Managament , Studien

Vorgaben der Datenschutz-Grundverordnung (GDPR) werden verfehlt

Vorgaben der Datenschutz-Grundverordnung (GDPR) werden verfehlt

Péter Gyöngyösi, Product Manager of Blindspotter, BalaBit

CSI-Report: 44 Prozent der Unternehmen sind nicht in der Lage, Datenschutzverletzungen innerhalb von 72 Stunden zu erkennen und zu melden. Das ergab der aktuelle CSI-Report von Balabit, einem führenden Anbieter von Contextual-Security-Technologien. Diese Meldefrist tritt jedoch mit der neuen Datenschutz-Grundverordnung (General Data Protection Regulation) in Kraft und gilt für Mitgliedsstaaten der EU. Bei Verstoß riskieren sie Strafen in Höhe von bis zu vier Prozent ihres Jahresumsatzes.

Zwar haben derzeit 75 Prozent der Unternehmen einen Zeitrahmen fixiert, in dem IT-Sicherheitsvorfälle untersucht werden müssen. Doch fast die Hälfte der befragten IT- und Sicherheitsfachleute mussten einräumen, dass sie diese Fristen nicht einhalten können - trotz der strikten Vorgaben der General Data Protection Regulation (GDPR) und weiterer Compliance-Regelungen. Rund 7 Prozent der Unternehmen wurden aus diesem Grund bereits bestraft oder mussten wegen Verstößen gegen Compliance-Vorgaben Sanktionen hinnehmen.
 
"Der Hauptgrund für diese Versäumnisse liegt darin, dass Unternehmen vorliegende Daten nur in unzureichendem Maße auswerten und interpretieren können", erklärt Péter Gyöngyösi, Product Manager von Blindspotter bei Balabit. "Mit den eingesetzten Tools ist es schlichtweg nicht möglich, die relevanten Informationen in unstrukturierten oder umfangreichen Datenbeständen aufzuspüren. IT- und Sicherheitsfachleuten fehlen demnach kontextbezogene Daten, die aber notwendig sind, um tiefer reichende Analysen durchzuführen und aus Datenbergen verwertbare Informationen zu machen."

Zu viele Grauzonen vorhanden

Besonders drastische Datenlecks, etwa bei Yahoo oder dem Seitensprung-Portal Ashley-Madison, stoßen auf eine breite Resonanz in der Öffentlichkeit. Allerdings, wie die Ergebnisse der Balabit-Studie zeigen, gibt es noch zu viele Grauzonen bei der Meldung von Datenschutzverletzungen. Zum Beispiel Ransomware-Attacken werden meist nicht gemeldet, wenn Lösegeld gezahlt und keine Daten gestohlen wurden. Oder es geschieht teils mit Absicht, um den guten Ruf zu wahren und wirtschaftlichen Schaden abzuwenden, teils unwissentlich, teils aus purer Hilflosigkeit heraus.
Daran ändern auch klassische IT-Sicherheits-Tools nichts. Diese sind notwendig und tun das, wofür sie konzipiert wurden. Doch häufig sind solche Lösungen weder miteinander verknüpft, noch werden die gesammelten Informationen schnell genug, das heißt in Echtzeit analysiert. Dann taugen sie dafür, die formale Einhaltung von Compliance-Regeln zu überprüfen. Datenverluste durch Angriffe bleiben jedoch unbemerkt oder werden nicht gemeldet.

Schärfere Vorgaben durch die GDPR

Balabit zufolge waren bislang rund 30 Prozent der Organisationen nicht dazu verpflichtet, Vorfälle im Bereich IT-Sicherheit den zuständigen Behörden zu melden. Von den 70 Prozent meldepflichtigen Firmen existieren bei 25 Prozent keinerlei Vorgaben, bis wann sie solche Vorkommnisse zur Kenntnis bringen müssen. Doch das ändert sich mit der Datenschutz-Grundverordnung. Sie wird nach einer Übergangsfrist von zwei Jahren am 25. Mai 2018 für Unternehmen und Behörden anwendbar und betrifft alle Unternehmen, die in der EU personenbezogene Daten verarbeiten oder mit Firmen aus der EU Geschäfte machen. Die neuen Regelungen sehen vor, dass Unternehmen Datenpannen, bei denen personenbezogene Informationen involviert sind, innerhalb von 72 Stunden melden müssen. Sonst laufen sie Gefahr, eine Strafe in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes bezahlen zu müssen.

Wichtigste Aspekte von Untersuchungsverfahren

Balabit befragte im Rahmen der Studie IT-Experten, welche Faktoren bei der Analyse von sicherheitsrelevanten Vorfällen für sie am wichtigsten sind und wie zufrieden sie mit dem aktuellen Zustand sind. Der Wert 1 steht dabei für "Schwerwiegende Probleme", der höchste Wert 5 für "Alles funktioniert bestens".

Daten in aussagekräftige Informationen umsetzen: Hier zeigte sich eine massive Diskrepanz. Mit einem Wert von 3,48 belegte dieser Punkt den letzten Platz auf der Zufriedenheitsskala. Dagegen erzielte diese Funktion mit 4,08 Punkten den höchsten Wert, was ihre Bedeutung betrifft. Das heißt, der Mangel an Tools, die aus Datenbeständen verwertbare Informationen extrahieren können, ist für IT-Fachleute das größte Problem im Rahmen von Untersuchungen.

Verhalten von gleich gelagerten Nutzern vergleichen: Mit 3,39 Punkten erreichte diese Eigenschaft die zweitbeste Bewertung in punkto Zufriedenheit, wurde jedoch mit 3,8 als weniger relevant eingeordnet. Dieser Faktor ist das Bindeglied zu den fehlenden kontextbezogenen Daten, also das, was IT-Experten bei der Analyse von Vorfällen vermissen: Metadaten über das Verhalten von IT-Usern. Eine einzelne Datenquelle kann solche Informationen nicht bereitstellen, eine kombinierte Analyse von Daten aus mehreren Quellen dagegen schon. Sie liefert Antworten auf die Frage, welche Unterschiede das aktuelle Verhalten eines IT-Nutzers im Vergleich zu seinen sonstigen Aktivitäten aufweist. Dadurch sind IT-Abteilungen in der Lage, verdächtige Aktionen zu erkennen und Risiken frühzeitig zu eliminieren.

Einen zentralen Startpunkt haben, inklusive aller relevanten Detailinformationen: Dieser Faktor erreichte in Bezug auf seine Bedeutung einen Wert von 3,94. Die Experten vergaben hinsichtlich der Zufriedenheit mit dem aktuellen Status 3,51 Punkte. Dies weist darauf hin, dass die befragten Unternehmen entweder nicht über effiziente Security Operation Center (SOC) verfügen. Oder sie haben es nicht geschafft, alle Datenquellen zu integrieren und für Analysen zu nutzen. Das ist problematisch, denn die Qualität von Untersuchungsergebnissen hängt von den Datenquellen ab. Das Fehlen kontextbezogener Informationen erweist sich im Rahmen von solchen Analysen oft als hoch problematisch.

Die Fähigkeit, ad hoc weitere Detailinformationen zu ermitteln ("Drill-down"): Auch dieser Faktor wird mit 3,94 Punkten als wichtig eingestuft. Die Zufriedenheit mit dem Ist-Zustand, also den vorhandenen Tools, gaben die Experten mit 3,64 an. Allerdings ist dabei zu berücksichtigen, dass manuelle "Drill-down"-Analysen zeitaufwändig sind. Das verschafft Angreifern einen Vorsprung, den sie beispielsweise dafür nutzen können, um Unternehmensdaten zu entwenden.

Einfacher Zugang zu allen relevanten Daten: Mit einem Wert von 4,07 ist dies der zweitwichtigste Faktor. Mit 3,64 Punkten ist die Zufriedenheit der IT-Experten mit dem Status quo relativ hoch. Allerdings ist dabei zu berücksichtigen, dass der Höchstwert bei 5,0 liegt. Die erzielte Punktzahl ist somit ein Beleg dafür, dass sich IT-Sicherheitsexperten bei der Untersuchung von IT-Sicherheitsvorfällen mit erheblichen Herausforderungen konfrontiert sehen.

Grafik als PDF ansehen

 

Über Balabits CSI-Report zum Thema IT-Sicherheitsuntersuchungen

Balabit befragte im Rahmen der Untersuchung während der RSA Conference 2016 USA in San Francisco 108 IT- und Sicherheitsexperten. Es handelte sich um CIOs, Chief Information Security Officer (CISO) und Auditoren von Unternehmen und Einrichtungen aus unterschiedlichen Branchen. Dazu zählen der IT- und IT-Sicherheitsbereich, der Finanzsektor, das Gesundheitswesen und staatliche Einrichtungen. Die Studie beleuchtet den aktuellen Status von IT-Security-Untersuchungsverfahren. Ermittelt wurde, welche Aspekte IT-Fachleute bei solchen Analysen als wichtig einstufen und wie zufrieden sie mit der Umsetzung in der Praxis sind. Außerdem gibt die Studie Aufschluss über die Effektivität von Sicherheits-Tools bei forensischen Untersuchungen sowie die Fähigkeit von Organisationen, Datenlecks rechtzeitig zu erkennen, darauf zu reagieren, solche Vorfälle zu untersuchen und entsprechende Berichte zu erstellen.
                        
https://www.balabit.com

Diesen Artikel empfehlen

Autor: mir

Waffen der Wahl für automatisierte IT-Angriffe in großem Stil

„Erfolgsgeschichte“ der Exploit-Kits Um die aktuelle Situation zu bewerten, ist es wichtig, die Geschichte der Exploit-Kits zu verstehen. Wie sind diese zu einer der häufigsten und effektivsten Methoden für Cyberangriffe auf Unternehmen avanciert? Die Popularität von Exploit-Kits geht zurück auf...

Apple lädt insgeheim iPhone-Anrufprotokolle in die iCloud

"Automatische Synchronisierung von Anrufprotokollen mit der Cloud ist großartig, wenn Sie darüber Bescheid wissen und eine Möglichkeit haben, sie abzuschalten", sagt Vladimir Katalov, CEO von ElcomSoft. "Während Apple daran arbeitet, die Sicherheit seiner Geräte zu verbessern, werden...

Umfrage: Deutsche fühlen sich von Cyber-Terror bedroht

Die Angst vor Terroranschlägen hat auch den Cyber-Raum erobert: Zwei Drittel der Bevölkerung halten die Gefahr für groß oder sehr groß, dass staatliche Stellen und kritische Infrastrukturen in Deutschland über das Internet  angegriffen werden. Das ist ein Ergebnis einer Umfrage, die das...

Proaktiver Schutz vor komplexen Cyberbedrohungen

Wie gehören Mandiant und FireEye zusammen?" In dieser Konstellation kommt mir eine Sache "spanisch" vor und ergibt keinen tieferen Sinn!"Welche Dienstleistungen bietet Mandiant an?Was können die Mandiant Consultants besonders gut?Müssen Sie erst an die Front wenn es „brennt“ –...

Top 10-Bedrohungen für Industriesteuerungsanlagen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet die Bedrohungslage für Industrial Control Systems deshalb kontinuierlich. Die schwerwiegendsten Gefahren sowie passende Gegenmaßnahmen fasst das BSI seit 2012 im Dokument "Industrial Control System Security – Top 10...

Risk-Management = Pflichtfach für Unternehmen

IT-Compliance und IT-Sicherheit Bei staatlichen Kontrollen müssen Unternehmen die mit der Digitalisierung von Geschäftsprozessen verbundenen Prozessketten nachweisen können. Beispiele für die Umsetzung dieser Beweispflicht sind die digitale Steuerprüfung nach den Grundsätzen zum Datenzugriff,...