Im Fokus: Datenschutz

Technologien, Prozesse und Menschen im Dreiklang


Wer im Cyberspace unterwegs ist, muss sich mit dem Kernthema Datenschutz auseinandersetzen. Ein besonderes Augenmerk verlangt hier die Datensicherheit. Experte für Cybersecurity Jean-Paul Ballerini erläutert die Komplexität und die Rückwirkung von Angriffen aus der Virtualität – und was die Unternehmen dagegen tun können.

Jean-Paul Ballerini

Jean-Paul Ballerini

Director, Digital Services

Herr Ballerini, was verstehen Sie unter Datensicherheit? Und in welchem Bezug steht sie zum Datenschutz?

Zu dieser Definition gehören drei Parameter: Technologien, Prozesse und Menschen. Diese drei Aspekte bedingen sich gegenseitig und müssen für eine hohe Datensicherheit aufeinander abgestimmt werden, also miteinander harmonieren.

Eine Technologie ist nur so gut, wie sie konfiguriert und bedient wird. In den seltensten Fällen kann eine Technologie allein eine komplexe Aufgabe erledigen. So werden häufig mehrere Technologien miteinander vernetzt. Klar strukturierte Prozesse lassen dieses Zusammenspiel in kontrollierten Bahnen ablaufen. Der Mensch wiederum bringt Aufmerksamkeit und Vorsicht ein. Mit seiner langjährigen Erfahrung, einem wachen Verstand und nach dem Prinzip der Funktionstrennung kann er Schwachstellen erkennen und verhindern, dass technologische oder prozessuale Kontrollen ausgetrickst werden.

Kurz: Datensicherheit ist die Grundlage dafür, dass sich die Vorgaben des Datenschutzes umsetzen lassen.

Wie unterscheiden sich Datensicherheit und Cybersecurity?

Datensicherheit konzentriert sich auf Daten. Bestimmungen zur Datensicherheit verlangen von den Unternehmen Massnahmen dagegen, dass verwaltete oder verarbeitete Daten missbraucht, von Unbefugten gelesen oder unverschlüsselt weitergegeben werden.

Cybersecurity ist ein übergeordneter Begriff. Er umfasst nicht nur Daten, sondern auch Applikationen, Cloud-Lösungen, E-Commerce-Plattformen und alle elektronischen Dienstleistungen, die mit Daten zu tun haben. Cybersecurity muss nach dem CIA-Prinzip funktionieren: C für Confidentiality (Vertraulichkeit), I für Integrity (Integrität) und A für Availability (Verfügbarkeit). 

Wer steckt hinter Cyberangriffen? Und warum?

Die Akteure und Motive sind vielseitig. Ein Angreifer kann auf schnelles Geld aus oder politisch motiviert sein. Auch ein Mitbewerber kommt infrage, etwa wenn er sich aus Wettbewerbsgründen unerlaubten Zugang zu Daten verschafft. Aus Erfahrung wissen wir, dass oft interne Stellen involviert sind. Diese sind allerdings häufig gar nicht selber die Initianten oder Treiber einer Attacke, sondern übernehmen (unbewusst) Türöffnerfunktion; zum Beispiel, indem sie durch den Anschluss privater Geräte ans Firmennetzwerk oder durch den Besuch gewisser Websites Malware reinholen oder Schlupflöcher eröffnen.

Nennen Sie uns bitte einen konkreten Fall eines Datensicherheitsvorfalls.

Der «Fake President Fraud» bei der Fullservice-Digitalagentur Namics zeigt die potenzielle Schlagkraft einer Cyberattacke mustergültig auf. Das lief folgendermassen ab: Im Juli 2016 erhielt der CFO von Namics eine vermeintlich interne E-Mail vom CEO mit der Aufforderung, eine Zahlung über 75’200 Euro so rasch als möglich zu veranlassen. Da der CFO zu dem Zeitpunkt in den Ferien war, erhielt sein Stellvertreter dasselbe Anschreiben. Auf dessen Rückfrage antwortete der Angreifer in nur wenigen Minuten und gab die nötigen Kontodetails bekannt. Obwohl diese Antwort schlecht formuliert war und trotz der sichtbar falschen Versandadresse blieb der Betrugsversuch unerkannt. Der Angreifer meisterte sogar die zweite Rückfrage von Namics nach der zu belastenden Kontostelle. Die Zahlung wurde tatsächlich in Auftrag gegeben. Die Empfängerbank meldete sich schliesslich beim CEO und teilte ihm mit, dass sie die Zahlung «aus geschäftspolitischen Gründen» zurückgewiesen habe. Erst in dem Moment wurde die Attacke als solche erkannt. Erfreulicherweise blieb dem Unternehmen ein finanzieller Schaden erspart.

Dieser Vorfall hat einige interessante Tatsachen zutage gebracht: E-Mails werden offenbar als sicherer wahrgenommen, als sie eigentlich sind. Zeitdruck ist ein Garant für Fehler; die künstlich gesetzte Kurzfristigkeit hat einige Kontrollen ausgehebelt. Und mindestens eine Person im Unternehmen ging davon aus, dass sich der CEO der Pflicht zur Doppelunterschrift widersetzen und eigenmächtig eine derart hohe Zahlung veranlassen würde.

Bei Namics ging glücklicherweise noch einmal alles gut. Allerdings waren keine Personendaten im Spiel. Was, wenn es ein Cyberangreifer auf personenbezogene Daten abgesehen hat?

Angenommen, ein Angreifer verschafft sich unberechtigten Zugang zu Kundendaten. Hier gilt es, zwischen Auswirkungen auf das Datensubjekt – also den Endkunden – und solchen auf das angegriffene Unternehmen zu unterscheiden. Für das Datensubjekt gehört der Identitätsmissbrauch zu den folgenschwersten Risiken. Gerade in den USA ist das ein grosses Thema. Die Identität einer Person wird dort typischerweise über die Sozialversicherungsnummer, das Geburtsdatum und den ledigen Namen der Mutter definiert. Wenn ein Angreifer diese Daten hackt, kann er virtuell in die Haut eines anderen schlüpfen und in dessen Namen Verträge abschliessen, Kredite aufnehmen oder Konsumgüter kaufen. Dadurch entsteht dem Datensubjekt ein mehrfacher Schaden, vom finanziellen Verlust über die Diskriminierung bis zur nachhaltigen Rufschädigung.

Ein gutes Beispiel für die Konsequenzen für das attackierte Unternehmen gibt der Hackerangriff auf Yahoo im Jahr 2013 ab. Er gilt als die weitreichendste Datenattacke in der Geschichte des Internets. Dabei wurden persönliche Daten von mehr als einer Milliarde Yahoo-Konten gestohlen, darunter vermutlich Namen, E-Mail-Adressen, Telefonnummern, Informationen zu Geburtstagen und Sicherheitsfragen zur Feststellung der Identität von Usern. Yahoo hat den Angriff überlebt, aber der Reputationsschaden lässt sich nicht beziffern.

Weniger glimpflich ging ein Datensicherheitsproblem für die holländische Zertifizierungsstelle DigiNotar aus. Unter dem Namen dieses Unternehmens hatte sich ein Angreifer unbefugt Zertifikate für diverse Domains ausgestellt, unter anderem für google.com. Diese Zertifikate wurden nachweislich für Abhörangriffe auf iranische Bürger benutzt. In der Folge wurden die legitimen Zertifikate von DigiNotar für ungültig erklärt, was dem Unternehmen das Genick brach. Noch im Jahr des Angriffs meldete DigiNotar Insolvenz an.

Wie können die Unternehmen reagieren oder sich gegen solche Angriffe schützen?

Bei Namics hat das Management sofort reagiert. Als Erstes wurde der Fall allen beteiligten Firmen, Banken und Hostern gemeldet, ebenso bei der Melde- und Analysestelle Informationssicherung MELANI sowie bei der Kantonspolizei. Dann hat die Unternehmensleitung mit den direkt betroffenen Personen individuell gesprochen. Sie wollte erläutern, was geschehen war und wie man sich in Zukunft dagegen schützen kann. Im Weiteren nahm Namics den Fall in sein Schulungs- und Onboarding-Programm auf, um alle bestehenden und neuen Mitarbeiter dafür zu sensibilisieren. Gleichzeitig liess das Unternehmen bereits erfolgte Überweisungen durch seine Banken nach einem bestimmten Muster prüfen – und stellte zum Glück keine Missbräuche fest. Zudem wurde der Authentifizierungsprozess des Mailsystems verschärft und der Fall im Sicherheitskonzept ausführlich dokumentiert.

Die Unternehmen können sich wappnen, indem sie ihre Datenschutzpflichten ernst nehmen und eine angemessene Datensicherheit etablieren. Diese muss wie erwähnt die Technologie, die Kontrollprozesse und den Menschen orchestrieren.

Herr Ballerini, danke für das Gespräch.

Wir sind für Sie da!

Jean-Paul Ballerini

Jean-Paul Ballerini

Director, Digital Services

+41 58 792 26 97

Gerne möchten wir diese Lektüre noch gezielter auf Ihre Wünsche ausrichten. Darum bitten wir Sie um fünf Minuten Ihrer wertvollen Zeit für die Beantwortung von Fragen zum «Disclose».
Hier geht es zur Umfrage!