Von IT-Sicherheitsexperten lernen

Die Autoren dieses Blogs haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und Tipps hier für Sie zusammengetragen.

Die Weltformel

Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.

2016 hatten wir die Gelegenheit, uns mit dem IoT-Penetrationstester Ken Munro zu unterhalten. Seinen Anmerkungen zu Entwicklungen wie funkgesteuerten Türklingeln, Kaffeemaschinen und Kameras kann man kaum widersprechen:

„Dass Hersteller auch nur einen einzigen Gedanken an potenzielle Hackerangriffe verschwendet haben, halte ich für eine gewagte These. Eines der größten Probleme ist meiner Ansicht nach, dass viele Hersteller übereilt neue Produkte auf den Markt werfen …“

Privacy by Design (PbD) ist offensichtlich nicht gerade ein Grundprinzip von IoT-Geräten im Consumer-Umfeld.

Gerade in den letzten Monaten konnten Verbraucher am eigenen Leib erfahren wie anfällig solche Geräte selbst für einfach gestrickte Angriffe sind. Dabei machen Hacker sich Backdoors, Standardpasswörter und sogar nicht vorhandene Anmeldeinformationen zunutze.

Nicht selten werden öffentlich zugängliche Router-Ports während der Geräteinstallation einfach offen gelassen. Und zwar ohne, dass der ahnungslose Nutzer einen Warnhinweis erhält. Für Angreifer ist es dann aufgrund von unsignierter Firmware möglich, Geräte vollständig zu kontrollieren.

Alles, was in den Bereichen Datenschutz und Datensicherheit schiefläuft, findet man prompt im Internet der Dinge. Es gibt aber durchaus hilfreiche und vergleichsweise einfache Schutzmaßnahmen.

Alle Macht den Passwörtern!

Geht es beim Thema Sicherheit immer um Passwörter? Nein, sicher nicht. Aber es kristallisiert sich mehr und mehr heraus, dass unsichere Passwörter oder nicht geänderte Standardpasswörter zu den Hauptursachen vieler Sicherheitsvorfälle gehören.

Die Sicherheitsexperten, mit denen wir gesprochen haben, brachten oft ohne Nachfrage den fahrlässigen Umgang mit Passwörtern zur Sprache. Einer von ihnen, der Passwortexperte Per Thorsheim, erinnert daran, dass die Zwei-Faktor-Authentifizierung (2FA) in Anbetracht dessen eine mögliche Sicherheitsmaßnahme ist:

„Im Hinblick auf die Sicherheit ist die Zwei-Faktor-Authentifizierung die Lösung schlechthin. Sie ist so sicher, dass man, nur als Beispiel, im Grunde sogar das Passwort seines Facebook-Kontos verraten könnte – aufgrund der Zwei-Faktor-Authentifizierung kann sich trotzdem niemand anders anmelden. Sobald jemand meinen Nutzernamen und mein Passwort eingibt, sendet mir Facebook per SMS einen Code auf mein Telefon, auf das nur ich zugreifen kann.“

Menschen stellen erfahrungsgemäß beim Umgang mit Passwörtern wenig geschickt an. Zwei-Faktor-Authentifizierung sowie biometrische Erkennung werden in Zukunft zur Passwortsicherheit beitragen.

Bis es so weit ist, hat Professor Justin Cappos einen einfachen Trick für diejenigen parat, die sich noch immer am liebsten selbst Passwörter ausdenken:

„Um als Mensch ein sicheres Passwort zu erstellen, kann man nach dem Zufallsprinzip vier Wörter aus einem Wörterbuch auswählen und dann eine Geschichte erfinden, in der sie vorkommen. Diesen Ansatz bezeichnet man als ‚Correct Horse Battery Staple‘-Methode.“

Bei der „Correct Horse Battery Staple“-Methode dient die Geschichte als Gedächtnisstütze. Der Ansatz ist nicht neu, hilft aber, gute Passwörter zu finden, die nicht so leicht zu knacken sind.

Ein wichtiger Tipp der Experten lautet: Ändern Sie umgehend das Administratorpasswort des heimischen Routers (nach der „Correct Horse Battery Staple“-Methode). IT-Administratoren sollten ihre Passwörter ebenfalls genauer unter die Lupe nehmen, um nicht ungewollt zum Helfershelfer eines Angreifers zu werden.

Das Bewusstsein für Datenschutz schärfen

Wenn Sie für Ihre Konten die Zwei-Faktor-Authentifizierung aktivieren und bessere Passwörter erstellen, haben Sie schon viel für mehr Sicherheit getan. Es schadet allerdings trotzdem nicht, einen Schritt zurückzutreten und das eigene Datenschutzbewusstsein in Sachen Online-Transaktionen zu überprüfen.

Alexandra Ross, Anwältin und Datenschutz-Guru, erläutert die Vorteile der Datenminimierung sowohl für die Unternehmen, die Daten erfassen, als auch für Verbraucher, die sie zur Verfügung stellen:

„Es ist sehr wichtig, einen Moment lang innezuhalten und sich bewusst zu machen, was gerade passiert. Welche Daten werden abgefragt, wenn ich mich bei einem Social-Media-Dienst registriere? Und wozu dienen sie? Es lohnt sich, die Datenschutzrichtlinien von Apps und Online-Diensten oder die Kundenmeinungen zu lesen.“

Und:

„Marketing-Teams von IT-Unternehmen wollen oft kategorisch alle Daten sammeln. Das Motto lautet: ‚Lasst uns umfassende Nutzerprofile anlegen, die alle Bereiche abdecken, damit möglichst viele nützliche Daten zur Verfügung stehen‘. Wenn man aber etwas genauer nachfragt und die wichtigen Punkte klärt, findet man heraus, welche Daten wirklich notwendig sind.“

Auch der Datenwissenschaftler Kaiser Fung weist darauf hin, dass die Sammelwut häufig völlig unbegründet ist:

„Es geht nicht nur um die Menge der Daten, sondern auch darum, dass Daten heutzutage ohne jeden Sinn und Zweck gesammelt werden. Diejenigen, die sie erheben, wissen oft gar nichts über die Probleme, die sich im Geschäftsalltag stellen.“

Von daher unsere Botschaft an alle IT- und Marketing-Experten: Überlegen Sie gut, was Sie tun, bevor Sie das nächste Kontaktformular absenden!

Ross und andere Verfechter des Privacy-by-Design-Konzepts predigen schon lange den Grundsatz der Datenminimierung: Je weniger Daten gespeichert sind, umso geringer ist das Sicherheitsrisiko bei einem Angriff. Als Datenschutz-Guru erinnert Ross daran, dass in den Filesystemen diverser Unternehmen noch immer jede Menge Daten über uns herumschwirren. Scott Schober, Sicherheitsexperte und Autor von „Hacked Again“, kommt aus eigener Erfahrung zum selben Schluss:

„Ich habe bei einer Veranstaltung einen Vortrag gehalten. Jemand fragte, ob er mir zeigen dürfte, wie leicht er meine Daten herausfinden und meine Identität missbrauchen könne. Ich zögerte, erklärte mich dann aber zu diesem Experiment bereit. Alles andere ist sowieso bekannt und ich weiß, wie einfach man an die Daten der Leute kommt. Ich war also das Versuchskaninchen. Kevin Mitnick, einer der bekanntesten Hacker der Welt, gab den Dieb. Innerhalb von 30 Sekunden hatte er meine Sozialversicherungsnummer herausgefunden. Kostenpunkt: 1 Dollar.“

Grundsätzlich ist nichts dagegen einzuwenden, dass Unternehmen personenbezogene Daten speichern. Es geht vielmehr darum, sich gut zu überlegen, welche Daten man preisgibt, und zu bedenken, dass Sicherheitsvorfälle in Unternehmen inzwischen zum Alltag gehören. Kreditkarten können ersetzt, Passwörter geändert werden. Doch Angaben zu persönlichen Vorlieben und Sozialversicherungsnummern ändern sich nicht und sind ein beliebtes Social Engineering-Ziel.

Daten sind wertvoll

Wir haben uns mit zahlreichen Anwälten und Datenwissenschaftlern unterhalten. Bennett Borden ist beides in einer Person. Sein beruflicher Hintergrund ist bemerkenswert: Er ist nicht nur Prozessanwalt bei der Kanzlei Drinker Biddle, sondern darüber hinaus auch noch Datenwissenschaftler. Borden hat Artikel in juristischen Fachzeitschriften über die Anwendungsfelder des maschinellen Lernens, die Dokumentenanalyse, E-Discovery und andere juristische Themen verfasst.

Borden erläutert, wie wir als Angestellte in Form von E-Mails und Dokumenten alle eine digitale Spur hinterlassen, die sehr aufschlussreich sein kann. Er weist darauf hin, dass solche Daten für Anwälte nützlich sein können, die den fairen Wert eines Unternehmens bei einer potenziellen Übernahme ermitteln wollen. Er selbst sollte einmal eine Datenanalyse für einen Kunden durchführen und konnte aufzeigen, dass der Kaufpreis des Unternehmens laut internen Diskussionen zu hoch war:

„Der Preis verringerte sich daraufhin um mehrere Millionen Dollar. Und da wir heutzutage viel schneller an solche Daten gelangen, weil sie in elektronischer Form vorliegen, konnten wir dasselbe Prozedere seither viele Male wiederholen.“

Informationen sind also auch rein in geschäftlicher Hinsicht wertvoll. Für Varonis ist das nichts Neues, doch es ist trotzdem immer wieder aufschlussreich, es von jemandem zu hören, der sich beruflich mit Unternehmensdaten beschäftigt.

Zusammenfassend lässt sich sagen, dass wir als Verbraucher und als Mitarbeiter von Unternehmen mit sozialer Verantwortung alle sorgfältiger mit dem wertvollen Gut Daten umgehen sollten: Daten und Informationen nicht leichtfertig preisgeben und sie schützen, wenn sie sich in unserem Besitz befinden.

Mehr als nur ein gut gemeinter Rat

Das Thema Privacy by Design kam in einigen unserer Expertengespräche auf. Einer der Grundsätze, datenschutzfreundliche Standardeinstellungen, ist für Unternehmen besonders schwer zu akzeptieren. Und das, obwohl der Datenschutz im Rahmen des PbD-Konzepts eben kein Nullsummenspiel ist: Es ist durchaus möglich, umfassende Datenschutzmaßnahmen zu ergreifen und dabei weiterhin Gewinne zu erzielen.

Für Unternehmen, die in der EU tätig sind, ist Privacy by Design ohnehin ab 2018 gesetzlich vorgeschrieben. Das Konzept wird in Artikel 25, „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“, explizit dargelegt.

Wir thematisieren die Datenschutz-Grundverordnung (DS-GVO) und ihre zahlreichen Auswirkungen seit zwei Jahren. Doch eine Auswirkung, die häufig übersehen wird, ist, dass die DSGVO auch für Unternehmen außerhalb der EU gelten wird.

Die Expertin für Compliance im Bereich Datensicherheit Sheila Fitzpatrick hat diesen Aspekt im Gespräch mit uns besonders hervorgehoben:

„Der andere Punkt, an dem sich die DSGVO stark von anderen Rechtsakten unterscheidet (und das ist ein Konzept, das noch nicht oft umgesetzt worden ist): Sie gilt nicht nur für Unternehmen innerhalb der EU. Jedes Unternehmen, das Zugriff auf personenbezogene Daten von EU-Bürgern hat, muss die Bestimmungen der DSGVO einhalten, ganz gleich, wo die Standorte sind und ob das Unternehmen über Niederlassungen in der EU verfügt. Das ist eine bedeutsame Änderung.“

Dieses Rechtsprinzip wird auch als „Extraterritorialität“ bezeichnet. Insbesondere E-Commerce-Unternehmen und Anbieter von Webdiensten in den USA sind von der DSGVO betroffen, wenn sie mit EU-Bürgern zu tun haben. Damit werden Best Practices in der IT, die Experten für ratsam halten, zu gesetzlichen Vorgaben. Unternehmen und Verbraucher sollten vorausschauend handeln und sich darauf vorbereiten PbD-Konzepte, den Grundsatz der Datenminimierung, die Einwilligung betroffener Personen und des Datenschutzes umzusetzen.