2019 MidYear QuickView Data Breach Report

Tausendfache Datenverluste, meist selbst verschuldet

| Autor / Redakteur: Dr. Dietmar Müller / Florian Karlstetter

Der "2019 MidYear QuickView Data Breach Report" zeigt, dass in den ersten sechs Monaten dieses Jahres weltweit 2800 Datenverluste öffentlich gemacht werden mussten.
Der "2019 MidYear QuickView Data Breach Report" zeigt, dass in den ersten sechs Monaten dieses Jahres weltweit 2800 Datenverluste öffentlich gemacht werden mussten. (Bild: gemeinfrei, rawpixel / Pixabay)

Die Angst vor Datenverlust bremst weiterhin den Einsatz von Cloud Computing in Deutschland. Kann man verstehen – gerade erst zeigt der „2019 MidYear QuickView Data Breach Report“, dass in den ersten sechs Monaten dieses Jahres weltweit 2.800 (!) Datenverluste öffentlich gemacht werden mussten. Schadenssumme: 4,1 Milliarden US-Dollar.

Das ist ziemlich niederschmetternd, zumal die Dunkelziffer bestimmt auch ziemlich erschreckend wäre. Gut ist lediglich, dass es sich laut der Studie in den allermeisten Fällen um Datenverluste „mittleren bis niedrigen Schweregrads“ handelt, bei denen 10.000 oder weniger Datensätze offengelegt wurden. Allerdings verschweigt der Report, in wie vielen Fällen die Daten in einer Cloud gehalten wurden – sie könnten ja auch auf Servern im Keller eines Unternehmens herumgelegen haben, ganz ohne „As-a-Service“-Infrastruktur.

Trotzdem: Können Sicherheitsverantwortliche ruhigen Gewissens den Gang in die Cloud befürworten? Analysten sagen uns heute klar „ja“, denn auch und gerade in Public Clouds stehen Sicherheitsverfahren zur Verfügung, die denen in Unternehmen in nichts nachstehen, wohl eher im Gegenteil. Trotzdem muss man die Sorgen ernst nehmen, sehr ernst sogar.

Public Clouds als Sicherheitsproblem?

Eine neue Umfrage von Kaspersky belehrt uns, dass mindestens ein Drittel der weltweit Befragten (35 Prozent bei KMUs und 39 Prozent im Enterprise-Bereich) Angst vor möglichen Störfällen innerhalb einer von einem Drittanbieter gehosteten Infrastruktur haben. Unter den befürchteten Risiken: Umsatzeinbußen und Reputationsverlust. Darüber hinaus geben 90 Prozent der befragten Firmen (88 Prozent bei KMUs und 91 Prozent bei großen Unternehmen), die bereits Opfer von Datenschutzverletzungen in der Cloud geworden sind, an, dass Social-Engineering-Techniken Teil der Angriffsszenarien waren – die Kompromittierungen also nicht auf ein Fehlverhalten des Cloud-Anbieters zurückzuführen waren.

Der Feind lauert im Inneren

In den allermeisten Fällen sind also nicht die Clouds und deren Betreiber das Problem, sondern die Mitarbeiter im Anwenderunternehmen, die Passwörter und Zugänge gedankenlos freigeben (macht laut „2019 MidYear QuickView Data Breach Report“ 65 Prozent der Verstöße aus), oft durch den schnellen Klick auf einen Link in einer E-Mail (70 Prozent). Hier grüßt ewig das Murmeltier; schon in der Zeit vor der Cloud war die Belegschaft das eigentliche Security-Problem.

Milos Hrncar, General Manager DACH bei Kaspersky, sieht bezüglich der Sicherheit beim Einsatz von Public Clouds die Unternehmensführung in der Verantwortung. Sie müsse die Mitarbeiter entsprechend schulen: „Der erste Schritt bei einer Migration in die Public Cloud liegt für jedes Unternehme darin, zu verstehen, wer für die Sicherheit aller Geschäftsdaten und die damit verbundenen Workloads verantwortlich ist. Cloud-Anbieter verfügen in der Regel über spezielle Cyber-Sicherheitsmaßnahmen zum Schutz ihrer Plattformen und Kunden. Wenn es jedoch zu einer Bedrohung auf Kundenseite kommt, liegt die Verantwortung nicht mehr auf Seiten des Anbieters. Unternehmen sollten daher einen verstärkten Fokus auf die Cyber-Sicherheitshygiene ihrer Mitarbeiter richten und Maßnahmen ergreifen, um ihre Cloud-Umgebung von innen heraus zu schützen.“

Kaspersky rät Unternehmen zu folgenden Cloud-relevanten Schutzmaßnahmen:

  • Sensibilisierung der Mitarbeiter für die Gefahren durch Cyberbedrohungen. Denn das willkürliche Klicken auf unbekannte Links oder Anhänge kann fatale Folgen haben (Stichwort „Spear Phishing“).
  • Angestellte sollten über die negativen Folgen von Schatten-IT in Kenntnis gesetzt, und für jede Abteilung sollten Verfahren zu Kauf und Nutzung der Cloud-Infrastruktur bestimmt werden, um das Risiko einer unerlaubten Nutzung der Cloud-Plattformen zu minimieren.
  • Social-Engineering-Angriffe sollten durch die Verwendung einer Endpoint-Sicherheitslösung verhindert werden. Diese sollte den Schutz des E-Mail-Servers, der E-Mail-Clients und des Browsers umfassen.
  • Nach der Migration der Cloud-Infrastruktur müssen sofort Sicherheitsmaßnahmen eingesetzt werden, die mittels einer dedizierten Cybersicherheitslösung mit einheitlicher Verwaltungskonsole über alle Cloud-Plattformen hinweg verwaltet werden können. Diese sollten zudem die automatische Erkennung der Cloud-Hosts sowie die automatische Skalierung der Roll-Outs aller Schutzmechanismen für diese unterstützen.

Hintergrund

Hintergrund der Wortmeldung von Kaspersky sind die jüngsten vom Bitkom publizierten Zahlen zur Cloud-Nutzung in Deutschland. Laut dem Cloud-Monitor wächst Cloud Computing so stark wie nie in Deutschland; im vergangenen Jahr nutzten drei von vier Unternehmen (73 Prozent) Rechenleistungen aus der Cloud – im Vorjahr waren es erst zwei Drittel.

Weitere Ergebnisse: 19 Prozent planen oder diskutieren den Cloud-Einsatz. Nur für acht abgeschlagene Prozent der Unternehmen ist die Cloud immer noch kein Thema. „Die meisten Unternehmen können und wollen auf Cloud Computing nicht mehr verzichten. Cloud-Anwendungen sind nicht nur kosteneffizienter, sondern auch die Basis für zukunftsfähige Geschäftsmodelle“, so Dr. Axel Pols, Geschäftsführer von Bitkom Research. Im vergangenen Jahr nutzten seinen Aussagen zufolge mehr als die Hälfte der Unternehmen (55 Prozent) Private-Cloud-Anwendungen, gut ein Drittel (35 Prozent) setzte auf Public-Cloud-Lösungen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46185069 / Allgemein)