Auch das britische Parlament ist nicht vor Cyber-Angriffen sicher

Im Juni erlebte das britische Parlament mehrere digitale Attacken: ein klares Zeichen an Unternehmen, dass auch sie sich auf solche Angriffe vorbereiten müssen.

Die Attacken sind eine eindeutige Warnung, wie vorsichtig Unternehmen heute mit ihren Daten sein sollten. In bis zu 90 Fällen erlangten die Angreifer Zugriff auf E-Mails von Ministerpräsidenten, Lords und Angestellten des Parlaments. Sicherheitsbeauftragte unternahmen zwar schnell die nötigen Schritte und konnten den Angriff erfolgreich eindämmen, aber die Botschaft bleibt gleich: Wer wertvolle Daten besitzt, muss sich auf Attacken von Kriminellen einstellen. Die Frage ist längst nicht mehr „Ob“, sondern „Wann“. Jede Organisation muss sich realistisch damit auseinandersetzen, dass Angreifer erfolgreich Daten entwenden werden – wenn nicht heute, dann morgen oder an einem anderen Tag. Die eigentliche Frage ist deshalb: Schützen die Systeme des britischen Parlaments – einschließlich der Mailanwendungen – sensible Daten gut genug von innen? Denn diese Informationen sind es, hinter denen Kriminelle her sind.

Eine „Sustained and Determined“-Attacke wie im Fall des britischen Parlaments bedeutet, dass die Angreifer zumindest teilweise Zugang zu Nutzernamen und Passwörtern haben. Sie nutzen diese, um sich Zutritt zu IT-Systemen und E-Mails zu verschaffen – etwa wie ein Einbrecher, der durch die vordere Eingangstür eindringt, indem er das Schloss knackt. Cyber-Kriminelle nutzen diese Anmeldedaten um möglichst weit in die Systeme einzudringen und das Netzwerk von einem internen Standpunkt aus auszuhebeln. So sammeln sie mehr und mehr Informationen, bis sie schließlich die Kronjuwelen erreichen.

Frühere IT-Sicherheit konzentrierte sich darauf, Systeme wie Zweifaktor-Authentisierung sowie Zugriffs- und Identitätsmanagement zu implementieren. Das sollte Angriffe dieser Art verhindern – ähnlich wie ein besseres Türschloss an einer Haustür.

In einer modernen IT-Architektur benötigen Unternehmen mehrere Ebenen an IT- und Datensicherheit. IT-Sicherheit stärkt die eigene IT-Infrastruktur, Datensicherheit dagegen schützt die Informationen selbst. Finden Angreifer einen Weg um die IT-Sicherheit (und das werden sie, wenn das Ziel wertvoll genug ist), sind die Daten immer noch geschützt. Unternehmen müssen davon ausgehen, dass Angreifer nicht nur durch die Haustür kommen können, sondern auf Daten auch über zahlreiche andere Punkte zugreifen können.

Was, wenn sich Angreifer mit Nutzerpasswörtern Zugriff verschaffen? Können sie dann sensible Daten aus E-Mail, HR, Finanzen oder Verwaltungsarbeit einsehen? Bei der Beantwortung der Frage muss der Fokus darauf liegen, wo das E-Mail-Programm die Daten speichert. Läuft die Anwendung on Premises oder handelt es sich um ein Cloud-basiertes Mailsystem, bei dem Mails in einem Cloud-Dienst gespeichert werden? Werden die sensiblen Informationen während ihres gesamten Lebenszyklus‘ verschlüsselt? Selbst wenn Angreifer erfolgreich Daten stehlen: Nur wenn diese verschlüsselt sind, kann ein Krimineller ohne die kryptografischen Schlüssel nichts mit ihnen anfangen.

Einfache „Data at Rest“-Verschlüsselungen sind dafür aber nicht genug, sondern nur der Anfang. Unternehmen müssen an den gesamten Lebenszyklus der Daten denken: „Data in Motion“, „Data in Use“ und „Data at Rest“. Dies sind auch die Schlüsselpunkte, um die EU-Datenschutzgrundverordnung (EU-DSGVO) zu erfüllen, die ab kommenden Mai für alle in Europa tätigen Unternehmen gelten wird.

Hoffentlich hat das britische Parlament ein solches Datenschutz-System installiert. Falls nicht, drohen weitere ernste Angriffe auf E-Mails und andere Systeme, die sensible Daten speichern.