DSGVO – Warum Unternehmen sich nicht ausruhen dürfenCyber-Bedrohungslandschaft erfordert neue technische Maßnahmen
8. Juli 2019
Die EU-DSGVO hat sich dieses Jahr zum ersten Mal gejährt. Die große Anzeigenwelle durch Verstöße gegen den Datenschutz ist ausgeblieben, stattdessen herrscht noch immer vielerorts Unverständnis darüber, welche technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen werden müssen. In diesem Beitrag soll es vor allem um technische Maßnahmen gehen, die Unternehmen umsetzen sollten, um die Anforderungen der DSGVO trotz der sich verändernden Cyber-Bedrohungslandschaft zu erfüllen.
Während 2016 und 2017 viele Unternehmen vor allem mit Ransomware wie WannaCry, Petya und NotPetya zu kämpfen hatten, waren es 2018 vor allem Kryptominer wie Emotet, Cryptoloot oder Coinhive. Nach den neuesten Erkenntnissen und bekanntgewordenen Sicherheitsvorfällen scheint die Bedrohung mit Ransomware in Form von LockerGoga in 2019 wieder zurück zu sein. Personenbezogenen Daten droht also auch in diesem Jahr die Verschlüsselung, die unerlaubte Anfertigung von Kopien und der Verkauf dieser Daten über Marktplätze im Darknet an den Meistbietenden.
Der Schutz von personenbezogenen Daten kann und muss durch technische Maßnahmen wie Threat Prevention, Threat Emulation und Threat Extraction durchgesetzt werden. Fremde und illegitime Zugriffe auf Daten lassen sich durch verschiedene technische Lösungen wie Firewalls, Application Control, URL-Filtering, Intrusion Prevention Systeme, Anti-Viren-, Anti-Bot- und Sandboxing-Technologien einschränken, wenn auch nicht gänzlich verhindern. Wenn die IT-Sicherheitssysteme darüber hinaus über eine zentrale Plattform miteinander kommunizieren und Daten austauschen, kann eine große Anzahl von Cyberattacken erkannt und abgewehrt werden.
Phishing-Mails mit Trägerfunktion
Bedrohungen wie Ransomware und Co. werden vor allem über Phishing-E-Mails und hier vor allem über E-Mail-Anhänge wie Office- oder Bild-Dateien verbreitet. Mit entsprechenden Schutzmaßnahmen wie der Überprüfung in einer virtuellen sicheren Umgebung und der Umwandlung in ein gereinigtes PDF lassen sich viele dieser Phishing-E-Mails bereits vor den E-Mail-Posteingängen herausfiltern und neutralisieren. Eine weitere flankierende Maßnahme besteht im Training der Mitarbeiter hinsichtlich Security Awareness, um diese vor gezielten Phishing-Attacken und Social Engineering zu schützen.
Was wird nun also das nächste Jahr bringen? Werden Unternehmen endlich ihre Hausaufgaben machen, werden wir mehr Klagen auch von Privatpersonen sehen? Werden noch mehr Sicherheitsvorfälle publik gemacht werden? Was kommt auf die Unternehmen zusätzlich zu, wenn auch noch e-Privacy auf europäischer Ebene kommt und in der Bundesrepublik in Kraft gesetzt wird?
All diese Fragen werden sich wohl erst in einem Jahr beantworten lassen, doch fest steht aus heutiger Sicht schon dies: Gesetze und Anforderungskataloge sind eine gute Basis, aber Unternehmen und Organisationen sollte es nicht alleine darum gehen, Strafen zu verhindern, sondern ihre IT-Systeme und die von ihnen verwalteten oder bearbeiteten personenbezogenen Daten vor dem Zugriff von Cyber-Kriminellen und anderen bösartigen Akteuren zu schützen. Vielleicht ist das eine der wichtigsten Erkenntnisse, das bei der Diskussion jedoch in Vergessenheit zu geraten droht.
Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH
