Digitale Transformation: Ethik erfolgsentscheidend

Notizen und Eindrücke aus London von ds-herausgeber Dirk C. Pinnow

[datensicherheit.de, 06.02.2019] Am 5. Februar 2019 lud RSA Security zu einer Vortrags- und Diskussionsveranstaltung mit dem Titel „The New Reality – Management digitaler Risiken und ein ethischer Umgang mit Daten“ in London ein. Eingeladen waren Daten- bzw. Cyber-Sicherheits- und Risikoexperten, um sich über die Herausforderungen der Nutzung, Verwaltung und des adäquaten Schutzes von Daten im Digitalen Zeitalter auszutauschen. Für „datensicherheit.de“ nahm Herausgeber Dirk C. Pinnow teil und gibt nachfolgend seine persönlichen Eindrücke und Gedanken wieder.

Ethik, Datenschutz und Kundenorientierung als Wettbewerbsvorteile

Im Fokus standen vor allem der ethische Umgang mit Daten und der damit im Zusammenhang stehende Datenschutz: Im Auftakt-Panel diskutierten Führungskräfte, wie Unternehmen im Zeitalter der Digitalen Transformation Daten so sichern und nutzen können, dass dies auch von Kunden goutiert wird. Trotz der Erkenntnis, dass Verbesserungen beim Datenschutz notwendig sind, insbesondere bei der Erhebung und Verwendung von Kundendaten in Unternehmen, wurde die Einführung der Datenschutzgrundverordnung (DSGVO) kritisch gesehen.
Deutlich wurde indes, dass ein hohes Maß an Datenschutz und kundenorientierter Kommunikation im Kontext hoher Verantwortung Wettbewerbsvorteile für Unternehmen bringen – im Extremfall sogar das Überleben am Markt sichern können.

Gemeinschaftliche Anstrengungen erforderlich!

Bei der Begrüßung wurde zugleich die für den dauerhaften Erfolg entscheidende Frage nach dem Vertrauen in Anbieter und deren Dienste aufgeworfen: Für die Kunden bzw. Nutzer müsse klar sein, was mit den eigenen Daten passiert und wer Zugriff auf diese hat. Die Verantwortungsübernahme des Risikos sei eine gemeinschaftliche Aufgabe – insbesondere auf Seiten der Anbieter und Behörden.
Sodann stellte für den Gastgeber RSA-Präsident Rohit Ghai in seiner Einleitung fest, dass wir in „interessanten Zeiten“ leben. Er erläuterte, dass digitales Risikomanagement eine viel umfassendere Ausgabe als bloßes Cyber-Risikomanagement sei, wenngleich letzteres hierbei die größte Komponente darstelle.

Vertrauen im Prinzip ein Vermögenswert

Laut Ghai führt die umfassende Vernetzung eben auch zu einer Verknüpfung der Risiken – deshalb sei ein ganzheitlicher Ansatz gefragt. Dafür notwendige Kompetenzen seien Kenntnisse auf den Gebieten Integriertes Risikomanagement (IRM) und Cyber-Sicherheit. Es gehe darum, die Angriffsoberfläche zu verkleinern – und dies sei eine Team-Aufgabe.
Der RSA-Präsident stellte das Vertrauen als zentralen Erfolgsfaktor der Digitalen Transformation dar: Vertrauen sei im Prinzip ein Vermögenswert und bedeutender noch als reine Anwendungen oder selbst Daten. Internationale Geschäftsbeziehungen – und damit auch der Erfolg digitaler Geschäftsmodelle – beruhten auf dem Vertrauen zu völlig fremden Personen.

Daten als Treibstoff der Digitalen Transformation

Daten würden im Zuge der umfassenden Digitalisierung und Vernetzung immer „flüssiger“: Sie seien gewissermaßen „Treibstoff“ für Künstliche Intelligenz (KI) und „Big Data“-Analysen. Ghai unterstrich, dass hierzu die Daten-Qualität zu einer großen Herausforderung wird. Auch müssten die von der Datenverarbeitung und -speicherung Betroffenen über deren Verwendung informiert werden. Dabei gelte der Grundsatz: „Vertrauen kommt von Transparenz – nicht von Perfektion!“
Zur DSGVO meinte der RSA-Präsident, dass diese ein eher abgehobenes Regelwerk sei, und setzte seine Überzeugung gegen formalistische Herangehensweisen: Ethischer Umgang mit Daten sei dagegen genau dann das Richtige zu tun, wenn gerade niemand aufpasst. Es sei übrigens keine Schande, einen Hacker-Angriff zuzugeben – entscheidend seien die betriebswirtschaftlichen Auswirkungen einer solchen Attacke. Es gelte die digitalen „Kronjuwelen“ zu schützen, was viel weniger eine technische Frage als eine zentrale Aufgabe der Geschäftsführung sei.

Reiner Pragmatismus: Transparenz fürs Überleben

Natürlich, so Ghai, hätten Datenschutz-Verletzungen immer Folgen für die Reputation: Aber beim Verheimlichen eines Vorfalls und der anschließenden Aufdeckung sei der Schaden dann um so größer. Der Moderator des Auftakt-Panels, Nigel Ng, „President International Sales (APJ & EMEA)“ bei RSA, ergänzte die empirische Erfahrung, dass bei einer angemessenen Reaktion auf eine Datenschutzverletzung gegenüber der Öffentlichkeit das Interesse der Presse nach etwa einer Woche deutlich nachlasse, während es bei ignorantem Verhalten über viele Wochen erhalten bleibe.
Gábor Varjas, ebenfalls auf dem Podium, „CISO“ des ungarischen, international agierenden Öl- und Gas-Unternehmens MOL Group, unterstrich den pragmatischen Ansatz: Es gehe nicht darum, bloß „für Papier“ zu arbeiten. Ein Beispiel, wie Transparenz sogar im Extremfall zu einem Wettbewerbsvorteil werden kann, brachte Kevin Akeroyd, „CEO“ bei Cision: Eine weltbekannte Suchmaschine sei noch viel schlimmer als ein ebenfalls global agierendes Soziales Netzwerk, denn diese verknüpfe Surf-Verhalten mit Stammdaten, aber kommuniziere dies ganz offen und werde nicht bestraft – und: „Niemand liest wirklich deren seitenlangen Allgemeinen Geschäftsbedingungen…“ Ghai stellte zum Ende des Auftakt-Panels fest: „Daten sind das wertvollste Vermögen!“

Illegaler Datenhandel inzwischen bedeutender als Drogenhandel

Im Anschluss-Panel wurde das Spannungsfeld zwischen Daten und Privatsphäre rege diskutiert – insbesondere wie betrügerische Aktivitäten das Vertrauen der Konsumenten belastet. Moderator Ng führte aus, dass der illegale Datenhandel inzwischen zu einem Milliarden-Markt geworden sei und mehr Bedeutung als der Drogenhandel erlangt habe.
Mit dabei auf dem Podium war Andrew Gould, „Detective Superintendent National Cybercrime Programme Lead“ im National Police Chiefs‘ Council. Er stand Dirk Pinnow im Anschluss zu einem Hintergrundgespräch zur Verfügung. Nach der größten Herausforderung angesichts der Bedrohung durch Cyber-Kriminalität und -Terrorismus gefragt, nannte er den angemessenen Schutz sowie die gezielte Begegnung des mangelnden Verständnisses für die eigenen geschäftliche Prozesse. Er unterstrich, dass dies kein reines Technikproblem sei – anstatt also Produkte nach vorne zu stellen (es gebe eben kein „goldenes Geschoss“), sollten die „richtigen Fragen“ gestellt werden. Ihm sei bewusst, das IT-Sicherheit ein eher langweiliges Thema sei. Aber sie sei eine zentrale Aufgabe des Managements. Zu den möglichen „BrExit“-Folgen befragt, äußerte Gould die Ansicht, dass es auf die Art und Weise des Austritts ankomme, er aber hoffe, dass seine Arbeit und die Kooperation mit europäische Kollegen in bewährter Weise fortgesetzt werden könnten.

Foto: Dirk Pinnow

Phishing in Variationen eine beliebte Angriffsmethode

Milliardenmarkt: Fast jede Attacke heute „as-a-service“ zu haben

Im Abschluss-Panel gab Daniel Cohen, „Director, Product Management Fraud & Risk Intelligence“ bei RSA, im Gespräch mit David Strom, Präsident der David Strom Inc., einen exklusiven Einblick in die Ergebnisse des „RSA Fraud Report aus Q4/2018“, der eine Woche nach dieser Veranstaltung offiziell veröffentlicht werden soll. In einem Vorabgespräch mit Dirk Pinnow hatte er den Schutz der Kunden bei Finanztransaktionen als zentrale Motivation genannt. Auf dem Podium führte er aus, dass es um eine Anomalie-Erkennung im Datenstrom der globalen Finanztransaktionen geht. So haben sich nach RSA-Erkenntnissen im Jahr 2018 die Anzahl der Angriffe vom ersten zum vierten Quartal etwa verdoppelt: Darunter die sich ebenfalls auf das Zweifache gestiegenen Phishing-Angriffe. Cohen erläuterte, dass es heute mit Verwendung eines „Phishing Kit“ fast jedem gelingen könne, solche Attacken zu starten.
Er berichtete, dass es neben dem schon bekannten „Voice Phishing“, also z.B. fingierten Anrufen von Banken oder Service-Centern nun auch ein „Reverse Voice Phishing“ gebe: Hierbei suche das Opfer selbst im Internet nach Hilfe und vertraue seriös erscheinenden Kontaktdaten, welche dann zu einer „Fraud“-Website umleiteten. Betrügerische Aktionen hätten inzwischen einen gewaltigen Markt eröffnet – fast jede Attacke sei heute „as-a-service“ zu haben, z.B. DDoS-Angriffe. Neben Phishing sei auch Skimming weiterhin eine ernstzunehmende Bedrohung: Die Aufsätze auf Tastaturen von Geldautomaten oder an SB-Tanksäulen seien inzwischen so klein, dass sie von Laien kaum zu bemerken seien – die Übertragung der abgefangenen Daten von Bank- bzw. Kreditkarten, welche an stark frequentierten Orten schnell in die Tausende gehen könnten, erfolge schnell und einfach per Bluetooth.

Foto: Dirk Pinnow

Daniel Cohen: „Keep the world a safer place!“

Schamloser Missbrauch Sozialer Netzwerke für kriminelle Taten

Die Intention der Angreifer sei aber der „quick buck“, also das schnell und einfach verdiente Geld. Die Cyber-Kriminellen würden eher geringe Investitionen in ihre Angriffe tätigen wollen und nutzten daher die Angebote frei verfügbarer Websites für ihre Taten.
Cohen nannte einige Beispiel, wie unter aller Augen mit Kreditkarten-Daten gehandelt wird. So werden Angebote bei Eingabe eines gewissen Codes in dem bereits erwähnten Sozialen Netzwerk unterbreitet – dieses sei somit nicht DSGVO-konform. Er warnte davor, die darüber aufzufindenden und filterbaren Treffer-Links zu externen Webseiten anzuklicken. Ein anderes bekanntes Soziales Netzwerk, ein Onlinedienst zum Teilen von Fotos und Videos, böte einen Tummelplatz für Käufer von Waren beim einem großen Versender unter Verwendung gestohlener Kreditkarten-Daten. Auf einer ebenso sehr bekannten Video-Webplattform seien sogar Anleitungen für solche Machenschaften zu finden…
Aus dem Auditorium wurde die Frage aufgeworfen, wie es denn angesichts dieser Beispiele um die Durchsetzung der Gesetze bestellt sei: Cohen erwiderte, dass es in den westlichen Ländern vor allem Personalprobleme bei den Ermittlungsbehörden gebe, ansonsten aber zumeist sogenannte Drittwelt-Länder eine Rolle spielten. Von Gesprächspartner Strom abschließend gefragt, ob er angesichts dieser kriminellen Herausforderungen nicht abgeschreckt werde, machte Cohen seine Intention deutlich: Die Welt zu einem sichereren Ort zu machen!

Weitere Informationen zum Thema:

datensicherheit.de, 05.07.2016
75 Prozent der Unternehmen laut RSA-Studie mit erhöhten IT-Risiken