HYBRID BACKUP & RECOVERY DER SCHUTZ VON UNTERNEHMEN UND IHREN DATEN IN DER DIGITALEN WELT

Transkript

1 DER SCHUTZ VON UNTERNEHMEN UND IHREN DATEN IN DER DIGITALEN WELT Stand: Februar 2017

2 INHALT DIE NEUE WELT DER DATEN DER SCHUTZ VON DATEN: EINE BESTANDSAUFNAHME IT-SICHERHEIT: KEINE CHANCE FÜR HACKER? RANSOMWARE: DIE FAKTEN FEHLER VON MITARBEITERN GRUNDSATZENTSCHEIDUNGEN: VORSCHRIFTEN, DATENSCHUTZ UND DIE CLOUD WEITERE EMPFEHLUNGEN SO VERMEIDEN SIE RISIKEN BEI MOBILEN ENDGERÄTEN AUF AUGENHÖHE MIT DEM DIGITALEN FORTSCHRITT Die Inhalte dieses Artikels wurden mit größter Sorgfalt recherchiert. Dennoch kann keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernommen werden. Die Informationen sind insbesondere allgemeiner Art, sie dienen alleine informatorischen Zwecken. Aussagen über Ausstattung und technische Funktionalitäten sind unverbindlich und dienen nur der Information. Änderungen vorbehalten Carbonite Germany GmbH.

3 DIE NEUE WELT DER DATEN Für Unternehmen sind ihre Daten heute so wichtig wie nie. So werden beispielsweise 63 Prozent der kleinen und mittleren Unternehmen in diesem Jahr ihre Daten explizit für Vertrieb oder Marketing nutzen. Angesichts dieser Zahl darf man durchaus sagen, dass Unternehmen gelernt haben, ihre Daten als Währung zu betrachten [1]. Für die allerdings, die sich mit der Verwaltung und dem Schutz dieser Projekte beschäftigen, sind die Anforderungen des digitalen Zeitalters eine große Herausforderung. Um besser zu verstehen, wie Unternehmen der immer größer werdenden Komplexität ihrer IT-Landschaften begegnen, beauftragte Carbonite die Marktforscher von Regina Corso Consulting mit einer Analyse der Situation. Diese untersuchten die wichtigsten Herausforderungen und Probleme rund um den Schutz von Daten bei 251 IT- Entscheidern in Unternehmen mit bis zu 250 Beschäftigten. Ermittelt wurden dabei vier wichtige Schlüsselgebiete: Schutz von Daten IT-Sicherheit Cloud-Computing Datenschutzbestimmungen 3

4 DER SCHUTZ VON DATEN: EINE BESTANDSAUFNAHME Nahezu die Hälfte aller Unternehmen (47 Prozent) berichten, dass sie den Verlust von Daten fürchten. Und diese Sorgen sind berechtigt. Denn Datenverluste geschehen täglich. Im vergangenen Jahr hat fast ein Viertel der befragten Unternehmen (22 Prozent) einen Datenverlust erlebt. Und fast 50 Prozent der betroffenen Unternehmen konnte nicht einmal die Hälfte der davon betroffenen Daten wiederherstellen. Offensichtlich sind Datenverluste in der digitalen Welt also keine Ausnahme. Laut den Marktforschern von IDC hatten 80 Prozent der kleinen und mittleren Unternehmen schon mit Ausfallzeiten zu kämpfen. Und die Kosten dafür lagen bei bis zu US Dollar [2]. Vielen Unternehmen ist daher klar, dass sie einen Plan für den Notfall (Disaster Recovery Plan) erstellen sollten. Aber erstaunlich wenige haben tatsächlich einen derartigen Plan erstellt. 88% 36% 45% 88 Prozent der kleinen Unternehmen sehen einen Disaster Recovery Plan als integralen Bestandteil einer Strategie für die Datensicherheit im Unternehmen. Nur 36 Prozent der kleinen Unternehmen verfügen aber über einen detaillierten Notfallplan für die Wiederherstellung von Daten. 45 Prozent der kleinen Unternehmen besitzen lediglich grobe Richtlinien für Business Continuity und Disaster-Recovery (BC/DR). 4

5 Marktforschungszahlen von Carbonite zeigen, dass die Größe eines Unternehmens in direktem Zusammenhang mit dem Interesse an einem Notfallplan steht. 25% 8% 25 Prozent der Unternehmen mit weniger als 100 Beschäftigten besitzen keinen Plan für den Notfall. Bei Unternehmen mit Beschäftigten sind es nur acht Prozent. Ein Grund könnte darin liegen, dass mit der Mitarbeiterzahl auch die Wahrscheinlichkeit eines Datenverlustes steigt. Während 39 Prozent der größeren Organisationen im zurückliegenden Jahr einen Datenverlust hinnehmen mussten, war dies nur bei zwölf Prozent der Unternehmen mit weniger als 100 Mitarbeitern der Fall. Es überrascht daher nicht, dass kleine Unternehmen weniger häufig ein eigenes Budget für Disaster-Recovery-Lösungen haben und sich generell seltener mit dem Thema der Datensicherheit beschäftigen. Aber ist es auch klug? 64% Nein. Denn 64 Prozent der befragten IT- Experten erklären, dass ihre Organisation einen Datenverlust ohne den Schutz durch eine professionelle Backup-Lösung nicht überstehen würde [3]. 5

6 IT-SICHERHEIT: KEINE CHANCE FÜR HACKER? Online- und Computerkriminalität ist keine Angelegenheit, die sich auf große Unternehmen beschränkt. In der heutigen auf Daten ausgerichteten Welt ist kein Unternehmen sicher. Dies bestätigen auch Zahlen von PricewaterhouseCoopers. Danach haben sich die jährlichen IT-Sicherheitsvorfälle seit 2011 nahezu verdoppelt [4]. Die zunehmende Sorge in kleinen und mittleren Unternehmen hat also einen guten Grund. 38% 32% 38 Prozent der Unternehmen waren im vergangenen Jahr mit internen IT-Sicherheitsvorfällen konfrontiert. 32 Prozent der Unternehmen hatten mit externen IT- Sicherheitsvorfällen zu kämpfen. Die Berichte über externe Gefahren machen die Schlagzeilen. Tatsächlich aber sind interne Bedrohungen durch die eigenen Mitarbeiter für Unternehmen gefährlicher. Die von der Realität abweichende Wahrnehmung könnte aber auch daran liegen, dass Schadsoftware wie Viren, Malware oder Ransomware mehr und dauerhafter Unheil in Unternehmen anrichten denn je zuvor. 6

7 RANSOMWARE: DIE FAKTEN WAS IST RANSOMWARE? Ransomware ist Schadsoftware, die den Zugriff auf die Daten eines Computers verhindert. Für die Freigabe der Daten fordern Erpresser oftmals die Zahlung eines Lösegelds. Ransomware tauchte erstmals im Jahr 2005 auf. DIE BEIDEN HÄUFIGSTEN RANSOMWARE-VARIANTEN 36% BLOCKADE 64% VERSCHLÜSSELUNG Verhindert komplett den Zugriff auf einen Computer oder ein Gerät. Verhindert den Zugriff auf verschlüsselte Dateien und Daten. SECHS LÄNDER WAREN 2015 BESONDERS STARK VON RANSOMARE ANGRIFFEN BETROFFEN: USA, Japan, Großbritannien, Italien, Deutschland und Russland DURCHSCHNITTLICHE ERPRESSUNGSSUMME 250 bis 300 Euro GEFÄHRDETE GERÄTE DIE WICHTIGSTEN ANGRIFFSMETHODEN Malvertisements: Werbeanzeigen, die Schadsoftware auf den Computer übertragen. Spam s: Im Anhang kann sich Schadsoftware verbergen. Botnets: Heimlich über das Web installierte Schadsoftware, die unerwünschte Funktionen ausführt. ZAHLEN ODER NICHT ZAHLEN? NICHT ZAHLEN! Wenden Sie sich an die Polizei und melden Sie den Betrug. 7

8 RANSOMWARE: DIE FAKTEN BEDROHUNGSLAGE DURCH RANSOMWARE SEIT 2015 DEUTLICH VERSCHÄRFT Die Bedrohungslage durch diese Form der digitalen Erpressung hat sich seit Mitte September 2015 deutlich verschärft. So hat der Verschlüsselungs- Trojaner Locky in Deutschland zeitweise über 5000 Rechner pro Stunde befallen. Und die Gefahrenlage ist keineswegs gebannt, denn unverändert ist bislang kein Weg bekannt, die professionell verschlüsselten Daten ohne Zahlung des geforderten Lösegeldes zu retten. DER EINZIGE SCHUTZ SIND REGELMÄSSIGE BACKUPS Da Sicherheitssoftware wie Virenscanner oder Firewalls nie einen vollständigen Schutz bieten können, sind regelmäßige und professionelle Backups von Daten und Systemen unverzichtbar. Dies bestätigt auch das Bundesamt für Sicherheit in der Informationstechnik in seinem aktuellen Leitfaden für Unternehmen und Behörden zur Bedrohung durch Ransomware: Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet ist. [5] SO SCHÜTZEN SIE IHR UNTERNEHMEN Regelmäßige Backups Aktuelle Antivirensoftware Aktuelle Softwareversionen (Betriebssystem und Anwendungen) Unbekannte Web-Links nicht öffnen Vorsicht beim Öffnen von -Anhängen 55% 43% 55 Prozent der befragten IT-Entscheider in kleinen und mittleren Unternehmen fürchten interne Bedrohungen mehr als äußere Angriffe, etwa durch Hacker. Verständlicherweise steigt die Sorge vor internen Risiken mit der Anzahl der Mitarbeiter. Nahezu 75 Prozent der Organisationen mit 100 bis 250 Beschäftigten halten diese für gefährlicher als externe Gefährdungen. Bei kleinen Unternehmen liegt der Anteil unter 50 Prozent. 43 Prozent der Befragten wissen im Falle eines externen Angriffs nicht, was zu tun ist. Diese Zahl unterstreicht die Notwendigkeit der Aufklärung und der vorbereitenden Planung. Und dies gilt gleichermaßen für interne wie externe Sicherheitsrisiken. Denn beide sind sehr real. 8

9 FEHLER VON MITARBEITERN WIE MAN EIN UNTERNEHMEN VOR SICH SELBER SCHÜTZT Laut einer aktuellen Studie von CompTIA verursachen bei Unternehmen in den USA menschliche Fehler mehr als die Hälfte aller Sicherheitsvorfälle. Das ist keine Überraschung. Und die Zahlen in Europa sind zweifellos ähnlich. Carbonites eigene Untersuchungen zeigen ebenfalls, dass interne Gefahren für bedrohlicher erachtet werden als externe Cyber-Attacken. Angesichts von stark steigenden Angriffen mit Viren, Malware und Ransomware ist es dennoch unverzichtbar, dass Unternehmer drei Maßnahmen ergreifen und sich umfassend schützen: 1. SCHULEN SIE DAS SICHERHEITSBEWUSSTSEIN IHRER MITARBEITER Die Schulung der Mitarbeiter ist der erste Schritt, um die eigenen Daten vor Cyberangriffen zu schützen. Dies ist dringend notwendig, da die Angriffsmethoden immer raffinierter werden. So fallen unvorbereitete Mitarbeiter leicht auf gefährliche Mails, Links oder Dateianhänge herein, die sich als normale Geschäftskorrespondenz von Kunden oder Partnern tarnen. Ein Klick genügt, schon infiltrieren Viren, Schadprogramme oder Ransomware eine Organisation und gefährden die Daten im Unternehmen. Stellen Sie daher sicher, dass Mitarbeiter über die neuesten Methoden von Cyberkriminellen informiert sind. Informieren Sie Ihr Team, den Umgang mit verdächtigen s oder Dokumente unbedingt zu vermeiden. 2. TESTEN SIE DAS SICHERHEITS-KNOW-HOW IHRER MITARBEITER Regelmäßige Tests und Schulungen sind eine der besten Möglichkeiten, um Mitarbeiter in die Lage zu versetzen, Cyber-Attacken professionell zu begegnen. Viele IT-Security-Anbieter bieten Lösungen, mit denen Sie die neuesten Taktiken in realen Szenarien simulieren und die Reaktionen von Mitarbeitern testen. Unternehmen vermeiden unnötige Fehler, wenn Mitarbeiter regelmäßig über die neuesten Bedrohungen informiert werden. 3. BACKUP UNVERZICHTBARER DATEN Investitionen in Firewalls und Sicherheitssoftware sind ein wichtiger Anfang. Aber der damit erzielte Schutz kann nie vollkommen sein. Zum Schutz vor Datenverlusten sind regelmäßige Backups daher unerlässlich. Besonders wichtig: testen Sie die Wiederherstellungsfähigkeiten des Backup-Systems regelmäßig. Das verschafft Ihnen die Sicherheit, dass Ihre Daten im Notfall auch wirklich so sind, wie sie benötigt werden. 9

10 GRUNDSATZ- ENTSCHEIDUNGEN: VORSCHRIFTEN, DATENSCHUTZ UND DIE CLOUD Noch nie waren Daten für ein Unternehmen so wertvoll wie heute. Und noch nie waren der Umgang und der Schutz dieser Daten so herausfordernd. Denn die IT-Landschaft wird immer komplexer und Unternehmen laufen Gefahr, sich in einem Netz von Vorschriften und Datenschutzbestimmungen zu verfangen. Beispielsweise hat mehr als die Hälfte der befragten Unternehmen den Eindruck, dass die Datenschutzbestimmungen in der IT sogar strenger sind als im Gesundheitswesen. 38% 32% 29% 38 Prozent der Unternehmen berichten, dass sie bei Daten aus dem Gesundheitswesen umfassende Regulierungsvorschriften zu beachten haben. In den USA sind dies Regulierungen rund um HIPPA (Health Insurance Portability and Accountability), einem Standard für elektronische Transaktionen im Gesundheitswesen. Aber auch für Deutschland lässt sich sagen, dass kaum ein anderer Bereich mit so vielen Regulierungen und Prüfungen konfrontiert ist. 32 Prozent der Unternehmen berichten, dass sie ISO-Standards zu beachten haben. ISO ist die Internationale Organisation für Normung. 29 Prozent der Unternehmen berichten, dass sie PCI-Standards zu beachten haben. Das PCI Security Standards Council ist ein offenes, internationales Forum für Sicherheitsstandards zum Schutz von Kontodaten. Ein kleiner Teil, acht Prozent der Befragten, ist sich nicht sicher, welche Regulierungen für ihr Unternehmen von Bedeutung sind. Was hat diese Entwicklung verursacht? Die Antwort: Unternehmen tauchen immer tiefer in die digitale Welt ein, immer mehr Prozesse gehen Online und Cloud-Lösungen greifen um sich. Und dies gilt auch für kleine und mittlere Unternehmen. Aus diesem Grund sind strengere Regulierungen zur Überwachung von Unternehmensdaten erforderlich geworden. 10

11 Mehr als zwei Drittel der befragten Unternehmen sind mit gesetzlichen Regulierungen konfrontiert, denen sie nachkommen müssen. Und für jedes Unternehmen ist es von großer Bedeutung, den damit verbundenen Anforderungen zu entsprechen. Denn die Konsequenzen bei Verstößen können erheblich und teuer sein. Verschiedene Maßnahmen können vor Regelverstößen schützen. ADMINISTRATIVE MASSNAHMEN Dazu gehören administrative Festlegungen, Verhaltensregeln und Prozedere, die beispielsweise dem Schutz von Personaldaten dienen. RISIKOMANAGEMENT Unternehmen müssen Sicherheitsmaßnahmen implementieren, um Risiken und Schwachstellen zu reduzieren und um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. ÜBERWACHUNG DES ANMELDEVERHALTENS (LOGIN) Unternehmen müssen Verfahren zur Beobachtung der Login-Versuche einführen. Auffälligkeiten müssen automatisch gemeldet werden. PHYSISCHE MASSNAHMEN Dazu gehören Richtlinien und Verfahren, um elektronische Informationssysteme und die dazugehörigen Gebäuden und Anlagen zu schützen. Zu nennen sind hier insbesondere: ZUTRITTSSKONTROLLEN UND VALIDIERUNGSVER- FAHREN Unternehmen müssen Personen, die Zugang zu ihren Einrichtungen haben, auf Grundlage ihrer Rolle oder Funktion steuern und prüfen. BESEITIGUNG Unternehmen müssen Richtlinien und Verfahren implementieren, die die definitive Löschung von kritischen Daten oder die endgültige Zerstörung ihrer Speichermedien garantieren. TECHNISCHE MASSNAHMEN Regeln und Abläufe, die sicherstellen, dass gespeicherte kritische Informationen angemessen geschützt sind und der Zugriff darauf kontrolliert wird. Dazu gehören: VERSCHLÜSSELUNG UND ENTSCHLÜSSELUNG Unternehmen müssen einen Mechanismus zur Verschlüsselung und Entschlüsselung kritischer Daten etablieren. AUTOMATISCHES ABMELDEN (LOG-OFF) Unternehmen müssen Online Verbindungen und elektronische Verbindungen nach einer definierten Zeit der Inaktivität automatisch beenden. 11

12 WEITERE EMPFEHLUNGEN: 80% 78% 80 Prozent der kleinen und mittleren Unternehmen nutzen SaaS-Anwendungen in irgendeiner Form. [6] 78 Prozent der kleinen und mittleren Unternehmen werden bis 2020 umfassend auf Cloud- Lösungen setzen. [7] Wie viele Unternehmen und Organisationen vor ihnen, haben also auch kleine Unternehmen ihren Blick auf Innovation und schnellere, agile Ansätze bei den täglichen geschäftlichen Herausforderungen gerichtet. Denn glücklicherweise profitieren auch kleine Unternehmen von immer sichereren Cloud-Umgebungen. Diese Entwicklung hat maßgeblich zur Akzeptanz des Ansatzes beigetragen. 73% 81% 73 Prozent der kleinen Unternehmen nutzen Cloud-Lösungen für ihre Unternehmensdaten. 81 Prozent der kleinen Unternehmen nutzen Cloud- Lösungen für persönliche Daten. Neue IT-Nutzer, jene mit weniger als 10 Jahren Erfahrung, gehörten unter den Befragten zu denen, die am häufigsten mit persönlichen und geschäftlichen Daten auf Cloud-Lösungen setzten. Und obwohl eine Mehrheit der Unternehmen darauf vertraut, dass Cloud-Anbieter ihre Daten schützen, prüfen etwa 75 Prozent, ob ein Anbieter relevante Compliance Richtlinien auch erfüllen kann. Erst danach entscheiden sie über technologische Einkäufe. In ähnlicher Weise ist mehr als die Hälfte der Unternehmen mit den Forderungen ihrer Kunden und Partner konfrontiert, deren Compliance- Anforderungen zu erfüllen. Auch dies eine Ursache für die steigende Komplexität von IT-Entscheidungen. 12

13 SO VERMEIDEN SIE RISIKEN BEI MOBILEN ENDGERÄTEN DER CARBONITE EXPERTENTIPP Unternehmen sollten auf einfach umzusetzende Lösungen setzen, um Firmeninformationen besser zu schützen, die Mitarbeiter auf ihre persönlichen Geräte laden. Folgende Schritte helfen Ihren Mitarbeitern, der Sicherheit höchste Priorität einzuräumen, wenn sie mit mobilen Endgeräten arbeiten: PASSWORTSCHUTZ Die Geräte aller Mitarbeiter eines Unternehmens sollten durch ein Passwort geschützt sein. So sind die Daten darauf bei Verlust oder Diebstahl vor dem Zugriff von Dritten zumindest halbwegs geschützt. Mit Hilfe einer Sperrfunktion kann der Zugriff bei fehlerhaften Eingaben verhindert werden. Löschfunktionen verhindern ebenfalls den Zugriff auf abhanden gekommene Geräte. EXTERNE LÖSCHFUNKTION Alle Geräte, also Computer, Notebooks, Tablets oder Smartphones, die im Unternehmen eingesetzt werden, sollten sich bei Verlust oder Diebstahl auch aus der Ferne (Remote) löschen lassen. Dies ist dann möglich, wenn diese Geräte mit dem Internet verbunden sind. UPDATES Installieren Sie immer die aktuellsten Updates der von Ihnen genutzten Software. Updates liefern nicht nur neue Funktionen, sie schließen regelmäßig auch Sicherheitslücken. Zögern Sie daher nicht beim Laden von Updates. Am besten richten Sie dafür sogar einen automatischen Download ein. ANTIVIRUS Hüten Sie sich vor freien Downloads, denn sie könnten infiziert sein. Kaufen Sie Apps nur bei offiziellen App-Stores und nicht bei Drittanbietern. Antivirensoftware ist ebenfalls eine unverzichtbare Schutzmaßnahme. Achten Sie dabei auf aktuelle Versionen. KEINE GRENZVERLETZUNGEN Das Installieren von Software, die den Schutzwall eines Gerätes verletzt, öffnet ein Tor für den Einfall von Schadsoftware. Malware kann überall sein, auch in einer geladenen App. Kleine Unternehmen oder IT-Verantwortliche, die Kontrolle über sensible Daten auf Mitarbeitergeräten gewinnen wollen, sollten den Einsatz von Lösungen für Mobile Device Management oder Enterprise Mobility Management erwägen. 13

14 AUF AUGENHÖHE MIT DEM DIGITALEN FORTSCHRITT Unternehmen profitieren von der Cloud-Nutzung und höherer Datenverfügbarkeit. Die Produktivität steigt, Kosten sinken und das ganze Unternehmen wird dynamischer. Gleichzeitig sind Unternehmen aber auch gefordert, mit dem raschen Wandel in der digitalen Welt Schritt zu halten. Keine einfache Sache. Denn Datenverluste verursacht durch gutmeinende Mitarbeiter oder böswillige Hacker sind eine wachsende Gefahr für alle Organisationen. Und die permanente Verfügbarkeit ihrer Daten ist für die Entwicklung eines Unternehmens von entscheidender Bedeutung. Unternehmen, die auf die richtigen Strategien und Schutzvorkehrungen setzen, sind hier auf der sicheren Seite. Für sie sind digitale Informationen eine Währung, die sie nutzen können, um erfolgreich zu sein Quellen [1] IDG 2015, Big Data and Analytics Survey, März [2] International Data Corporation, The Growth Opportunity for SMB Cloud and Hybrid Business Continuity, Sponsored by Carbonite, Raymond Boggs, Christopher Chute & Laura DuBois, April [3] Carbonite / Spiceworks, Backup and Disaster Recovery: The IT Experience, September [4] PricewaterhouseCoopers, The Global State of Information Security Survey 2015, Oktober [5] Bundesamt für Sicherheit in der Informationstechnik, Ransomware: Bedrohungslage, Prävention & Reaktion, 11. März 2016, S. 14 [6] Aberdeen, Who are Heavy users of SaaS Applications?, Januar [7] Intuit Developer, The Appification of Small Business, April

15 CARBONITE GERMANY GMBH GUTENBERGSTR ISMANING TEL: SALES@CARBONITE.DE Stand: Februar 2017