Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Mangelnde Verschlüsselung gefährdet Kundendaten
Sicherheitsfahnder glauben, die Hacker hinter dem Yahoo-Datenangriff könnten das Fehlen einer geeigneten Verschlüsselung ausgenutzt haben. Sollte sich dies als richtig erweisen, könnten Kundendaten in vielen weiteren Unternehmen gefährdet sein.
In den letzten Jahren haben technologische Fortschritte wie das Internet der Dinge (IoT), Big Data und Cloud-basierte Dienstleistungen zu einer explosionsartigen Zunahme der IP-Verbindungen geführt. Zu ihrer Sicherheit werden sämtliche Verbindungen mit grundlegenden Cybersecurity-Maßnahmen unterlegt. Diese beinhalten kryptographische Schlüssel und digitale Zertifikate, die nachverfolgt und geschützt werden müssen.
Versäumt ein Unternehmen die Anwendung dieser grundlegenden Sicherheitsmaßnahmen auf sein Kapital, riskiert es damit, dass ganze Systeme anfällig für Angriffe werden.
Laut einem im Jahr 2016 von Gemalto, einem weltweit führenden Anbieter von digitalen Sicherheitslösungen, und dem Ponemom Institute vorgelegten Bericht werden in 92 Prozent der Unternehmen maximal 75 Prozent der sensiblen, vertraulichen Daten bei der Übermittlung durch die Cloud verschlüsselt. Der Anteil der Befragten, die ihre in der Cloud gespeicherten Daten verschlüsseln, war mit 40 Prozent sogar noch geringer.
Das Beunruhigendste für Kunden ist, dass gerade ihre Daten am häufigsten unverschlüsselt bleiben. Dies stellt für Kundendaten eine erhebliche Bedrohung dar: Sie könnten von Hackern gesehen und sogar gesammelt werden.
Eine einfache Methode zum Schutz von Cloud-Daten auf ihrem Weg vom Gerät zum Cloud-Speicher ist die Verschlüsselung des gesamten Prozesses unter Verwendung eines VPN-Tunnels.
Die häufigste Art von Informationen in der Cloud sind Kundendaten. Viele davon sind unverschlüsselt.
Trotz der Tatsache, dass Verschlüsselung zu den grundlegendsten Methoden bei der Sicherung von Daten gehört, begehen viele Unternehmen den Fehler, ihre Daten unverschlüsselt zu lassen. Würden sie die Daten verschlüsseln, könnten lediglich autorisierte Nutzer mit einem passenden Schlüssel die Dokumente tatsächlich einsehen.
Damit würde ihr Diebstahl sinnlos.
Stattdessen gab es mehrfach Vorfälle, bei denen Hacker auf unverschlüsselte Sicherheitsfragen und zugehörige Antworten von Kontoinhabern und sogar Login-Benutzernamen und Passwörter zugreifen konnten.
Mangelnde Verschlüsselung spielte auch bei einigen der schwersten Datenverstöße im Jahr 2016 eine Rolle.
Beispielsweise vermuten Forscher im Yahoo-Fall, dass Hacker eine fehlgeschlagene Verschlüsselung ausnutzen konnten, die zum Verlust der Daten einer halben Milliarde Nutzer führte.
Bei einem anderen großen Datenangriff im Jahr 2016 auf das Portal Adult FriendFinder konnten Hacker sich über eine technische Schwachstelle erfolgreich Zugriff auf eine unverschlüsselte Datenbank verschaffen, die Detailinformationen der Mitglieder enthielt.
In der Zwischenzeit mussten bei Lynda.com, Teil des sozialen Business-Netzwerks LinkedIn, rund 10 Millionen Mitglieder über einen potentiellen Angriff auf eine unverschlüsselte Datenbank informiert werden, nachdem dort ein Hacker-Angriff vermutet wurde.
Eine fehlende Implementierung grundlegender Sicherheitskontrollen, wie Datenverschlüsselung und Authentifikation, macht auch Buchungssysteme von Fluggesellschaften für Hacker angreifbar.
Ein Unternehmen hat häufig keine Kontrolle über die in der Cloud gespeicherten Daten. Stattdessen ist es möglicherweise ganz auf bewährte Sicherheitspraktiken Dritter angewiesen. Leider ist es nahezu unmöglich, die Anwendung von Best Practices zu garantieren.
Bietet ein Unternehmen Dienstleistungen via Cloud an, wissen Kunden lediglich, dass sie jederzeit und überall beliebig Zugriff auf ihre Anwendungen und Daten haben.
Die Kunden haben jedoch keine Ahnung, wie oder wo ihre Daten gespeichert werden. Wenn es also um Sicherheit und Datenschutz geht, müssen sie entweder die Bedingungen einer umfangreichen, komplizierten Dienstleistungsvereinbarung sorgfältig prüfen oder öfter blindlings der Professionalität des Providers vertrauen.
Entwicklungen wie etwa die Schatten-IT sind weitere Herangehensweisen.
Laut Gartner werden bis spätestens 2020 ein Drittel der Sicherheitsangriffe durch Schatten-IT-Dienste hervorgerufen werden.
Auch bekannt als Bring-Your-Own-App (BYOA) beziehungsweise Bring-Your-Own-Cloud (BYOC), steht die Schatten-IT in direktem Konflikt mit der Sicherheit von Unternehmensdaten.
Die Zunahme von Bring-Your-Own-Device (BYOD) am Arbeitsplatz könnte Mitarbeiter möglicherweise zur Verwendung ihrer eigenen Cloud-basierten Apps zur Speicherung oder zum Austausch von Kundendaten mit Kollegen verleiten.
Dies könnte zur Gefährdung sensibler Kundendaten führen, deren Schutz lediglich von der Stärke eines Mitarbeiterpassworts abhängt.
Jenseits der Sicherheitsrisiken sind mit der nicht genehmigten Speicherung sensibler Kundeninformationen in der Cloud eine ganze Reihe von rechtlichen Konsequenzen und Auswirkungen im Zusammenhang mit Richtlinienverstößen verbunden. Unternehmen können es sich kaum leisten, diese zu ignorieren.
Laut Information des Unternehmens Cisco werden in den meisten Unternehmen 15- bis 22-mal mehr Cloud-Apps in Anspruch genommen als von der IT genehmigt wurden. Das bedeutet: Für jede App, von der die IT-Abteilung Kenntnis hat, sind 15 bis 22 weitere in Gebrauch, von denen die Unternehmen absolut gar nichts wissen.
Eine kürzlich vom Unternehmen SpiceWorks durchgeführte Umfrage stimmt darin überein. Demnach sagen 80 Prozent der IT-Manager, ihre Nutzer installierten nicht genehmigte Dienste auf ihren Geräten.
Darüber hinaus sind laut Aussagen der Non-Profit-Organisation Cloud Security Alliance und des Sicherheitsanbieters Skyhigh Networks lediglich 8 Prozent der Unternehmen der Ansicht, sie hätten sämtliche von ihren Mitarbeitern verwendeten Cloud-Dienstleistungen im Griff.
Eine einfache Methode zum Schutz von Cloud-Daten auf ihrem Weg vom Gerät zum Cloud-Speicher ist die Verschlüsselung des gesamten Prozesses unter Verwendung eines VPN-Tunnels.
Ein VPN kann mobilen Mitarbeitern im Außendienst den Aufbau einer verschlüsselten Verbindung zu ihrem Unternehmensnetzwerk ermöglichen. Auf diese Weise ist ein sicherer Datentransfer möglich, unabhängig vom Standort des Mitarbeiters oder von der genutzten Anwendung.
Häufig starten Cloud-Dienste als allgemeine öffentliche Websites. Mit der Gewöhnung der Kunden an den Besuch solcher Websites für Dienstleistungen wächst auch die Menge der dort gehosteten sensiblen Daten.
Public Cloud Provider erweitern praktisch das Netzwerk des Rechenzentrums. Internet-VPN ist jederzeit die beste und einfachste Option für Dienstleister zur Gewährleistung, dass Kundendaten privat und verschlüsselt bleiben.
Zusammenfassend lässt sich sagen: Eine fehlende Implementierung grundlegender Sicherheitsmaßnahmen – wie etwa Datenverschlüsselung im Umgang mit sensiblen Cloud-basierten Daten – seitens der Cloud-Provider und Unternehmensmitarbeiter hat bei vielen der hochkarätigen Angriffe, über die in den Medien berichtet wurde, eine wesentliche Rolle gespielt.
Immer mehr Arbeitgeber ermöglichen ihren Mitarbeitern die Verwendung ihrer eigenen Cloud-basierten Apps bei der Arbeit. Damit vergrößert sich das Risiko, dass Kundendaten nach außen gelangen.
Aus diesem Grund ist die Verwendung eines VPN zur Geheimhaltung und zur Sicherung sensibler Kundendaten sinnvoll, wann immer ein Transfer dieser Daten zur Cloud oder aus der Cloud heraus erfolgt.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.