Studie: Über 90 Prozent aller Datendiebstähle 2014 waren vermeidbar

Mehr als 90 Prozent aller Datendiebstähle hätten sich durch eine auf eine Risiko-Analyse aufsetzende Cyberstrategie vermeiden lassen. Das hat eine Untersuchung von Vorfällen in der ersten Jahreshälfte 2014 durch die gemeinnützige Online Trust Alliance ergeben.

In ihrer Leitfaden-Sammlung „2015 Data Protection Best Practices and Risk Assessment Guides“ steht weiter, dass nur 40 Prozent der Vorfälle zwischen Januar und Juni 2014, bei denen persönliche Daten gestohlen wurden, durch Angreifer von außen verursacht wurden. Eigene Angestellte der Firmen verursachten 29 Prozent solcher Vorfälle entweder durch ein Versehen oder in böser Absicht. Verlorene und gestohlene Geräte waren in 18 Prozent aller Fälle verantwortlich, Betrug und Social Engineering führten zu 11 Prozent der Datenverluste.

Der Leitfaden enthält eine Liste von Fragen, die sich IT-Entscheider in Firmen stellen sollen, um ihr tatsächliches Risiko abzuschätzen. Beispielsweise wird gefragt, ob der Administrator die genauen Daten-Attribute aller Kunden einschließlich des Speicherorts, Datenflusses und der Archivierung kennt. Auch die Kommunikation eventueller Vorfälle gegenüber Mitarbeitern, Kunden, Aktionären und Medien ist ein Thema, ebenso wie die Kenntnis der Sicherheitsvorkehrungen von Partnern.

Eine andere Art von Hilfestellung sind zwölf als „kritisch“ bezeichnete Sicherheitspraktiken, die sich laut Online Trust Alliance aus der Untersuchung von über 1000 Vorfällen ergeben haben. Ihr zufolge wären dadurch etwa die millionenfachen Kreditkartendiebstähle bei Target ebenso wie der Diebstahl von mit iPhones gemachten Prominenten-Fotos verhindert worden. Dazu zählen effiziente Passwort-Verwaltungsrichtlinien und standardmäßig immer so minimal wie möglich angesetzte Nutzerrechte. Neben einer mehrschichtigen Firewall sollten ein Virenschutz eingerichtet sein und automatische Ordnerfreigaben aktiviert werden.

Weiter schlägt die Vereinigung vor, regelmäßig Penetrationstests und Scans auf Schwachstellen durchzuführen sowie E-Mail-Authentifizierung für jeglichen ein- und ausgehenden Verkehr zu aktivieren. Firmen sollten ein Mobilgeräte-Verwaltungssystem installieren und ihre Netzwerkstruktur in Echtzeit überwachen. Als Maßnahme gegen Web-Attacken sieht sie Web-Apps und Firewalls vor. Drahtlosnetze sollten auf autorisierte Geräte beschränkt, Server durch Always On Secure Socket Layer (AOSSL) geschützt werden. Die letzten beiden Punkte sind regelmäßige Prüfung von Server-Zertifikaten sowie Entwicklung, Test und Verbesserung eines Notfallplans.

Für die Organisation kommentiert Executive Director und President Craig Spiezle: „Unternehmen werden von den zunehmenden Risiken und Bedrohungen überfordert, vergessen aber zugleich häufig, grundlegende Vorkehrungen zu treffen. Die Veröffentlichung der Guides im Vorfeld des Data Privacy Day gibt Firmen Ratschläge an die Hand, die sie umsetzen können. Kombiniert mit anderen Kontrollen lassen sich Sicherheitsvorfälle verhindern, erkennen, eingrenzen und beheben.“

In den USA hält die Online Trust Alliance außerdem drei Infoveranstaltungen ab, nämlich im Silicon Valley, in New York und in Washington DC. Dort sprechen auch Verantwortliche von Firmen und Organisationen wie FBI, Paypal und Twitter. Der Data Privacy Day fällt mit dem europäischen Datenschutztag zusammen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de