Ein Kommentar von EgoSecure-Chef Sergej Schlotthauer: «Der schwerwiegende Angriff bei Yahoo ist geradezu beispielhaft für schlechtes Management von Datenabflüssen. Es wurden keine ausreichenden Vorkehrungen getroffen, da beim kriselnden Internetriesen über Jahre hinweg andere Themen scheinbar wichtiger waren. Es kommt zu einer erfolgreichen Attacke, diese klärt man aber nie ausreichend auf und bemüht sich, das Thema nicht in die Öffentlichkeit zu tragen. Zeitgleich hat Yahoo geschäftlich die Kehrtwende nicht geschafft und steht vor der feindlichen Übernahme. Weil man aber strategische Fehler bei der Sicherheitsarchitektur gemacht hat und IT-Sicherheitsthemen zu keinem Zeitpunkt richtig wertgeschätzt hat, droht diese ebenfalls zu scheitern. Die Marke Yahoo hat durch die Schlagzeilen um Datenverlust zu starken Schaden genommen und verliert weiter an Marktwert. Verluste von persönlichen Informationen sollte man niemals aussitzen und unnötig verheimlichen. Durch die neue Datenschutzgrundverordnung der EU (GDPR) werden Organisationen sogar dazu verpflichtet, die Betroffenen zu informieren. Verstöße werden mit hohen Bußgeldern von bis zu 4 Prozent des Jahresumsatzes belegt.
Trends wie BYOD oder die Migration in die Cloud eröffnen neue Angriffsvektoren. Unternehmen haben darauf reagiert, indem sie immer neue Sicherheitslösungen kaufen. Über die Jahre wurden daher viele IT-Abteilungen mit Tools und Sicherheitsalarmen überfrachtet. Daher ist es keine Überraschung, dass es unglaublich viele Sicherheitslösungen von Anbietern aus aller Welt auf dem Markt gibt. Langfristig führt dies natürlich zu Problemen für Unternehmen. Deshalb ist Bodenständigkeit und solide Planung wichtig. Sicherheitsverantwortliche sollten hinter die Fassade von Werbung und Marketingangeboten schauen und ihren individuellen Anspruch an die eigene Sicherheitsarchitektur feststellen. Die Anforderungen ändern sich ständig, trotzdem ist langfristige Entwicklung mit den richtigen Sicherheitspartnern unabdingbar. Gleichzeitig müssen nach jedem Angriff oder bei der Entdeckung eine Schwachstelle interne Mechanismen greifen, um in Zukunft Cyberkriminellen keine Chance mehr zu bieten.
Die GDPR ist nur ein Beispiel für neue Gesetzgebung, die den Schutz von digitalen Informationen betreffen. Die veränderte Gefahrenlandschaft führt zu vielen neuen Richtlinien und Compliance-Vorgaben. Firmen stehen unter Zugzwang und müssen entsprechende Policies durchsetzen. Genau deshalb müssen Sicherheitsarchitekturen abgestimmt werden, ansonsten ist eine Absicherung sehr mühsam. Einzelne Sicherheitslösungen scheinen zwar oft innovativ, wurden aber häufig für einen anderen Use-Case entwickelt oder entsprechen nicht den Regularien auf dem deutschen Markt. Das Fazit: Viele Organisationen sehen neue Regulierungen im Bereich Cybersicherheit als Bürde. Allerdings ist ein Umdenken und mehr Bewusstsein dringend nötig, denn das Verheimlichen von Dateneinbrüchen ist keine Lösung.»
