Management Überlegungen 1: Achten Sie auf alle datenbezogenen Sicherheitsmaßnahmen

Die meisten Datenschutzbeauftragten kümmern sich nicht darum und ein Teil dieser Ignoranz geht auf Aussagen bekannter Analysten zurück.

Erinnern Sie sich an den Cyber-Angriff auf das Berliner Kammergericht?
Alle, die sich für digitale Transformation, IT- und Datensicherheit interessieren, lesen regelmässig über die weltweit zunehmenden Sicherheitslücken. Wir sind also schlechte Nachrichten gewohnt und arbeiten alle fleißig daran, daß unserem Unternehmen so etwas nicht passiert. Der Vorfall im September 2019 hat uns aber alle sprachlos gemacht. Ich beziehe mich auf den Cyber-Angriff auf das Berliner Kammergericht. Das Kammergericht behandelt sehr sensible Fälle, einschließlich terroristischer. Im Fokus des Cyber-Angriffs steht der Trojaner mit dem Namen „Emotet“. Der Hack war weitaus umfangreicher und schwerwiegender als ursprünglich angenommen wurde. Laut forensischen Berichten konnten die Angreifer mit hoher Sicherheit auf das gesamte Daten- und Dateisystem des Gerichts zugreifen und es herunter laden. Dies geschah, obwohl eine Woche zuvor in die IT-Systeme der Stadtbezirke Brandenburg und Potsdam erfolgreich eingebrochen wurde.

Sind Infrastruktur und Netzwerksicherheit ausreichend

Es ist bemerkenswert, dass Sicherheitsexperten nach so vielen Verstößen und schwerwiegenden Problemen immer noch der Meinung sind, dass die Infrastruktur- und Netzwerksicherheit die wichtigste Lösung für den Schutz sensibler Daten ist. Es scheint mir, dass wir immer noch erstaunliche Ignoranz und Selbstzufriedenheit in unserem Sicherheitsgeschäft sehen. Manchmal denke ich, dass bekannte Analysten Teil dieser Ignoranz sind. Wenn jemand sagt, dass datenzentrierte Sicherheit optional ist, neigen die Follower dazu, ihr eine niedrige Priorität einzuräumen. Wenn es darauf ankommt, dann löschen Sie dieses Thema aus der Liste der Investitionsprioritäten. Diese Analysten bieten den Entscheidungsträgern den Grund, etwas nicht zu tun. Das Argument laute: „Nun, ich folge nur dem, was sie sagen.“

Ich glaube, unsere Kollegen da draußen müssen wirklich ihre Prioritäten überprüfen und darauf achten, dass für alle Daten eine datenzentrierte Sicherheit erreicht wird. Dies schließt u.a. Daten ein, die von internen Systemen auf mobile Geräte oder Cloud-Speicher heruntergeladen wurden. Die Schlussfolgerung, dass eine solche datenzentrierte Sicherheit optional ist, ist äußerst riskant. Tatsächlich ist es heutzutage ein obligatorischer Bestandteil jeder wirksamen IT-Sicherheitsstrategie, die traditionelle Perimetersicherheit zu erweitern. Wenn Daten immer verschlüsselt sind – sowohl bei der Ablage als auch beim Transport – können wir alle ruhiger schlafen. Ich verstehe nur nicht, warum diese Apathie immer noch besteht. Vielleicht ist es das Top-Management, das ignorant ist und unsere Kollegen daran hindert, das Budget für die Erledigung der Arbeit bereit zu stellen. Sie sollten sich bewusst sein, dass sie einen Tiger reiten.