So gewährleisten Sie Datenschutz und Unternehmenssicherheit

Heute, ^{am 28.} Januar, wird in den Vereinigten Staaten, Kanada, Israel und den 47 EU-Ländern, in denen er begangen wird, der Datenschutztag (oder in der Europäischen Union der Data Protection Day) begangen.

Privatsphäre – insbesondere Datenschutz – ist von entscheidender Bedeutung. In vielen nationalen Verfassungen – genauer gesagt in über 150 – wird das „Recht auf Privatsphäre“ erwähnt. Es wird auch in der Allgemeinen Erklärung der Menschenrechte der Vereinten Nationen erwähnt und ist durch die Europäische Menschenrechtskonvention geschützt. In vielen Ländern, Regionen und Staaten wurden zahlreiche Datenschutzbestimmungen erlassen, darunter die Datenschutz-Grundverordnung (DSGVO) der EU und der California Consumer Privacy Act (CCPA).

Der Schwerpunkt des Datenschutztags liegt darauf, Unternehmen und Verbraucher für die Bedeutung des Schutzes der Privatsphäre der Benutzer und ihrer persönlichen Daten zu sensibilisieren. Es soll dazu beitragen, die Entwicklung von Tools für Unternehmen und Verbraucher zu fördern und diese zu verbessern, damit diese die persönlichen Daten der Benutzer besser verwalten und kontrollieren können. Darüber hinaus soll es zu einer verstärkten oder verbesserten Einhaltung bestehender Datenschutzgesetze und -vorschriften wie der DSGVO und des CCPA führen. Viele internationale und nationale Behörden, Ministerien und Gremien sowie Bildungseinrichtungen und Industriekonsortien betrachten den Datenschutztag als eine Gelegenheit, Diskussionen darüber zu beginnen oder fortzusetzen, wie die Privatsphäre von Verbraucher- und Benutzerdaten besser geschützt werden kann.

In die Praxis umsetzen

Eine der beliebtesten und besten Möglichkeiten, die Privatsphäre von Verbraucher- und Benutzerdaten zu schützen – egal, ob sie gespeichert oder übertragen werden – ist die Verschlüsselung. Die Verschlüsselung von Verbraucher- und Benutzerdaten sowie der Methoden zur Übertragung dieser Daten ist für die Wahrung der Privatsphäre personenbezogener Daten von entscheidender Bedeutung.

Heute ist Verschlüsselung allgegenwärtig. Die Aufmerksamkeit auf den Datenschutz und die Privatsphäre der Benutzer hat zur explosionsartigen Zunahme des verschlüsselten Datenverkehrs beigetragen. Darüber hinaus bieten mittlerweile viele Anbieter kostenlose oder kostengünstige Zertifikate an, um die Online-Sicherheit zu verbessern, was Benutzern, Verbrauchern und Unternehmen zugute käme. Im Wesentlichen versuchen sie, das gesamte Web zu verschlüsseln! Laut F5 Labs werden 86 % der Webseitenaufrufe neu mit SSL oder TLS verschlüsselt. Und die Verschlüsselung Advanced Encryption Standard (AES) macht über 96 % des heutigen verschlüsselten Webverkehrs aus. Die oben genannten Datenschutzbestimmungen und -anforderungen wie DSGVO, CCPA und andere treiben die Einführung der Verschlüsselung voran, auch wenn die meisten dieser Bestimmungen und Anforderungen keine Verschlüsselung von Benutzer- und personenbezogenen Daten vorschreiben. Viele Organisationen verwenden jedoch Verschlüsselung für Benutzerdaten und Kommunikation, um diese Vorschriften und Anforderungen nicht zu verletzen.

Die unvermeidlichen Nachteile

Während Verschlüsselung hervorragend dazu geeignet ist, die Privatsphäre der Benutzer und ihrer Daten zu schützen, gibt es gleichzeitig auch ein Problem mit der Verschlüsselung, das sowohl für Benutzer als auch für Unternehmen ein ernstes Problem darstellt: Angreifer und Hacker nutzen Verschlüsselung auch gerne, um Malware, Ransomware und andere Angriffsmethoden zu verschleiern. Leider entsteht durch die Verschlüsselung ein blinder Fleck in puncto Sicherheit.

So nutzen beispielsweise betrügerische Websites, die in Phishing- und Spearphishing-Kampagnen eingesetzt werden, zunehmend HTTPS, um echt zu wirken und ahnungslose Benutzer dazu zu verleiten, auf mit Malware infizierte Links zu klicken oder ihren Benutzernamen und ihr Passwort auf überzeugenden, aber gefälschten Anmeldeseiten einzugeben. Und sie täuschen sogar Benutzer, die das Erscheinen des kleinen Vorhängeschlosses in der Adressleiste als Hinweis auf eine sichere Website gewertet haben. Laut F5 Labs verwenden mittlerweile 72 % der Phishing-Sites Verschlüsselung. Um die Sache noch schlimmer zu machen, nutzen Angreifer, Hacker und andere Kriminelle nicht nur Verschlüsselung, um Bedrohungen zu verbergen. Sie nutzen die durch Kryptografie ermöglichte Privatsphäre auch aus, um der Entdeckung durch Post-mortem-Forensik zu entgehen, indem sie einfach eine spezifische Bedrohungskampagne verwenden, die Malware und Phishing-Sites nur einmal pro Opfer einbezieht.

Gegen Phishing ist eine Angriffsart sehr schwer abzuwehren, da dabei die menschliche Psyche ausgenutzt und Social Engineering sowie Fehl- und Desinformation eingesetzt wird. Phishing nutzt die menschliche Natur und Emotionen, wie zum Beispiel Angst, aus. Dies gilt insbesondere während der Coronavirus-Pandemie. Und Angreifer wissen das und nutzen es zu ihrem Vorteil. F5 Labs stellte fest , dass die Zahl neuer HTTPS-Zertifikate mit den Wörtern „Covid“ oder „Corona“ zeitgleich mit dem sprunghaft ansteigenden Anteil der COVID-19-Fälle zunahm. Selbst bekannte Gesundheitsquellen wie die Weltgesundheitsorganisation (WHO) und die USA Angreifer haben sich in gezielten Phishing-Kampagnen immer wieder als Centers for Disease Control and Prevention (CDC) ausgegeben und versuchen, ihre Opfer auf bösartige Domänen zu locken und ihnen Malware oder andere bösartige Angriffe herunterzuladen oder sie dazu zu verleiten, ihre Benutzerdaten auf gefälschten Anmeldeseiten einzugeben.

Was Sie dagegen tun können

Wie kann ein Unternehmen heute die Privatsphäre von Benutzer- und Verbraucherdaten sowie persönlichen Informationen schützen und sich gleichzeitig vor verschiedenen Angriffen und Verstößen bewahren?

Organisationen sollten eine Lösung einsetzen, die die täglich anfallende Flut an verschlüsseltem ein- und ausgehendem Datenverkehr in großem Umfang entschlüsseln kann. Angesichts des heutigen Ausmaßes des verschlüsselten Datenverkehrs, der Notwendigkeit, die Privatsphäre von Anwendern und Verbrauchern zu schützen, und der rechenintensiven Aufgabe der Entschlüsselung und Neuverschlüsselung ist es keine gute Idee, eine vorhandene Sicherheitslösung zu nutzen, um sowohl Sicherheit zu gewährleisten als auch den Datenverkehr zu entschlüsseln und erneut zu verschlüsseln. Ein überlastetes oder überarbeitetes Sicherheitsgerät kann dazu führen, dass verschlüsselter Datenverkehr einfach umgangen wird oder die Sicherheitsaufgaben, für die es eingesetzt wurde, nicht mehr erfüllt werden.

Um die Vertraulichkeit und Sicherheit von Benutzer- und Verbraucherdaten zu gewährleisten und nicht gegen Datenschutzbestimmungen und -anforderungen zu verstoßen, sollten Unternehmen eine Lösung einsetzen, die es dem privaten Benutzer- und Verbraucherdatenverkehr – wie etwa Finanz- oder Gesundheitsdaten – auf intelligente Weise ermöglicht, die Entschlüsselung zu umgehen. Dieser Datenverkehr sollte jedoch nicht ungehindert durchgelassen werden, sondern von einer begrenzten Anzahl von Lösungen im Sicherheits-Stack überprüft werden. Dies lässt sich jedoch nur erreichen, wenn sich die Lösungen im Sicherheitsstapel nicht in einer statischen Daisy-Chain befinden, sondern an dynamischen Sicherheitsdienstketten teilnehmen können und kontextabhängige Richtlinien nutzen, um eingehenden verschlüsselten Datenverkehr nach der Entschlüsselung an die entsprechende Sicherheitsdienstkette weiterzuleiten.

Dies wird als SSL-Orchestrierung bezeichnet und die obige Beschreibung veranschaulicht (hoffentlich), warum dies heutzutage so notwendig ist, nicht nur um die organisatorische Sicherheit zu gewährleisten, sondern auch um sicherzustellen, dass Benutzer- und Verbraucherinformationen geschützt und vertraulich behandelt werden.

Für weitere Informationen zu F5 SSL Orchestrator klicken Sie hier .