Paranoid vs. Vorbereitet im Zeitalter der Datenschutzverletzung

Verizon hat kürzlich enthüllt, dass sein Rechtsteam eine Untersuchung der Auswirkungen des massiven Datenverstoßes von Yahoo! und dessen Auswirkungen auf die bevorstehende Übernahme eingeleitet hat. Quellen zufolge handelt es sich hierbei um eine langfristige Studie, die den 4,8-Milliarden-Dollar-Deal gefährden könnte.

Es ist keine Überraschung, dass ein Verstoß dieser Größenordnung – mit 500 Millionen gefährdeten Identitäten – eine nachhaltige Wirkung haben wird. Groß angelegte Verstöße bei LinkedIn und Dropbox (und der daraus resultierende Dominoeffekt) haben sich fortgesetzt, aber das Timing für Yahoo hätte nicht schlechter sein können. Wenn die Verizon-Übernahme wegen dieses Verstoßes scheitert, könnte dies zu einem historischen Präzedenzfall in Bezug auf die Bedeutung der Sicherung von Benutzeridentitäten werden.

Abgesehen von den nachhaltigen Auswirkungen auf das Geschäft und den Ruf möchte ich einige der internen Sicherheitspraktiken von Yahoo! hervorheben, die das Unternehmen verwundbar gemacht haben. Einem Artikel der New York Times zufolge hatte das Unternehmen einen ziemlich laxen Ansatz zur Sicherung von Identitäten gewählt, ein häufiges Problem, mit dem Unternehmen aller Art konfrontiert sind, insbesondere wenn zu viele Prioritäten um Aufmerksamkeit konkurrieren. Beispielsweise hat Yahoo! das Zurücksetzen des Passworts unter den Mitarbeitern nicht erzwungen. Diese interne Kontrolle bei allen Nutzern hätte die Gesamtauswirkungen des Verstoßes wesentlich verringert.

Auch wenn es verlockend erscheinen mag, Sicherheitsmaßnahmen zugunsten dringender Initiativen, die dem Unternehmen kurzfristig einen sichtbareren Nutzen bringen, auf Eis zu legen, so ist es doch so, dass Sicherheitsbewusstsein und interne Kontrollen nicht länger auf Eis gelegt werden können. In unserer heutigen Realität, in der so viele Verstöße durch unsachgemäße Benutzerzugriffe, schwache Passwörter, verwaiste Accounts, Zugriff von Vertragspartnern zu sensiblen Systemen – und die Liste geht weiter – verursacht werden, ist Sicherheitsbewusstsein etwas, das einfach nicht länger vernachlässigt werden darf.

Ich bin nicht der Meinung, dass wir in einer Welt voller Paranoia leben müssen (das IT-Sicherheitsteam bei Yahoo wurde „die Paranoiker“ genannt) – aber wir müssen vorbereitet sein. Etwas so Einfaches wie Richtlinien für starke Passwörter, die die Mitarbeiter auffordern, ihre Passwörter lang und komplex zu gestalten, für jede Anwendung oder jedes System, auf das sie Zugriff haben, einzigartig zu machen und jedes Passwort in bestimmten Zeitabständen während des Jahres zu aktualisieren, könnte ein Unternehmen vor einem Datenverlust bewahren. Bei der Durchsetzung dieser Richtlinien müssen die IT-Sicherheitsteams nicht mit „den anderen“ (dem Rest des Unternehmens) in Konflikt treten, vielmehr sollten diese Richtlinien als ein Instrument des Vorbereitetseins in die Unternehmenskultur eingebettet werden. So wie Sie sich auf einen Familienurlaub im Ausland vorbereiten, indem Sie sicherstellen, dass Ihre Türen und Fenster gesichert sind, dass Ihr Pass und andere wichtige Ausweispapiere sicher in Ihrem Handgepäck verstaut sind und dass Ihr Auto verschlossen ist, bevor Sie vom Parkplatz in das Flughafen-Terminal gehen, ist die vorausschauende Planung einer eventuellen Sicherheitsverstoß ein Mittel zur Vorbereitung gegen das Symptom der schieren Paranoia.

Die Idee, Sicherheit in die Unternehmenskultur einzubetten, nehmen wir uns im eigenen Unternehmen zu herzen. Bei SailPoint haben wir ein robustes Trainingsprogramm im Bereich Sicherheitsbewusstsein im Einsatz, dessen Ziel es ist, es für jeden Mitarbeiter zugänglich, leicht verständlich und mit der Funktion jeder Person im Team kompatibel zu machen. Statt Sicherheitsbewusstsein als nur ein weiteres „Element“ auf einer langen To-Do-Liste zu sehen, soll es verstanden werden als etwas, was dem gesamten Unternehmen am Herzen liegt – und nicht als etwas, was unser Sicherheitsteam als Paranoiker verunglimpft. Denn letztendlich spielt es keine Rolle, in welcher Branche Sie tätig sind, wie bekannt Ihre Unternehmensmarke ist (oder nicht), wie groß oder klein Ihr Unternehmen ist – kein Unternehmen ist von der Möglichkeit eines Datenverstoßes ausgenommen. Zusätzliche Schritte, die das Sicherheitsbewusstsein der Mitarbeiter stärken, sind für Unternehmen heute nur ein Schritt in die richtige Richtung. Dieser Schritt macht Sie nicht zu einem paranoiden Unternehmen, er macht Sie bereit.