Die Daten sind sicher! Oder?

Immer wieder liest man in den Medien von Datenlecks bei Behörden und Banken oder dem schlampigen Umgang von Unternehmen mit den Daten ihrer Kunden. Die Diskussion um das Spähprogramm PRISM des amerikanischen Geheimdienstes NSA wird selbst von einer Jahrhundertflut nicht aus dem Nachrichtenspektrum gedrängt und zu allem Überfluss will der Spiegel auch noch herausgefunden haben, dass auch der Bundesnachrichtendienst in Deutschland 100 Millionen Euro in mehr Überwachung investieren will. Als Endverbraucher fühlt man sich also nicht ganz zu Unrecht beobachtet im Netz.

Es ist zwar kein schönes Gefühl zu wissen, dass diverse Geheimdienste wohl ohne großen Aufwand meine Urlaubsfotos ansehen könnten, aber ehrlicherweise fallen die sowieso in die Kategorie “nicht wirklich interessant” – zumindest für andere. Wenn ich an Unternehmen denke, sieht es da schon ganz anders aus. Denn nicht nur im Staatsauftrag wird gespäht: Cyberkriminelle und Wirtschaftsspione stellen eine reale Gefahr für eine Wirtschaft wie die deutsche dar, die auf technische Innovationen baut und patentgetrieben ist. Manch einer mag das als Schwarzmalerei abtun, aber eine Umfrage unter 400 IT-Entscheidern in Europa, die im Auftrag von Ciena durchgeführt wurde, zeigt, dass die Zahl der Angriffe auf die Netze zunimmt. In Deutschland haben 40 Prozent der Befragten in den letzten 18 Monaten mehr Angriffe auf ihr Netz verzeichnet. Dabei gehen die Hacker ganz gezielt auf Versorgungsunternehmen (54 Prozent) sowie auf die forschungsintensive Pharmaindustrie (41 Prozent) und Fertigungswirtschaft (37 Prozent) los. Natürlich hat das auch damit zu tun, dass die Zahl der Angriffspunkte durch die zunehmende Vernetzung und Mobilität zugenommen hat. Das macht es für Unternehmen schwerer sich zu schützen.

Nichtsdestotrotz sollten sie es tun. Die Kosten, die durch eine erfolgreiche Attacke entstehen, können immens sein. Das Ansehen des Unternehmens in der Öffentlichkeit und bei Kunden und Partnern wird beschädigt, Schadenersatzklagen werden anhängig, Aktienkurse gehen in den Keller und die komplette Aufarbeitung des Vorfalls intern und mit Behörden frisst Ressourcen, die eigentlich für andere Dinge vorgesehen sind. Was also tun? Die meisten Unternehmen haben in den letzten Jahren viel investiert ihre Rechenzentren zu kleinen Daten-Fort-Knoxs auszubauen – ein Angriff auf diese ist aufwendig und hat nur zweifelhafte Erfolgsaussichten.

Da verwundert es nicht, dass das Identity Theft Resource Center in seinem ITRC Breach Report 2012 feststellt, dass inzwischen fast ein Fünftel (18,1 Prozent) der erfolgreichen Abgriffe von Daten auf dem Weg zwischen den Rechenzentren erfolgt sind. Im Fachjargon sind das so genannte “data-on-the-move”- bzw. “data-in-flight”-Attacken. In den letzten fünf Jahren waren entweder jene Angriffe oder “normale” Einbrüche in die Rechenzentren, sprich Hacking, Ursache für die meisten der aufgezeichneten Datenverluste. Es gilt also auch jene Daten zu schützen, die durch die Wide Area Networks (WAN) der Unternehmen fliegen und das geht am besten mit der Verschlüsselung der Daten im WAN, der sogenannten In-Flight Encryption. Hier werden die Daten bereits auf Netzebene verschlüsselt. So wird der optimale Schutz gewährleistet.

Es beruhigt ein wenig, dass unsere Umfrage unter 400 IT-Entscheider ergeben hat, dass Deutschland in Europa ganz vorne bei der Implementierung solcher Lösungen ist. 49 Prozent der befragten Unternehmen verschlüsseln bereits auf diese Art und Weise. Danach folgen die Niederlande (36 Prozent), Frankreich (33 Prozent) und das Vereinigte Königreich (24 Prozent). Im Umkehrschluss heißt das für Deutschland aber auch, dass knapp über die Hälfte der Befragten an dieser Stelle noch angreifbar sind und erschreckenderweise haben acht Prozent gar keine Verschlüsselungslösung implementiert. Es ist also an der Zeit zu handeln und Daten nicht nur im Rechenzentrum zu schützen, sondern auch, wenn sie von einem Ort an den anderen unterwegs sind.