Diese vier Fragen sollten CEOs ihren CIOs stellen (wenn sie sich vor den Antworten nicht fürchten)

CEO CIO

Als Geschäftsführer oder Vorstand kommt man mittlerweile nicht mehr umhin, sich auch mit dem Thema IT-Sicherheit zu beschäftigen, sei es durch gesetzliche Vorgaben wie der DSGVO oder durch prominente Datenschutzverletzungen wie bei Marriott. Und zur Not hat man ja noch einen CIO oder CISO, der sich um die Details kümmert. Ein kontinuierlicher Dialog zwischen Führungskräften und IT-Verantwortlichen ist jedoch eher die Ausnahme als die Regel. Herrscht aber zumindest in den grundlegenden Fragen Einigkeit und eine gemeinsame Sicht der Dinge? Um zu testen, wie das Security-Know-how und die Einschätzung der Abwehrbereitschaft mit der Realität übereinstimmen, sollten Chefs ihren Sicherheitsverantwortlichen die folgende Fragen stellen. Aber Vorsicht: Die Antworten könnten nicht dem entsprechen, was sie sich erhoffen.

Speichern wir sensible Daten auch außerhalb von Datenbanken?

Erhoffte Antwort: Nein.

Tatsächliche/wahrscheinliche Antwort: Ja, und zwar in enormen Ausmaß.

Die Analysten von IDG haben errechnet, dass unstrukturierte Daten jährlich um 62 Prozent zunehmen und dass bis 2022 93 Prozent der Dateien als unstrukturierte Daten vorliegen. Zu ähnlichen Ergebnissen kommt auch Gartner und geht von einer Steigerung von 800 Prozent in den nächsten fünf Jahren aus, wobei dann 80 Prozent unstrukturiert seien.

Dies gilt auch, wenn eine Vielzahl an Prozessen über Unternehmensdatenbanken etwa für CRM oder Buchhaltung läuft. Unter unstrukturierte Daten fallen dabei letztlich sämtliche Dateien außerhalb von Datenbanken, also von Word- und Excel-Dateien über Powerpoint-Präsentationen und E-Mails bis hin zu Bildern und Videos. Aber es ist in erster Linie nicht einmal die schiere Quantität, die das Problem ausmacht, sondern in erster Linie die Qualität und Bedeutung dieser Dateien: Im Allgemeinen befinden sich in ihnen die wertvollsten, oftmals unternehmenskritischen Informationen. Und obwohl Unternehmen jede Menge unstrukturierte Daten mit enorm wertvollen Inhalten haben, wissen sie in aller Regel kaum etwas über sie. Gesetzliche Vorgaben wie die DSGVO (in Bezug auf personenbezogene Daten) oder das Geschäftsgeheimnisgesetz (in Bezug auf geistiges Eigentum) zwingen die Unternehmen zunehmend dazu, sich ihren Daten genauer zuzuwenden.

Es ist offensichtlich, dass diese besonderen, wertvollen Daten besonders geschützt werden müssen. Voraussetzung hierfür ist jedoch, dass sie zunächst als solche identifiziert und klassifiziert, mit entsprechenden (eingeschränkten) Zugriffsrechten versehen werden und schließlich der Zugriff überwacht wird.

Können wir dem Recht auf Löschung zeitnah nachkommen?

Erhoffte Antwort: Ja, wir sind ja DSGVO-konform.

Tatsächliche/wahrscheinliche Antwort: Innerhalb der vorgegebenen Frist von 30 Tagen ist es für uns kaum machbar.

Auch knapp ein Jahr nach Inkrafttreten der DSGVO stellt insbesondere das Recht auf Löschung bzw. auf Vergessenwerden eine große Herausforderung für Unternehmen dar. Denn die Zeit läuft: Innerhalb eines Monats müssen sie sämtliche Inhalte im Zusammenhang mit einer betroffenen Person identifizieren. Nur in Einzel- bzw. Härtefällen kann diese Frist verlängert werden. Angesichts der Mengen an gespeicherten Informationen ist dies nicht viel Zeit, um Anfragen zu bearbeiten, alle relevanten Daten über eine Person zu finden und zu sammeln sowie mit Bereitstellung und/oder Löschung der Daten zu reagieren.

Natürlich wird man beispielsweise Kundendaten zunächst im CRM-System suchen und auch finden. Aber man muss davon ausgehen, dass sie eben nicht nur fein säuberlich an dieser einen Stelle zu finden sind. Grundsätzlich gilt: Daten finden ihren Weg immer aus diesen Systemen heraus. So werden sensible Daten auf lokalen Servern oder Rechnern gespeichert, finden sich in E-Mail-Ordnern oder in der Cloud. Ein Beispiel: Aus einem System wird eine Excel-Tabelle mit Kundendaten exportiert. Diese wird an eine E-Mail angehängt und mit mehreren Kollegen geteilt, von denen fünf sie auf ihren Systemen speichern. Ein paar Wochen später wird ein Teil der Tabelle in einem Bericht verwendet, der auf SharePoint hochgeladen wird, und für 30 Personen zugänglich ist. Plötzlich existiert ein Datensatz an Dutzenden von Orten, darunter verschiedene Dateisysteme, Netzwerkspeicher und E-Mail-Server. Insofern ist es auch nicht weiter verwunderlich, dass die meisten Unternehmen schlicht und einfach nicht wissen, wo genau ihre sensiblen Informationen gespeichert sind. Dies gilt für die DSGVO-relevanten personenbezogenen Daten genauso wie beispielsweise für geistiges Eigentum. Auch hier ist eine (angesichts der Menge an Daten automatisierte) Klassifizierung von Daten unumgänglich.

Können wir sehen, wer wann auf welche Daten zugegriffen hat?

Erhoffte Antwort: Selbstverständlich. Wir nutzen Windows und so wird alles automatisch geloggt, was Nutzer machen.

Tatsächliche/erhoffte Antwort: Leider nein. Windows verfügt nativ nicht über entsprechende Tools.

Festzustellen, wer auf welche Daten zugreifen darf, ist für die meisten IT-Verantwortlichen schon eine große und vor allem zeitaufwändige Herausforderung. Nachzuweisen, welcher Nutzer was mit einzelnen Dateien macht, ist mit Bordmitteln kaum noch zu bewerkstelligen. Gerade bei Audits wird dies zum Problem, da hierfür in aller Regel Informationen aus den unterschiedlichsten Quellen mit teilweise unterschiedlichen Informationen und Kriterien geprüft, bewertet, zusammengefasst und manuell erstellt werden müssen. Diese Herangehensweise ist jedoch zeitaufwändig, fehleranfällig und meist auch unvollständig. Während Benutzer- und Gruppendetails oft noch nachzuvollziehen sind, wird es bei Zugriffsereignissen auf Dateien – ohne entsprechende Lösungen – schwierig bis unmöglich.

Erkennen wir ungewöhnliches Verhalten und Ereignisse, die auf einen Angriff hindeuten könnten?

Erhoffte Antwort: Unsere Systeme sind so gut geschützt und unsere Mitarbeiter vertrauenswürdig, dass wir hier auf der sicheren Seite sind.

Tatsächliche/wahrscheinliche Antwort: Wenn wir nicht einmal das normale Verhalten loggen, wie sollen wir dann abnormales Verhalten erkennen?

In vielen Unternehmen herrscht nach wie vor die Auffassung, dass es reicht, die Außengrenzen zu schützen und so Angreifer abwehren zu können. Sicherlich sind Firewalls, AV-Lösungen und Endpunkt-Sicherheit wesentliche Elemente einer umfassenden Sicherheitsstrategie. Die stetig wachsende Liste erfolgreicher Cyberangriffe zeigt uns aber: Angreifer werden es immer hinter den Perimeter schaffen. Die entscheidende Frage dabei ist: Was geschieht dann? Sind die Abwehrsysteme in der Lage, verdächtiges Verhalten zu identifizieren? Wird beispielsweise erkannt, wenn sich ein (vermeintlicher) Mitarbeiter plötzlich aus einem anderen Land einloggt? Oder ein Mitarbeiter aus der Marketing-Abteilung plötzlich HR-Daten in großem Umfang öffnet?  All dies könnten Anzeichen dafür sein, dass Zugangsdaten in die falschen Hände geraten sind oder ein Angreifer gezielt nach Daten sucht. Mit herkömmlichen Antiviren-Lösungen kommt man hier leider nicht weit.

Um wichtige Daten effektiv zu schützen, müssen Unternehmen zunächst wissen, welche Daten sensibel sind und wer auf diese Daten normaler- und berechtigterweise zugreift. Durch die intelligente Überwachung des Nutzerverhaltens und der Dateiaktivitäten können Abnormalitäten dann schnell identifiziert und (automatisiert) unterbunden werden.

Wahrscheinlich gibt es noch zahlreiche andere Fragen, die Führungskräften im Bereich der IT-Sicherheit unter den Nägeln brennen, etwa wann denn das IT-Security-Projekt abgeschlossen sei (Spoiler: nie!). Wichtig ist, dass diese gestellt werden und sie den regelmäßigen Austausch mit ihren CIOs/CISOs suchen. Dies nicht zu tun, ist mehr als fahrlässig, da die Gefahren und Risiken für jedes Unternehmen (ganz gleich welcher Größe) real sind. Nicht umsonst sieht das World Economic Forum in Cyberangriffen und Datendiebstahl die beiden größten Risiken für die wirtschaftliche Entwicklung in Deutschland.