Studie: Über 90 Prozent aller Datendiebstähle 2014 waren vermeidbar

Mehr als 90 Prozent aller Datendiebstähle hätten sich durch eine auf eine Risiko-Analyse aufsetzende Cyberstrategie vermeiden lassen. Das hat eine Untersuchung von Vorfällen in der ersten Jahreshälfte 2014 durch die gemeinnützige Online Trust Alliance ergeben.

In ihrer Leitfaden-Sammlung „2015 Data Protection Best Practices and Risk Assessment Guides“ steht weiter, dass nur 40 Prozent der Vorfälle zwischen Januar und Juni 2014, bei denen persönliche Daten gestohlen wurden, durch Angreifer von außen verursacht wurden. Eigene Angestellte der Firmen verursachten 29 Prozent solcher Vorfälle entweder durch ein Versehen oder in böser Absicht. Verlorene und gestohlene Geräte waren in 18 Prozent aller Fälle verantwortlich, Betrug und Social Engineering führten zu 11 Prozent der Datenverluste.

Der Leitfaden enthält eine Liste von Fragen, die sich IT-Entscheider in Firmen stellen sollen, um ihr tatsächliches Risiko abzuschätzen. Beispielsweise wird gefragt, ob der Administrator die genauen Daten-Attribute aller Kunden einschließlich des Speicherorts, Datenflusses und der Archivierung kennt. Auch die Kommunikation eventueller Vorfälle gegenüber Mitarbeitern, Kunden, Aktionären und Medien ist ein Thema, ebenso wie die Kenntnis der Sicherheitsvorkehrungen von Partnern.

Eine andere Art von Hilfestellung sind zwölf als „kritisch“ bezeichnete Sicherheitspraktiken, die sich laut Online Trust Alliance aus der Untersuchung von über 1000 Vorfällen ergeben haben. Ihr zufolge wären dadurch etwa die millionenfachen Kreditkartendiebstähle bei Target ebenso wie der Diebstahl von mit iPhones gemachten Prominenten-Fotos verhindert worden. Dazu zählen effiziente Passwort-Verwaltungsrichtlinien und standardmäßig immer so minimal wie möglich angesetzte Nutzerrechte. Neben einer mehrschichtigen Firewall sollten ein Virenschutz eingerichtet sein und automatische Ordnerfreigaben aktiviert werden.

Weiter schlägt die Vereinigung vor, regelmäßig Penetrationstests und Scans auf Schwachstellen durchzuführen sowie E-Mail-Authentifizierung für jeglichen ein- und ausgehenden Verkehr zu aktivieren. Firmen sollten ein Mobilgeräte-Verwaltungssystem installieren und ihre Netzwerkstruktur in Echtzeit überwachen. Als Maßnahme gegen Web-Attacken sieht sie Web-Apps und Firewalls vor. Drahtlosnetze sollten auf autorisierte Geräte beschränkt, Server durch Always On Secure Socket Layer (AOSSL) geschützt werden. Die letzten beiden Punkte sind regelmäßige Prüfung von Server-Zertifikaten sowie Entwicklung, Test und Verbesserung eines Notfallplans.

Für die Organisation kommentiert Executive Director und President Craig Spiezle: „Unternehmen werden von den zunehmenden Risiken und Bedrohungen überfordert, vergessen aber zugleich häufig, grundlegende Vorkehrungen zu treffen. Die Veröffentlichung der Guides im Vorfeld des Data Privacy Day gibt Firmen Ratschläge an die Hand, die sie umsetzen können. Kombiniert mit anderen Kontrollen lassen sich Sicherheitsvorfälle verhindern, erkennen, eingrenzen und beheben.“

In den USA hält die Online Trust Alliance außerdem drei Infoveranstaltungen ab, nämlich im Silicon Valley, in New York und in Washington DC. Dort sprechen auch Verantwortliche von Firmen und Organisationen wie FBI, Paypal und Twitter. Der Data Privacy Day fällt mit dem europäischen Datenschutztag zusammen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago