Der gestern Abend bekannt gewordene Datendiebstahl bei Yahoo verdeutlicht einmal mehr, dass Unternehmen ihre Sicherheitsstrategie genau prüfen und an die sich ändernden Herausforderungen anpassen sollten. Ein Kommentar von Christoph Stoica zum Rekordhack bei Yahoo.
68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000 gestohlene Kundenzugangsdaten bei der Telekom und jetzt der Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy. Zwischen diesen drei Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren. Für die Presse sind solche spektakulären Cyberhacks ein gefundenes Fressen und vielleicht gibt es sogar schon manch pfiffiges Wettbüro, das jetzt Wetten annimmt, wie lange es wohl dauern wird, bis auch der aktuelle Rekordhack mit 500.000.000 kompromittierten Nutzerkonten von einem noch größeren Diebstahl übertroffen wird – für die geschädigten Unternehmen hingegen bedeuten solche Angriffe zunächst einmal vor allem einen Imageverlust und der Verlust der Glaubwürdigkeit. Im Falle von Yahoo scheint diese Datenpanne jedoch auch reelle finanzielle Auswirkungen zu haben.
Wie immer bei der Veröffentlichung solcher Mega-Datenpannen melden sich auch jetzt wieder diejenigen zu Wort, die mahnend den Zeigefinger heben und sich fragen, wie ein Datendiebstahl solchen Ausmaßes überhaupt möglich ist, und warum dieser so lange anscheinend unentdeckt blieb. Das Wort Fahrlässigkeit wird auch dabei – und das sicherlich teils auch zu Recht – wieder schnell die Runde machen. Es ist schwer vorstellbar, dass gerade die oben genannten Unternehmen, allesamt aus der IT- Branche, grob vorsätzlich und fahrlässig gehandelt haben in Bezug auf die seinerzeit getroffenen Sicherheitsmaßnahmen. Bedenken sollte man, dass alle kürzlich veröffentlichen Datendiebstähle auf Netzwerkangriffe zurückgehen, die bereits vor 4 beziehungsweise 2 Jahren im Falle von Yahoo erfolgten. Damals galt in den Unternehmen noch die Devise „Schützen und Verteidigen“ als ausreichend für den Schutz der sensiblen Daten, man investierte vor allem in immer ausgefeiltere Firewalls und Antivirensoftware und die Kombination aus Passwort und Nutzernamen für die Authentifizierung galt als bestmöglicher Kompromiss aus Sicherheit und Nutzbarbarkeit. Doch mit den sich rasant neu entwickelnden Trends wie Cloud Computing und Cloud Services, Social Media, mobiles Internet, BYOD muss sich auch der Blick auf die IT-Sicherheitsstrategie komplett ändern. Die wachsende technologische Durchdringung und Vernetzung, die damit einhergehende Komplexität der IT-Landschaften, die sich verändernden Formen der geschäftlichen Zusammenarbeit sowie die ‘always on’ Mentalität, sprich zu jeder Zeit und von jedem Ort online erreichbar zu sein, stellt die IT-Abteilungen ganz klar vor neue Herausforderungen. Der klassische Schutz der IT-Netze und Systeme an den Außengrenzen erodiert zunehmend, denn es gibt keine Grenze mehr zwischen „innerhalb“ und „außerhalb“ des Netzwerkes – das Netzwerk ist heute überall und der Feind ebenso.
Zeit, dass sich was dreht: Von der statischen IT-Sicherheit hin zur dynamischen IT-Sicherheitsstrategie
Unternehmen sind heute angesichts der stetig wachsenden Bedrohungslage was Cyberattacken anbelangt mehr denn je gefordert, ihre Sicherheitsstrategie zu überprüfen und den geänderten Herausforderungen anzupassen. Die technischen Möglichkeiten hierzu stehen – anders als auch vielleicht noch vor 4 Jahren – beispielsweise mit einem risikobasiertem Zugriffsmanagement bereits zur Verfügung. Eine Analyse der Risiken und die Implementierung einer risikobasierten Zugriffssteuerung auf der Grundlage von Multi-Faktor-Authentifizierung sollte daher die Basis eines jeden Sicherheitskonzeptes sein. Eine weitere Grundlage für eine umfassende IT-Sicherheit ist ein zentraler Überblick über alle vergebenen Berechtigungen. Die Konzepte werden auf Basis von Attributen, IT- und Geschäftsrollen sowie Richtlinien definiert. Auch die Vereinfachung und Automatisierung von Prozessen zur Rezertifizierung der Zugriffsberechtigungen und die Etablierung von Identity Governance Initiativen gehören dazu.
Fazit:
Zusammenfassend kann man sagen, dass eine komplette Neubewertung des Umgang mit Berechtigungen und Zugriffen erforderlich ist. Für die Verwaltung von Benutzeridentitäten und Zugriffsrechten reicht eine IT-zentrische Form des Identity Management alleine nicht mehr aus. Ging es früher im Wesentlichen darum, die Benutzerverwaltung zu automatisieren und den Datenschutz- und Compliance-Richtlinien zu entsprechen, sínd heute intelligente Verwaltungslösungen gefragt, um die IT-Sicherheit an sich verändernde Anforderungen anzupassen und situativ und in Echtzeit reagieren zu können. Unternehmen, die angesichts sich massiv häufender Datendiebstähle und Cyberattacken , nach wie vor nur auf eine statische Sicherheitsstrategie setzen, handeln fahrlässig – sowohl in Bezug auf die Datensicherheit als auch im Hinblick auf mögliche Image- und Wertverluste ihres Unternehmens.