Keine Angst vor GDPR: Fangen Sie damit an, Sicherheitsverletzungen zu verhindern

In weniger als einem Jahr tritt die Datenschutz-Grundverordnung der Europäischen Union (General Data Protection Regulation, GDPR) in Kraft

Tweet

Sie wird tief greifende Auswirkungen auf jeden haben, der mit Cybersicherheit zu tun hat. Viele Unternehmen beeilen sich gerade, noch rechtzeitig die Vorkehrungen zu treffen. Sie sitzen mit Rechts-, Technologie- und Compliance-Beratern zusammen und schlagen sich mit den Problemen herum, die auf sie zukommen. Das wirft die Frage auf: Sollten sie sich nicht lieber zuerst mit den einfachsten Datensicherheitsverletzungen beschäftigen?

Manche Unternehmen glauben immer noch, dass die Datenschutz-Grundverordnung sie nicht betrifft. Die allermeisten von ihnen täuschen sich. Die Grundverordnung, die am 25. Mai 2018 in Kraft tritt, betrifft alle Unternehmen, die Daten zu EU-Bürgern verarbeiten - unabhängig von ihrem Firmensitz. Wer eine E-Commerce-Site in den USA betreibt, aber Kunden in Europa hat, wird bald am Haken hängen, falls er die Kundendaten nicht ordnungsgemäß schützt.

Damit ist die europäische Datenschutz-Grundverordnung alles andere als eine regional begrenzte Rechtsvorschrift. Außerdem gehen die Anforderungen der GDPR in Bezug auf Datenschutz und Sicherheit weiter als alle Regelungen davor: Die GDPR weitet die Definition persönlicher Daten aus und fordert in den meisten Fällen eine Benachrichtigung bei Datensicherheitsverletzungen.

Die Einhaltung der Grundverordnung ist auch keine einmalige Sache. Teil der Regulierung sind Rechenschaftspflichten, die Sie und Ihr Unternehmen zwingen, Ihre Haltung zu Datensicherheit und Cybersicherheit regelmäßig auf den Prüfstand zu stellen. Sie müssen belegen, dass Sie sensible Kundendaten rund um die Uhr schützen, unabhängig davon, welche Veränderungen Sie gerade an Ihren Datenverarbeitungssystemen vornehmen. In den meisten Fällen benötigen Sie einen Datenschutzbeauftragten, der bei Änderungen regelmäßig Gutachten zu den Auswirkungen auf den Datenschutz erstellt.

Verstöße gegen die Datenschutz-Grundverordnung werden schwer geahndet. Rechnen Sie mit bis zu 20 Millionen Euro für bestimmte Verstöße bzw. 4 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist).

Lassen Sie sich aber nicht entmutigen, sehen Sie die GDPR lieber als willkommene Chance. Viel zu lange mussten sich Unternehmen ihren Weg durch regional unterschiedliche gesetzliche Regelungen kämpfen, von denen jede unterschiedliche Anforderungen stellte. Dennoch waren all diese Regelungen nicht streng genug, sodass die Botschaft bei der Geschäftsleitung vieler Unternehmen nicht angekommen ist - deshalb nehmen auch die düsteren Schlagzeilen über Datensicherheitsverletzungen weiter zu.

Angesichts der ersten weltweit wirksamen Datenschutzregulierung müssen Unternehmen diese Angelegenheit sehr ernst nehmen. Berater und Anwälte haben sich schnell auf das Thema gestürzt und bieten inzwischen eine breite Auswahl an Diensten an, mit denen Sie Ihr Haus in Ordnung bringen können - und sie verbreiten ominöse Warnungen, was passieren kann, wenn Sie das nicht tun.

Sie müssen in jedem Fall den Speicherort Ihrer Daten lokalisieren, ihn korrekt klassifizieren und dann angemessene Schutzmaßnahmen festlegen. Sie müssen das Einverständnis zur genau spezifizierten Nutzung bestimmter Daten von den Nutzern einholen und dokumentieren - eine Blankovollmacht, die alles abdeckt, reicht nicht aus.

Diese - durchaus anspruchsvollen - Anforderungen zu erfüllen, reicht aber bei Weitem nicht - solange Sie sich nicht um grundlegende Cybersicherheitshygiene kümmern. Viele Unternehmen scheitern hier noch und ermöglichen es Angreifern, in ihre Netzwerke einzudringen und Unternehmensdaten zu stehlen. Verizon gab kürzlich den 2017 Data Breach Investigations Report (DBIR) heraus. 88 Prozent der dokumentierten Datensicherheitsverletzungen entfielen auf Muster, die auch schon 2014 identifiziert wurden. Das zeigt, dass die Angriffsstrategien weitgehend statisch sind. Anders ausgedrückt: Angreifer können sehr einfallsreich sein, wenn sie müssen - aber in den meisten Fällen müssen sie nicht, da die altbewährten Tricks immer noch gut funktionieren.

Malware spielt eine große Rolle bei den durchschnittlichen Cyberangriffen. Dem DBIR-Report für 2017 zufolge war an 51 Prozent aller Sicherheitsverletzungen Malware beteiligt, zwei Drittel davon installierten sich über bösartige Dateianhänge von E-Mails.

In vielen Fällen muss die Malware noch nicht einmal besonders neu sein. Laut dem HPE 2016 Cyber Risk Report von Hewlett Packard Enterprise waren die zehn am häufigsten ausgenutzten Sicherheitslücken jeweils über ein Jahr alt. 68 Prozent waren sogar drei Jahre alt und älter. Offenbar gelingt es Angreifern, in Unternehmen einzudringen, ohne in teure Zero-Day-Exploits zu investieren - sie nutzen einfach Sicherheitslücken, die die Opfer schon vor langer Zeit hätten schließen sollen.

Herkömmliche Antivirensoftware versucht, dieses Problem zu lösen, hat aber ihre Grenzen. AV-Anbieter versuchen schon seit den 1980er-Jahren, Computer sicherer zu machen, indem sie Programme entwickeln, die bösartige Software abwehren. Damals war das noch einfacher, da es weniger Viren gab; dadurch war das Problem leichter zu bewältigen.

Seither jedoch haben sich Viren explosionsartig vermehrt, Cyberkriminelle haben aufwendige Lieferketten aufgebaut, über die Malware entwickelt und praktisch täglich variiert wird. Inzwischen gibt es Hunderte Millionen Malware-Stämme in freier Wildbahn, viele davon sind in der Lage, pro Maschine eine eigene Mutation zu bilden. Dadurch hat Schutzsoftware, die gegen Malware vorgeht, gewaltige Schwierigkeiten, auf dem Laufenden zu bleiben.

Wenn Malware oft der erste Schritt beim Diebstahl von Unternehmensdaten ist, dann brauchen die Unternehmen Tools, die nicht nur ältere Exploits bekämpfen, sondern auch gegen Zero-Day-Stämme wirksam sind - und zwar zuverlässig. Wie sollen Sie damit anfangen, die GDPR-Anforderungen zu erfüllen, Ihre Daten sicher zu halten, wenn Sie Software nutzen, die häufig neue Malware-Stämme übersieht?

Neue Technologien, die auf Künstliche Intelligenz (KI) setzen, verschieben den Fokus weg von Signatur- und Heuristik-basierendem Malware-Schutz. Statt zu versuchen, jedes Stück Malware einzeln aufzuspüren und zu neutralisieren, geht KI das Problem anders an: Sie trainiert einen Maschinenlernen-Algorithmus mithilfe gewaltiger Datenbestände. Ein Datenbestand enthält gutartige Software, ein zweiter die bekannten bösartigen Programme. Beim Maschinenlernen untersucht der Algorithmus eine Reihe technischer Eigenschaften in jeder Datei und erstellt aus den Erkenntnissen ein statistisches Modell.

Wenn Anti-Malware-Tools auf KI-Basis auf neue Software stoßen, analysieren sie sie anhand des statistischen Modells und können so schneller und präziser bestimmen, ob sie zulässig ist. So lässt sich bösartige Software einfacher vor der Ausführung stoppen, lange bevor die Kunden dazu kommen, Patches einzuspielen.

Für die Herausforderungen durch die Datenschutz-Grundverordnung gibt es keinen Königsweg. Schließlich stellt die Verordnung komplexe und weitreichende Anforderungen auf, die viele unterschiedliche Teile eines Unternehmens berühren.

Derzeit sind die Unternehmen dabei, sich auf die GDPR vorzubereiten, indem sie ihre Datenbestände kartieren und die Systeme anpassen, sodass sie Nutzerdaten auf Anforderung löschen können. Sie evaluieren die Möglichkeiten, Daten in zentral gemanagten Datenseen (Data Lakes) zu sammeln, wo sie leichter darauf zugreifen können. Und sie untersuchen die Anonymisierung, um sensible persönliche Daten zu schützen und der GDPR-Forderung nach eingebautem Datenschutz („Privacy by Design“) zu entsprechen.

Diese Maßnahmen tragen dazu bei, schmerzhafte Strafen zu vermeiden. Angreifer sind aber weiterhin in der Lage, leicht mithilfe von so genannten Droppern in Computernetze einzudringen; Dropper sind spezielle Trojanische Pferde, die eine Verbindung zum Command-and-Control-Netzwerk herstellen und den Angreifern so alle Türen öffnen. Betroffene Unternehmen verlieren auf diese Weise immer noch Kundendaten, außerdem riskieren sie weiterhin Rufschädigung und regulatorische Maßnahmen.

Stecken Sie nicht alle Anstrengungen und Investitionen in juristische Beratung und Softwareveränderungen, ohne sich zuerst um die Grundlagen zu kümmern. Wenn Sie die Gefahren durch Malware bannen, erzielen sie damit einen schnellen Erfolg, der Sie auf dem Weg zur GDPR-Compliance ein gewaltiges Stück nach vorne bringt.