausforderungen der Nutzung, Verwaltung und des adäquaten Schutzes von Daten im digitalen Zeitalter zu diskutieren. Der auf der Veranstaltung vorgestellte RSA Fraud Report zum vierten Quartal 2018 lieferte Informationen über aktuellen Angriffsmethoden. Auch heute, so das Fazit, beginne ein Großteil der Angriffe noch mit altgedienten Phishing-Kampagnen – allerdings in immer raffinierterer Form.

Datenschutz, Datensicherheit und Datenintegrität sind die drei Dimensionen, die im Zeitalter massenhaft produzierter und einfach zu verteilender persönlicher Informationen immer kritischer werden. Nur Organisationen, die hier überzeugende Aktivitäten transparent darstellen können, dürfen mit dem rechnen, was heute über Erfolg und Misserfolg entscheidet: digitales Vertrauen. Das war eines der wichtigsten Diskussionsergebnisse auf dem Londoner RSA-Event.

Die Experten dort begrüßten ausdrücklich die Einführung der neuen europäischen Datenschutz-Grundverordnung (in Deutschland als DSGVO bekannt, im Ausland als GDPR). Diese sei ein „Meilenstein auf einem noch sehr langen Weg“, wie es Rohit Ghai, President von RSA Security, formulierte. Vertrauen entstehe aus Transparenz, deswegen gehe es im digitalen Zeitalter vor allem um Transparenz und Offenheit. „Datendiebstähle wird es immer geben, wie hoch wir die Mauern auch ziehen“, so Ghai. „Hauptaufgabe ist es natürlich, die Folgen für das Business zu minimieren. Ethisches Handeln umfasst aber auch Kommunikation und Transparenz. Wer das nicht begreift, wird über kurz oder lang schwere Einbußen erleiden.“

Ganz praktisch gesehen sei die Offenlegung eines Vorfalls immer eine Überwindung, denn die Erfahrung beispielsweise mit börsennotierten Unternehmen zeige, dass die Aktien daraufhin zunächst schlagartig um durchschnittlich etwa 15 Prozent fallen. „Wenn das Unternehmen aber die Kommunikation offen weiter führt, ist die Sache meist schon nach einer Woche durchgestanden“, so der RSA-Mann.

Trends bei betrügerischen Angriffen

Der in London vorgestellte RSA Fraud Report zum vierten Quartal 2018 identifizierte Phishing und Malware-basierte Angriffe als die wirkungsvollsten Online-Betrugsmethoden, die in den letzten zehn Jahren entwickelt wurden. Phishing-Angriffe seien besonders gemein, weil sie das digitale Vertrauen von Internet-Nutzern nachhaltig zerstören könnten. Im untersuchten Zeitraum entdeckte RSA weltweit 38.196 Phishing-Angriffe, dies entspreche rund 50 Prozent aller beobachteten Betrugsangriffe.

Fordert von Unternehmen stärkeren Fokus auf die Privatsphäre der Kunden: Nigel Ng, Vice President of International, RSA. Bild: Stefan Mutschler

Fordert von Unternehmen stärkeren Fokus auf die Privatsphäre der Kunden: Nigel Ng, Vice President of International, RSA. Bild: Stefan Mutschler

Der Report hebt eine Betrugsvariante besonders hervor, die zwar mengenmäßig nur ein Prozent der gesamten Phishing-Angriffe ausmache, in ihrer Wirkung aber besonders durchschlagend sei: Vishing, also das Ermitteln von Daten via Telefon. Hier gebe es mit „Reverse Vishing“ eine besonders hinterhältige und zunehmend verbreitete Variante: Das Opfer wird nicht mehr angerufen, sondern ruft selbst den Betrüger an. Betrüger verbreiten hier im Vorfeld falsche Informationen im Internet und bringen sie an die Spitze von Suchergebnissen. Anstatt auf eine gefälschte oder bösartige Website zu verweisen, verlinken Betrüger bei einem Reverse Vishing-Angriff auf eine gefälschte Telefonnummer. „Ein Nutzer, der bei seiner Suche nun darauf stößt, kommt nie auf die Idee, dass hier etwas nicht stimmen könnte“, so Nigel Ng, Vice President of International, RSA.

Umfrage zur Erhebung und Verwendung von Kundendaten

In London präsentierte RSA auch die Ergebnisse einer Umfrage zur Erhebung und Verwendung von Kundendaten unter Verbrauchern in Deutschland, Frankreich, Großbritannien und den USA. Auch hier bestätigte sich, dass Unternehmen noch weit davon entfernt sind, sich gemäß den Wünschen ihrer Kunden zu verhalten: „Die Verbraucher wollen zunehmend wissen, wie ihre Daten erfasst, verwaltet und weitergegeben werden“, so Ng. „Es ist an der Zeit, dass Unternehmen Datenlecks schließen und dem Schutz der Privatsphäre ihrer Kunden mehr Aufmerksamkeit schenken. Denn das Vertrauen der Kunden hängt maßgeblich davon ab.“

Tatsächlich würden laut Umfrage 73 Prozent der Befragten in Deutschland ein Unternehmen sogar boykottieren, wenn es unlauter oder leichtfertig mit privaten Daten umgeht. Dabei seien die Erwartungen an den Datenschutz allerdings sehr stark kulturell bedingt. Die Schwelle, was als leichtfertig gilt, sei je nach Nationalität und Generation sehr unterschiedlich. Global einheitliche Richtlinien könne es deswegen nicht geben.