Thales Data Threat Report – Global Edition 2019: Die scheinbare Normalität: mit dem Risiko leben
15. März 2019Im Bereich der IT-Sicherheit sind die Risiken omnipräsent und treffen (fast) unterschiedslos alle. Allerdings hat der soeben veröffentlichte 2019 Thales Data Threat Report – Global Edition auf Basis der Erhebungen und Analysen von IDC auch andere Erkenntnisse zu Tage gefördert: So sind 64 Prozent der Befragten, die mehr als 10 Prozent ihres IT-Budgets für IT-Sicherheit ausgegeben haben, bereits mindestens einmal Opfer einer Datenschutzverletzung geworden, allein 34 Prozent dieser Befragten im letzten Jahr. Demgegenüber sagen nur 47 Prozent der Befragten, die weniger als 10 Prozent investiert haben, dass sie Opfer einer Datenschutzverletzung geworden sind und lediglich 17 Prozent von diesen Befragten im letzten Jahr.Dies kann verschiedene Gründe haben: Firmen, welche die digitale Transformation schon weit getrieben haben, sind unter Umständen bekanntere Marken und potenziell attraktivere Ziele für Cyber-Kriminelle oder solche Unternehmen erkennen mehr Datenschutzverletzungen. Auf der anderen Seite geht der dynamische Umbau möglicherweise mit einer Einstellung einher bei der Time-to-Market Vorrang vor Sicherheitserwägungen hat. Die Grunderkenntnis: kein Unternehmen ist auf der sicheren Seite.
Das Risiko ist ein treuer Begleiter
Auch wenn die Digitalisierung in den einzelnen Unternehmen unterschiedlich weit fortgeschritten ist, der Umbau ganzer Branchen ist in vollem Gange und aller Orten entstehen neue Geschäftsmodelle. Das bestätigen auch die Ergebnisse der oben zitierten Studie. So sind es nur ganze 3 Prozent der Befragten, die überhaupt keine Strategie für die digitale Transformation haben, 19 Prozent entscheiden über solche Projekte noch ad hoc, 14 Prozent opportunistisch, je nach den individuellen Projektanforderungen.
Aber alle anderen haben die IT-Ziele mit der übergreifenden Unternehmensstrategie in Einklang gebracht, einschließlich einer dokumentierten und standardisierten Digitalstrategie (24 Prozent). Weitere 24 Prozent nutzen digitale Funktionalitäten bereits eingebettet in das Unternehmen selbst, eng angekoppelt an die Management-Vision, und die letzten 15 Prozent schließlich treiben die digitale Transformation aggressiv voran und nutzen sie, um neue Geschäftsmodelle zu entwickeln und ganze Märkte umzukrempeln.
Datenschutz hinkt hinterher
Gerade diese Unternehmen haben aber bereits selbstkritisch festgestellt, dass sie zwar bei transformativen Geschäftsmodellen die Nase vorn haben, sich aber schwer tun einen übergreifenden Sicherheitsansatz durchgängig innerhalb ihrer Netzwerkinfrastruktur umzusetzen. Das liegt nicht zuletzt darin begründet, dass viele Firmen sich weiterhin auf die traditionellen Infrastruktursysteme verlassen, an anderer Stelle aber massiv in neue Technologien wie Multi-Cloud-Umgebungen, Container, Blockchain und das Internet der Dinge investieren.
Dazu kommen knapp kalkulierte Sicherheitsbudgets und eine dünne Personaldecke. Unternehmen sind gezwungen aus weniger mehr zu machen. Die Erwartungen was die zur Verfügung stehenden Sicherheitsbudgets anbelangt sind gegenüber dem Vorjahr entsprechend gedämpft. Ob bei den IT-Sicherheitsbudgets schon das Ende der Fahnenstange erreicht ist, lässt sich kaum mit letzter Gewissheit prognostizieren. Was hingegen klar ist: Unternehmen müssen mehr Umgebungen und mehr Orte absichern, an den vertrauliche Daten verarbeitet, transportiert oder gespeichert werden – im eigenen Rechenzentrum, in der Cloud und in den weit verbreiteten hybriden Umgebungen.
Diese Entwicklung hat fatale Folgen für das Investitionsvolumen in den Schutz der Daten selbst. So gab die Hälfte der befragten Unternehmen an, lediglich zwischen 6 Prozent und 15 Prozent ihrer Sicherheitsbudgets auf den Datenschutz zu verwenden. Das entspricht einem Anteil von 0,6 Prozent bis 3 Prozent am gesamten IT-Budget. In gewisser Weise spiegeln die Ergebnisse die gegenwärtige Entwicklung im Markt für Sicherheitslösungen. Netzwerksicherheit, die auf Hardware und Geräten basiert, ist grundsätzlich kostspieliger als der eigentliche Datenschutz. Das mag einer der Gründe sein, warum gerade dieser Bereich so vergleichsweise stiefmütterlich behandelt wird.
So verwenden einerseits 97 Prozent der Befragten sensible Daten in transformativen Technologieumgebungen. Aber weniger als 30 Prozent verschlüsseln diese Daten. Es sieht tatsächlich so aus, als ob Unternehmen vielfach unternehmerische Entscheidungen zugunsten neuer Technologien treffen. Selbst dann, wenn diese Technologien die bestehende Sicherheitsarchitektur bereits überholt haben. Art und Umfang der stetig weiter steigenden Zahl von Datenschutzverletzungen legen allerdings die Vermutung nahe, dass Unternehmen an der falschen Stelle und dort zu viel investieren. Traditionelle Sicherheitsansätze sind nicht für hybride und Multi-Cloud-Umgebungen entwickelt worden. Entsprechend untauglich sind sie oftmals.
Komplexe Umgebungen, eine Hürde mehr
Neben der eigentlichen Ressourcenknappheit sehen sich Unternehmen mit weiteren Hürden konfrontiert. Die Umgebungen, in den Firmen mit vertraulichen Daten operieren, sind gerade in den letzten Jahren zunehmend komplexer geworden. Die „alten“ on-premises-Umgebungen koexistieren mit unterschiedlichen IaaS- und PaaS-Umgebungen und nicht selten mit hunderten von SaaS-Anwendungen. Selbst wenn Unternehmen zahlreiche Prozesse in die Cloud auslagern, können sie doch auf on-premises-Anwendungen für unternehmenskritische Bereiche nicht gänzlich verzichten. Und auch die wollen verwaltet, unterhalten und abgesichert werden.
Allein die Verwaltung der unterschiedlichen Cloud-Instanzen hat IT-Abteilungen einen bisher unerreichten Komplexitätsgrad beschert. Verschlüsselungslösungen und Tokenisierung zu verwalten, Datentransparenz herzustellen und den Zugriff auf vertrauliche Daten zu regeln, ist schon in einer Umgebung ausreichend komplex. Das wird mit drei, fünf oder fünfzig verschiedenen Umgebungen nicht besser. Dazu kommt das schiere Volumen der zu bewältigenden Daten. Viele wissen natürlich um die Situation. Komplexität, der Einfluss auf Leistungsfähigkeit und Geschäftsprozesse und das Thema Budget sind die Top 3 auf der Liste der größten Sorgen der Unternehmen in Sachen Datenschutz. Offensichtlich geben aber die fehlenden oder knappen Budgets weniger Anlass zur Sorge als die beiden anderen. Es gilt also in erster Linie die Komplexitätshürde in den Griff zu bekommen.
Cloud, IoT, Container und Blockchain – die Unsicherheit steigt
Unternehmen stellen inzwischen eine große Zahl von Cloud-Umgebungen bereit. Gleichzeitig sind diese Umgebungen zum größten Speicher für sensible Datenbestände geworden. Wenn es an das Speichern vertraulicher Daten geht, haben 40 Prozent der Befragten angegeben, sensible Informationen in allen drei Cloud-Typen, SaaS-, PaaS- und IaaS-Umgebungen zu verwenden. Es reicht nicht, die Verantwortung für diese Daten an den betreffenden Provider auszulagern, sie liegt auch beim Kunden.
Die Aufgabe des Providers ist es die zugrundeliegende unterstützende Infrastruktur beziehungsweise die zur Verfügung gestellte Software-Plattform zu schützen. Das entbindet Unternehmen ganz und gar nicht davon, ausgesprochen wachsam zu sein, wenn es an die eigene Software und die eigenen Daten geht. Hier müssen Firmen selbst den Datenschutz zur Priorität machen und Maßnahmen wie Verschlüsselung und Tokenisierung einziehen sowie Vorkehrungen zum Schutz der Daten zu ergreifen. Unabhängig davon, ob gerade mit ihnen gearbeitet wird, sie gespeichert oder migriert werden. Je weiter sich Unternehmen der Digitalisierung verschreiben und damit zugleich die IT-Landschaft verändern, desto weiter wird sich der Fokus bei den verschiedenen Sicherheitslösungen verschieben.
Quasi wider besseren Wissens, dass man vertrauliche Daten am besten über Verschlüsselung absichert ist die Rate derer, die das tatsächlich tun, erschreckend niedrig. Weniger als 30 Prozent der Befragten gaben an Verschlüsselung in der überwiegenden Mehrzahl aller Fälle einzusetzen wie bei der Festplattenverschlüsselung in Rechenzentren, beim Cloud Provider, in Big-Data-Umgebungen, in Datenbanken, mobilen Umgebungen und im Internet der Dinge.
Verschlüsselung und Tokenisierung
So stimmt es optimistisch, dass ein deutlich höherer Prozentsatz der Befragten Verschlüsselungen dort nutzt, wo diese Unternehmen neue Technologien wie das IoT, Container/Docker und Blockchain einsetzen. Was die Sicherheitsbedenken hinsichtlich des IoT angeht versuchen immerhin 41 Prozent diese mittels Verschlüsselung und Tokenisierung in den Griff zu bekommen, dazu kommen Authentifizierung und Anti-Malware-Maßnahmen. Bei Containern liegt die Rate derer, die Verschlüsselung zum Schutz der dort gespeicherten Daten nutzen sogar bei 47 Prozent.
Blockchain wird unter den Befragten immer noch als relativ neue Technologie gesehen und abwartend beurteilt. Entsprechend breit gefächert sind die Sicherheitsbedenken, von denen Cryptojacking an erster Stelle steht. Dicht gefolgt von der Befürchtung vertrauliche Daten über unzureichend geschützte öffentliche Konten zu gefährden. Authentifizierung und Maßnahmen, die eine Identität zuverlässig validieren sollen in erster Linie helfen, Sicherheitsrisiken zu begrenzen.
Die digitale Transformation schickt sich an, die Art wie wir leben und arbeiten fundamental zu verändern. Unternehmen kommen nicht umhin ihre Geschäftsmodelle und Geschäftsprozesse neu zu denken, wenn sie vollumfänglich von neuen Technologien wie der Cloud, Mobile, sozialen Medien, dem Internet der Dinge, Container und Blockchain profitieren wollen. Sicherheit gehört direkt hinein in diesen Prozess. Sie im Nachgang zu betrachten wird ohnehin bestehende Risiken nur unnötig vergrößern.
Kai Zobel, Thales eSecurity
Hier geht es zu Thales eSecurity