Bild: RNF
"Ich muss in der heutigen Zeit davon ausgehen, dass es auch mich treffen kann, und brauche einen Plan B, wenn Firewalls und Malware Protection versagen", sagt Gemaltos Country Manager Christian Linhart.
Bild: RNF

Interview – Christian Linhart, Gemalto

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto sind teilweise erschreckend. Wir haben mit Country Manager Christian Linhart darüber, aber auch über das Thema EU-DSGVO gesprochen.

von: Rudolf Felser

Christian Linhart verantwortet bei Gemalto als Country Manager den Bereich Enterprise & Cybersecurity in Österreich. Bei dem Unternehmen, das besonders für seine Chip-Karten-Herstellung bekannt ist, konzentriert sich dieser Bereich hauptsächlich auf den Schutz von Identitäten, etwa durch 2-Faktor-Authentifizierung, sowie den Schutz von Daten durch Verschlüsselung. 

Heute veröffentlichte das Unternehmen seinen neuen Breach Level Index, der sich mit weltweiten Vorfällen von Datendiebstahl und Datenverstößen beschäftigt. Die aktuellen Ergebnisse sind teilweise alarmierend: So wurden im Jahr 2017 beispielsweise insgesamt 2,6 Mrd. entwendete, verlorene oder preisgegebene Datensätze registriert – eine Steigerung von rund 88 Prozent gegenüber dem Vorjahr. Zwar hat die Anzahl der Vorfälle seit 2016 um 11 Prozent abgenommen, doch die absolute Zahl der dabei kompromittierten einzelnen Datensätze ist zum ersten Mal seit 2013, als der Index gestartet wurde, über die Zwei-Milliarden-Marke gestiegen. Noch dazu sehr deutlich. 

Der "heilige Gral" für Hacker 

"Interessant ist, dass die Vorfälle weniger Kreditkarteninformationen betreffen, sondern eher Basis-Informationen wie Username, Passwort oder personenbezogene Daten. Für eine gültige Kombination aus Username und Passwort bekommt man im Darknet 50 Cent. Wenn man eine große Datenbank abgreift, zahlt sich das aus", kommentierte Linhart gegenüber monitor.at. Erschwerend kommt noch hinzu, dass diese Kombinationen in vielen Fällen dazu benutzt werden, um an weitere Zugänge und Daten heranzukommen. Gerade, wenn User dasselbe Passwort für verschiedene Logins nutzen, ist das fatal. Der "heilige Gral" für Hacker ist laut Linhart, wenn sie so Zugang zum E-Mail-Account des Nutzers erhalten: "Wenn ich mein Passwort bei einem Dienst zurücksetze, läuft das meistens über E-Mail. So erhält der Hacker Zugriff auf andere Konten." Auch Unternehmen würden das Login-Thema häufig noch zu fahrlässig behandeln und Zugänge zu Datenbanken oder Servern weiterhin allein mit Usernamen und Passwörtern absichern, so der Country Manager: "Dass es 2-Faktor-Authentifizierung gibt, ist scheinbar noch nicht überall angekommen. Aus Security-Sicht ist das ein Horror. Passwörter kann man zum Beispiel auch weitergeben." 

Ebenfalls ein Horror, um auf die Ergebnisse des Breach Level Index zurückzukommen: In weniger als 5 Prozent der Fälle waren die kompromittierten Datensätze verschlüsselt. Linhart: "Die Unternehmen geben traditionell noch immer viel Geld für klassische Perimeter-Security aus. Aber selbst ein mehrstufiges System kann überwunden werden. Ich muss in der heutigen Zeit davon ausgehen, dass es auch mich treffen kann, und brauche einen Plan B, wenn Firewalls und Malware Protection versagen. Das kann ich heute nur machen, indem ich Daten anonymisiere und verschlüssele." Aber auch dabei kann man viel falsch machen. "Es ist sehr wichtig, die Krypto-Schlüssel von den Daten zu trennen. Sonst wäre das wie die Haustür zuzusperren und den Schlüssel unter die Fußmatte zu legen." 

Wichtig ist Linhart auch, dass Verschlüsselung nicht nur als notwendiges Übel, sondern auch als Business-Enabler gesehen werden kann: "Wenn ich meine Daten richtig verschlüssele, dann ist es egal, wo sie liegen, ob bei mir im Unternehmen oder in einer Cloud-Infrastruktur. Bin ich mit dem Anbieter nicht zufrieden, nehme ich meine Daten, gehe zu einem anderen und zerstöre den Schlüssel. Dann kann niemand mehr die Daten entschlüsseln. 

Linharts "goldene drei Schritte": Daten verschlüsseln, gut auf die Schlüssel aufpassen, am besten mit einem zentralen Schlüsselmanagement, und den Zugriff auf diese Schlüssel klar regeln. "Denn die schönste Verschlüsselung hilft nichts, wenn ich den Zugang zu den Schlüsseln mit Username und Passwort gesichert habe."

Bild: RNF
Christian Linhart, Country Manager Austria des Bereichs Enterprise & Cybersecurity bei Gemalto
Bild: RNF

Bei den Mitarbeitern ansetzen 

Ein weiteres dramatisches Ergebnis des Breach Level Index betrifft die Ursache der Vorfälle. Datenverlust aufgrund unsachgemäß entsorgter Datensätze, falsch konfigurierter Datenbanken und anderer, durch "Fahrlässigkeit" verursachter Sicherheitsprobleme führten demnach zur Preisgabe von insgesamt 1,9 Mrd. Datensätzen. Dem Index zufolge bedeutet das einen Anstieg von sage und schreibe 580 Prozent gegenüber den Zahlen von 2016. Einerseits ist das erschreckend, andererseits offenbart es aber auch eine Chance. Denn während man einen Hacker wahrscheinlich vergeblich darum bittet, sein Schaffen zu unterlassen, kann man bei den eigenen Mitarbeitern sehr wohl ansetzen. "Mitarbeiterschulungen sind das A und O. Da ist noch viel mangelndes Wissen vorhanden. Aber Unternehmen müssen den Mitarbeitern auch Hilfsmittel, wie eine starke Authentifizierung, oder Schulungen zur Verfügung stellen", so Linhart. 

Neben dem Diebstahl von Daten gibt es laut dem Experten ein weiteres Thema: "Wir sehen immer häufiger auch die Manipulation von Daten. Wenn zum Beispiel bei Forschungsergebnissen Kommastellen verändert oder Zahlen umgebaut werden, kann das verheerende Auswirkungen haben, wenn auf Basis dieser manipulierten Daten Entscheidungen getroffen werden." Auch hier spielt Verschlüsselung Linhart zufolge ihre Vorteile aus: "Wenn ich die Daten verschlüsselt habe, können sie nicht manipuliert werden. Wenn die Prüfsumme nicht passt, kann man die Daten nicht mehr zusammensetzen." 

Grundlegend ist laut ihm festzuhalten: "In der heutigen Zeit habe ich Daten in der Cloud, bei einem Outsourcer, tausche sie mit anderen Unternehmen aus. Daten sind nicht mehr eingesperrt, deswegen muss ich andere Schutzmechanismen anwenden. Data is the new perimeter. Ich muss meine wichtigsten Daten am Kern schützen." 

DSGVO: Keine Meldepflicht bei Verschlüsselung 

Ein Thema, um das man dieser Tage (auch abseits der IT-Security) nicht herumkommt, ist selbstverständlich die anstehende europäische Datenschutz-Grundverordnung (EU-DSGVO). Für die Anbieter von IT-Security und Verschlüsselung ein gefundenes Fressen. Wobei Linhart so ehrlich ist zuzugeben: "Wir sind nur ein Baustein beziehungsweise verstehen uns als flexibles Framework, das man einsetzen kann um viele Schmerzpunkte zu lösen. Aber klarerweise gehören auch einige andere Punkte dazu, die erledigt werden müssen, nicht nur 2-Faktor-Authentifizerung und Verschlüsselung." 

Zu seiner Einschätzung der aktuellen DSGVO-Umsetzungs-Lage in Österreich befragt zeigte sich der Gemalto-Country-Manager überzeugt, dass die meisten heimischen Unternehmen sich mit dem Thema zumindest bereits beschäftigt hätten. Auch viele Verfahrensverzeichnisse seien bereits erstellt worden. "Aber meiner Meinung nach werden es die wenigsten Unternehmen schaffen, bis zum 25. Mai DSGVO-compliant zu sein. Wenn es 50 Prozent sein werden, sind wir schon gut unterwegs. Viele sind noch damit beschäftigt herauszufinden, welche Applikationen und Prozesse mit welchen Daten arbeiten. Das sind die Hausaufgaben, die zuerst kommen. Erst in zweiter Linie kommt die technische Umsetzung dran. Wenn ich clever bin, kann ich mit 2-Faktor-Authentifizierung und Verschlüsselung schon vorab einen Grundschutz herstellen, mit dem ich auch nachweisen kann, dass ich bereits etwas getan habe. Ein Verfahrensverzeichnis hilft mir im Zweifelsfall auch vor Gericht wahrscheinlich weniger, als wenn ich technische Maßnahmen ergriffen habe." 

Zum Abschluss lenkte Linhart die Aufmerksamkeit noch auf einen weiteren, im Zusammenhang mit der DSGVO nicht unwesentlichen Punkt: die Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden. "Diese Meldepflicht ist nicht wirksam, wenn die Daten verschlüsselt wurden und der Schlüssel nachweisbar nicht gemeinsam mit den Daten verloren gegangen ist. Denn dann sind die Daten wertlos und es muss auch nichts bekanntgegeben werden. Wenn ich als Verantwortlicher die Wahl hätte, mit Verschlüsselung mein Unternehmen vor negativer Presse zu schützen, dann wäre es mir das wert."

Mehr Artikel zum Thema: Interview Security EU-DSGVO

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Sicherheitsrisiko Führungskraft

NTT Security, das "Security Center of Excellence" der NTT...

Weiterlesen

Was bedeutet KI für Cybersecurity?

Künstliche Intelligenz und Machine Learning liegen auch im...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

ESET: Suhl neuer Country Manager DACH

Holger Suhl übernimmt ab sofort die Position des Country...

Weiterlesen

IT-Sicherheit: Resignation ist unangebracht

Je besser ein Hausbesitzer Fenster und Türen absichert,...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

66 Prozent schützen Office-365-Umgebung nicht!

Barracuda hat kürzlich eine Umfrage unter seinen...

Weiterlesen

EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in...

Weiterlesen

Bitcoin als geschäftliches Zahlungsmittel

Risikofaktor, lohnendes Investment und anerkannte Währung -...

Weiterlesen

Nicht jammern, sondern etwas tun

Das in Linz gegründete Unternehmen Dynatrace zählt zu den...

Weiterlesen

Fachkräftemangel in Sachen Cybersicherheit – Fünf Ansätze

Gerade im Bereich Cybersicherheitsanalytik und -betrieb...

Weiterlesen

"Wir sind Dienstleister und Schnittstelle"

Als Bundesministerin für Digitalisierung und...

Weiterlesen

EU-DSGVO und die Cloud: Wer trägt welche Verantwortung?

Cloud-Computing ist kein Trend, sondern schlicht die nächste...

Weiterlesen

Privatsphäre beim Fernsehen schützen

Mit einer Security-Lösung für Smart TVs will ESET seine...

Weiterlesen

Orientierung im DSGVO-Dickicht

Das IT-Systemhaus NAVAX und VACE IT & SECURITY SERVICES...

Weiterlesen