Bild: RNF
"Ich muss in der heutigen Zeit davon ausgehen, dass es auch mich treffen kann, und brauche einen Plan B, wenn Firewalls und Malware Protection versagen", sagt Gemaltos Country Manager Christian Linhart.
Bild: RNF

Interview – Christian Linhart, Gemalto

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto sind teilweise erschreckend. Wir haben mit Country Manager Christian Linhart darüber, aber auch über das Thema EU-DSGVO gesprochen.

von: Rudolf Felser

Christian Linhart verantwortet bei Gemalto als Country Manager den Bereich Enterprise & Cybersecurity in Österreich. Bei dem Unternehmen, das besonders für seine Chip-Karten-Herstellung bekannt ist, konzentriert sich dieser Bereich hauptsächlich auf den Schutz von Identitäten, etwa durch 2-Faktor-Authentifizierung, sowie den Schutz von Daten durch Verschlüsselung. 

Heute veröffentlichte das Unternehmen seinen neuen Breach Level Index, der sich mit weltweiten Vorfällen von Datendiebstahl und Datenverstößen beschäftigt. Die aktuellen Ergebnisse sind teilweise alarmierend: So wurden im Jahr 2017 beispielsweise insgesamt 2,6 Mrd. entwendete, verlorene oder preisgegebene Datensätze registriert – eine Steigerung von rund 88 Prozent gegenüber dem Vorjahr. Zwar hat die Anzahl der Vorfälle seit 2016 um 11 Prozent abgenommen, doch die absolute Zahl der dabei kompromittierten einzelnen Datensätze ist zum ersten Mal seit 2013, als der Index gestartet wurde, über die Zwei-Milliarden-Marke gestiegen. Noch dazu sehr deutlich. 

Der "heilige Gral" für Hacker 

"Interessant ist, dass die Vorfälle weniger Kreditkarteninformationen betreffen, sondern eher Basis-Informationen wie Username, Passwort oder personenbezogene Daten. Für eine gültige Kombination aus Username und Passwort bekommt man im Darknet 50 Cent. Wenn man eine große Datenbank abgreift, zahlt sich das aus", kommentierte Linhart gegenüber monitor.at. Erschwerend kommt noch hinzu, dass diese Kombinationen in vielen Fällen dazu benutzt werden, um an weitere Zugänge und Daten heranzukommen. Gerade, wenn User dasselbe Passwort für verschiedene Logins nutzen, ist das fatal. Der "heilige Gral" für Hacker ist laut Linhart, wenn sie so Zugang zum E-Mail-Account des Nutzers erhalten: "Wenn ich mein Passwort bei einem Dienst zurücksetze, läuft das meistens über E-Mail. So erhält der Hacker Zugriff auf andere Konten." Auch Unternehmen würden das Login-Thema häufig noch zu fahrlässig behandeln und Zugänge zu Datenbanken oder Servern weiterhin allein mit Usernamen und Passwörtern absichern, so der Country Manager: "Dass es 2-Faktor-Authentifizierung gibt, ist scheinbar noch nicht überall angekommen. Aus Security-Sicht ist das ein Horror. Passwörter kann man zum Beispiel auch weitergeben." 

Ebenfalls ein Horror, um auf die Ergebnisse des Breach Level Index zurückzukommen: In weniger als 5 Prozent der Fälle waren die kompromittierten Datensätze verschlüsselt. Linhart: "Die Unternehmen geben traditionell noch immer viel Geld für klassische Perimeter-Security aus. Aber selbst ein mehrstufiges System kann überwunden werden. Ich muss in der heutigen Zeit davon ausgehen, dass es auch mich treffen kann, und brauche einen Plan B, wenn Firewalls und Malware Protection versagen. Das kann ich heute nur machen, indem ich Daten anonymisiere und verschlüssele." Aber auch dabei kann man viel falsch machen. "Es ist sehr wichtig, die Krypto-Schlüssel von den Daten zu trennen. Sonst wäre das wie die Haustür zuzusperren und den Schlüssel unter die Fußmatte zu legen." 

Wichtig ist Linhart auch, dass Verschlüsselung nicht nur als notwendiges Übel, sondern auch als Business-Enabler gesehen werden kann: "Wenn ich meine Daten richtig verschlüssele, dann ist es egal, wo sie liegen, ob bei mir im Unternehmen oder in einer Cloud-Infrastruktur. Bin ich mit dem Anbieter nicht zufrieden, nehme ich meine Daten, gehe zu einem anderen und zerstöre den Schlüssel. Dann kann niemand mehr die Daten entschlüsseln. 

Linharts "goldene drei Schritte": Daten verschlüsseln, gut auf die Schlüssel aufpassen, am besten mit einem zentralen Schlüsselmanagement, und den Zugriff auf diese Schlüssel klar regeln. "Denn die schönste Verschlüsselung hilft nichts, wenn ich den Zugang zu den Schlüsseln mit Username und Passwort gesichert habe."

Bild: RNF
Christian Linhart, Country Manager Austria des Bereichs Enterprise & Cybersecurity bei Gemalto
Bild: RNF

Bei den Mitarbeitern ansetzen 

Ein weiteres dramatisches Ergebnis des Breach Level Index betrifft die Ursache der Vorfälle. Datenverlust aufgrund unsachgemäß entsorgter Datensätze, falsch konfigurierter Datenbanken und anderer, durch "Fahrlässigkeit" verursachter Sicherheitsprobleme führten demnach zur Preisgabe von insgesamt 1,9 Mrd. Datensätzen. Dem Index zufolge bedeutet das einen Anstieg von sage und schreibe 580 Prozent gegenüber den Zahlen von 2016. Einerseits ist das erschreckend, andererseits offenbart es aber auch eine Chance. Denn während man einen Hacker wahrscheinlich vergeblich darum bittet, sein Schaffen zu unterlassen, kann man bei den eigenen Mitarbeitern sehr wohl ansetzen. "Mitarbeiterschulungen sind das A und O. Da ist noch viel mangelndes Wissen vorhanden. Aber Unternehmen müssen den Mitarbeitern auch Hilfsmittel, wie eine starke Authentifizierung, oder Schulungen zur Verfügung stellen", so Linhart. 

Neben dem Diebstahl von Daten gibt es laut dem Experten ein weiteres Thema: "Wir sehen immer häufiger auch die Manipulation von Daten. Wenn zum Beispiel bei Forschungsergebnissen Kommastellen verändert oder Zahlen umgebaut werden, kann das verheerende Auswirkungen haben, wenn auf Basis dieser manipulierten Daten Entscheidungen getroffen werden." Auch hier spielt Verschlüsselung Linhart zufolge ihre Vorteile aus: "Wenn ich die Daten verschlüsselt habe, können sie nicht manipuliert werden. Wenn die Prüfsumme nicht passt, kann man die Daten nicht mehr zusammensetzen." 

Grundlegend ist laut ihm festzuhalten: "In der heutigen Zeit habe ich Daten in der Cloud, bei einem Outsourcer, tausche sie mit anderen Unternehmen aus. Daten sind nicht mehr eingesperrt, deswegen muss ich andere Schutzmechanismen anwenden. Data is the new perimeter. Ich muss meine wichtigsten Daten am Kern schützen." 

DSGVO: Keine Meldepflicht bei Verschlüsselung 

Ein Thema, um das man dieser Tage (auch abseits der IT-Security) nicht herumkommt, ist selbstverständlich die anstehende europäische Datenschutz-Grundverordnung (EU-DSGVO). Für die Anbieter von IT-Security und Verschlüsselung ein gefundenes Fressen. Wobei Linhart so ehrlich ist zuzugeben: "Wir sind nur ein Baustein beziehungsweise verstehen uns als flexibles Framework, das man einsetzen kann um viele Schmerzpunkte zu lösen. Aber klarerweise gehören auch einige andere Punkte dazu, die erledigt werden müssen, nicht nur 2-Faktor-Authentifizerung und Verschlüsselung." 

Zu seiner Einschätzung der aktuellen DSGVO-Umsetzungs-Lage in Österreich befragt zeigte sich der Gemalto-Country-Manager überzeugt, dass die meisten heimischen Unternehmen sich mit dem Thema zumindest bereits beschäftigt hätten. Auch viele Verfahrensverzeichnisse seien bereits erstellt worden. "Aber meiner Meinung nach werden es die wenigsten Unternehmen schaffen, bis zum 25. Mai DSGVO-compliant zu sein. Wenn es 50 Prozent sein werden, sind wir schon gut unterwegs. Viele sind noch damit beschäftigt herauszufinden, welche Applikationen und Prozesse mit welchen Daten arbeiten. Das sind die Hausaufgaben, die zuerst kommen. Erst in zweiter Linie kommt die technische Umsetzung dran. Wenn ich clever bin, kann ich mit 2-Faktor-Authentifizierung und Verschlüsselung schon vorab einen Grundschutz herstellen, mit dem ich auch nachweisen kann, dass ich bereits etwas getan habe. Ein Verfahrensverzeichnis hilft mir im Zweifelsfall auch vor Gericht wahrscheinlich weniger, als wenn ich technische Maßnahmen ergriffen habe." 

Zum Abschluss lenkte Linhart die Aufmerksamkeit noch auf einen weiteren, im Zusammenhang mit der DSGVO nicht unwesentlichen Punkt: die Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden. "Diese Meldepflicht ist nicht wirksam, wenn die Daten verschlüsselt wurden und der Schlüssel nachweisbar nicht gemeinsam mit den Daten verloren gegangen ist. Denn dann sind die Daten wertlos und es muss auch nichts bekanntgegeben werden. Wenn ich als Verantwortlicher die Wahl hätte, mit Verschlüsselung mein Unternehmen vor negativer Presse zu schützen, dann wäre es mir das wert."

Mehr Artikel zum Thema: Interview Security EU-DSGVO

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Luke Roberts gehen 300 Lichter auf

Mit seiner smarten LED-Hängeleuchte will das junge Wiener...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

Österreichischer DSGVO-Spezialist eröffnet Niederlassung in Deutschland

Das junge österreichische Unternehmen Intervalid hat sich...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Bitcoin: Von Lösegeld und Schatztruhen

Sich als Unternehmen einen Notgroschen in Form von...

Weiterlesen

Steigende Budgets für Digitalisierung und Security

Viele Unternehmen nützen neue Technologien, um innovative...

Weiterlesen

Zeitenwende bei der Zutrittskontrolle

Industrie 4.0 ist mit beeindruckender Geschwindigkeit in...

Weiterlesen

Größte Security-Gefahren im Connected Car

Media-Schnittstellen, Car2X-Komunikation, Bus-Systeme: Autos...

Weiterlesen

DSGVO aus Sicht der Informatiker

Die Informatik-Experten Michael Sonntag und Reinhard Posch...

Weiterlesen

Schwache Passwörter als großes Sicherheitsrisiko

Exotische und komplexe Angriffsszenarien kommen vor und man...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

Mehr Angriffe auf Finanzsektor

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

LCM: Geburtshelfer für innovative Ideen

Die klugen Köpfe der Linz Center of Mechatronics GmbH...

Weiterlesen

Die Digitalisierungs-Reise der SVA

Die Sozialversicherungsanstalt der gewerblichen Wirtschaft...

Weiterlesen

Das Netzwerk sieht alles

Was haben moderne Netzwerke mit Gehirnen, heißen Herdplatten...

Weiterlesen