Gastbeitrag

Es klingt wie eine Binsenweisheit zumindest für diejenigen, die sich täglich mit nichts anderem befassen als mit den Herausforderungen der IT-Sicherheit: die Risiken sind omnipräsent und sie treffen (fast) unterschiedslos alle. Allerdings hat der veröffentlichte 2019 Thales Data Threat Report – Global Edition auf Basis der Erhebungen und Analysen von IDC auch andere Erkenntnisse zu Tage gefördert. So sind 64 % der Befragten, die mehr als 10 % ihres IT-Budgets für IT-Sicherheit ausgegeben haben, bereits mindestens ein Mal Opfer einer Datenschutzverletzung geworden, allein 34 % dieser Befragten im letzten Jahr. Demgegenüber sagen nur 47 % der Befragten, die weniger als 10 % investiert haben, dass sie Opfer einer Datenschutzverletzung geworden sind und lediglich 17 % von diesen Befragten im letzten Jahr. Das kann verschiedene Gründe haben. Firmen, welche die digitale Transformation schon weit getrieben haben, sind unter Umständen bekanntere Marken und potenziell attraktivere Ziele für Cyberkriminelle oder solche Unternehmen erkennen mehr Datenschutzverletzungen. Auf der anderen Seite geht der dynamische Umbau möglicherweise mit einer Einstellung einher bei der Time-to-Market Vorrang vor Sicherheitserwägungen hat. Die Grunderkenntnis: kein Unternehmen ist auf der sicheren Seite. Das Risiko ist ein treuer Begleiter.

Auch wenn die Digitalisierung in den einzelnen Unternehmen unterschiedlich weit fortgeschritten ist, der Umbau ganzer Branchen ist in vollem Gange und aller Orten entstehen neue Geschäftsmodelle. Das bestätigen auch die Ergebnisse der oben zitierten Studie. So sind es nur ganze 3 % der Befragten, die überhaupt keine Strategie für die digitale Transformation haben, 19 % entscheiden über solche Projekte noch ad hoc, 14 % opportunistisch, je nach den individuellen Projektanforderungen, aber alle anderen haben die IT-Ziele mit der übergreifenden Unternehmensstrategie in Einklang gebracht, einschließlich einer dokumentierten und standardisierten Digitalstrategie (24 %). Weitere 24 % nutzen digitale Funktionalitäten bereits eingebettet in das Unternehmen selbst, eng angekoppelt an die Management-Vision, und die letzten 15 % schließlich treiben die digitale Transformation aggressiv voran und nutzen sie, um neue Geschäftsmodelle zu entwickeln und ganze Märkte umzukrempeln.

Datenschutz hinkt hinterher

Gerade diese Unternehmen haben aber bereits selbstkritisch festgestellt, dass sie zwar bei transformativen Geschäftsmodellen die Nase vorn haben, sich aber schwer tun einen übergreifenden Sicherheitsansatz durchgängig innerhalb ihrer Netzwerkinfrastruktur umzusetzen. Das liegt nicht zuletzt darin begründet, dass viele Firmen sich weiterhin auf die traditionellen Infrastruktursysteme verlassen, an anderer Stelle aber massiv in neue Technologien wie Multi-Cloud-Umgebungen, Container, Blockchain und das IoT investieren. Dazu kommen knapp kalkulierte Sicherheitsbudgets und eine dünne Personaldecke. Unternehmen sind gezwungen aus weniger mehr zu machen. Die Erwartungen was die zur Verfügung stehenden Sicherheitsbudgets anbelangt sind gegenüber dem Vorjahr entsprechend gedämpft. Ob bei den IT-Sicherheitsbudgets schon das Ende der Fahnenstange erreicht ist, lässt sich kaum mit letzter Gewissheit prognostizieren. Was hingegen klar ist: Unternehmen müssen mehr Umgebungen und mehr Orte absichern, an den vertrauliche Daten verarbeitet, transportiert oder gespeichert werden – on-premises, in der Cloud und in den weit verbreiteten hybriden Umgebungen.

Diese Entwicklung hat fatale Folgen für das Investitionsvolumen in den Schutz der Daten selbst. So gab die Hälfte der befragten Unternehmen an, lediglich zwischen 6 % und 15 % ihrer Sicherheitsbudgets auf den Datenschutz zu verwenden. Das entspricht einem Anteil von 0,6 % bis 3 % am gesamten IT-Budget. In gewisser Weise spiegeln die Ergebnisse die gegenwärtige Entwicklung im Markt für Sicherheitslösungen. Netzwerksicherheit, die auf Hardware und Geräten basiert ist grundsätzlich kostspieliger als der eigentliche Datenschutz. Das mag einer der Gründe sein, warum gerade dieser Bereich so vergleichsweise stiefmütterlich behandelt wird. So verwenden einerseits 97 % der Befragten sensible Daten in transformativen Technologieumgebungen. Aber weniger als 30 % verschlüsseln diese Daten. Es sieht tatsächlich so aus, als ob Unternehmen vielfach unternehmerische Entscheidungen zugunsten neuer Technologien treffen. Selbst dann, wenn diese Technologien die bestehende Sicherheitsarchitektur bereits überholt haben.

Art und Umfang der stetig weiter steigenden Zahl von Datenschutzverletzungen legen allerdings die Vermutung nahe, dass Unternehmen an der falschen Stelle und dort zu viel investieren. Traditionelle Sicherheitsansätze sind nicht für hybride und Multi-Cloud-Umgebungen entwickelt worden. Entsprechend untauglich sind sie oftmals.

Über den Autor

Kai Zobel hat über 30 Jahre IT-Erfahrung mit einem besonderen Fokus auf IT-Security in den letzten 20 Jahren. Er bietet umfassende Kenntnisse in den Bereichen Verschlüsselung, Authentifizierung, Zertifikatsverwaltung, Perimeter Security sowie Risiko- und Compliance-Management. Kai Zobel war er in unterschiedlichen Positionen für verschiedene Marktführer wie Utimaco, Safenet, Verizon Business, CA, Skybox Security und Fortinet tätig. In seiner derzeitigen Rolle bei Thales verantwortet er die Länderorganisationen in D-A-CH, Skandinavien, Benelux und Osteuropa.

Komplexe Umgebungen, eine Hürde mehr

Neben der eigentlichen Ressourcenknappheit sehen sich Unternehmen mit weiteren Hürden konfrontiert. Die Umgebungen, in den Firmen mit vertraulichen Daten operieren, sind gerade in den letzten Jahren zunehmend komplexer geworden. Die „alten“ on-premises-Umgebungen koexistieren mit unterschiedlichen IaaS- und PaaS-Umgebungen und nicht selten mit hunderten von SaaS-Anwendungen. Selbst wenn Unternehmen zahlreiche Prozesse in die Cloud auslagern, können sie doch auf on-premises-Anwendungen für unternehmenskritische Bereiche nicht gänzlich verzichten. Und auch die wollen verwaltet, unterhalten und abgesichert werden. Allein die Verwaltung der unterschiedlichen Cloud-Instanzen hat IT-Abteilungen einen bisher unerreichten Komplexitätsgrad beschert. Verschlüsselungslösungen und Tokenisierung zu verwalten, Datentransparenz herzustellen und den Zugriff auf vertrauliche Daten zu regeln, ist schon in einer Umgebung ausreichend komplex. Das wird mit drei, fünf oder fünfzig verschiedenen Umgebungen nicht besser. Dazu kommt das schiere Volumen der zu bewältigenden Daten. Viele wissen natürlich um die Situation. Komplexität, der Einfluss auf Leistungsfähigkeit und Geschäftsprozesse und das Thema Budget sind die Top 3 auf der Liste der größten Sorgen der Unternehmen in Sachen Datenschutz. Offensichtlich geben aber die fehlenden oder knappen Budgets weniger Anlass zur Sorge als die beiden anderen. Es gilt also in erster Linie die Komplexitätshürde in den Griff zu bekommen.

Cloud, IoT, Container und Blockchain – die Unsicherheit steigt

Die Cloud ist ubiquitär, und Unternehmen stellen inzwischen eine große Zahl von Cloud-Umgebungen bereit. Gleichzeitig sind diese Umgebungen zum größten Speicher für sensible Datenbestände geworden. Wenn es an das Speichern vertraulicher Daten geht, haben 40 % der Befragten angegeben, sensible Informationen in allen drei Cloud-Typen, SaaS-, PaaS- und IaaS-Umgebungen zu verwenden. Es reicht nicht, die Verantwortung für diese Daten an den betreffenden Provider auszulagern, sie liegt auch beim Kunden. Die Aufgabe des Providers ist es die zugrundeliegende unterstützende Infrastruktur beziehungsweise die zur Verfügung gestellte Software-Plattform zu schützen. Das entbindet Unternehmen ganz und gar nicht davon, ausgesprochen wachsam zu sein, wenn es an die eigene Software und die eigenen Daten geht. Hier müssen Firmen selbst den Datenschutz zur Priorität machen und Maßnahmen wie Verschlüsselung und Tokenisierung einziehen sowie Vorkehrungen zum Schutz der Daten zu ergreifen. Unabhängig davon, ob gerade mit ihnen gearbeitet wird, sie gespeichert oder migriert werden. Je weiter sich Unternehmen der Digitalisierung verschreiben und damit zugleich die IT-Landschaft verändern, desto weiter wird sich der Fokus bei den verschiedenen Sicherheitslösungen verschieben.

Quasi wider besseres Wissens, dass man vertrauliche Daten am besten über Verschlüsselung absichert ist die Rate derer, die das tatsächlich tun, erschreckend niedrig. Weniger als 30 % der Befragten gaben an Verschlüsselung in der überwiegenden Mehrzahl aller Fälle einzusetzen wie bei der Festplattenverschlüsselung in Rechenzentren, beim Cloud Provider, in Big-Data-Umgebungen, in Datenbanken, mobilen Umgebungen und im Internet der Dinge.

So stimmt es optimistisch, dass ein deutlich höherer Prozentsatz der Befragten Verschlüsselungen dort nutzt, wo diese Unternehmen neue Technologien wie das IoT, Container/Docker und Blockchain einsetzen. Was die Sicherheitsbedenken hinsichtlich des IoT angeht versuchen immerhin 41 % diese mittels Verschlüsselung und Tokenisierung in den Griff zu bekommen, dazu kommen Authentifizierung und Anti-Malware-Maßnahmen. Bei Containern liegt die Rate derer, die Verschlüsselung zum Schutz der dort gespeicherten Daten nutzen sogar bei 47 %.

Blockchain wird unter den Befragten immer noch als relativ neue Technologie gesehen und abwartend beurteilt. Entsprechend breit gefächert sind die Sicherheitsbedenken, von denen Cryptojacking an erster Stelle steht. Dicht gefolgt von der Befürchtung vertrauliche Daten über unzureichend geschützte öffentliche Konten zu gefährden. Authentifizierung und Maßnahmen, die eine Identität zuverlässig validieren sollen in erster Linie helfen, Sicherheitsrisiken zu begrenzen.

Die digitale Transformation schickt sich an, die Art wie wir leben und arbeiten fundamental zu verändern. Unternehmen kommen nicht umhin ihre Geschäftsmodelle und Geschäftsprozesse neu zu denken, wenn sie vollumfänglich von neuen Technologien wie der Cloud, Mobile, sozialen Medien, dem Internet der Dinge, Container und Blockchain profitieren wollen. Sicherheit gehört direkt hinein in diesen Prozess. Sie im Nachgang zu betrachten wird ohnehin bestehende Risiken nur unnötig vergrößern.

Weiterführende Informationen:
Thales

Aufmacherbild / Quelle / Lizenz
Bild von Darwin Laganzon auf Pixabay

Lizenz:

Copyright für Text und Bild liegt bei Thales