Bild: RNF
"Ich muss in der heutigen Zeit davon ausgehen, dass es auch mich treffen kann, und brauche einen Plan B, wenn Firewalls und Malware Protection versagen", sagt Gemaltos Country Manager Christian Linhart.
Bild: RNF

Interview – Christian Linhart, Gemalto

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto sind teilweise erschreckend. Wir haben mit Country Manager Christian Linhart darüber, aber auch über das Thema EU-DSGVO gesprochen.

von: Rudolf Felser

Christian Linhart verantwortet bei Gemalto als Country Manager den Bereich Enterprise & Cybersecurity in Österreich. Bei dem Unternehmen, das besonders für seine Chip-Karten-Herstellung bekannt ist, konzentriert sich dieser Bereich hauptsächlich auf den Schutz von Identitäten, etwa durch 2-Faktor-Authentifizierung, sowie den Schutz von Daten durch Verschlüsselung. 

Heute veröffentlichte das Unternehmen seinen neuen Breach Level Index, der sich mit weltweiten Vorfällen von Datendiebstahl und Datenverstößen beschäftigt. Die aktuellen Ergebnisse sind teilweise alarmierend: So wurden im Jahr 2017 beispielsweise insgesamt 2,6 Mrd. entwendete, verlorene oder preisgegebene Datensätze registriert – eine Steigerung von rund 88 Prozent gegenüber dem Vorjahr. Zwar hat die Anzahl der Vorfälle seit 2016 um 11 Prozent abgenommen, doch die absolute Zahl der dabei kompromittierten einzelnen Datensätze ist zum ersten Mal seit 2013, als der Index gestartet wurde, über die Zwei-Milliarden-Marke gestiegen. Noch dazu sehr deutlich. 

Der "heilige Gral" für Hacker 

"Interessant ist, dass die Vorfälle weniger Kreditkarteninformationen betreffen, sondern eher Basis-Informationen wie Username, Passwort oder personenbezogene Daten. Für eine gültige Kombination aus Username und Passwort bekommt man im Darknet 50 Cent. Wenn man eine große Datenbank abgreift, zahlt sich das aus", kommentierte Linhart gegenüber monitor.at. Erschwerend kommt noch hinzu, dass diese Kombinationen in vielen Fällen dazu benutzt werden, um an weitere Zugänge und Daten heranzukommen. Gerade, wenn User dasselbe Passwort für verschiedene Logins nutzen, ist das fatal. Der "heilige Gral" für Hacker ist laut Linhart, wenn sie so Zugang zum E-Mail-Account des Nutzers erhalten: "Wenn ich mein Passwort bei einem Dienst zurücksetze, läuft das meistens über E-Mail. So erhält der Hacker Zugriff auf andere Konten." Auch Unternehmen würden das Login-Thema häufig noch zu fahrlässig behandeln und Zugänge zu Datenbanken oder Servern weiterhin allein mit Usernamen und Passwörtern absichern, so der Country Manager: "Dass es 2-Faktor-Authentifizierung gibt, ist scheinbar noch nicht überall angekommen. Aus Security-Sicht ist das ein Horror. Passwörter kann man zum Beispiel auch weitergeben." 

Ebenfalls ein Horror, um auf die Ergebnisse des Breach Level Index zurückzukommen: In weniger als 5 Prozent der Fälle waren die kompromittierten Datensätze verschlüsselt. Linhart: "Die Unternehmen geben traditionell noch immer viel Geld für klassische Perimeter-Security aus. Aber selbst ein mehrstufiges System kann überwunden werden. Ich muss in der heutigen Zeit davon ausgehen, dass es auch mich treffen kann, und brauche einen Plan B, wenn Firewalls und Malware Protection versagen. Das kann ich heute nur machen, indem ich Daten anonymisiere und verschlüssele." Aber auch dabei kann man viel falsch machen. "Es ist sehr wichtig, die Krypto-Schlüssel von den Daten zu trennen. Sonst wäre das wie die Haustür zuzusperren und den Schlüssel unter die Fußmatte zu legen." 

Wichtig ist Linhart auch, dass Verschlüsselung nicht nur als notwendiges Übel, sondern auch als Business-Enabler gesehen werden kann: "Wenn ich meine Daten richtig verschlüssele, dann ist es egal, wo sie liegen, ob bei mir im Unternehmen oder in einer Cloud-Infrastruktur. Bin ich mit dem Anbieter nicht zufrieden, nehme ich meine Daten, gehe zu einem anderen und zerstöre den Schlüssel. Dann kann niemand mehr die Daten entschlüsseln. 

Linharts "goldene drei Schritte": Daten verschlüsseln, gut auf die Schlüssel aufpassen, am besten mit einem zentralen Schlüsselmanagement, und den Zugriff auf diese Schlüssel klar regeln. "Denn die schönste Verschlüsselung hilft nichts, wenn ich den Zugang zu den Schlüsseln mit Username und Passwort gesichert habe."

Bild: RNF
Christian Linhart, Country Manager Austria des Bereichs Enterprise & Cybersecurity bei Gemalto
Bild: RNF

Bei den Mitarbeitern ansetzen 

Ein weiteres dramatisches Ergebnis des Breach Level Index betrifft die Ursache der Vorfälle. Datenverlust aufgrund unsachgemäß entsorgter Datensätze, falsch konfigurierter Datenbanken und anderer, durch "Fahrlässigkeit" verursachter Sicherheitsprobleme führten demnach zur Preisgabe von insgesamt 1,9 Mrd. Datensätzen. Dem Index zufolge bedeutet das einen Anstieg von sage und schreibe 580 Prozent gegenüber den Zahlen von 2016. Einerseits ist das erschreckend, andererseits offenbart es aber auch eine Chance. Denn während man einen Hacker wahrscheinlich vergeblich darum bittet, sein Schaffen zu unterlassen, kann man bei den eigenen Mitarbeitern sehr wohl ansetzen. "Mitarbeiterschulungen sind das A und O. Da ist noch viel mangelndes Wissen vorhanden. Aber Unternehmen müssen den Mitarbeitern auch Hilfsmittel, wie eine starke Authentifizierung, oder Schulungen zur Verfügung stellen", so Linhart. 

Neben dem Diebstahl von Daten gibt es laut dem Experten ein weiteres Thema: "Wir sehen immer häufiger auch die Manipulation von Daten. Wenn zum Beispiel bei Forschungsergebnissen Kommastellen verändert oder Zahlen umgebaut werden, kann das verheerende Auswirkungen haben, wenn auf Basis dieser manipulierten Daten Entscheidungen getroffen werden." Auch hier spielt Verschlüsselung Linhart zufolge ihre Vorteile aus: "Wenn ich die Daten verschlüsselt habe, können sie nicht manipuliert werden. Wenn die Prüfsumme nicht passt, kann man die Daten nicht mehr zusammensetzen." 

Grundlegend ist laut ihm festzuhalten: "In der heutigen Zeit habe ich Daten in der Cloud, bei einem Outsourcer, tausche sie mit anderen Unternehmen aus. Daten sind nicht mehr eingesperrt, deswegen muss ich andere Schutzmechanismen anwenden. Data is the new perimeter. Ich muss meine wichtigsten Daten am Kern schützen." 

DSGVO: Keine Meldepflicht bei Verschlüsselung 

Ein Thema, um das man dieser Tage (auch abseits der IT-Security) nicht herumkommt, ist selbstverständlich die anstehende europäische Datenschutz-Grundverordnung (EU-DSGVO). Für die Anbieter von IT-Security und Verschlüsselung ein gefundenes Fressen. Wobei Linhart so ehrlich ist zuzugeben: "Wir sind nur ein Baustein beziehungsweise verstehen uns als flexibles Framework, das man einsetzen kann um viele Schmerzpunkte zu lösen. Aber klarerweise gehören auch einige andere Punkte dazu, die erledigt werden müssen, nicht nur 2-Faktor-Authentifizerung und Verschlüsselung." 

Zu seiner Einschätzung der aktuellen DSGVO-Umsetzungs-Lage in Österreich befragt zeigte sich der Gemalto-Country-Manager überzeugt, dass die meisten heimischen Unternehmen sich mit dem Thema zumindest bereits beschäftigt hätten. Auch viele Verfahrensverzeichnisse seien bereits erstellt worden. "Aber meiner Meinung nach werden es die wenigsten Unternehmen schaffen, bis zum 25. Mai DSGVO-compliant zu sein. Wenn es 50 Prozent sein werden, sind wir schon gut unterwegs. Viele sind noch damit beschäftigt herauszufinden, welche Applikationen und Prozesse mit welchen Daten arbeiten. Das sind die Hausaufgaben, die zuerst kommen. Erst in zweiter Linie kommt die technische Umsetzung dran. Wenn ich clever bin, kann ich mit 2-Faktor-Authentifizierung und Verschlüsselung schon vorab einen Grundschutz herstellen, mit dem ich auch nachweisen kann, dass ich bereits etwas getan habe. Ein Verfahrensverzeichnis hilft mir im Zweifelsfall auch vor Gericht wahrscheinlich weniger, als wenn ich technische Maßnahmen ergriffen habe." 

Zum Abschluss lenkte Linhart die Aufmerksamkeit noch auf einen weiteren, im Zusammenhang mit der DSGVO nicht unwesentlichen Punkt: die Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden. "Diese Meldepflicht ist nicht wirksam, wenn die Daten verschlüsselt wurden und der Schlüssel nachweisbar nicht gemeinsam mit den Daten verloren gegangen ist. Denn dann sind die Daten wertlos und es muss auch nichts bekanntgegeben werden. Wenn ich als Verantwortlicher die Wahl hätte, mit Verschlüsselung mein Unternehmen vor negativer Presse zu schützen, dann wäre es mir das wert."

Mehr Artikel zum Thema: Interview Security EU-DSGVO

Marx macht die Cloud sicherer

Irene Marx steigt ab sofort als Area Manager Alpine beim...

Weiterlesen

Freundsberger folgt auf Marx

Cyber-Security-Anbieter Fortinet hat einen neuen...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Security ist nichts Starres

Welche Bedrohungen der IT-Sicherheit stehen bei...

Weiterlesen

Sieben IT-Risiken, an die niemand denkt

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

"Unsere Krypto-Software muss sicher und zuverlässig sein"

Kryptowährungen spielen eine immer größere Rolle, sind daher...

Weiterlesen

ERP ist der Safe der Daten

Wie passen Hype-Bergiffe, zum Beispiel KI oder Blockchain,...

Weiterlesen

Vom "PC-Schrauber" zur eigenen City

Die Anfänge des IKT-Distributors Omega waren bescheiden....

Weiterlesen

Zugriff verweigert. Bitte geben Sie ihr Passwort ein.

Citrix Austria Country Manager Wolfgang Mayer über den...

Weiterlesen

Wir haben unser Versprechen gehalten

Anlässlich des Marktstarts des Nokia 7.1 lud HMD Global in...

Weiterlesen

Automation Voraussetzung für Cloud-Erfolg

Automation ist der entscheidende Faktor, der den...

Weiterlesen

Stress führt zum Datentod

Laut einer Umfrage der Datenretter von Kroll Ontrack sind...

Weiterlesen

Konica Minolta lädt zum OPEN House

Konica Minolta lädt zum Tag der offenen Tür. Den Start macht...

Weiterlesen

Managed Security vs. Crime as a Service

IT-Sicherheit ist nicht rein digital, sondern hat auch...

Weiterlesen

Datenschutzmanagement perfekt im Griff?

Der Lehrgang Die/Der Zertifizierte Datenschutzbeauftragte...

Weiterlesen

it-sa mit neuen Rekorden

Die it-sa verzeichnet zur diesjährigen zehnten Ausgabe neue...

Weiterlesen

Max Schrems: "Fehlinterpretationen der DSGVO"

Die Datenschutzbehörde ist seit dem "Startschuss" für die...

Weiterlesen

DSGVO nahezu bewältigt

Bei der Präsentation der aktuellen "KMU...

Weiterlesen