GDPR-Compliance

Risikobewertung von IT-Bedrohungen

| Autor / Redakteur: Markus J. Krauss* / Peter Schmitz

Praktische Vorschläge zum Umgang mit der Datenschutz-Grundverordnung (EU) 2016/679 (GDPR) durch Risikobewertung und neue Security-Konzepte.
Praktische Vorschläge zum Umgang mit der Datenschutz-Grundverordnung (EU) 2016/679 (GDPR) durch Risikobewertung und neue Security-Konzepte. (© Coloures-pic - Fotolia.com)

Angriffe auf die Unternehmens-IT zu erkennen wird immer schwieriger. Unternehmen müssen sich deshalb auf sensitive Bereiche und die zielgerichtete Betrachtung von Vorgängen fokussieren. Durch die initiale Klassifizierung von Risikopotentialen schrumpft die zu betrachtende Masse an Daten auf ein verarbeitbares Volumen. Risiken werden transparent und managebar.

Banken und Kreditkartenunternehmen leben erfolgreich vor, wie Risiken auch bei zunehmender Digitalisierung erkannt und erfolgreich minimiert werden können. Für Einkäufe im Internet, durch Browser basiertes Online-Banking oder mit mobilen Applikationen, erhält der Nutzer von E-Commerce und Mobil-Banking zu jeder Zeit und an jedem Ort Zugang zur gewünschten Information und Funktionalität.

Handelsplattformen und digitale Portale gibt es nicht nur bei Vermittlern und Online-Portalen wie Uber und airbnb, auch klassische Industrien präsentieren ihre Serviceleistungen und Produkte bereits in vergleichbarer Form. Der Erhalt der eigenen Marktposition erfordert es, sich der Digitalisierung zu öffnen und Lösungen für die daraus resultierenden Risiken zu implementieren. Diese Veränderung im Nutzerverhalten erhöht permanent die Anforderungen an die Datensicherheit.

Es ist eine Aufgabe mit vielen Dimensionen, da Unternehmen nicht nur Opfer von Cyberkriminellen werden, sondern Angriffsversuche und Manipulationen oft zu spät bemerken. Beispiele wie Yahoo oder Dropbox zeigen, dass es in der Vergangenheit auch Jahre dauern konnte, bis Datenlecks der Öffentlichkeit bekannt wurden. Erhebungen von FireEye zu Folge dauert es in Deutschland im Durchschnitt 469 Tage bis Unternehmen Hackerangriffe bemerken - die Welt braucht durchschnittlich 150 Tage.

Nur 72 Stunden

72 Stunden – länger darf es aber nicht mehr dauern, bis ein Unternehmen die Behörden informiert, wenn personenbezogene Daten unberechtigt abgeflossen sind. Diese herausfordernde Zahl ist eine bindende Vorgabe nach der neuen EU-Datenschutz-Grundverordnung 2016/679 des Europäischen Parlaments und des Rates (DS-GVO bzw. GDPR). Vergleicht man die Werte, wird der Handlungsdruck der Unternehmen zur Umsetzung von Verbesserungen und zur Schließung dieser Lücke deutlich.

Viele Security-Tools helfen bereits, schnell und automatisiert Angriffe zu entdecken und abzuwehren. Bei der Vielzahl der Anwendungen steht jedes Unternehmen vor der praktischen Herausforderung, die angemessene Lösung für sich selbst zu finden. Die solide Auswahl des passenden Angebots und Partners bildet die stabile Basis zum Aufbau einer zuverlässigen und wirksamen Security-Architektur.

Auch wenn die Meldepflicht der Datenschutz-Grundverordnung nur für Daten der Privatsphäre besteht, hilft diese Begrenzung nicht bei der Auswahl der adäquaten systemseitigen Lösung. Durch die Menge der Angebote fehlt die Transparenz, welches Security-Tool welches Maß an Sicherheit bringt und Sicherheitsrisiken sind zusätzlich in ihren Auswirkungen sehr unterschiedlich.

Da der Stellenwert eines jeden Security-Problems unterschiedlich ist, empfiehlt es sich, den Fokus der Risikobewertung auf eine klare Priorisierung der Schwachstellen und Anwender mit dem höchsten Schadenspotential zu legen. Dann steht die konsequente und zielgerichtete Betrachtung bestimmter Klassen von Daten in den Vordergrund, nicht die Analyse der Masse.

Am Beispiel von Kreditkartenumsätzen wird deutlich, wie Banken und Zahlungsinstitute seit geraumer Zeit bereits Betrugsrisiken bei Ausführung der Transaktion direkt bewerten. Die Ziele sind hierbei die Verhinderung von Fälschungen und der Schutz der Karteninhaber durch starke Authentifizierung. Branchenspezifische und gesetzliche Vorgaben werden eingehalten, ohne die operative Arbeitslast zu steigern. Diese präventiven Maßnahmen sind einfach handhabbar und werden vom Kunden als Mehrwert und Serviceleistung wahrgenommen. Erfolgreiche Sicherheitskonzepte stellen keine Belastung der Kundenbeziehung dar – es lohnt deshalb, sich die konkrete Umsetzung der Finanzbranche anzusehen.

Skalierbar und in Echtzeit

Authentifizierung und Betrugsprävention funktionieren nach dem Muster verhaltensbasierter neuronaler Netze, die als selbstlernend angesehen werden. Für diesen Prozess werden kontinuierlich Daten zum Nutzungsverhalten gesammelt, die die Entscheidung auf Transaktionsebene unterstützen. Bei jedem Einzelfall wird sichtbar, ob der Vorgang vom Anwender selbst oder von einem unberechtigten Dritten ausgelöst wird. Die Risikoeinstufung erfolgt in quasi Echtzeit und möglicher Betrug wird unmittelbar transparent. Nur wenn eine Transaktion als bedeutend und riskant identifiziert wurde, werden weitere Kriterien zur Bewertung abgefragt: Wie hoch ist das tatsächliche Risiko? Worin besteht es? Was wäre die Folge?

Diese weitergehende Bewertung erfordert eine sehr präzise Unterscheidung zwischen legitimen und betrügerischen Vorgängen, da nur im konkreten Verdachtsfall eine weitere Authentifizierung verlangt oder die Transaktion abgelehnt wird. Diese Präzision wird durch ein ausgefeiltes Regelwerk im Hintergrund gewährleistet, das granular und vor allem schnell an neue Bedrohungen und Verhaltensweisen angepasst werden kann. Die so entwickelten Bewertungskriterien (Score) helfen nicht nur, Manipulationen und Angriffe öfter und schneller zu entdecken, sie stellen auch sicher, dass lediglich eine begrenzte Anzahl von Transaktionen von zusätzlichen Überprüfungen betroffen ist. Kosten für die Bewertung und Bearbeitung von Transaktionen werden reduziert und die Zufriedenheit der Kunden mit dem Service erhöht sich.

Ein derart gestaltetes Risiko-Management-System ist granular, extrem skalierbar und arbeitet in Echtzeit. Die Überprüfung erfolgt im Hintergrund. Sie beeinträchtigt die Transaktionsverarbeitung nur in wenigen, definierten Fällen, wird von Anwendern kaum wahrgenommen und von Kunden als Mehrwert eingestuft.

Klassifizierung des einzelnen Risikos

Dieses in der Finanzbranche bereits eingesetzte System lässt sich auf die generelle Security-Infrastruktur in Unternehmen aller Branchen übertragen. Übergeordnet werden die Eintrittswahrscheinlichkeit eines Hacker-Angriffs und die potentielle Schadenshöhe einer Sicherheitsverletzung bewertet. In jedem Verarbeitungsprozess wird dann zunächst die tatsächliche Identität des Nutzers überprüft. Im nächsten Schritt wird der Wert des Vorgangs, also die Bedeutung der Daten, auf die dieser Anwender Zugriff hat, eingestuft, denn es gibt in jedem Unternehmen viele Mitarbeiter und Aufgabenbereiche, die keinen oder nur begrenzten Zugriff risikorelevante, sensitive Daten haben.

Aus diesen Analysen wird eine Art Matrix abgeleitet, mit der berechnet wird, wie hoch das tatsächliche Unternehmensrisiko ist und wie ein Anwender und die von ihm angefragte Aktion im Einzelfall abgesichert werden muss. Die Reaktionszeiten werden stark reduziert, da den Mitarbeitern je nach Aufgabe, Rolle und Zugriffsrechten ein eigenes Risikoprofil zugeordnet wird. Wird dann ein Angriff registriert, ist sofort deutlich, welches Risiko dieser in Bezug auf welches Profil darstellt.

Oft werden Daten-Manipulationen von eigenen Mitarbeitern ermöglicht oder ausgelöst. Nur eine ganzheitliche Lösung kann das verhindern. Anwender mit besonderen Berechtigungen und aufgabenbezogenen Privilegien, wie z.B. Administratoren und root-Accounts erhalten passende Risikoprofile und werden stärker abgesichert. Diese Einordnung dient dem Schutz des Unternehmens und auch der Absicherung des privilegierten Anwenders, da diese Technologie sein rechtschaffendes Handeln bestätigt.

Die Meldepflicht der Datenschutz-Grundverordnung bleibt bestehen, wir zeigen aber einen praktikablen Lösungsweg auf, bei dem die größtmögliche Sicherheit in einem gesunden Verhältnis zum operativen Aufwand steht.

Übertragung in die Praxis

In vielen Unternehmen hapert es aber schon an den Grundvoraussetzungen für Datensicherheit. Es fehlt das umfassende und vollständige Wissen, an welchen Stellen im Unternehmen sensitive Daten gehalten und von welchen Prozessen sie abgerufen werden. Eine granulare Differenzierung von Rollen und Berechtigungen für den Datenzugriff nach dem Need-to-Know-Prinzip ist oft nicht durchgängig vorhanden. Diese Aufgabe ist bei Unternehmen mit vielen Niederlassungen, externen Mitarbeitern oder Subunternehmern noch komplexer.

Fehlt Transparenz über Berechtigungen und Zugriffsmöglichkeiten auf Daten oder ist z.B. nicht bekannt, welche Anwender Daten verändern können, werden Risikoeinstufungen in der Praxis nicht wirksam. Rechte müssen deshalb durchgängig in einer Identity Management und Identity Governance-Lösung dynamisch verwaltbar und protokollierbar sein.

Hoher Bedarf besteht zusätzlich an einer zuverlässigen, durchgängigen Authentifizierung der Anwender und an einer besonderen Prüfung der Anwender mit hohen Privilegien und Berechtigungen. Advanced Authentication nutzt eine Multi-Factor sowie Omni-Channel Authentifizierung, die den Zugriff auf die Zielsysteme auf Basis der Identität gewährleistet.

Die Akzeptanz für den eingesetzten Lösungen steigt, wenn jederzeit berücksichtigt wird, dass Sicherheitsmechanismen von Kunden und Anwender nicht oder kaum wahrgenommen werden sollen. Ziel ist daher neben der Verwaltung von Identitäten und dem Management von Zugriffen auch die Überwachung der Performance von Systemen und Applikationen und des gesamten Geschäftsprozesses.

Klasse statt Masse

Hacker-Angriffe und Datenmanipulationen zeitnah und wirksam zu erkennen wird immer eine anspruchsvolle und dynamische Aufgabe sein. Unternehmen sollten sich deshalb auf sensitive Bereiche und die zielgerichtete Betrachtung von Vorgängen fokussieren. Durch die Investition in die initiale Klassifizierung von Risikopotentialen schrumpft die zu betrachtende Masse an Daten auf ein verarbeitbares Volumen. Risiken werden durch die Umsetzung eines umfassenden Security-Konzepts transparent und managebar.

Ein Identity Centric Security-Ansatz mit User Behaviour Monitoring am Endpunkt erhöht die Sicherheit in Unternehmen und lässt Security machbar werden. Die heute bereits überlasteten Security-Teams und die engen Budgets werden es begrüßen, wenn nicht mehr die Masse an Warnhinweisen überwacht und verfolgt werden muss, sondern dass zielgerichtet nach bewährten Risikoklassen agiert werden kann.

* Markus J. Krauss ist Senior Director Security Sales bei CA Technologies.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44352241 / Benutzer und Identitäten)