© Blancco Technology Group

Aktuelle Studie

Aufschieben der Datenlöschung von Altgeräten führt in rund zwei Drittel der Unternehmen in Deutschland zu einer Gefährdung sensibler Daten

Einer Studie der Blancco Technology Group (LON: BLTG) zufolge gehen einige der größten deutschen Unternehmen hohe Risiken bei der Erstellung, Umsetzung und Kommunikation ihrer Datenschutzrichtlinien ein. Für die Studie „Data Sanitization: Policy vs. Reality“, die von Blancco in Zusammenarbeit mit Coleman Parkes erstellt wurde, wurden 1,850 Entscheidungsträger von Unternehmen weltweit befragt.
Das Ergebnis zeigt, dass die Datenschutzrichtlinien hinsichtlich ihrer Ausarbeitung und Umsetzung oftmals nicht geeignet sind, um in jeder Phase eine vollständige Datenlöschung der vorhandenen IT-Assets zu gewährleisten. 

Obwohl 98 Prozent der insgesamt 259 Unternehmen, die in Deutschland befragt wurden, über eine Richtlinie zur Datenlöschung verfügen, haben 49 Prozent diese nach eigenen Angaben noch nicht unternehmensweit kommuniziert. Darüber hinaus halten sechs Prozent der Unternehmen ihre Richtlinien für nicht abschließend ausgearbeitet. In insgesamt 67 Prozent der Unternehmen in Deutschland fehlt es an einer unternehmensweiten, effektiven und regelmäßigen Kommunikation der Datenlöschrichtlinien. Die Folge ist ein höheres Risiko für Datenschutzverletzungen.


Weitere Schwachstellen bei der Festlegung und Umsetzung von Richtlinien zur Datenlöschung sind u. a.:

Keine zentrale Verantwortung für das Löschen von IT-Assets
14 Prozent der Mitarbeiter sind beim Ausscheiden aus dem Unternehmen selbst für die Verwaltung und Kontrolle bei der Rückgabe ihrer IT-Geräte verantwortlich. Weitere 22 Prozent übertragen diese Verantwortung auf ihren direkten Vorgesetzten. Falls weder die Mitarbeiter noch deren direkte Vorgesetzte ausreichend über die existierenden Datenlöschrichtlinien und -verfahren informiert wurden, bedeutet dies ein deutlich höheres Risiko, dass sensible Daten nicht richtig gelöscht werden und in die falschen Hände gelangen könnten.

Horten von IT-Geräten in Lagerräumen
Die Mehrheit (89 Prozent) der Unternehmen in Deutschland gab zu, die Daten auf ihren IT-Geräten nicht unmittelbar am End-of-Life zu löschen. Besonders besorgniserregend ist, dass etwas mehr als zwei Drittel (67 Prozent) der Firmenangaben, länger als einen Monat zu benötigen, um den Löschvorgang durchzuführen. Bei knapp einem Viertel (24 Prozent) sind es sogar mehr als drei Monate. Das ist länger als in allen anderen Ländern, in denen die Studie durchgeführt wurde. Dadurch gehen diese Unternehmen das Risiko ein, dass Geräte verloren gehen oder gestohlen werden und es zu Datenschutzverletzungen kommt. 




Off-site-Datenlöschung
49 Prozent der Firmen in Deutschland lassen ihre mobilen Altgeräte off-site durch externe Anbieter löschen. Bei PCs und Laptops sind es 37 Prozent. Die Beauftragung eines externen Anbieters, der Altgeräte abholt, um sie zu löschen, ist per se nichts Schlechtes, birgt aber gewisse Risiken. Diese sind vor allem dann besonders groß, wenn Unternehmen keinen vollständigen Überblick über die Chain-of-Custody ihrer IT-Geräte und somit auch keine Möglichkeit haben, zu beweisen, dass ihre auf den Geräten befindlichen Daten während des Transports nicht kompromittiert wurden. Aus diesem Grund ist es unerlässlich, dass externe Anbieter für Datenlöschung einen detaillierten Audit-Trail für die gesamte Chain-of-Custody und die zertifizierte Datenlöschung liefern.

Fehlen klarer Zuständigkeiten für die Umsetzung von Richtlinien zur Datenlöschung
Obwohl 61 Prozent der Befragten in Deutschland nach eigenen Angaben der Meinung sind, dass die Verantwortung für die Einhaltung der Richtlinien zur Datenlöschung in ihrem Unternehmen klar kommuniziert wurde, zeigen die Antworten auf die Frage, wer für deren Umsetzung verantwortlich ist, ein sehr heterogenes Bild. Insgesamt 25 Prozent der befragten Unternehmen gaben an, dass dies Aufgabe des Datenschutzbeauftragten ist. Dahinter folgen der Chief Financial Officer (CFO) mit 13 Prozent, der Leiter der Rechtsabteilung mit 12 Prozent sowie der Leiter der IT-Abteilung bzw. der Chief Information Security Officer (CISO) mit 11 Prozent. Dieses Fehlen einer klaren Verantwortlichkeit könnte den Schluss nahelegen, dass die Datenbereinigung für viele Unternehmen lediglich eine von vielen Aufgaben ist, die es abzuhaken gilt, um den Compliance-Vorschriften zu genügen oder betriebliche Anforderungen zu erfüllen, und dass das Thema Datenschutzrisiken nicht ernst genug genommen wird.


„Das Fehlen robuster Datenlöschrichtlinien in deutschen Unternehmen ist alarmierend“, so Fredrik Forslund, Vice President, Enterprise and Cloud Erasure Solutions bei Blancco. „Wenn sie es versäumen, für jede Phase des Datenlebenszyklus effektive Richtlinien zu formulieren und zu. kommunizieren, stellt dies eine große potenzielle Gefahr für Unmengen sensibler Daten dar. Es ist deshalb unerlässlich, Prozesse mit klaren Verantwortlichkeiten einzurichten und die Kontrolle der Umsetzung dieser Prozesse dem obersten Führungsteam zu übertragen, um diese Risiken zu minimieren. Obwohl 25 Prozent der deutschen Unternehmen die Umsetzung ihrer Richtlinien zur Datenlöschung in die Verantwortung ihres Datenschutzbeauftragten gelegt haben und damit in die richtige Richtung gehen, ist es noch ein weiter Weg.“


Weitere wichtige Erkenntnisse zu Unternehmen in Deutschland
Ein beunruhigend hoher Anteil von 30 Prozent der deutschen Unternehmen konnte nicht sagen, wann die IT-Sicherheitsrichtlinie ihres Unternehmens zuletzt aktualisiert wurde. Darüber hinaus wissen 30 Prozent nicht genau, was darin steht:

  • Fast die Hälfte (45 Prozent) der befragten Unternehmen in Deutschland ist nach eigenen Angaben der Meinung, dass Datenlöschrichtlinien am wenigsten von befristet Beschäftigten eingehalten werden. Dies ist der höchste Wert unter allen Ländern, die in die Studie einbezogen wurden. Darüber hinaus sind 36 Prozent der Ansicht, dass Auftragnehmer oder Freiberufler die Datenlöschrichtlinien des Unternehmens am wenigsten verstehen bzw. befolgen. 

  • Es fehlt den Unternehmen in Deutschland nicht nur an einer klaren Zuteilung der Verantwortung für die Umsetzung ihrer Richtlinien zur Datenlöschung, sondern auch an einer entsprechenden Rechenschaftspflicht, was die Einhaltung dieser Richtlinien betrifft. Die Verantwortung für die Sicherstellung der Einhaltung der Richtlinien verteilt sich auf ganz unterschiedliche Aufgabenbereiche. Überraschend ist, dass dies in 24 Prozent der Fälle in die Zuständigkeit des Head of Operations fällt, gefolgt vom Leiter für IT (22 Prozent), dem Compliance-Beauftragten (17 Prozent) und dem Leiter der Rechtsabteilung (13 Prozent). Diese uneinheitliche Übertragung der Verantwortung birgt die Gefahr, dass es zu Compliance-Verstößen und infolge dessen zur Verhängung von Bußgeldern kommt. Die Tatsache, dass die Sicherstellung der Compliance lediglich in fünf Prozent der Unternehmen in den Verantwortungsbereich des Datenschutzbeauftragten fällt, ist ebenfalls besorgniserregend, vor allem vor dem Hintergrund, dass dies zu den Kernaufgaben eines Datenschutzbeauftragten gehören sollte.

Den vollständigen Bericht – „Data Sanitization: Policy vs. Reality“ – mit einer eingehenden Analyse finden Sie hier: http://www.blancco.com/policy-vs-reality
Dieser Bericht ist der zweite in einer Reihe von insgesamt drei Berichten. Im ersten Bericht – „A False Sense of Security“ – wurde festgestellt, dass 32 Prozent der Unternehmen in Deutschland mit ihren (fehlenden) Verfahren zum Löschen von End-of-Life-Geräten erhebliche Risiken eingehen. 
Den Bericht können Sie hier herunterladen.

- PM Blancco Technology Group -

 

© Kaspersky

Kaspersky kooperiert mit Arctic Security im Bereich Threat Intelligence

Partnerschaft bietet maßgeschneiderte Bedrohungsinformationen für Unternehmen und Service Provider

Kaspersky gibt die neue Partnerschaft mit Arctic Security bekannt. Ab sofort werden dadurch die Kaspersky Threat Data Feeds [1] auf der Arctic Hub-Plattform [2] von Arctic Security verfügbar sein. Die Feeds unterstützen Organisationen mit Security Operation Centern (SOCs) sowie Managed Security Service- und Internet Service Provider dabei, stets auf die aktuellsten und relevantesten Informationen zu Cyberbedrohungen zugreifen zu können.
Mehr als ein Drittel (37 Prozent) der Führungskräfte im Bereich IT-Sicherheit gibt an, dass zu viele Sicherheitsdaten verfügbar wären, als dass sie sinnvoll einsetzbar wären [3]. Im Zuge der Partnerschaft zwischen Arctic Security und Kaspersky können gemeinsame Kunden nun über Arctic Hub auf Kaspersky Threat Data Feeds zugreifen, die Unternehmen umfassende, kontextreiche und umsetzbare Bedrohungsinformationen liefern.

Kaspersky Threat Data Feeds decken ein breites Spektrum schädlicher Aktivitäten ab, die vom Kaspersky Security Network, dem globalen Forschungs- und Analyseteam von Kaspersky (GReAT) und weiteren zuverlässigen Quellen für Bedrohungsinformationen zusammengefasst werden. Jeder Datensatz in den Datenfeeds wird zu hundert Prozent mit einer Falsch-Positiv-Rate von Null überprüft. Für jeden Datei-Hash, jede IP-Adresse, jede Domain und jede URL gibt es einen umfangreichen und umsetzbaren Kontext, einschließlich Bedrohungsname, Zeitstempel und geografischer Verteilung der Bedrohung.

Arctic Security hilft staatlichen und kommerziellen Cybersicherheitszentren sowie weiteren Cyber-Verantwortlichen in Organisationen dabei, sofortigen Zugang zu kritischen und maßgeschneiderten Bedrohungsinformationen zu erhalten. Das finnische Unternehmen bietet mit Arctic Hub eine Lösung, die eingehende Bedrohungsinformationen basierend auf ihrer Internetpräsenz automatisch der Infrastruktur der Kunden zuordnet und den Austausch von Informationen über E-Mail-Reports sowie den direkten API-Zugriff ermöglicht; dabei wird ermittelt, wie detailliert die Benachrichtigungen sein sollten.

"Kaspersky und Arctic Security haben viele gemeinsame Kunden in staatlichen und kommerziellen Cybersicherheitszentren sowie Managed Security Service Provider", erklärt Casper Teijema, Global Partners Manager bei Kaspersky. "Dies macht die Zusammenarbeit für uns sehr wichtig. Wir bei Kaspersky sind bestrebt, umsetzbare und zuverlässige Bedrohungsinformationen bereitzustellen. Mit der Lösung Arctic Hub können unsere Kunden noch bequemer auf unsere Cyberbedrohungsexpertise zugreifen."

-PM Kaspersky-

 

[1] https://www.kaspersky.de/enterprise-security/threat-intelligence
[2] https://arcticsecurity.com/products/hub/
[3] https://www.kaspersky.com/blog/ciso-2019/29014/

 

© PSW Group

TeleTrusT veröffentlicht Leitfaden zur E-Mail-Verschlüsselung

PSW GROUP: E-Mail-Verschlüsselung ist längst nicht mehr so komplex wie häufig angenommen.

Jedes zweite Unternehmen in Deutschland und Österreich hatte bereits einen konkreten Spionageangriff auf ihre EDV-Systeme oder zumindest Verdachtsfälle zu beklagen.
Dabei handelt es sich vor allem um Hackerangriffe sowie um abgefangene elektronische Kommunikation: In Deutschland stellten 41,1 %, in Österreich 40,0 % derartige Aktivitäten fest. Doch nur ein Bruchteil setzt auf Verschlüsselung.
Es waren unter anderem diese Zahlen aus der Studie „Industriespionage 2014 – Cybergeddon der Wirtschaft durch NSA & Co.?“, die die TeleTrusT-Arbeitsgruppe „ Cloud Security“ zum Anlass nahm, einen Leitfaden zur E-Mail-Verschlüsselung zu veröffentlichen. Der mehr als 70 Seiten umfassende Leitfaden legt Funktionsweise, Relevanz Patrycja Tulinska
© PSW Group
und technischen Hintergrund der E-Mail-Verschlüsselung dar und gibt konkrete Handlungsempfehlungen. 

„Da die Kommunikation per E-Mail in zahlreichen Organisationen und Unternehmen Kommunikationsmittel Nummer Eins ist, ist die Verschlüsselung von E-Mails einer der wesentlichen Schritte in der Kommunikationssicherheit“, sagt Patrycja Tulinska, Geschäftsführerin der PSW GROUP (www.psw-group.de). Der Anbieter von E-Mail-Zertifikaten ist als Mitglied der Arbeitsgruppe „Cloud Security“ an der Publikation beteiligt. „E-Mail-Verschlüsselung macht aus einer für alle lesbaren Postkarte einen versiegelten Brief, den nur der berechtigte Empfänger lesen kann“, betont Tulinska und sagt weiter: „E-Mail-Verschlüsselung ist wichtig, weil zum einen bestimmte Daten und Informationen schlichtweg geheim gehalten werden sollen. Zum anderen müssen Compliance-Richtlinien erfüllt werden. Mit der Datenschutz-Grundverordnung macht der Gesetzgeber auch konkrete Vorgaben zum Umgang mit personenbezogenen Daten.“

So zeigt die neue TeleTrust Publikation unter anderem Technologien auf, die das Verschlüsseln von E-Mails ermöglichen. Vorgestellt werden praxisnahe Lösungen, etwa die Verschlüsselung direkt im Client des Anwenders sowie alternative Gateway-Lösungen. „In Zeiten von Schwachstellen wie Efail, Industriespionage und Hackerangriffen stellt die verschlüsselte Übertragung von E-Mails einen immens wichtigen Baustein zur IT-Sicherheit dar. Nur verschlüsselte Kommunikation kann als sicher und vertrauenswürdig angesehen werden“, betont Tulinska und ergänzt: „Da gängige E-Mail-Programme die Verschlüsselung unterstützen und mit Gateway-Lösungen der Aufwand nicht beim User, sondern in der IT-Abteilung liegt, gibt es auch keine Ausreden: E-Mail-Verschlüsselung ist längst nicht mehr so komplex wie häufig angenommen.“

Bei der Verschlüsselung über den E-Mail-Client des Users können E-Mail-Zertifikate auf einem Token oder als Softkey vorhanden sein. So lässt sich die Verschlüsselung Ende-zu-Ende realisieren. Die E-Mails liegen auch auf dem Mailserver sowie im internen Unternehmensnetz immer verschlüsselt vor. Die E-Mail-Verschlüsselung über S/MIME wird von gängigen E-Mail-Programmen wie Outlook unterstützt, während für PGP in aller Regel zusätzliche Programme benötigt werden. Für Verschlüsselungs-Gateways wird hingegen zentral konfiguriert, welche E-Mails ausschließlich verschlüsselt übertragen werden. Entsprechende Prozesse innerhalb der IT-Administration nehmen die Komplexität der Verschlüsselung dem einzelnen User ab. Ein Gateway kann sicherstellen, dass bestimmte Kommunikation grundsätzlich verschlüsselt wird, außerdem lassen sich Mail-Inhalte vor dem Verschlüsseln und nach dem Entschlüsseln auf Malware oder kritische Inhalte prüfen. 

„Welcher dieser Ansätze im rechtlichen, organisatorischen und technischen Kontext für welches Unternehmen geeignet ist, muss jede Organisation für sich entscheiden. Denkbar ist auch ein Mix: Bestimmte Mitarbeiter verschlüsseln am Client, die restliche Belegschaft nutzt die Verschlüsselungsfunktion des Gateways“, rät Patrycja Tulinska.

-PM PSW Group-

 

© Verband der TÜV e.V

Private und berufliche Internetnutzung im Homeoffice trennen

Cyberkriminelle nutzen Corona-Pandemie

Arbeitgeber*innen sollten IT-Risiken neu bewerten und Sicherheitsmaßnahmen für das mobile Arbeiten anpassen

Der TÜV-Verband hat vor den Gefahren für die Cybersecurity im Zusammenhang mit dem mobilen Arbeiten im Homeoffice gewarnt. „Unternehmen müssen wegen der Corona-Pandemie die Risiken für ihre Organisation neu bewerten und ihre IT-Sicherheitsmaßnahmen anpassen“, sagte Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands (VdTÜV).
„Viele Mitarbeiter haben mit bestimmten digitalen Prozessen noch keine Routine. An dieser Stelle muss der oft zitierte ‚Faktor Mensch‘ Teil der Risikobetrachtung werden. Die Beschäftigten brauchen klare Vorgaben für das Arbeiten im Homeoffice, um die Risiken für Cyberangriffe zu reduzieren.“ Bereits seit Wochen kursieren Phishing-Mails und Smartphone-Apps, die gefährliche Schadsoftware verbreiten.

Bühler: „Die Corona-Pandemie ist ein gefundenes Fressen für Cyberkriminelle. Eine hohe Besorgnis der Bürger in Kombination mit einem hohen Informationsbedürfnis ist der ideale Nährboden, um die Nutzer in die Irre zu führen. Mit Hilfe von Phishing-Mails oder Smartphone-Apps können Geräte leicht mit Schad-Software infiziert werden.“ Die Folge kann neben unseriösen Angeboten zum Schutz vor den Auswirkungen der Pandemie auch der Diebstahl von Zahlungsdaten, das Abgreifen persönlicher Informationen oder das Lahmlegen der Geräte mit anschließender Erpressung sein. Zudem besteht im Homeoffice die Gefahr, dass sich Cyberkriminelle Zugang zu den Netzwerken der Arbeitgeber*innen verschaffen. Das kann leichter passieren, wenn Mitarbeiter*innen berufliche und private Tätigkeiten vermischen und die genutzten Endgeräte mit dem Unternehmen verbunden sind.

Mit dem massenhaften Umzug ins Homeoffice stand für die IT-Abteilungen zunächst im Vordergrund, die Beschäftigten möglichst schnell arbeitsfähig zu machen. Rechner mussten neu eingerichtet, der Zugang zu den Netzwerken zum Beispiel mit so genannten VPN-Verbindungen sichergestellt sowie ausreichend Rechenkapazitäten und Bandbreiten zur Verfügung gestellt werden. „IT-Abteilungen und IT-Dienstleister arbeiten derzeit am Limit, um die Arbeitsfähigkeit der Organisationen zu gewährleisten“, sagte Bühler. Im nächsten Schritt gelte es, die Risiken neu zu bewerten und die IT-Sicherheit der veränderten Situation anzupassen. „Mit der Adhoc-Digitalisierung vieler Prozesse können sich die Schutzziele der IT-Systeme verändern“, sagte Bühler. War das Webkonferenz-System zum Beispiel nur eine Nischenanwendung oder wurde gar nicht genutzt, kann es jetzt eine sicherheitskritische Anwendung sein. „In vielen Unternehmen muss die IT-Sicherheit mit einem Fokus auf das mobile Arbeiten neu justiert werden“, betonte Bühler.

Darüber hinaus besteht die Gefahr, dass sich in der aktuellen Situation eine sogenannte „Schatten-IT“ entwickelt. Insbesondere, wenn die unternehmenseigenen Systeme überlastet oder wenig benutzerfreundlich sind, nutzen die Beschäftigten gerne frei verfügbare Anwendungen für Kommunikation, Datentransfers oder das Speichern und Bearbeiten von Dateien in der Cloud. Hier müssen die IT-Abteilungen schnell prüfen, welche dieser Anwendungen den IT-Sicherheitsanforderungen der Organisation genügen. Andernfalls entsteht ein Wildwuchs, der für die IT-Abteilungen nicht mehr administrierbar ist. Bühler: „Die IT-Verantwortlichen sollten die Mitarbeiter schnell mit sicheren, praktikablen Anwendungen versorgen und klare Vorgaben für die Nutzung externer Dienste machen. Die Nutzung privater Geräte ohne spezifische Sicherungsmaßnahmen sollte in jedem Fall vermieden werden.“

Für die digitale Sicherheit beim mobilen Arbeiten im Homeoffice gibt der TÜV-Verband folgende Hinweise:

Berufliches und Privates trennen: Wer mit dem Computer seines Arbeitgebers privat im Internet surft, kann sich auf diesem Weg gefährliche Schad-Software einfangen. Es kann daher sinnvoll sein, ein eigenes WLAN-Netzwerk für berufliche Zwecke einzurichten oder die Kommunikation der Geräte untereinander im Heimnetzwerk zu unterbinden.

Phishing-Mails löschen: Vorsicht ist derzeit bei allen E-Mails mit Bezug zum Corona-Virus geboten. Phishing-Mails enthalten Links zu gefährlichen Webseiten mit dem Ziel, Zugangsdaten des Benutzers abzufangen. Weiterhin werden gerade jetzt viele E-Mails mit Schad-Software verschickt, die nicht geöffnet werden dürfen. Nutzer*innen sollten genau hinschauen, ob E-Mails mit Corona-Bezug von seriösen Absendern stammen. Verdächtige E-Mails sollten gelöscht oder zunächst an den IT-Support des Arbeitgebers weitergeleitet werden.

Social Engineering als Gefahr: Besonders findige Cyberkriminelle greifen Organisationen gezielt an, indem sie Mitarbeiter*innen persönlich anschreiben und vermeintlich echte E-Mail-Adressen verwenden. Das sollten alle Beschäftigten im Hinterkopf behalten und prüfen, ob der Absender seriös ist.

Auf Screenshots verzichten: Derzeit machen in sozialen Netzwerken Selfies von Online-Meetings und Videokonferenzen die Runde. Ist dabei die Webadresse (URL) zu sehen, können ungebetene Gäste an den Meetings teilnehmen oder diese Informationen zur Vorbereitung von Angriffen nutzen.

An IT-Support wenden: Beschäftigte sollten gerade in der aktuellen Situation die Anweisungen des Arbeitgebers und des IT-Supports strikt befolgen. Auch, wenn im Internet zahlreiche vermeintlich bessere als die hauseigenen Lösungen existieren, sollten Mitarbeiter*innen den Kontakt zu ihrem IT-Support suchen und absprechen, was erlaubt ist und was nicht. Bei einem Sicherheitsvorfall sollten Beschäftigte nicht zögern und sofort die IT-Abteilung kontaktieren. Zeit ist bei Cyberangriffen ein kritischer Faktor.

Zusammenhalt dient auch der IT-Sicherheit: „In schwierigen Zeiten hilft es, auch virtuell zusammenzustehen und sich digital auszutauschen“, betonte Bühler. „In Organisationen, die auch in der Krise viel kommunizieren, haben es kriminelle Hacker schwerer, erfolgreich zu sein oder unbemerkt zu bleiben. Rücksichtnahme, Verständnis und ein persönlicher Dank an die IT-Abteilung tut sicher allen gut.“

-PM Verband der TÜV e.V.-