Outlook 2021: Mehr Komplexität lässt Cyberrisiken wachsen

Dies ist ein Gastbeitrag von Vitor de Sousa, Regional Director DACH bei Auth0

Auf den pandemie-bedingten Digitalisierungsschwung folgten zahlreiche Cyberangriffe. Diese Entwicklung hat bei vielen Entscheidern das Bewusstsein für die Verwundbarkeit des eigenen Unternehmens-Netzwerkes und dessen Daten so richtig geschärft. Daher stellt sich für das laufende Jahr die Frage, worauf Unternehmen jetzt konkret achten müssen, wenn sie ihre Daten schützen wollen. Ein Blick auf die häufigste Angriffsform sowie die aktuellen Datenschutzbestimmungen gibt konkreten Aufschluss.

Cyberattacken entwickeln sich seit dem Aufkommen von Online-Transaktionen vor fast 25 Jahren rasant weiter. Angreifer bauen ihre Techniken fortlaufend aus und verfeinern sie, um ihre illegalen Einkommensströme zu schützen. Heute können Cyberkriminelle sich aus einer Fülle von ausgeklügelten Tools bedienen, die alle darauf ausgelegt sind, Schutzmechanismen der Unternehmen auszuhebeln. Dass die Angreifer damit erfolgreich sind, zeigt eine Studie des deutschen Digitalverbands Bitkom. Ihr zufolge haben bereits 2019 an die 70 Prozent der Unternehmen in Deutschland Schäden durch digitale Angriffe erlitten. Eine besondere Rolle spielten dabei Attacken auf Passwörter und Anmeldedaten. Ihr Anteil stieg von 18 Prozent (2017) auf 25 Prozent (2019). Damit belegte diese Angriffsform den ersten Rang, noch vor Phishing und dem Infizieren von IT-Systemen mit Schadsoftware. Mit solchen und ähnlichen Cyberangriffen werden sich Unternehmen und Behörden auch 2021 verstärkt auseinandersetzen müssen. Insbesondere auf die Themen Datenschutzregelungen und deren Zunahme sowie Credential Stuffing sollten die Entscheider ein besonderes Augenmerk legen.

Die Erweiterung der Datenschutz-Grundverordnung: E-Privacy-Verordnung (ePVO)

Welche Veränderungen und Auswirkungen die Datenschutzregelungen bereits mit sich gebracht haben, verdeutlicht ein kurzer Rückblick: Seit dem 25. Mai 2018 findet die Datenschutz-Grundverordnung (DSGVO), die im Jahr 2016 von der EU angenommen wurde, Anwendung und regelt für alle Unternehmen, die in der EU tätig sind, die Verarbeitung personenbezogener Daten. Des Weiteren ergab sich daraus die Meldepflicht von Datenpannen, die für die Betroffenen mit Risiken verbunden sind. Kurze Zeit später folgte ein Bußgeldregen und Meldungen zu Datenverstößen großer Konzerne, wie Marriott International Inc., British Airways und Google. Auch Deutschland war betroffen:

Eine Umfrage des Handelsblatts unter Datenschutzbeauftragten der Bundesländer zeigte im Dezember 2019, dass insgesamt 225 Bußgelder seit Gültigkeit der DSGVO verhängt wurden. Kaum trat die DSGVO in Kraft, da nahm die Debatte um die ePVO an Fahrt auf. Die Verordnung soll die alte ePrivacy-Richtlinie aus 2002 aktualisieren und erweitern sowie eine Form des digitalen Briefgeheimnisses schaffen, das insbesondere Anrufe und Nachrichten über internetbasierte Kommunikationsdienste genauso vor kommerzieller Auswertung schützt wie normale Telefonanrufe.

Auch wenn der Ausgang der ePVO-Debatte noch unklar ist, wird deutlich, dass die Überlegungen um weitere Regelungen zunehmen. Die dadurch wachsende Komplexität basiert vor allem auf der beschleunigten Digitalisierung von Interaktionen: Unternehmen und Endnutzer steuern ihre Abläufe immer mehr mit Systemen und Software. Es gibt eine ganze Reihe von Geräten, Apps und dazugehöriger Accounts, die privat als auch beruflich Teil unserer täglichen Routine sind. Die Anbieter dieser Systeme benötigen zur Authentifizierung die Information, wer der Zugriffsberechtigte ist, was mit personenbezogenen Daten einhergeht. Die Pandemie gab dieser Entwicklung den entscheidenden Ruck, sodass die Menge an zu schützenden Daten und das daraus resultierende Problemfeld in seiner Komplexität explodiert. Herkömmliche und bisher erlernte Wege der Lösungsfindung funktionieren nicht mehr.

Balance aus Datensicherheit und Benutzererfahrung

Von Unternehmen wird erwartet, dass sie mit diesem Digitalisierungswandel Schritt halten. Angesichts der schnellen, pandemie-induzierten Verschiebung vieler Tätigkeiten ins Internet, ist und bleibt der Datenschutz oberstes Gebot. Gleichzeitig müssen Unternehmen eine Balance aus Datensicherheit und Benutzererfahrung finden. Der ironische Silberstreif am Horizont ist, dass Datenschutzverletzungen das Bewusstsein der Nutzer für den Wert ihrer persönlichen Daten geschärft haben. Für Unternehmen bedeutet dies, Datenschutz in erster Linie als eine Verpflichtung zu betrachten. Gleichzeitig erwarten Nutzer von Unternehmen aber auch eine reibungslose Benutzererfahrung mit schneller Authentifizierung, die nur in seltenen Momenten durch zusätzliche Abfragen unterbrochen wird – etwa wenn sie eine Zahlung tätigen oder sensible Gesundheitsdaten weitergeben müssen.

Die Frage, wie viele Daten gesammelt und gespeichert werden sollen und wann die Nutzererfahrung mit einer zusätzlichen Überprüfung bewusst unterbrochen werden sollte, ist nicht trivial. Ein wichtiges Element des Datenschutzes ist, nur die kontextbezogenen Daten zu sammeln und zu verarbeiten. Das reduziert den potenziellen Schaden, den ein Datenleck oder ein Hacker-Angriff verursachen kann. Daher ist auch von einem „Bunkern“ zusätzlicher persönlicher Daten von Kunden und Interessenten abzuraten, die ein Unternehmen eventuell später verwenden möchte. Zudem muss transparent sein, auf welche Weise und zu welchem Zweck die Informationen erfasst werden.

Der Wert einer digitalen Identität – In die virtuelle Haut eines anderen schlüpfen

Credential-Stuffing-Angriffe basieren häufig auf gestohlenen Anmeldedaten (Benutzername und Kennwort) aus einem früheren Datenverstoßes, die werden verwendet, um unbefugten Zugriff auf Benutzerkonten auf einer anderen Website zu erlangen. Diese Form des Cyberangriffs gilt weiterhin als „einfachster Angriff“ im Internet. Denn Millionen von Passwort-Varianten werden – meist automatisiert per Botnetze- durchprobiert. Die Hacker profitieren davon, dass User aus Bequemlichkeit ähnliche oder dieselben Zugangsdaten für mehrere Services nutzt. Mit den gestohlenen Anmeldedaten können Cyberkriminelle gutes Geld verdienen.

Zwei Beispiele

Im Darknet hat sich ein schwunghafter Handel mit den Zugangsinformationen zu Streaming-Diensten, Online-Gaming-Plattformen und Rabattprogrammen von Einzelhändlern entwickelt. Auch der Handel sollte daher 2021 den Schutz von Benutzerkonten ausbauen. Wer das nicht tut, geht ein hohes Risiko ein. Das zeigt das Beispiel einer Supermarkt-Kette in Großbritannien. Sie musste im Frühjahr 2020 die Onlinekonten von 620.000 Inhabern von Clubkarten sperren, als Hacker deren Nutzernamen und Passwörter entwendeten. Die Angreifer lösten die Bonuspunkte ein, welche die rechtmäßigen User durch ihre Einkäufe erworben hatten. Es kam wie es kommen musste: verärgerte Kunden sowie ein finanzieller Schaden und ein Reputationsverlust für den Händler.

Im Gegensatz zu solchen Angriffen besteht jedoch die „hohe Kunst des Datendiebstahls“ darin, gezielt die digitale Identität von Managern und anderen Führungskräften zu stehlen. Diese Form von Cyber-Attacken dürfte sich 2021 und darüber hinaus zu einer der größten Gefahren des Digitalzeitalters entwickeln. Auch dabei gibt Credential Stuffing Hilfestellung. Denn wer sich mithilfe dieses Ansatzes beispielsweise Zugang zu Bewerbungsportalen und Business-Communitys verschafft, bekommt die berufliche Vita von Führungskräften quasi frei Haus geliefert. Als Ergänzung dienen private Details, die auf den Facebook- oder Instagram-Accounts der Betreffenden zu finden sind. Auf diese Weise kann ein Krimineller die digitale Identität eines Opfers kopieren.

Was Unternehmen tun können

Um Risiken durch das Kompromittieren von Nutzerkonten und den Verlust von sensiblen Daten zu verringern, ist es künftig unverzichtbar, dass Unternehmen Konzepte für Data-Privacy und den Datenschutz erstellen und umsetzen. Darin ist unter anderem festgelegt, welche Abteilungen und Mitarbeiter für die Umsetzung der Vorgaben verantwortlich sind. Notwendig ist zudem, regelmäßig die Umsetzung der Konzepte zu überprüfen. Diese Aufgabe übernehmen häufig der Datenschutzbeauftragte, Chief Security Officer (CSO), Chief Data Officer (CDO) oder Chief Compliance Officer. Allerdings sollten alle Mitarbeiter regelmäßig auf die zentrale Rolle des Datenschutzes und der Datensicherheit hingewiesen werden und Hilfestellung dabei erhalten, entsprechende Vorgaben umzusetzen.

Damit sich Data-Privacy-Konzepte durchführen lassen, müssen Unternehmen allerdings zunächst ermitteln, welche kritischen Daten bei ihnen vorhanden sind, wo diese lagern, wer darauf Zugriff hat und auf welche Weise diese Informationsbestände vor Missbrauch und Verlust geschützt sind. Außerdem ist es notwendig, den Zugang zu sensiblen Informationen strikt auf den dazu autorisierten Personenkreis einzugrenzen.

Rollen entscheiden über Datenzugriff

Hilfestellung geben dabei Lösungen für das Identity and Access Management (IAM). Sie übernehmen die Authentifizierung der Nutzer und verhindern, dass nicht dazu autorisierte Personen auf Informationen zugreifen, die sie nichts angehen. Wer Zugang zu bestimmten Daten erhält, lässt sich mithilfe von Rollen und Regelwerken („Policies“) für Nutzer und User-Gruppen steuern, etwa Mitglieder der Geschäftsführung, Marketing-Fachleute und das HR-Team.

So erhält beispielsweise nur die Geschäftsführung Zugang zu Finanzdaten und den Reports der Vertriebsabteilung. Der Logistikabteilung wiederum ist es vorbehalten, mithilfe von GPS-Daten den Einsatz der Transportfahrzeuge zu optimieren.

Adaptive Multifaktor-Authentifizierung einführen

Weiterhin sollten Unternehmen und Organisationen die Authentifizierungsverfahren überdenken, die ihre Beschäftigten, Kunden und die Mitarbeiter von Partnerfirmen für den Zugang zu IT-Diensten, Online-Shops und Datenbanken nutzen. Denn klassische Ein-Faktor-Verfahren, etwa durch Eingabe von Nutzername und Passwort, sind nicht mehr sicher genug. Eine Alternative ist die sogenannte Multifaktor-Authentifizierung. Mittlerweile verwenden viele Online-Portale dieses Verfahren: Der User gibt Log-in-Name und Passwort ein. Der zweite Faktor, beispielsweise ein PIN-Code, wird ihm per SMS oder E-Mail übermittelt.

Der Nachteil dieses Ansatzes: Er ist nicht gerade benutzerfreundlich, denn der User muss sich zweimal ausweisen. Benutzerfreundlicher sind adaptive MFA-Lösungen, die je nach Situation, ihren Registrierumfang anpassen. Sie erstellen einen Risikofaktor für Anmeldeversuche und legen anhand dieses Wertes fest, wann ein Multi-Faktor-Verfahren nötig ist und wann ein Faktor ausreicht.

Ein Beispiel: Loggt sich ein Nutzer immer etwa zur selben Zeit von einem privaten Notebook aus bei seinem Konto ein, verzichtet eine adaptive MFA auf den zweiten Faktor. Erfolgt der Anmeldeversuch jedoch von einem fremden System in Fernost aus, schrillen bei der Lösung die Alarmglocken. Denn das kann bedeuten, dass ein Hacker die Nutzerdaten entwendet hat und nun Zugang zum Netzwerk erhalten will. In diesem Fall greift die Multi-Faktor Authentifizierung.

Fazit

Ein Rückblick auf jüngste Entwicklungen in der Gesellschaft und Technologie zeigt deutlich, dass sich die Anzahl an Systemen, auf die sowohl zu privaten als auch für berufliche Zwecke zugegriffen wird, geradezu explodiert. Diese rasante Zunahme, steigert gleichzeitig den Wert schutzbedürftiger personenbezogener Daten im Netz. Unternehmensentscheider sollten daher dem Thema digitale Identitäten noch mehr Bedeutung beimessen und einen entsprechenden Datenschutz gewähren. Denn auch wenn der Datenschutz in erster Linie eine Verpflichtung darstellt, kann dieser auch als Chance betrachtet werden. Unternehmen, die transparent und offen ihren Datenschutz kommunizieren, gewinnen am ehesten das Vertrauen ihrer Nutzer, welches sie benötigen, um personifizierte Services anbieten zu können.

Weitere Informationen unter:
https://auth0.com/de/