Datenverschlüsselung und die Cloud TransformationDigitalisierung korreliert mit Verwundbarkeit
29. Juli 2020Überall in Europa sind Unternehmen und Organisationen dabei, ihr Geschäftsmodell grundlegend umzugestalten und digitale Technologien wie Cloud, Mobilfunk und IoT dafür zu adaptieren. 37 Prozent der bei der Studie „Thales Data Threat Report 2020“ Befragten setzen auf die Digitalisierung, um eine größere Unternehmensflexibilität zu ermöglichen. Doch wie sieht es mit der IT-Security aus?
Auf der einen Seite sehen sich Unternehmen mit Chancen auf Wettbewerbsvorteile konfrontiert, gleichzeitig aber auch mit zahlreichen Herausforderungen bei der Datensicherheit. Die Digitalisierung korreliert positiv mit der Verwundbarkeit: Je mehr eine Organisation digital umgewandelt wird, desto wahrscheinlicher ist es, dass sie eine Datenschutzverletzung erlebt.
Unternehmen, die die strategischen, organisatorischen, technologischen und finanziellen Entscheidungen treffen, die sie für die digitale Transformation in den nächsten Jahren vorbereiten, können ebenfalls einer Datengefährdung ausgesetzt sein. Diejenigen, die hier investieren, sind sich eher über eine Datenschutzverletzung bewusst, als diejenigen, die es eher nicht tun. Darüber hinaus werden sie den Sicherheitsvorfall eher entdecken als eine Organisation, die wenig in die Digitalisierung investiert hat.
Daten liegen bereits in der Cloud und zwar in allen möglichen Clouds
Alle europäischen Organisationen haben sensible Daten in der Cloud. Der Anteil der Daten in der Cloud liegt mit 50 Prozent etwas niedriger als die globale Stichprobe. Noch wichtiger ist, dass die Befragten angeben, dass schätzungsweise 43 Prozent der in der Cloud gespeicherten Daten sensibel sind. Je mehr sensible Daten in Cloud-Umgebungen gespeichert werden, desto größer sind die Risiken für die Datensicherheit.
Doch trotz dieser erheblichen Gefährdung sensibler Daten, sind die Raten der Datenverschlüsselung und Tokenisierung gering. Tatsächlich geben alle Befragten an, dass zumindest einige ihrer sensiblen Daten in der Cloud nicht verschlüsselt sind. Nur 54 Prozent der sensiblen Daten, die in Cloud-Umgebungen gespeichert sind, werden durch Verschlüsselung und weniger als die Hälfte durch Tokenisierung geschützt.
Organisationen führen aktuell eine breite Palette von Technologien der 3. Plattform ein. Darunter fallen Cloud Computing, Mobile, Soziale Kanäle, Big Data und das Internet der Dinge (IoT). SaaS-Anwendungen haben mit 97 Prozent die größte Verbreitung bei europäischen Unternehmen, gegenüber 65 Prozent im Jahr 2018. Soziale Medien, mobile Zahlungen sowie IaaS- und PaaS-Cloud-Umgebungen führen ebenfalls die geplante Einführung an.
Die Datenexposition weitet sich inzwischen über den traditionellen Netzwerkumfang hinaus aus. Ebenso beherbergen viele europäische Organisationen sensible oder regulierte Daten in einer ähnlich breiten Palette von Technologien. 79 Prozent speichern sensible Daten in SaaS-Anwendungen, 34 Prozent speichern Daten in IaaS und 28 Prozent sichern Daten in PaaS-Umgebungen. Alle der an der Umfrage beteiligten europäischen Organisationen speichern Daten in mindestens einer dieser Cloud Umgebungen.
Lückenhafte Verschlüsselung führt zu trügerischem Sicherheitsgefühl
Alle Befragten gaben an, dass zumindest einige ihrer sensiblen Daten nicht verschlüsselt sind. Dieses Ergebnis gibt Anlass zur Sorge, zumal weltweit nur 57 Prozent der sensiblen Daten verschlüsselt, und nur 48 Prozent durch Token geschützt werden. Trotz der allgegenwärtigen und steigenden Cyberbedrohungen fühlen sich Unternehmen im Jahr 2019 weniger anfällig als im Jahr 2018.
68 Prozent der Unternehmen fühlten sich im Jahr 2019 verwundbar, gegenüber 86 Prozent im Jahr 2018. Dieses Gefühl eines besseren Schutzes könnte auf den beträchtlichen Investitionssprung bei IT-Sicherheit in den vergangenen Jahren und den sich ebenfalls entwickelnden Reifegrad der Sicherheitsprogramme zurückzuführen sein. Dazu kommt der ständige Druck der Regulierungsbehörden. Gleichzeitig haben sich die Anforderungen von traditionellen Sicherheitsindikatoren und -routinen hin zu geschäftsorientierten Zielen und zur Einhaltung von Vorschriften verschoben.
Dieses Gefühl einer geringeren Verwundbarkeit deutet auf eine Diskrepanz zwischen Wahrnehmung und Realität hin und wird nicht durch Datensicherheitspraktiken unterstützt. Unternehmen haben ihre Sicherheitslage nicht wesentlich verändert, indem sie Instrumente eingesetzt haben, die sie tatsächlich weniger verwundbar machen würden. Wie bereits erwähnt, sind die Verschlüsselungs- und Tokenisierungsraten von sensiblen Daten in der Cloud gering. Darüber hinaus implementieren nur 52 Prozent der Befragten aus Europa die Datenbankverschlüsselung (niedriger als die globale Stichprobe mit 59 Prozent) und 51 Prozent implementieren die Dateiverschlüsselung (niedriger als die globale Stichprobe mit 61 Prozent).
Verantwortlich sind immer die anderen
Unternehmen sind besorgt über viele Datensicherheitsprobleme im Zusammenhang mit der Cloud. Vor allem europäische Organisationen machen sich jedoch mehr Sorgen über Themen, die ihre Cloud-Anbieter betreffen, wie gemeinsam genutzte Infrastruktur, Datenschutzrichtlinien und die Einhaltung gesetzlicher Vorschriften. Obwohl es berechtigte Bedenken sind, liegt es sicherlich nicht an diesen Themen, wenn es zu einem Sicherheitsvorfall kommt.
Dieselben Organisationen sind weniger besorgt über Fragen, über die sie direkte Kontrolle haben und die größere potenzielle Schwachstellen darstellen, als die Verwaltung von Verschlüsselungs-Keys. Dieses Missverhältnis zwischen den wahrgenommenen Bedrohungen und denjenigen, über die sie eigentlich besorgt sein sollten, bedeutet, dass die Befragten die Datensicherheit in einer Cloud-first-Welt nicht vollständig berücksichtigt haben.
Jede Art von Cloud-Umgebung erfordert eine Verschiebung der Sicherheitsverantwortung für Identitäten, Daten, Anwendungen, Betriebssysteme, Server-Virtualisierung, Netzwerk, Infrastruktur und Hardware. Europäische Organisationen sollten ihren Fokus und ihre Sorge um die Cloud-Sicherheit auf den Teil des Modells der gemeinsamen Verantwortung legen, in dem die Organisation die Sicherheit ihrer Daten beeinflussen kann.
Allerdings nehmen die Sicherheitsbedenken in der Cloud zu, denn Unternehmen stellen immer mehr Daten in SaaS-, IaaS- und PaaS-Umgebungen bereit. 93 Prozent der Befragten in Europa hegen zumindest ein gewisses Maß an Bedenken hinsichtlich der Datensicherheit von SaaS-Anwendungen. Die Sicherheitsbedenken bei SaaS umfassen ein breites Spektrum von Risiken, wobei schriftliche Verpflichtungen zur Einhaltung von Vorschriften, ordnungsgemäße Konfigurationen zur Datenkontrolle, lokale Schlüsselverwaltung und Verschlüsselung von Daten innerhalb der Organisation des Dienstanbieters ganz oben stehen.
Bei den IaaS-Umgebungen sieht es ähnlich aus. 89 Prozent der Befragten aus Europa haben zumindest einige Bedenken bezüglich der Datensicherheit von IaaS-Umgebungen. Die IaaS-Sicherheitsbedenken decken ebenfalls ein breites Spektrum an Themen ab, wobei die Schlüsselverwaltung innerhalb der Infrastruktur eines Service Providers, die Schlüsselverwaltung als Service und die lokale Schlüsselintegration an erster Stelle stehen.
Ein ähnliches Bild bietet sich auch bei PaaS. Ebenfalls 89 Prozent der Befragten in Europa haben zumindest einige Bedenken bezüglich der Datensicherheit von PaaS-Umgebungen mit Datenverschlüsselung, Service Level Agreements und lokaler Schlüsselspeicherung als Vorreiter. Diese Besorgnis wird in dem Maße zunehmen, in dem Organisationen den Schwerpunkt von IaaS- und PaaS-Bereitstellungen auf die Unterstützung ihrer Anwendungsentwicklungsinitiativen im DX-Bereich verlagern.
Sicherheitsbedenken im Schlepptau
Genauso wie die digitale Transformation Chancen für neue Technologien schafft, bringt sie auch neue Sicherheitsbedenken mit sich. Transformationstechnologien wie IoT und Mobile-Payment-Lösungen ermöglichen Unternehmen, Kunden dort anzusprechen, wo sie sich befinden. Die Sicherheitsbedenken verlagern sich dadurch in die Cloud-Umgebungen. Big Data, Container und DevOps-Technologien unterstützen Cloud und Edge Computing.
Mit der zunehmenden Nutzung dieser Technologien übernehmen die Klassifizierung von sensiblen Daten und Schlüsselmanagement eine noch kritischere Rolle bei der Datensicherheit. Dennoch werden Datenklassifizierung und Schlüsselmanagement von europäischen Unternehmen nicht als Hauptanliegen wahrgenommen, was zu potenziellen Lücken in der Datensicherheitspraxis führen kann.
Thorsten Krüger ist Regional Director DACH, CEE und CIS bei Thales.