Meltdown und Spectre: Patchen oder nach DSGVO Strafe zahlen

von Trend Micro


Nach dem Bekanntwerden der Mikroprozessor-Schwachstellen Meltdown und Spectre sind Unternehmen und Anwender mit deren potenziellen Auswirkungen beschäftigt, während Hersteller Patches zur Verfügung stellen. Doch diese Sicherheitslücken können Unternehmen auch eine weitere Lektion erteilen: Patchen oder Strafe zahlen.

Nigel Houlden, Leiter Technology Policy des Information Commissioner’s Office (ICO) in Großbritannien, warnt davor, dass Unternehmen, die es versäumen, die Risiken von Schwachstellen zu bewerten und sie zu patchen, nach dem Inkrafttreten der EU General Data Protection Regulation (GDPR) oder deutsch Datenschutz-Grundverordnung (DSGVO) hohe Strafen zu erwarten haben.

Houlden schrieb: „Nicht Patchen von bekannten Schwachstellen stellt einen Faktor dar, den das ICO mit einbezieht, wenn es darum geht, die Schwere des Nichtbeachtens des siebten Prinzips des Data Protection Acts zu bewerten und eine Geldstrafe dafür festzulegen.“ Und weiter: „Unter der General Data Protection Regulation ab dem 25. Mai könnte es Umstände geben, unter denen Unternehmen für einen Einbruch haftbar gemacht werden, wenn Maßnahmen, wie Patchen, vorher nicht getroffen wurden.“

Die aufgrund der GDPR verhängten Strafen bewegen sich zwischen zwei und vier Prozent des Gesamtumsatzes eines Unternehmens (oder 10 bis 20 Mio. €, je nachdem welche Summe höher liegt). Um die Bedeutung der DSGVO für Unternehmen noch weiter zu verdeutlichen: Am 10. Januar bestrafte das ICO Carphone Warehouse mit 400.000£ (490.000$) wegen eines Datendiebstahl aus dem Jahr 2015, bei dem die persönlich identifizierbaren Informationen von mehr als drei Millionen Kunden und von 1.000 Mitarbeitern betroffen waren.

Meltdown und Spectre sollten Unternehmen als Weckruf dienen: Keine Plattform ist immun. So nutzten Cyberkriminelle kürzlich die Aufregung rund um die beiden Schwachstellen aus, um nichtsahnende Anwender in Deutschland mit dem Trojaner SmokeLoader zu infizieren.

Auch soziale Medien sind der DSGVO (Datenschutz-Grundverordnung) unterworfen. So musste im letzten Jahr ein deutscher Bildungs- und Service Provider seine Facebook-Seite schließen, nachdem der Datenschutz festgestellt hatte, dass die Organisation die Besucher via Cookie-Daten trackte.

Principle 7 der DSGVO hebt die Bedeutung der Informationssicherheit und der Vorkehrungen gegen Datendiebstahl hervor, um die Integrität und Vertraulichkeit von Daten zu bewahren. Künstliche Intelligenz und Machine Learning beispielsweise ergänzen andere Sicherheitstechnologien, denn beide analysieren und verwalten Riesendatenmengen, die in verschiedenen Datenbanken liegen und unter die neuen EU-Gesetze fallen.

Bedrohungen gibt es in allen Formen und Größen: Der Datendiebstahl bei Equifax etwa wurde zum Teil durch einen nicht gepatchten Apache Struts Server möglich. Beim Datendiebstahl in Wendy’s, Target und bei der Stadt Oceanside in Kalifornien wird davon ausgegangen, dass Verursacher Point-of-Sale Malware war. Der Datendiebstahl bei Anthem wurde durch Phishing bei Mitarbeitern und die Installation von Keyloggern in den Systemen angestoßen.



Die möglichen Auswirkung der DSGVO auf den Gewinn von Unternehmen

Tatsächlich erfordert die Compliance zur DSGVO einen mehrschichtigen, auf den jeweiligen Bedarf zugeschnittenen Ansatz: Verteidigungsmaßnahmen müssen auf jeder Ebene der Infrastruktur, die persönliche Daten speichert und verarbeitet, aufgesetzt werden – angefangen vom physischen Perimeter bis zu den Online-Gateways, -Endpoints, -Netzwerken und -Servern.

Houlden stellte im ICO-Ratgeber auch klar, dass „Systeme bei jedem Schritt geschützt sein müssen. Unternehmen sollten sich ihren Datenfluss ansehen, verstehen, wie die Daten sich innerhalb der Organisation und darüber hinaus bewegen, sowohl elektronisch als auch im ‚Real World‘-Format. Sie sollten die Auswirkungen eines Datendiebstahls beziehungsweise Datenverlusts bewerten, sowohl vom finanziellen Standpunkt als auch in puncto Rufschädigung. Daten sollten sicher sein, sowohl ‚at-rest‘ als auch ‚in transit‘, und Hacker sollten sie nicht lesen können, auch wenn sie ihrer habhaft werden.“

Trend Micro-Lösungen mit Trend Micro XGen™ Security liefern State-of-the-Art-Sicherheit, die der Compliance zur DSGVO dienlich ist. XGen™ Security kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalyse und anpassbares Sandboxing, kann XGen vor heutigen maßgeschneiderten Bedrohungen schützen, die traditionelle Kontrollmechanismen umgehen und bekannte wie unbekannte Sicherheitslücken ausnutzen. XGen unterstützt Trend Micros Suite der Sicherheitslösungen: Hybrid Cloud Security, User Protection und Network Defense.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.