Die Hacker kommen von außen, aber die Schwachstellen und Gefahren sitzen in den Unternehmen und Behörden selber. Verizon hat 500 Fälle von Datendiebstahl untersucht und kommt zu erschreckenden Ergebnissen: sie hätten fast alle verhindert werden können. Die IT-Verantwortlich machen ganz einfach ihre Hausaufgaben nicht.
Verizon hat rund 500 Fälle von Datendiebstahl untersucht und kommt zu erschreckenden Ergebnissen. Fast 90 Prozent der Fälle hätten verhindert werden können. Fazit: wer heute Unternehmen oder Behörden sensible Daten anvertraut, kann sie auch gleich ans Schwarze Brett hängen.
Hier ein paar der laut Verizon wichtigsten Erkenntnisse:
Externe Gefahren überwiegen: 39 Prozent der Verstöße konnten Geschäftspartnern zugeordnet werden. Diese Zahl stieg während des Untersuchungszeitraums auf das Fünffache des Ausgangswertes an.
Die Schwachstellen liegen aber bei den Unternehmen/Behörden selber: 62 Prozent der Verstöße waren auf massive interne Fehler zurückzuführen, die entweder direkt oder indirekt zu dem Verstoß beitrugen. Bei den beabsichtigten Verstößen waren 59 Prozent das Ergebnis von Hackerangriffen oder Versuchen, in das System einzudringen.
Schlamperei bei den IT-Verantwortlichen: Von den durch Hacken verursachten Verstößen waren 39 gegen die Anwendungs- oder Software-Ebene gerichtet. Attacken auf die Anwendungs-, Software- oder Services-Ebene kamen weitaus häufiger vor als die unerlaubte Nutzung von Betriebssystem-Plattformen (23 Prozent). Weniger als 25 Prozent der Angriffe machten sich eine bekannte oder unbekannte Schwachstelle zunutze. Und noch katastrophaler: Für 90 Prozent der bekannten Schwachstellen waren mindestens sechs Monate vor dem Verstoß Patches verfügbar. Da wird ganz schön geschlafen bei den IT-Verantwortlichen.
Überraschung!! Neun von zehn Verstößen hatten eine "unbekannte" Komponente, darunter nicht bekannte Systeme, Daten, Netzwerkverbindungen und/oder Account-User-Privilegien. Weiter werden 75 Prozent der Verstöße von Dritten entdeckt und nicht von der betroffenen Organisation, und sie bleiben längere Zeit unentdeckt.
Unkontrollierte Datensammelwut: Vertragsabwicklung, Marketing, Personalwesen, Statistik .... heute legt jeder irgendwo Datensammlungen an; immer zu wissen, wo sie sich befinden, ist eine überaus komplexe Herausforderung. Das grundlegende Prinzip hingegen lässt sich recht einfach formulieren: Wenn man nicht weiß, wo sich die Daten befinden, kann man sich auch nicht schützen, so Verizon. Dem ist nichts hinzuzufügen.
Es lohnt sich,
